Date post: | 12-Nov-2014 |
Category: |
Technology |
Upload: | juancho-velueta |
View: | 13,886 times |
Download: | 17 times |
|
servicios informaacuteticos
ContenidoInstalacioacuten4
El instalador de Zentyal5
Configuracioacuten inicial16
Requisitos de hardware23
Primeros pasos25
El Dashboard27
Configuracioacuten del estado de los moacutedulos30
Aplicando los cambios en la configuracioacuten31
Configuracioacuten general32
Configuracioacuten de red en Zentyal33
Configuracioacuten de dos interfaces de red34
Diagnoacutestico de red40
Configuracioacuten de DNS42
Configuracioacuten de un servidor DNS cacheacute con Zentyal43
El proxy DNS transparente45
Redirectores DNS46
Cortafuegos o Firewall47
Configuracioacuten de cortafuegos con Zentyal47
Sistema de Deteccioacuten de Intrusos (IDS)52
Configuracioacuten de un IDS con Zentyal52
Alertas del IDS54
Servicio de comparticioacuten de ficheros y autentificacioacuten55
Configuracioacuten de un servidor de ficheros con Zentyal55
Configurador de un controlador de dominio con Zentyal59
Servicio de publicacioacuten de paacuteginas web (HTTP)60
Configuracioacuten de un servidor HTTP con Zentyal61
Copias de seguridad62
Backup de la configuracioacuten de Zentyal62
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal64
Configuracioacuten de los directorios y ficheros que son respaldados67
Comprobando el estado de las copias68
Restaurar ficheros68
Restaurando servicios70
Instalacioacuten
Zentyal estaacute concebido para ser instalado en una maacutequina (real o virtual) de
forma en principio exclusiva Esto no impide que se puedan instalar otros
servicios o aplicaciones adicionales no gestionados a traveacutes de la interfaz de
Zentyal que deberaacuten ser instalados y configurados manualmente
Funciona sobre la distribucioacuten Ubuntu1 en su versioacuten para servidores usando
siempre las ediciones LTS (Long Term Support)2 cuyo soporte es mayor cinco
antildeos en lugar de tres
La instalacioacuten puede realizarse de dos maneras diferentes
usando el instalador de Zentyal (opcioacuten recomendada)
instalando a partir de una instalacioacuten de Ubuntu Server Edition
En el segundo caso es necesario antildeadir los repositorios oficiales de Zentyal y
proceder a la instalacioacuten de aquellos moacutedulos que se deseen3
Sin embargo en el primer caso se facilita la instalacioacuten y despliegue de Zentyal ya
que todas las dependencias se encuentran en un soacutelo CD o USB y ademaacutes se
incluye un entorno graacutefico que permite usar el interfaz web desde el propio
servidor
La documentacioacuten oficial de Ubuntu incluye una breve introduccioacuten a la instalacioacuten
y configuracioacuten de Zentyal4
1 Ubuntu es una distribucioacuten de Linux desarrollada por Canonical y la comunidad orientada a ordenadores portaacutetiles de sobremesa y servidores httpwwwubuntucom2 Para una descripcioacuten detallada sobre la publicacioacuten de versiones de Ubuntu se recomienda la consulta de la guiacutea Ubuntu httpswikiubuntucomReleases 3 Para maacutes informacioacuten sobre la instalacioacuten a partir del repositorio diriacutejase
ahttptraczentyalorgwikiDocumentDocumentationInstallationGuide4 httpshelpubuntucom1204serverguidezentyalhtml
El instalador de Zentyal
El instalador de Zentyal estaacute basado en el instalador de Ubuntu Server asiacute que el
proceso de instalacioacuten resultaraacute muy familiar a los usuarios de dicha distribucioacuten
En primer lugar seleccionaremos el lenguaje de la instalacioacuten para este ejemplo
usaremos Espantildeol
Seleccioacuten del idioma
Podemos instalar utilizando la opcioacuten por omisioacuten que elimina todo el contenido
del disco duro y crea las particiones necesarias para Zentyal usando LVM o
podemos seleccionar la opcioacuten expert mode que permite realizar un particionado
personalizado La mayoriacutea de los usuarios deberiacutean elegir la opcioacuten por omisioacuten a
no ser que esteacuten instalando en un servidor con RAID por software o quieran hacer
un particionado maacutes especiacutefico a sus necesidades concretas
Inicio del instalador
En el siguiente paso elegiremos el lenguaje que usaraacute la interfaz de nuestro
sistema una vez instalado para ello nos pregunta por el pais donde nos
localizamos en este caso Espantildea
Localizacioacuten geograacutefica
Podemos usar la deteccioacuten de automaacutetica de la distribucioacuten del teclado que haraacute
unas cuantas preguntas para asegurarse del modelo que estamos usando o
podemos seleccionarlo manualmente escogiendo No
Autodeteccioacuten del teclado
Seleccioacuten del teclado 1
Seleccioacuten del teclado 2
En caso de que dispongamos de maacutes de una interfaz de red el sistema nos
preguntaraacute cuaacutel usar durante la instalacioacuten (por ejemplo para descargar
actualizaciones) Si tan solo tenemos una no habraacute pregunta
Seleccioacuten de interfaz de red
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
ContenidoInstalacioacuten4
El instalador de Zentyal5
Configuracioacuten inicial16
Requisitos de hardware23
Primeros pasos25
El Dashboard27
Configuracioacuten del estado de los moacutedulos30
Aplicando los cambios en la configuracioacuten31
Configuracioacuten general32
Configuracioacuten de red en Zentyal33
Configuracioacuten de dos interfaces de red34
Diagnoacutestico de red40
Configuracioacuten de DNS42
Configuracioacuten de un servidor DNS cacheacute con Zentyal43
El proxy DNS transparente45
Redirectores DNS46
Cortafuegos o Firewall47
Configuracioacuten de cortafuegos con Zentyal47
Sistema de Deteccioacuten de Intrusos (IDS)52
Configuracioacuten de un IDS con Zentyal52
Alertas del IDS54
Servicio de comparticioacuten de ficheros y autentificacioacuten55
Configuracioacuten de un servidor de ficheros con Zentyal55
Configurador de un controlador de dominio con Zentyal59
Servicio de publicacioacuten de paacuteginas web (HTTP)60
Configuracioacuten de un servidor HTTP con Zentyal61
Copias de seguridad62
Backup de la configuracioacuten de Zentyal62
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal64
Configuracioacuten de los directorios y ficheros que son respaldados67
Comprobando el estado de las copias68
Restaurar ficheros68
Restaurando servicios70
Instalacioacuten
Zentyal estaacute concebido para ser instalado en una maacutequina (real o virtual) de
forma en principio exclusiva Esto no impide que se puedan instalar otros
servicios o aplicaciones adicionales no gestionados a traveacutes de la interfaz de
Zentyal que deberaacuten ser instalados y configurados manualmente
Funciona sobre la distribucioacuten Ubuntu1 en su versioacuten para servidores usando
siempre las ediciones LTS (Long Term Support)2 cuyo soporte es mayor cinco
antildeos en lugar de tres
La instalacioacuten puede realizarse de dos maneras diferentes
usando el instalador de Zentyal (opcioacuten recomendada)
instalando a partir de una instalacioacuten de Ubuntu Server Edition
En el segundo caso es necesario antildeadir los repositorios oficiales de Zentyal y
proceder a la instalacioacuten de aquellos moacutedulos que se deseen3
Sin embargo en el primer caso se facilita la instalacioacuten y despliegue de Zentyal ya
que todas las dependencias se encuentran en un soacutelo CD o USB y ademaacutes se
incluye un entorno graacutefico que permite usar el interfaz web desde el propio
servidor
La documentacioacuten oficial de Ubuntu incluye una breve introduccioacuten a la instalacioacuten
y configuracioacuten de Zentyal4
1 Ubuntu es una distribucioacuten de Linux desarrollada por Canonical y la comunidad orientada a ordenadores portaacutetiles de sobremesa y servidores httpwwwubuntucom2 Para una descripcioacuten detallada sobre la publicacioacuten de versiones de Ubuntu se recomienda la consulta de la guiacutea Ubuntu httpswikiubuntucomReleases 3 Para maacutes informacioacuten sobre la instalacioacuten a partir del repositorio diriacutejase
ahttptraczentyalorgwikiDocumentDocumentationInstallationGuide4 httpshelpubuntucom1204serverguidezentyalhtml
El instalador de Zentyal
El instalador de Zentyal estaacute basado en el instalador de Ubuntu Server asiacute que el
proceso de instalacioacuten resultaraacute muy familiar a los usuarios de dicha distribucioacuten
En primer lugar seleccionaremos el lenguaje de la instalacioacuten para este ejemplo
usaremos Espantildeol
Seleccioacuten del idioma
Podemos instalar utilizando la opcioacuten por omisioacuten que elimina todo el contenido
del disco duro y crea las particiones necesarias para Zentyal usando LVM o
podemos seleccionar la opcioacuten expert mode que permite realizar un particionado
personalizado La mayoriacutea de los usuarios deberiacutean elegir la opcioacuten por omisioacuten a
no ser que esteacuten instalando en un servidor con RAID por software o quieran hacer
un particionado maacutes especiacutefico a sus necesidades concretas
Inicio del instalador
En el siguiente paso elegiremos el lenguaje que usaraacute la interfaz de nuestro
sistema una vez instalado para ello nos pregunta por el pais donde nos
localizamos en este caso Espantildea
Localizacioacuten geograacutefica
Podemos usar la deteccioacuten de automaacutetica de la distribucioacuten del teclado que haraacute
unas cuantas preguntas para asegurarse del modelo que estamos usando o
podemos seleccionarlo manualmente escogiendo No
Autodeteccioacuten del teclado
Seleccioacuten del teclado 1
Seleccioacuten del teclado 2
En caso de que dispongamos de maacutes de una interfaz de red el sistema nos
preguntaraacute cuaacutel usar durante la instalacioacuten (por ejemplo para descargar
actualizaciones) Si tan solo tenemos una no habraacute pregunta
Seleccioacuten de interfaz de red
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Comprobando el estado de las copias68
Restaurar ficheros68
Restaurando servicios70
Instalacioacuten
Zentyal estaacute concebido para ser instalado en una maacutequina (real o virtual) de
forma en principio exclusiva Esto no impide que se puedan instalar otros
servicios o aplicaciones adicionales no gestionados a traveacutes de la interfaz de
Zentyal que deberaacuten ser instalados y configurados manualmente
