Ebox For Network Administrators

eBox 1.
4 para Administradores de Redes

R EVISIÓN 1.4
E B OX P LATFORM - F ORMACIÓN
http://www.ebox-technologies.com/
G UÍA DEL ESTUDIANTE

eBox 1.4 para Administradores de Redes
Este Documento se distribuye bajo licencia Creative Commons Reconocimiento-Compartir bajo

la misma licencia 2.5 ( http://creativecommons.org/licenses/by-sa/2.5/
es/ )
En este documento se han empleado imágenes de “Tango Desktop Project” distribuídas bajo
Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5.
http://tango.freedesktop.org/
Contents
1 eBox Platform: servidor Linux para PYMEs 1

1.1 Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.2.1 El instalador de eBox Platform . . . . . . . . . . . . . . . . . . . . . . . 6
1.3 La interfaz web de administración . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3.1 Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3.2 Aplicando los cambios en la configuración . . . . . . . . . . . . . . . . . 19
1.3.3 Configuración del estado de los módulos . . . . . . . . . . . . . . . . . . 20
1.4 ¿Cómo funciona eBox Platform? . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.5 Emplazamiento en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.5.1 Configuración de la red local . . . . . . . . . . . . . . . . . . . . . . . . 22
1.5.2 Configuración de red con eBox Platform . . . . . . . . . . . . . . . . . . 23
1.5.3 Diagnóstico de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2 eBox Infrastructure 33
2.1 Servicio de configuración de red (DHCP) . . . . . . . . . . . . . . . . . . . . . . 33
2.1.1 Configuración de un servidor DHCP con eBox . . . . . . . . . . . . . . . . 34
2.2 Servicio de resolución de nombres (DNS) . . . . . . . . . . . . . . . . . . . . . . 40
2.2.1 Configuración de un servidor caché DNS con eBox . . . . . . . . . . . . . 40
2.2.2 Configuración de un servidor DNS con eBox . . . . . . . . . . . . . . . . 41
2.3 Servicio de publicación de información web (HTTP) . . . . . . . . . . . . . . . . . 46
2.3.1 Hyper Text Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . 46
2.3.2 El servidor HTTP Apache . . . . . . . . . . . . . . . . . . . . . . . . . . 49
2.3.3 Dominios virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
2.3.4 Configuración de un servidor HTTP con eBox . . . . . . . . . . . . . . . . 50
2.4 Servicio de sincronización de hora (NTP) . . . . . . . . . . . . . . . . . . . . . . 52
2.4.1 Configuración de un servidor NTP con eBox . . . . . . . . . . . . . . . . 52
3 eBox Gateway 55
i
3.1 Abstracciones de red a alto nivel de eBox . . . . . . . . . . . . . . . . . . . . . . 55
3.1.1 Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.1.2 Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.2 Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
3.2.1 El cortafuegos en GNU/Linux: Netfilter . . . . . . . . . . . . . . . . . . . 60
3.2.2 Modelo de seguridad de eBox . . . . . . . . . . . . . . . . . . . . . . . 61
3.3 Encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
3.3.1 Tablas de encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . 66
3.3.2 Reglas multirouter y balanceo de carga . . . . . . . . . . . . . . . . . . . 71
3.3.3 Tolerancia a fallos (WAN Failover) . . . . . . . . . . . . . . . . . . . . . . 73
3.4 Moldeado de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
3.4.1 Calidad de servicio (QoS) . . . . . . . . . . . . . . . . . . . . . . . . . 75
3.4.2 Configuración de la calidad de servicio en eBox . . . . . . . . . . . . . . . 76
3.5 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
3.5.1 Configuración del servidor RADIUS con eBox . . . . . . . . . . . . . . . . 79
3.5.2 Configuración del Punto de Acceso . . . . . . . . . . . . . . . . . . . . . 80
3.6 Servicio Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
3.6.1 Configuración de política de acceso . . . . . . . . . . . . . . . . . . . . . 82
3.6.2 Conexión al proxy y modo transparente . . . . . . . . . . . . . . . . . . . 84
3.6.3 Control de parámetros de la caché . . . . . . . . . . . . . . . . . . . . . 85
3.6.4 Filtrado de contenidos web . . . . . . . . . . . . . . . . . . . . . . . . . 85
4 eBox Office 91
4.1 Servicio de directorio (LDAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4.1.1 Usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.2 Servicio de compartición de ficheros y de autenticación . . . . . . . . . . . . . . . 100
4.2.1 Compartición de ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . 100
4.2.2 SMB/CIFS y su implementación Linux Samba . . . . . . . . . . . . . . . . 100
4.2.3 Primary Domain Controller (PDC) . . . . . . . . . . . . . . . . . . . . . . 101
4.2.4 eBox como servidor de ficheros . . . . . . . . . . . . . . . . . . . . . . . 101
4.2.5 Configuración de clientes SMB/CIFS . . . . . . . . . . . . . . . . . . . . 104
4.2.6 eBox como un servidor de autenticación . . . . . . . . . . . . . . . . . . 107
4.2.7 Configuración de clientes PDC . . . . . . . . . . . . . . . . . . . . . . . 109
4.3 Servicio de compartición de impresoras . . . . . . . . . . . . . . . . . . . . . . . 110
4.4 Servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
4.4.1 Configuración de servicio de groupware con eBox . . . . . . . . . . . . . . 115
5 eBox