Funciona sobre la distribucioacuten Ubuntu1 en su versioacuten para servidores usando
siempre las ediciones LTS (Long Term Support)2 cuyo soporte es mayor cinco
antildeos en lugar de tres
La instalacioacuten puede realizarse de dos maneras diferentes
usando el instalador de Zentyal (opcioacuten recomendada)
instalando a partir de una instalacioacuten de Ubuntu Server Edition
En el segundo caso es necesario antildeadir los repositorios oficiales de Zentyal y
proceder a la instalacioacuten de aquellos moacutedulos que se deseen3
Sin embargo en el primer caso se facilita la instalacioacuten y despliegue de Zentyal ya
que todas las dependencias se encuentran en un soacutelo CD o USB y ademaacutes se
incluye un entorno graacutefico que permite usar el interfaz web desde el propio
servidor
La documentacioacuten oficial de Ubuntu incluye una breve introduccioacuten a la instalacioacuten
y configuracioacuten de Zentyal4
1 Ubuntu es una distribucioacuten de Linux desarrollada por Canonical y la comunidad orientada a ordenadores portaacutetiles de sobremesa y servidores httpwwwubuntucom2 Para una descripcioacuten detallada sobre la publicacioacuten de versiones de Ubuntu se recomienda la consulta de la guiacutea Ubuntu httpswikiubuntucomReleases 3 Para maacutes informacioacuten sobre la instalacioacuten a partir del repositorio diriacutejase
ahttptraczentyalorgwikiDocumentDocumentationInstallationGuide4 httpshelpubuntucom1204serverguidezentyalhtml
El instalador de Zentyal
El instalador de Zentyal estaacute basado en el instalador de Ubuntu Server asiacute que el
proceso de instalacioacuten resultaraacute muy familiar a los usuarios de dicha distribucioacuten
En primer lugar seleccionaremos el lenguaje de la instalacioacuten para este ejemplo
usaremos Espantildeol
Seleccioacuten del idioma
Podemos instalar utilizando la opcioacuten por omisioacuten que elimina todo el contenido
del disco duro y crea las particiones necesarias para Zentyal usando LVM o
podemos seleccionar la opcioacuten expert mode que permite realizar un particionado
personalizado La mayoriacutea de los usuarios deberiacutean elegir la opcioacuten por omisioacuten a
no ser que esteacuten instalando en un servidor con RAID por software o quieran hacer
un particionado maacutes especiacutefico a sus necesidades concretas
Inicio del instalador
En el siguiente paso elegiremos el lenguaje que usaraacute la interfaz de nuestro
sistema una vez instalado para ello nos pregunta por el pais donde nos
localizamos en este caso Espantildea
Localizacioacuten geograacutefica
Podemos usar la deteccioacuten de automaacutetica de la distribucioacuten del teclado que haraacute
unas cuantas preguntas para asegurarse del modelo que estamos usando o
podemos seleccionarlo manualmente escogiendo No
Autodeteccioacuten del teclado
Seleccioacuten del teclado 1
Seleccioacuten del teclado 2
En caso de que dispongamos de maacutes de una interfaz de red el sistema nos
preguntaraacute cuaacutel usar durante la instalacioacuten (por ejemplo para descargar
actualizaciones) Si tan solo tenemos una no habraacute pregunta
Seleccioacuten de interfaz de red
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Instalacioacuten
Zentyal estaacute concebido para ser instalado en una maacutequina (real o virtual) de
forma en principio exclusiva Esto no impide que se puedan instalar otros
servicios o aplicaciones adicionales no gestionados a traveacutes de la interfaz de
Zentyal que deberaacuten ser instalados y configurados manualmente
Funciona sobre la distribucioacuten Ubuntu1 en su versioacuten para servidores usando
siempre las ediciones LTS (Long Term Support)2 cuyo soporte es mayor cinco
antildeos en lugar de tres
La instalacioacuten puede realizarse de dos maneras diferentes
usando el instalador de Zentyal (opcioacuten recomendada)
instalando a partir de una instalacioacuten de Ubuntu Server Edition
En el segundo caso es necesario antildeadir los repositorios oficiales de Zentyal y
proceder a la instalacioacuten de aquellos moacutedulos que se deseen3
Sin embargo en el primer caso se facilita la instalacioacuten y despliegue de Zentyal ya
que todas las dependencias se encuentran en un soacutelo CD o USB y ademaacutes se
incluye un entorno graacutefico que permite usar el interfaz web desde el propio
servidor
La documentacioacuten oficial de Ubuntu incluye una breve introduccioacuten a la instalacioacuten
y configuracioacuten de Zentyal4
1 Ubuntu es una distribucioacuten de Linux desarrollada por Canonical y la comunidad orientada a ordenadores portaacutetiles de sobremesa y servidores httpwwwubuntucom2 Para una descripcioacuten detallada sobre la publicacioacuten de versiones de Ubuntu se recomienda la consulta de la guiacutea Ubuntu httpswikiubuntucomReleases 3 Para maacutes informacioacuten sobre la instalacioacuten a partir del repositorio diriacutejase
ahttptraczentyalorgwikiDocumentDocumentationInstallationGuide4 httpshelpubuntucom1204serverguidezentyalhtml
El instalador de Zentyal
El instalador de Zentyal estaacute basado en el instalador de Ubuntu Server asiacute que el
proceso de instalacioacuten resultaraacute muy familiar a los usuarios de dicha distribucioacuten
En primer lugar seleccionaremos el lenguaje de la instalacioacuten para este ejemplo
usaremos Espantildeol
Seleccioacuten del idioma
Podemos instalar utilizando la opcioacuten por omisioacuten que elimina todo el contenido
del disco duro y crea las particiones necesarias para Zentyal usando LVM o
podemos seleccionar la opcioacuten expert mode que permite realizar un particionado
personalizado La mayoriacutea de los usuarios deberiacutean elegir la opcioacuten por omisioacuten a
no ser que esteacuten instalando en un servidor con RAID por software o quieran hacer
un particionado maacutes especiacutefico a sus necesidades concretas
Inicio del instalador
En el siguiente paso elegiremos el lenguaje que usaraacute la interfaz de nuestro
sistema una vez instalado para ello nos pregunta por el pais donde nos
localizamos en este caso Espantildea
Localizacioacuten geograacutefica
Podemos usar la deteccioacuten de automaacutetica de la distribucioacuten del teclado que haraacute
unas cuantas preguntas para asegurarse del modelo que estamos usando o
podemos seleccionarlo manualmente escogiendo No
Autodeteccioacuten del teclado
Seleccioacuten del teclado 1
Seleccioacuten del teclado 2
En caso de que dispongamos de maacutes de una interfaz de red el sistema nos
preguntaraacute cuaacutel usar durante la instalacioacuten (por ejemplo para descargar
actualizaciones) Si tan solo tenemos una no habraacute pregunta
Seleccioacuten de interfaz de red
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
El instalador de Zentyal
El instalador de Zentyal estaacute basado en el instalador de Ubuntu Server asiacute que el
proceso de instalacioacuten resultaraacute muy familiar a los usuarios de dicha distribucioacuten
En primer lugar seleccionaremos el lenguaje de la instalacioacuten para este ejemplo
usaremos Espantildeol
Seleccioacuten del idioma
Podemos instalar utilizando la opcioacuten por omisioacuten que elimina todo el contenido
del disco duro y crea las particiones necesarias para Zentyal usando LVM o
podemos seleccionar la opcioacuten expert mode que permite realizar un particionado
personalizado La mayoriacutea de los usuarios deberiacutean elegir la opcioacuten por omisioacuten a
no ser que esteacuten instalando en un servidor con RAID por software o quieran hacer
un particionado maacutes especiacutefico a sus necesidades concretas
Inicio del instalador
En el siguiente paso elegiremos el lenguaje que usaraacute la interfaz de nuestro
sistema una vez instalado para ello nos pregunta por el pais donde nos
localizamos en este caso Espantildea
Localizacioacuten geograacutefica
Podemos usar la deteccioacuten de automaacutetica de la distribucioacuten del teclado que haraacute
unas cuantas preguntas para asegurarse del modelo que estamos usando o
podemos seleccionarlo manualmente escogiendo No
Autodeteccioacuten del teclado
Seleccioacuten del teclado 1
Seleccioacuten del teclado 2
En caso de que dispongamos de maacutes de una interfaz de red el sistema nos
preguntaraacute cuaacutel usar durante la instalacioacuten (por ejemplo para descargar
actualizaciones) Si tan solo tenemos una no habraacute pregunta
Seleccioacuten de interfaz de red
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Inicio del instalador
En el siguiente paso elegiremos el lenguaje que usaraacute la interfaz de nuestro
sistema una vez instalado para ello nos pregunta por el pais donde nos
localizamos en este caso Espantildea
Localizacioacuten geograacutefica
Podemos usar la deteccioacuten de automaacutetica de la distribucioacuten del teclado que haraacute
unas cuantas preguntas para asegurarse del modelo que estamos usando o
podemos seleccionarlo manualmente escogiendo No
Autodeteccioacuten del teclado
Seleccioacuten del teclado 1
Seleccioacuten del teclado 2
En caso de que dispongamos de maacutes de una interfaz de red el sistema nos
preguntaraacute cuaacutel usar durante la instalacioacuten (por ejemplo para descargar
actualizaciones) Si tan solo tenemos una no habraacute pregunta
Seleccioacuten de interfaz de red
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Localizacioacuten geograacutefica
Podemos usar la deteccioacuten de automaacutetica de la distribucioacuten del teclado que haraacute
unas cuantas preguntas para asegurarse del modelo que estamos usando o
podemos seleccionarlo manualmente escogiendo No
Autodeteccioacuten del teclado
Seleccioacuten del teclado 1
Seleccioacuten del teclado 2
En caso de que dispongamos de maacutes de una interfaz de red el sistema nos
preguntaraacute cuaacutel usar durante la instalacioacuten (por ejemplo para descargar
actualizaciones) Si tan solo tenemos una no habraacute pregunta
Seleccioacuten de interfaz de red
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Autodeteccioacuten del teclado
Seleccioacuten del teclado 1
Seleccioacuten del teclado 2
En caso de que dispongamos de maacutes de una interfaz de red el sistema nos
preguntaraacute cuaacutel usar durante la instalacioacuten (por ejemplo para descargar
actualizaciones) Si tan solo tenemos una no habraacute pregunta
Seleccioacuten de interfaz de red
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Seleccioacuten del teclado 2
En caso de que dispongamos de maacutes de una interfaz de red el sistema nos
preguntaraacute cuaacutel usar durante la instalacioacuten (por ejemplo para descargar
actualizaciones) Si tan solo tenemos una no habraacute pregunta
Seleccioacuten de interfaz de red
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Despueacutes elegiremos un nombre para nuestro servidor este nombre es importante para la identificacioacuten de la maacutequina dentro de la red El servicio de DNS registraraacute automaacuteticamente este nombre Samba tambieacuten lo usaraacute de identificador como podremos comprobar maacutes adelante
Nombre de la maacutequina
Para continuar habraacute que indicar el nombre de usuario o login usado para
identificarse ante el sistema Este usuario tendraacute privilegios de administracioacuten y
ademaacutes seraacute el utilizado para acceder a la interfaz de Zentyal
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Usuario administrador
En el siguiente paso nos pediraacute la contrasentildea para el usuario Cabe destacar que
el anterior usuario con esta contrasentildea podraacute acceder tanto al sistema (mediante
SSH o login local) como a la interfaz web de Zentyal por lo que seremos
especialmente cuidadosos en elegir una contrasentildea segura (maacutes de 12 caraacutecteres
incluyendo letras cifras y siacutembolos de puntuacioacuten)
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Contrasentildea
E introduciremos de nuevo la contrasentildea para su verificacioacuten
Confirmar contrasentildea
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
En el siguiente paso se nos pregunta por nuestra zona horaria que se
autoconfiguraraacute dependiendo del paiacutes de origen que hayamos seleccionado
anteriormente pero se puede modificar en caso de que sea erroacutenea
Zona horaria
Esperaremos a que nuestro sistema baacutesico se instale mientras muestra una barra de progreso Este proceso puede durar unos 20 minutos aproximadamente dependiendo del servidor en cada caso
Instalacioacuten del sistema base
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
La instalacioacuten del sistema base estaacute completada ahora podremos extraer el disco
de instalacioacuten y reiniciar
Reiniciar
iexclNuestro sistema Zentyal estaacute instalado El sistema arrancaraacute un interfaz graacutefico
con un navegador que permite acceder a la interfaz de administracioacuten y aunque
tras este primer reinicio el sistema haya iniciado la sesioacuten de usuario
automaacuteticamente de aquiacute en adelante necesitaraacute autenticarse antes de hacer
login en el sistema El primer arranque tomaraacute algo maacutes de tiempo ya que
necesita configurar algunos paquetes baacutesicos de software
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Entorno graacutefico con el interfaz de administracioacuten
Para comenzar a configurar los perfiles o moacutedulos de Zentyal usaremos el usuario y
contrasentildea indicados durante la instalacioacuten Cualquier otro usuario que antildeadamos
posteriormente al grupo sudo podraacute acceder al interfaz de Zentyal al igual que tendraacute
privilegios de superusuario en el sistema
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de
configuracioacuten en primer lugar podremos seleccionar queacute funcionalidades
queremos incluir en nuestro sistema
Para simplificar nuestra seleccioacuten en la parte superior de la interfaz contamos con
unos perfiles predisentildeados
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Perfiles y paquetes instalables
Perfiles de Zentyal que podemos instalar
Zentyal Gateway
Zentyal actuacutea como la puerta de enlace de la red local ofreciendo un acceso
a Internet seguro y controlado Zentyal protege la red local contra ataques
externos intrusiones amenazas a la seguridad interna y posibilita la
interconexioacuten segura entre redes locales a traveacutes de Internet u otra red
externa
Zentyal Infrastructure
Zentyal gestiona la infraestructura de la red local con los servicios baacutesicos
DHCP DNS NTP servidor HTTP etc
Zentyal Office
Zentyal actuacutea como servidor de recursos compartidos de la red local
ficheros impresoras calendarios contactos perfiles de usuarios y grupos
etc
Zentyal Unified Communications
Zentyal se convierte en el centro de comunicaciones de la empresa
incluyendo correo mensajeriacutea instantaacutenea y Voz IP
Podemos seleccionar varios perfiles para hacer que Zentyal tenga de forma
simultaacutenea diferentes roles en la red
Tambieacuten podemos instalar un conjunto manual de servicios simplemente clicando
sobre sus respectivos iconos sin necesidad de amoldarnos a los perfiles o bien
instalar un perfil maacutes unos determinados paquetes que tambieacuten nos interesen
Para nuestro ejemplo usaremos una instalacioacuten del perfil de Infraestructura
uacutenicamente Los wizardsque apareceraacuten en nuestra instalacioacuten dependen de los
paquetes que hayamos escogido en este paso
Al terminar la seleccioacuten se instalaraacuten tambieacuten los paquetes adicionales necesarios
y ademaacutes si hay alguacuten complemento recomendado se preguntaraacute si lo queremos
instalar Esta seleccioacuten no es definitiva ya que posteriormente podremos instalar y
desinstalar el resto de moacutedulos de Zentyal a traveacutes de la gestioacuten de software
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Paquetes adicionales
El sistema comenzaraacute con el proceso de instalacioacuten de los moacutedulos requeridos
mostrando una barra de progreso donde ademaacutes podemos leer una breve
introduccioacuten sobre las funcionalidades y servicios adicionales disponibles en
Zentyal Server y los paquetes comerciales asociados
Instalacioacuten e informacioacuten adicional
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Una vez terminado el proceso de instalacioacuten el asistente configuraraacute los nuevos
moacutedulos realizando algunas preguntas Cuando instalemos moacutedulos de Zentyal
maacutes adelante pueden llevar asociados wizards de configuracioacuten similares
En primer lugar se solicitaraacute informacioacuten sobre la configuracioacuten de red definiendo
para cada interfaz de red si es interna o externa es decir si va a ser utilizada para
conectarse a Internet u otras redes externas o bien si estaacute conectada a la red
local Se aplicaraacuten poliacuteticas estrictas en el cortafuegos para todo el traacutefico entrante
a traveacutes de interfaces de red externas
Posteriormente podemos configurar el meacutetodo y paraacutemetros de configuracioacuten
(DHCP estaacutetica IP asociada etc) De nuevo si nos equivocamos en cualquiera
de estos paraacutemetros no es criacutetico dado que los podremos modificar desde el
interfaz de Zentyal en cualquier otro momento
Seleccionar modo de las interfaces de red
A continuacioacuten tendremos que elegir el dominio asociado a nuestro servidor si
hemos configurado nuestra(s) interfaz externa por DHCP es posible que el campo
aparezca ya rellenado Como hemos comentado anteriormente
nuestro hostname se registraraacute como un host perteneciente a este dominio El
dominio de autenticacioacuten para los usuarios tomaraacute tambieacuten este identificador Maacutes
adelante podremos configurar otros dominios y su configuracioacuten asociada pero
eacuteste es el uacutenico que vendraacute pre-configurado para que nuestros clientes
de LAN encuentren los servicios de autenticacioacuten necesarios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configurar dominio local del servidor
El uacuteltimo asistente permite suscribir nuestro servidor En caso de tener una
suscripcioacuten ya registrada tan soacutelo es necesario introducir los credenciales Si
todaviacutea no has suscrito el servidor es posible obtener una suscripcioacuten baacutesica
gratuita usando este mismo formulario
Suscribir el servidor
En ambos casos el formulario solicita un nombre para el servidor
Una vez hayan sido respondidas estas cuestiones se procederaacute a la configuracioacuten
de cada uno de los moacutedulos instalados
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten inicial finalizada
El instalador nos avisaraacute cuando se haya terminado el proceso
Ya podemos acceder al Dashboard iexclnuestro servidor Zentyal ya estaacute listo
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Dashboard
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Requisitos de hardware
Zentyal funciona sobre hardware estaacutendar arquitectura x86 (32-bit) o x86_64 (64-
bit) Sin embargo es conveniente asegurarse de que Ubuntu Precise 1204 LTS
(kernel 320) es compatible con el equipo que se vaya a utilizar Se deberiacutea poder
obtener esta informacioacuten directamente del fabricante De no ser asiacute se puede
consultar en la lista de compatibilidad de hardware de Ubuntu Linux5 en la lista de
servidores certificados para Ubuntu 1204 LTS o buscando en Google
Los requerimientos de hardware para un servidor Zentyal dependen de los
moacutedulos que se instalen de cuaacutentos usuarios utilizan los servicios y de sus
haacutebitos de uso
Algunos moacutedulos tienen bajos requerimientos como Cortafuegos DHCP o DNS
pero otros como el Filtrado de correo o el Antivirus necesitan maacutes memoria RAM y
CPU Los moacutedulos de Proxy y Comparticioacuten de ficheros mejoran su rendimiento
con discos raacutepidos debido a su intensivo uso de ES
Una configuracioacuten RAID antildeade un nivel de seguridad frente a fallos de disco duro
y aumenta la velocidad en operaciones de lectura
Si usas Zentyal como puerta de enlace o cortafuegos necesitaraacutes al menos dos
tarjetas de red pero si lo usas como un servidor independiente una uacutenica tarjeta
de red seraacute suficiente Si tienes dos o maacutes conexiones de Internet puedes tener
una tarjeta de red para cada router o conectarlos a una tarjeta de red tenieacutendolos
en la misma subred Otra opcioacuten es mediante VLAN
5httpwwwubuntucomcertificationcatalog
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Para un servidor de uso general con los patrones de uso normales los
requerimientos siguientes seriacutean los miacutenimos recomendados
Perfil de Zentyal Usuarios CPU Memoria DiscoTarjetas de
red
Puerta de acceso
lt50 P4 o superior 2G 80G 2 oacute maacutes
50 oacute maacutesXeon Dual core o
superior4G 160G 2 oacute maacutes
Infraestructuralt50 P4 o superior 1G 80G 1
50 oacute maacutes P4 o superior 2G 160G 1
Oficina
lt50 P4 o superior 1G 250G 1
50 oacute maacutesXeon Dual core o
superior2G 500G 1
Comunicaciones
lt100Xeon Dual core o
equivalente4G 250G 1
100 oacute maacutesXeon Dual core o
equivalente8G 500G 1
Tabla de requisitos Hardware
Si se combina maacutes de un perfil se deberiacutean aumentar los requerimientos Si se
estaacute desplegando Zentyal en un entorno con maacutes de 100 usuarios deberiacutea
hacerse un anaacutelisis maacutes detallado incluyendo patrones de uso tras un
benchmarking y considerando estrategias de alta disponibilidad
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Primeros pasosLa interfaz web de administracioacuten de Zentyal
Una vez instalado Zentyal podemos acceder al interfaz web de administracioacuten tanto a traveacutes del propio entorno graacutefico que incluye el instalador como desde cualquier lugar de la red interna mediante la direccioacuten httpsdireccion_ip donde direccion_ip es la direccioacuten IP o el nombre de la maacutequina donde estaacute instalado Zentyal que resuelve a esa direccioacuten Dado que el acceso es mediante HTTPS la primera vez el navegador nos pediraacute si queremos confiar en este sitio aceptaremos el certificado autogenerado
La primera pantalla solicita el nombre de usuario y la contrasentildea podraacuten autenticarse como administradores tanto el usuario creado durante la instalacioacuten
como cualquier otro perteneciente al grupo sudo
Login
Una vez autenticados apareceraacute la interfaz de administracioacuten que se encuentra
dividida en tres partes fundamentales
Advertencia Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal Se recomienda usar siempre la uacuteltima versioacuten estable de nuestro navegador para mayor compatibilidad con los estaacutendares y seguridad
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Menuacute lateral izquierdo
Contiene los enlaces a todos los servicios que se pueden configurar
mediante Zentyal separados por categoriacuteas Cuando se ha seleccionado
alguacuten servicio en este menuacute puede aparecer un submenuacute para configurar cuestiones particulares de dicho servicio
Menuacute lateral
Menuacute superior
Contiene las acciones guardar los cambios realizados en el contenido y
hacerlos efectivos asiacute como el cierre de sesioacuten
Menuacute superior
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Contenido principal
El contenido que ocupa la parte central comprende uno o varios
formularios o tablas con informacioacuten acerca de la configuracioacuten del
servicio seleccionado a traveacutes del menuacute lateral izquierdo y sus submenuacutes
En ocasiones en la parte superior apareceraacute una barra de pestantildeas en la
que cada pestantildea representaraacute una subseccioacuten diferente dentro de la
seccioacuten a la que hemos accedido
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz Contiene una serie
de widgets configurables Podemos reorganizarlos pulsando en los tiacutetulos y
arrastrando con el ratoacuten
Pulsando en Configurar Widgets la interfaz cambia permitiendo retirar y antildeadir
nuevos widgets Para antildeadir uno nuevo se busca en el menuacute superior y se
arrastra a la parte central Para eliminarlos se usa la cruz situada en la esquina
ѕuperior derecha de cada uno de ellos
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten del Dashboard
Hay un widget importante dentro del Dashboard que muestra el estado de los
moacutedulos de Zentyal asociados a daemons
Widget de estado de los moacutedulos
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
La imagen muestra el estado para un servicio y la accioacuten que se puede ejecutar
sobre eacutel Los estados disponibles son los siguientes
Ejecutaacutendose
El servicio se estaacute ejecutando aceptando conexiones de los clientes Se
puede reiniciar el servicio usando Reiniciar
Ejecutaacutendose sin ser gestionado
Si no se ha activado todaviacutea el moacutedulo se ejecutaraacute con la configuracioacuten
por defecto de la distribucioacuten
Parado
El servicio estaacute parado bien por accioacuten del administrador o porque ha
ocurrido alguacuten problema Se puede iniciar el servicio mediante Arrancar
Deshabilitado
El moacutedulo ha sido deshabilitado expliacutecitamente por el administrador
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten del estado de los moacutedulos
Zentyal tiene un disentildeo modular en el que cada moacutedulo gestiona un servicio
distinto Para poder configurar cada uno de estos servicios se ha de habilitar el
moacutedulo correspondiente desde Estado del moacutedulo Todas aquellas
funcionalidades que hayan sido seleccionadas durante la instalacioacuten se habilitan
automaacuteticamente
Configuracioacuten del estado del moacutedulo
Cada moacutedulo puede tener dependencias sobre otros para que funcione Por
ejemplo el moacutedulo DHCP necesita que el moacutedulo de red esteacute habilitado para que
pueda ofrecer direcciones IP a traveacutes de las interfaces de red configuradas Las
dependencias se muestran en la columna Depende y hasta que estas no se
habiliten no se puede habilitar tampoco el moacutedulo
Truco Es importante recordar que hasta que no habilitemos un moacutedulo este no
estaraacute funcionando realmente Asiacute mismo podemos hacer diferentes cambios en
la configuracioacuten de un moacutedulo que no se aplicaraacuten hasta que no guardemos
cambios Este comportamiento es intencional y nos sirve para poder revisar
detenidamente la configuracioacuten antes de hacerla efectiva
La primera vez que se habilita un moacutedulo se pide confirmacioacuten de las acciones
que va a realizar en el sistema asiacute como los ficheros de configuracioacuten que va a
sobreescribir Tras aceptar cada una de las acciones y ficheros habraacute que guardar
cambios para que la configuracioacuten sea efectiva
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Confirmacioacuten para habilitar un moacutedulo
Aplicando los cambios en la configuracioacuten
Una particularidad importante del funcionamiento de Zentyal es su forma de hacer
efectivas las configuraciones que hagamos en la interfaz Para ello primero se
tendraacuten que aceptar los cambios en el formulario actual pero para que estos
cambios sean efectivos y se apliquen de forma permanente se tendraacute que Guardar
Cambios en el menuacute superior Este botoacuten cambiaraacute a color rojo para indicarnos
que hay cambios sin guardar Si no se sigue este procedimiento se perderaacuten todos
los cambios que se hayan realizado a lo largo de la sesioacuten al finalizar eacutesta Una
excepcioacuten a este funcionamiento es la gestioacuten de usuarios y grupos doacutende los
cambios se efectuacutean directamente
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten generalHay varios paraacutemetros de la configuracioacuten general de Zentyal que se pueden modificar en Sistema General
Configuracioacuten general
Advertencia Si se cambia la configuracioacuten de las interfaces de red el cortafuego
o el puerto del interfaz de administracioacuten se podriacutea perder la conexioacuten teniendo
que cambiar la URL en el navegador o reconfigurar a traveacutes del entorno graacutefico en
local
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Contrasentildea
Podemos cambiar la contrasentildea de un usuario Seraacute necesario introducir su
nombre de Usuario la Contrasentildea actual la Nueva contrasentildea y
confirmarla de nuevo en la seccioacuten Cambiar contrasentildea
Idioma
Podemos seleccionar el idioma de la interfaz mediante Seleccioacuten de idioma
Zona Horaria
Aquiacute podemos especificar nuestra ciudad y paiacutes para configurar el ajuste
horario
Fecha y Hora
Podemos especificar la fecha y hora del servidor siempre y cuando no
estemos sincronizando con un servidor de hora exterior (ver NTP)
Puerto del interfaz de administracioacuten
Por defecto es el 443 de HTTPS pero si queremos utilizarlo para el servidor
web habraacute que cambiarlo a otro distinto y especificarlo en la URL a la hora
de acceder httpsdireccion_ippuerto
Nombre de la maacutequina y dominio
Es posible cambiar el hostname o nombre de la maacutequina asiacute como el
dominio asociado estos paraacutemetros corresponden con los que configuramos en la instalacioacuten
Configuracioacuten de red en Zentyal
A traveacutes de Red Interfaces se puede acceder a la configuracioacuten de cada una de
las tarjetas de red detectadas por el sistema y se pueden establecer como
direccioacuten de red estaacutetica (configurada manualmente) dinaacutemica (configurada
mediante DHCP) VLAN (8021Q) trunk PPPoE o bridged
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Ademaacutes cada interfaz puede definirse como Externa si estaacute conectada a una red
externa (esto se refiere generalmente a Internet) para aplicar poliacuteticas maacutes
estrictas en el cortafuegos En caso contrario se asumiraacute interna conectada a la
red local
Cuando se configure como DHCP no solamente se configuraraacute la direccioacuten IP
sino tambieacuten los servidores DNS y la puerta de enlace Esto es habitual en
maacutequinas dentro de la red local o en las interfaces externas conectadas a
los routers ADSL
Configuracioacuten DHCP de la interfaz de red
Si configuramos la interfaz como estaacutetica especificaremos la direccioacuten IP la
maacutescara de red y ademaacutes podremos asociar una o maacutes Interfaces Virtuales a
dicha interfaz real para disponer de direcciones IP adicionales
Estas direcciones adicionales son uacutetiles para ofrecer un servicio en maacutes de una
direccioacuten IP o subred para facilitar la migracioacuten desde un escenario anterior o
para tener diferentes dominios en un servidor web usando certificados SSL
Configuracioacuten de dos interfaces de redPara la configuracioacuten de dos interfaces de red es A traveacutes de Red Interfaces ahiacute configurar eth0 con el IP 19216811 y SUBNET 2552552550 y marcarla como EXTERNAL (Ejemplo para los moacutedems de TELMEX) Luego en la pestantildea eth1 solo se captura la IP 19216821 y SUBNET 2552552550
En resumen eth0 como externa (WAN) y eth1 como interna (LAN) se guardan los cambios
Ahora queda ingresar a Networks Gateways ahiacute se tiene que agregar el GATEWAY de eBox en este caso es el INTERFACE eth0 IP 1921681254 SUBNET 2552552550 ademaacutes de marcarlo como DEFAULT Guardas los
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
cambios nuevamente Ahora por ultimo quedariacutea que agregues los DNS a eBox eso lo haces de Networks DNS se tiene el campo de primario y secundario en este caso seriacutea el mismo que el router IP 1921681254 guardas los cambios y solo como Nota Si no se cuenta con el servicio DNS de eBox habilitado en el apartado de DHCP es necesario poner los DNS externos a eBox (por ejemplo 8058033 8058097) o tal vez simplemente habilitar el servicio DNS de eBox sea la alternativa mas uacutetil
Configuracioacuten estaacutetica de la interfaz de red
Si se dispone de un router ADSL PPPoE6 (un meacutetodo de conexioacuten utilizado por algunos proveedores de Internet) podemos configurar tambieacuten este tipo de conexiones
Para ello soacutelo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasentildea proporcionado por el proveedor
6httpeswikipediaorgwikiPPPoE
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten PPPoE de la interfaz de red
En caso de tener que conectar el servidor a una o maacutes redes VLAN
seleccionaremos Trunk (80211q) Una vez seleccionado este meacutetodo podremos
crear tantas interfaces asociadas al tag definido como queramos y las podremos
tratar como si de interfaces reales se tratase
La infraestructura de red VLAN permite segmentar la red local para mejor
rendimiento y mayor seguridad sin la inversioacuten en hardware fiacutesico que seriacutea
necesaria para cada segmento
Configuracioacuten VLAN de interfaces de red
El modo puente o bridged consiste en asociar dos interfaces de red fiacutesicas de
nuestro servidor conectadas a dos redes diferentes Por ejemplo una tarjeta
conectada al router y otra tarjeta conectada a la red local Mediante esta
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
asociacioacuten podemos conseguir que el traacutefico de la red conectada a una de las
tarjetas se redirija a la otra de modo transparente
Esto tiene la principal ventaja de que las maacutequinas clientes de la red local no
necesitan modificar absolutamente ninguna de sus configuraciones de red cuando
instalemos un servidor Zentyal como puerta de enlace y sin embargo podemos
gestionar el traacutefico que efectivamente pasa a traveacutes de nuestro servidor con el
cortafuegos filtrado de contenidos o deteccioacuten de intrusos
Esta asociacioacuten se crea cambiando el meacutetodo de las interfaces a En puente de
red Podemos ver como al seleccionar esta opcioacuten nos aparece un nuevo
selector Puente de red para que seleccionemos a queacute grupo de interfaces
queremos asociar esta interfaz
Creacioacuten de un bridge
Esto crearaacute una nueva interfaz virtual bridge que tendraacute su propia configuracioacuten
como una interfaz real por lo cual aunque el traacutefico la atraviese
transparentemente puede ser utilizado para ofrecer otros servicios como podriacutea
ser el propio interfaz de administracioacuten de Zentyal o un servidor de ficheros
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten de interfaces bridged
En el caso de configurar manualmente la interfaz de red seraacute necesario definir la
puerta de enlace de acceso a Internet en Red Puertas de enlace Normalmente
esto se hace automaacuteticamente si usamos DHCP o PPPoE pero no en el resto de
opciones Para cada uno podremos indicar Nombre Direccioacuten IP Interfaz a la que
estaacute conectada su Peso que sirve para indicar la prioridad respecto a
otros gateways y si es el Predeterminado de todos ellos
Ademaacutes si es necesario el uso de un proxy HTTP para el acceso a Internet
podremos configurarlo tambieacuten en esta seccioacuten Este proxy seraacute utilizado por
Zentyal para conexiones como las de actualizacioacuten e instalacioacuten de paquetes o la
actualizacioacuten del antivirus
Configuracioacuten de las puertas de enlace
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle
la direccioacuten de uno o varios servidores de nombres en Red DNS En caso de
que tengamos un servidor DNS configurado en la propia maacutequina el primer
servidor estaraacute fijado al local 127001
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten de los servidores DNS
Si la conexioacuten a Internet asigna una direccioacuten IP dinaacutemica y queremos que un
nombre de dominio apunte a ella se necesita un proveedor de DNS dinaacutemico
Utilizando Zentyal se puede configurar alguno de los proveedores de DNS
dinaacutemico maacutes populares
Para ello iremos a Red DynDNS y seleccionaremos el proveedor
del Servicio Nombre de usuario Contrasentildea y Nombre de maacutequina que queremos
actualizar cuando la direccioacuten puacuteblica cambie soacutelo resta Habilitar DNS dinaacutemico
Configuracioacuten de DNS Dinaacutemico
Zentyal se conecta al proveedor para conseguir la direccioacuten IP puacuteblica evitando
cualquier traduccioacuten de direccioacuten red (NAT) que haya entre el servidor e Internet
Si estamos utilizando esta funcionalidad en un escenario con multirouter no hay
que olvidar crear una regla que haga que las conexiones al proveedor usen
siempre la misma puerta de enlace
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Diagnoacutestico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas
de Red Herramientas
ping es una herramienta que utiliza el protocolo de diagnoacutestico de redes ICMP
(Internet Control Message Protocol) para comprobar la conectividad hasta una
maacutequina remota mediante una sencilla conversacioacuten entre ambas
Herramientas de diagnoacutestico de redes ping
Tambieacuten disponemos de la herramienta traceroute que se encarga de mostrar la
ruta que toman los paquetes hasta llegar a la maacutequina remota determinada
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Herramienta traceroute
La herramienta de resolucioacuten de nombres de dominio se utiliza para comprobar
el correcto funcionamiento del servicio DNS
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Resolucioacuten de nombres de dominio
Por uacuteltimo usando Wake On Lan podemos activar una maacutequina por su
direccioacuten MAC si la caracteriacutestica se encuentra activada en la misma
Configuracioacuten de DNS
Nuestra configuracioacuten de DNS es vital para el funcionamiento de la autenticacioacuten
en redes locales (implementada con Kerberos a partir de Zentyal 30) los clientes
de la red consultan el dominio local sus registros SRV y TXT para encontrar los
servidores de tickets de autenticacioacuten Como hemos comentado anteriormente
este dominio viene preconfigurado para resolver los servicios Kerberos a partir de
la instalacioacuten
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Truco Es importante no confundir el cliente de DNS de Zentyal que se encuentra
en Red -gt DNS con el servidor de DNS de Zentyal en Infrastructure -gt DNS Si
nuestro servidor DNS estaacute habilitado nuestro cliente DNS lo usaraacute siempre En
caso de que Zentyal no disponga de servidor DNS podremos consultar servidores
externos El servidor DNS a su vez puede ser configurado para reenviar las
consultas para las que no tenga respuesta a otros servidores DNS externos
BIND7 es el servidor DNS de facto en Internet originalmente creado en la
Universidad de California Berkeley y en la actualidad mantenido por el Internet
Systems Consortium La versioacuten BIND 9 reescrita desde cero para soportar las
uacuteltimas funcionalidades del protocolo DNS es la usada por el moacutedulo de DNS de
Zentyal
Configuracioacuten de un servidor DNS cacheacute con Zentyal
El moacutedulo de servidor de DNS de Zentyal siempre funciona como servidor
DNS cacheacute para las redes marcadas como internas en Zentyal asiacute que si
solamente queremos que nuestro servidor realice cacheacute de las consultas DNS
bastaraacute con habilitar el moacutedulo
En ocasiones puede que este servidor DNS cacheacute tenga que ser consultado
desde redes internas no configuradas directamente en Zentyal Aunque este caso
es bastante excepcional puede darse en redes con rutas hacia segmentos
internos o redes VPN
Zentyal permite configurar el servidor DNS para que acepte consultas de estas
subredes a traveacutes de un fichero de configuracioacuten Podremos antildeadir estas redes en
el ficheroetczentyaldnsconf mediante la opcioacuten intnets=
7 httpwwwiscorgsoftwarebind
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Internal networks allowed to do recursive queries
to Zentyal DNS caching server Localnetworks are already
allowed and this settings is intended to allow networks
reachable through static routes
Example intnets = 1921689902419216898024 intnets =
Tras reiniciar el moacutedulo DNS se aplicaraacuten los cambios
El servidor DNS cacheacute de Zentyal consultaraacute directamente a los servidores DNS
raiacutez a queacute servidor autoritario tiene que preguntar la resolucioacuten de cada peticioacuten
DNS y las almacenaraacute localmente durante el periacuteodo de tiempo que marque el
campo TTL Mediante esta funcionalidad reduciremos el tiempo necesario para
iniciar cada conexioacuten de red aumentando la sensacioacuten de velocidad de los
usuarios y reduciendo el consumo real de traacutefico hacia Internet
El dominio de buacutesqueda es baacutesicamente una cadena que se antildeadiraacute a la
buacutesqueda en caso de que sea imposible resolver con la cadena de texto que el
usuario ha pedido El dominio de buacutesqueda se configura en los clientes pero se
puede servir automaacuteticamente por DHCP de tal manera que cuando nuestros
clientes reciban la configuracioacuten inicial de red podraacuten adquirir tambieacuten este dato
Por ejemplo nuestro dominio de buacutesqueda podriacutea ser foocorpcom el usuario
intentariacutea acceder a la maacutequina example al no estar presente en sus maacutequinas
conocidas la resolucioacuten de este nombre fallariacutea por lo que su sistema operativo
probariacutea automaacuteticamente conexamplefoocorpcom resultando en una resolucioacuten
de nombre con eacutexito en este segundo caso
En Red Herramientas disponemos de la herramienta de Resolucioacuten de Nombres
de Dominio que mediante dig nos muestra los detalles de una consulta DNS al
servidor que tengamos configurado en Red DNS
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Resolucioacuten de un nombre de dominio usando el DNS cacheacute local
El proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracioacuten de los clientes Cuando esta opcioacuten estaacute activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargaraacute de responder Los clientes deberaacuten usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas Para habilitar esta opcioacuten es necesario tener activado el moacutedulo de cortafuegos
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Proxy DNS transparente
Redirectores DNS
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviaraacute las consultas Nuestro servidor buscaraacute en primer lugar en su cache local compuesta de los dominios registrados en la maacutequina y anteriores consultas cachedas en caso de no tener respuesta registrada acudiraacute a los redirectores Por ejemplo la primera vez que consultemoswwwgooglecom suponiendo que no tenemos el dominio googlecom registrado en nuestro servidor el servidor de DNS de Zentyal consultaraacute a los redirectores y almacenaraacute la respuesta en el cache
Redirector DNS
En caso de no tener ninguacuten redirector configurado el servidor DNS de Zentyal usaraacute los servidores raiacutez DNS8 para resolver consultas no almacenadas
8 httpeswikipediaorgwikiServidor_RaC3ADzDirecciones_de_los_servidores_raC3ADz
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Cortafuegos o FirewallZentyal utiliza para su moacutedulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter9 que proporciona funcionalidades de filtrado marcado de traacutefico
y de redireccioacuten de conexiones
Configuracioacuten de cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la maacutexima
seguridad posible en su configuracioacuten predeterminada intentando a la vez
minimizar los esfuerzos a realizar tras antildeadir un nuevo servicio
Cuando Zentyal actuacutea de cortafuegos normalmente se instala entre la red interna
y el router conectado a Internet La interfaz de red que conecta la maacutequina con
el router debe marcarse como Externo en Red -gt Interfaces para permitir al
cortafuegos establecer unas poliacuteticas de filtrado maacutes estrictas para las conexiones
procedentes de fuera
Interfaz externa
9httpwwwnetfilterorg
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
La poliacutetica por defecto para las interfaces externas es denegar todo intento de
nueva conexioacuten a Zentyal mientras que para las interfaces internas se deniegan
todos los intentos de conexioacuten a Zentyal excepto los que se realizan a servicios
definidos por los moacutedulos instalados Los moacutedulos antildeaden reglas al cortafuego
para permitir estas conexiones aunque siempre pueden ser modificadas
posteriormente por el administrador Una excepcioacuten a esta norma son las
conexiones al servidor LDAP que antildeaden la regla pero configurada para denegar
las conexiones por motivos de seguridad La configuracioacuten predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones
La definicioacuten de las poliacuteticas del cortafuegos se hace desde Cortafuegos Filtrado
de paquetes
Se pueden definir reglas en 5 diferentes secciones seguacuten el flujo de traacutefico sobre
el que seraacuten aplicadas
Traacutefico de redes internas a Zentyal (ejemplo permitir acceso al servidor de
ficheros desde la red local) Traacutefico entre redes internas y de redes internas a Internet (ejemplo
restringir el acceso a todo Internet a unas direcciones internas o restringir
las comunicaciones entre las subredes internas) Traacutefico de Zentyal a redes externas (ejemplo permitir descargar ficheros
por HTTP desde el propio servidor) Traacutefico de redes externas a Zentyal (ejemplo permitir que el servidor de
correo reciba mensajes de Internet) Traacutefico de redes externas a redes internas (ejemplo permitir acceso a un
servidor interno desde Internet)
Hay que tener en cuenta que los dos uacuteltimos tipos de reglas pueden crear un
compromiso en la seguridad de Zentyal y la red por lo que deben utilizarse con
sumo cuidado
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Esquema de los diferentes flujos de traacutefico en el cortafuego
Estudiando el esquema podemos determinar en queacute seccioacuten se encontrariacutea
cualquier tipo de traacutefico que deseemos controlar en nuestro cortafuegos Las
flechas soacutelo indican origen y destino como es natural todo el traacutefico debe
atravesar el cortafuegos de Zentyal para poder ser procesado Por ejemplo la
flecha Redes Internas que va de la LAN 2 hasta Internet representa que uno de
los equipos de la LAN es el origen y una maacutequina en Internet el destino pero la
conexioacuten seraacute procesada por Zentyal que es la puerta de enlace para esa
maacutequina
Zentyal provee una forma sencilla de definir las reglas que conforman la poliacutetica de
un cortafuegos La definicioacuten de estas reglas usa los conceptos de alto nivel
introducidos anteriormente los Servicios de red para especificar a queacute protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre queacute
direcciones IP de origen o de destino se aplican
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera
una Direccioacuten IP o un Objeto en el caso que queramos especificar maacutes de una
direccioacuten IP o direcciones MAC En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori seraacute siempre Zentyal
tanto el Destino en Traacutefico de redes internas a Zentyal y Traacutefico de redes externas
a Zentyal como el Origen en Traacutefico de Zentyal a redes externas
Ademaacutes cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos) Los servicios con puertos de origen
son uacutetiles para reglas de traacutefico saliente de servicios internos por ejemplo un
servidor HTTP interno mientras que los servicios con puertos de destino son uacutetiles
para reglas de traacutefico entrante a servicios internos o traacutefico saliente a servicios
externos Cabe destacar que hay una serie de servicios geneacutericos que son muy
uacutetiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
puertos Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente
El paraacutemetro de mayor relevancia seraacute la Decisioacuten a tomar con las conexiones
nuevas Zentyal permite tomar tres tipos distintos de decisiones
Aceptar la conexioacuten
Denegar la conexioacuten ignorando los paquetes entrantes y haciendo suponer
al origen que no se ha podido establecer la conexioacuten Registrar la conexioacuten como un evento y seguir evaluando el resto de reglas
De esta manera a traveacutes de Mantenimiento Registros -gt Consulta
registros -gt Cortafuegos podemos ver las conexiones que se estaacuten
produciendo
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo) una vez que una regla acepta una
conexioacuten no se sigue evaluando el resto Una regla geneacuterica al principio puede
hacer que otra regla maacutes especiacutefica posterior no sea evaluada Es por esto por lo
que el orden de las reglas en las tablas es muy importante Existe la opcioacuten de
aplicar un no loacutegico a la evaluacioacuten de miembros de una regla con Coincidencia
Inversa para la definicioacuten de poliacuteticas maacutes avanzadas
Creando una nueva regla en el firewall
Por ejemplo si queremos registrar las conexiones a un servicio primero
tendremos la regla que registra la conexioacuten y luego la regla que acepta la
conexioacuten Si estas dos reglas estaacuten en el orden inverso no se registraraacute nada ya
que la regla anterior ya acepta la conexioacuten Igualmente si queremos restringir la
salida a Internet primero expliacutecitamente denegaremos los sitios o los clientes y
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
luego permitiremos la salida al resto invertir el orden dariacutea acceso a todos los
sitios a todo el mundo
Por omisioacuten la decisioacuten es siempre denegar las conexiones y tendremos que
expliacutecitamente antildeadir reglas que las permitan Hay una serie de reglas que se
antildeaden automaacuteticamente durante la instalacioacuten para definir una primera versioacuten de
la poliacutetica del cortafuegos se permiten todas las conexiones salientes hacia las
redes externas Internet desde el servidor Zentyal (en Traacutefico de Zentyal a redes
externas) y tambieacuten se permiten todas las conexiones desde las redes internas
hacia las externas (en Traacutefico entre redes internas y de redes internas a Internet)
Ademaacutes cada moacutedulo instalado antildeade una serie de reglas en las secciones Traacutefico
de redes internas a Zentyal y Traacutefico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegaacutendola desde las
redes externas Esto ya se hace impliacutecitamente pero facilita la gestioacuten del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el paraacutemetro Decisioacuten y no es necesario crear una regla nueva
Destacar que estas reglas solamente son antildeadidas durante el proceso de
instalacioacuten de un moacutedulo por primera vez y no son modificadas automaacuteticamente
en el futuro
Finalmente existe un campo opcional Descripcioacuten para comentar el objetivo de la
regla dentro de la poliacutetica global del cortafuego
Sistema de Deteccioacuten de Intrusos (IDS)Zentyal integra Snort10 uno de los IDS maacutes populares compatible tanto con sistemas Windows como Linux
Configuracioacuten de un IDS con Zentyal
La configuracioacuten del Sistema de Deteccioacuten de Intrusos en Zentyal es muy sencilla Solamente necesitamos activar o desactivar una serie de elementos En primer lugar tendremos que especificar en queacute interfaces de red queremos habilitar la escucha del IDS Tras ello podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados con el objetivo de disparar alertas en caso de resultados positivos
10 httpwwwsnortorg
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
A ambas opciones de configuracioacuten se accede a traveacutes del menuacute IDS En esta seccioacuten en la pestantildea Interfaces apareceraacute una tabla con la lista de todas las interfaces de red que tengamos configuradas Todas ellas se encuentran inicialmente deshabilitadas debido al incremento en la latencia de red y consumo de CPU que genera la inspeccioacuten de traacutefico Sin embargo puedes habilitar cualquiera de ellas pinchando en la casilla de seleccioacuten
Configuracioacuten de interfaces de red para IDS
En la pestantildea Reglas tenemos una tabla en la que se encuentran pre-cargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema Por defecto se encuentra habilitado un conjunto tiacutepico de reglas
Podemos ahorrar tiempo de CPU desactivando aqueacutellas que no nos interesen por ejemplo las relativas a servicios que no existen en nuestra red Si tenemos recursos hardware de sobra podemos tambieacuten activar otras reglas adicionales que nos puedan interesar El procedimiento para activar o desactivar una regla es el mismo que para las interfaces
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Reglas de IDS
Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el moacutedulo IDS pero tendriacutea poca utilidad puesto que no nos avisariacutea cuando encontrara intrusiones y ataques a la seguridad de nuestra red Como vamos a ver gracias al sistema de registros y eventos de Zentyal podemos hacer que esta tarea sea maacutes sencilla y eficiente
El moacutedulo IDS se encuentra integrado con el moacutedulo de registros de Zentyal asiacute que si este uacuteltimo se encuentra habilitado podremos consultar las distintas alertas del IDS mediante el procedimiento habitual Asiacute mismo podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Servicio de comparticioacuten de ficheros y autentificacioacutenZentyal usa Samba para implementar SMBCIFS11 y gestionar el dominio Kerberos12 para los servicios de autenticacioacuten
Configuracioacuten de un servidor de ficheros con Zentyal
Los servicios de comparticioacuten de ficheros estaacuten activos cuando el moacutedulo de Comparticioacuten de ficheros estaacute activo sin importar si la funcioacuten de Controlador de Dominio estaacute configurada
Con Zentyal la comparticioacuten de ficheros estaacute integrada con los usuarios y grupos De tal manera que cada usuario tendraacute su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios
El directorio personal de cada usuario es compartido automaacuteticamente y soacutelo puede ser accedido por el correspondiente usuario
Para configurar los paraacutemetros generales del servicio de comparticioacuten de ficheros ir a Compartir Ficheros Configuracioacuten general
11 httpeswikipediaorgwikiSamba_(programa)12 httpeswikipediaorgwikiKerberos
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten general de la comparticioacuten de ficheros
Establecemos el dominio donde se trabajaraacute dentro de la red local en Windows y como nombre NetBIOS el nombre que identificaraacute al servidor Zentyal dentro de la red Windows Se le puede dar una descripcioacuten larga para el dominio
Para crear un directorio compartido se accede a Compartir Ficheros Directorios compartidos y se pulsa Antildeadir nuevo
Antildeadir un nuevo recurso compartido
HabilitadoLo dejaremos marcado si queremos que este directorio esteacute compartido Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracioacuten
Nombre del directorio compartidoEl nombre por el que seraacute conocido el directorio compartido
Ruta del directorio compartidoRuta del directorio a compartir Se puede crear un subdirectorio dentro del directorio de Zentyal homesambashares o usar directamente una ruta existente del sistema si se eligeRuta del sistema de ficheros
ComentarioUna descripcioacuten maacutes extensa del directorio compartido para facilitar la gestioacuten de los elementos compartidos
Acceso de invitado
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Marcar esta opcioacuten haraacute que este directorio compartido esteacute disponible sin autenticacioacuten Cualquier otra configuracioacuten de acceso o de permisos seraacute ignorada
Lista de directorios compartidos
Desde la lista de directorios compartidos podemos editar el control de acceso Alliacute pulsando en Antildeadir nuevo podemos asignar permisos de lectura lectura y escritura o administracioacuten a un usuario o a un grupo Si un usuario es administrador de un directorio compartido podraacute leer escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio
Antildeadiendo una nueva ACL (Access Control List o lista de control de acceso)
Tambieacuten se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos Todos los miembros del grupo tendraacuten acceso podraacuten escribir sus propios ficheros y leer todos los ficheros en el directorio
Creando un directorio compartido para un grupo
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje Si no se desea activar la papelera para todos los recursos compartidos se pueden antildeadir excepciones en la seccioacuten Recursos excluidos de la Papelera de Reciclaje Tambieacuten se pueden modificar algunos otros valores por defecto para esta caracteriacutestica como por ejemplo el nombre del directorio editando el fichero etczentyalsambaconf
Papelera de reciclaje
En Compartir ficheros Antivirus existe tambieacuten una casilla para habilitar o deshabilitar la buacutesqueda de virus en los recursos compartidos y la posibilidad de antildeadir excepciones para aquellos en los que no se desee buscar Noacutetese que para acceder a la configuracioacuten del antivirus el moacutedulo antivirus de Zentyal debe estar instalado y habilitado
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Antivirus en carpetas compartidas
Configurador de un controlador de dominio con Zentyal
Zentyal puede actuar como controlador de dominio ya sea como controlador original o como controlador adicional de un dominio Active Directory existente
Servidor de autenticacioacuten
Si la opcioacuten Perfiles Moacuteviles estaacute activada el servidor no soacutelo realizaraacute la autenticacioacuten sino que tambieacuten almacenaraacute los perfiles de cada usuario Estos perfiles contienen toda la informacioacuten del usuario como sus preferencias de
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Windows sus cuentas de correo de Outlook o sus documentos Cuando un usuario inicie sesioacuten recibiraacute su perfil del controlador de dominio De esta manera el usuario podraacute disponer de su entorno de trabajo en cualquier puesto Hay que tener en cuenta antes de activar esta opcioacuten que la informacioacuten de los usuarios puede ocupar varios gygabytes Tambieacuten se puede configurar la letra del disco al que se conectaraacute el directorio personal del usuario tras autenticar contra el servidor de autenticacioacuten
En caso que deseemos configurar nuestro servidor como controlador adicional de un dominio Active Directory ya creado tendremos que configurar esta opcioacuten en la interfaz junto con otros campos
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Zentyal como controlador adicional de dominio
Nombre FQDN del controlador al que nos vamos a unir direccioacuten IP del servidor DNS que gestiona el dominio nombre de usuario y contrasentildea del administrador del dominio
Servicio de publicacioacuten de paacuteginas web (HTTP)El servidor HTTP Apache13 es el maacutes usado en Internet alojando maacutes del 60 de las paacuteginas Zentyal usa Apache para el moacutedulo de servidor HTTP y para su interfaz de administracioacuten
13 httphttpdapacheorg
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten de un servidor HTTP con ZentyalA traveacutes del menuacute Servidor web podemos acceder a la configuracioacuten del servidor HTTP
Configuracioacuten del moacutedulo Servidor web
En la Configuracioacuten General podemos modificar los siguientes paraacutemetros
Puerto de escuchaPuerto HTTP por defecto es el 80 el puerto por defecto del protocolo HTTP
Puerto de escucha SSLPuerto HTTPS por defecto es el 443 el puerto por defecto del protocolo HTTPS Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracioacuten de Zentyal a un puerto distinto si queremos usar el 443 aquiacute
Habilitar el public_html por usuario
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Con esta opcioacuten si los usuarios tienen un subdirectorio llamado public_html en su directorio personal seraacute accesible a traveacutes de la URL httpltzentyalgt~ltusuariogt
En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada paacutegina web Cuando se define un nuevo dominio con esta opcioacuten si el moacutedulo DNS estaacute instalado se intenta crear ese dominio y si estaacute ya creado se antildeade el subdominio en caso de que eacuteste tampoco exista Este dominio o subdominio se crea apuntando a la direccioacuten de la primera interfaz interna configurada con direccioacuten estaacutetica aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades
Ademaacutes de poder activar o desactivar cada dominio en el servidor HTTP si hemos configurado SSL anteriormente podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS
El Document Root o directorio raiacutez para cada una de estas paacuteginas estaacute en el directorio srvwwwltdominiogt Ademaacutes existe la posibilidad de aplicar cualquier configuracioacuten de Apache personalizada para cada Virtual host mediante ficheros en el directorio etcapache2sites-availableuser-ebox-ltdominiogt
Copias de seguridadZentyal ofrece un servicio de backups de configuracioacuten vital para asegurar la recuperacioacuten de un servidor ante un desastre debido por ejemplo a un fallo del disco duro del sistema o a un error humano en un cambio de configuracioacuten
Backup de la configuracioacuten de Zentyal
Los backups se pueden hacer en local guardaacutendolos en el disco duro de la propia maacutequina Zentyal Tras ello se recomienda copiarlos en alguacuten soporte fiacutesico externo ya que si la maacutequina sufriera un fallo grave podriacuteamos perder tambieacuten el backup de la configuracioacuten
Tambieacuten es posible realizar estos backups de forma automaacutetica ya que estaacuten incluidos en las ediciones comerciales que provee Zentyal Tanto la edicioacuten Small Business como la edicioacuten Enterprise incluyen siete backups de configuracioacuten remotos y el servicio completo de recuperacioacuten de desastres en la nube Asiacute mismo al registrar el servidor Zentyal de forma gratuita los usuarios pueden realizar un backup remoto de los datos de configuracioacuten de su servidor Con
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
cualquiera de las tres opciones en caso de que por fallo de sistema o humano se perdiera la configuracioacuten del servidor eacutesta siempre se podriacutea recuperar raacutepidamente desde los repositorios en la nube de Zentyal
Para acceder a las opciones de la copia de seguridad de configuracioacuten iremos a Sistema ImportarExportar configuracioacuten No se permite realizar copias de seguridad si existen cambios en la configuracioacuten sin guardar
Realizar una copia de seguridad
Una vez introducido un nombre para la copia de seguridad apareceraacute una pantalla donde se mostraraacute el progreso de los distintos moacutedulos hasta que finalice con el mensaje de Backup exitoso
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Posteriormente si volvemos a acceder a la pantalla anterior veremos que en la parte inferior de la paacutegina aparece una Lista de backups A traveacutes de esta lista podemos restaurar descargar a nuestro disco o borrar cualquiera de las copias guardadas Asiacute mismo aparecen como datos informativos la fecha de realizacioacuten de la misma y el tamantildeo que ocupa
En la seccioacuten Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado por ejemplo perteneciente a una instalacioacuten anterior de un servidor Zentyal en otra maacutequina y restaurarlo mediante Restaurar Al restaurar se nos pediraacute confirmacioacuten hay que tener cuidado porque la configuracioacuten actual seraacute reemplazada por completo El proceso de restauracioacuten es similar al de copia despueacutes de mostrar el progreso se nos notificaraacute el eacutexito de la operacioacuten si no se ha producido ninguacuten error
Configuracioacuten de las copias de seguridad de datos en un servidor Zentyal
Podemos acceder a las copias de seguridad de datos a traveacutes del menuacute Sistema Copia de seguridad
En primer lugar debemos decidir si almacenamos nuestras copias de seguridad local o remotamente En este uacuteltimo caso necesitaremos especificar queacute protocolo se usa para conectarse al servidor remoto
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Configuracioacuten de las copias de seguridad
MeacutetodoLos distintos meacutetodos que son soportados actualmente son FTP Rsync SCP y Sistema de ficheros Debemos tener en cuenta que dependiendo del meacutetodo que se seleccione deberemos proporcionar maacutes o menos informacioacuten Todos los meacutetodos salvo Sistema de ficheros acceden a servicios remotos Si se selecciona FTP Rsync o SCP tendremos que introducir la direccioacuten del servidor remoto y la autenticacioacuten asociada
Ordenador o destinoPara FTP y SCP tenemos que proporcionar el nombre del servidor remoto o su direccioacuten IP con el siguiente formato otroservidorpuertodirectorio_existente En caso de usar Sistema de ficheros introduciremos la ruta de un directorio local
UsuarioNombre de usuario para autenticarse en la maacutequina remota
ClaveContrasentildea para autenticarse en la maacutequina remota
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
CifradoSe pueden cifrar los datos de la copia de seguridad usando una clave simeacutetrica que se introduce en el formulario
Frecuencia de copia de seguridad completa
Este paraacutemetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo Los valores son Soacutelo la primera vez Diario Semanal Dos veces al mes y Mensual Si seleccionas Semanal Dos veces al mes o Mensual apareceraacute una segunda seleccioacuten para poder decidir el diacutea exacto de la semana o del mes en el que se realizaraacute la copia
Si se selecciona Soacutelo la primera vez entonces hay que establecer una frecuencia para el backup incremental
Frecuencia de backup incremental
Este valor selecciona la frecuencia de la copia incremental o la deshabilita
Si la copia incremental estaacute activa podemos seleccionar una frecuencia Diaria o Semanal En el uacuteltimo caso se debe decidir el diacutea de la semana Sin embargo hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa
Los diacuteas en los que se realice una copia completa no se realizaraacute cualquier copia incremental programada
El proceso de respaldo comienza a lasEste campo es usado para indicar cuaacutendo comienza el proceso de la toma de la copia de respaldo tanto el completo como el incremental Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida
Guardar copias completas anteriores
Este valor se usa para limitar el nuacutemero de copias totales que estaacuten almacenadas Puedes elegir limitar por nuacutemero o por antiguumledad
Si limitas por nuacutemero solo el nuacutemero indicado de copias sin contar la uacuteltima copia completa seraacute guardado En el caso de limitar por antiguumledad soacutelo se guardaraacuten las copias completas que sean maacutes recientes que el periacuteodo indicado
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Cuando una copia completa se borra todas las copias incrementales realizadas a partir de ella tambieacuten son borradas
Configuracioacuten de los directorios y ficheros que son respaldados
Desde la pestantildea Inclusiones y Exclusiones podemos determinar exactamente queacute datos deseamos respaldar
La configuracioacuten por defecto efectuaraacute una copia de todo el sistema de ficheros excepto los ficheros o directorios expliacutecitamente excluidos En el caso de que usemos el meacutetodo Sistema de ficheros el directorio objetivo y todo su contenido seraacute automaacuteticamente excluido
Puedes establecer exclusiones de rutas y exclusiones por expresioacuten regular Las exclusiones por expresioacuten regular excluiraacuten cualquier ruta que coincida con ella Cualquier directorio excluido excluiraacute tambieacuten todo su contenido
Para refinar aun maacutes el contenido de la copia de seguridad tambieacuten puedes definir inclusiones cuando un ruta coincide con una inclusioacuten antes de coincidir con alguna exclusioacuten seraacute incluida en el backup
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas
La lista por defecto de directorios excluidos es mnt dev media sys tmp varcache yproc Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podriacutea fallar
Una copia completa de un servidor Zentyal con todos sus moacutedulos pero sin datos de usuario ocupa unos 300 MB
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Lista de inclusioacuten y exclusioacuten
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la seccioacuten Estado de las copias remotas En esta tabla podemos ver el tipo de copia completa o incremental y la fecha de cuando fue tomada
Restaurar ficheros
Hay dos formas de restaurar un fichero Dependiendo del tamantildeo del fichero o del directorio que deseemos restaurar
Es posible restaurar ficheros directamente desde el panel de control de Zentyal En la seccioacuten Sistema Copia de seguridad Restaurar ficheros tenemos acceso
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
a la lista de todos los ficheros y directorios que contiene la copia remota asiacute como las fechas de las distintas versiones que podemos restaurar
Si la ruta a restaurar es un directorio todos sus contenidos se restauraraacuten incluyendo subdirectorios
El archivo se restaura con sus contenidos en la fecha seleccionada si el archivo no estaacute presente en la copia de respaldo en esa fecha se restauraraacute la primera versioacuten que se encuentre en las copias anteriores a la indicada si no existen versiones anteriores se notificaraacute con un mensaje de error
Podemos usar este meacutetodo con ficheros pequentildeos Con ficheros grandes el proceso es costoso en tiempo y no se podraacute usar el interfaz Web de Zentyal mientras la operacioacuten estaacute en curso Debemos ser especialmente cautos con el tipo de fichero que restauramos Normalmente seraacute seguro restaurar ficheros de datos que no esteacuten siendo abiertos por aplicaciones en ese momento Estos archivos de datos estaacuten localizados bajo el directorio homesamba Sin embargo restaurar ficheros del sistema de directorios como lib var o usr mientras el sistema estaacute en funcionamiento puede ser muy peligroso No hagas eacutesto a no ser que sepas muy bien lo que estaacutes haciendo
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
Restaurar un fichero
Restaurando servicios
Ademaacutes de los archivos se almacenan datos para facilitar la restauracioacuten directa de algunos servicios Estos datos son
copia de seguridad de la configuracioacuten de Zentyal copia de seguridad de la base de datos de registros de Zentyal
En la pestantildea Restauracioacuten de servicios ambos pueden ser restaurados para una fecha dada
La copia de seguridad de la configuracioacuten de Zentyal guarda la configuracioacuten de todos los moacutedulos que hayan sido habilitados por primera vez en alguacuten momento
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios
los datos del LDAP y cualquier otro fichero adicional para el funcionamiento de cada moacutedulo
Debes tener cuidado al restaurar la configuracioacuten de Zentyal ya que toda la configuracioacuten y los datos de LDAP seraacuten remplazados Sin embargo en el caso de la configuracioacuten no almacenada en LDAP deberaacutes pulsar en ldquoGuardar cambiosrdquo para que entre en vigor
Restaurar servicios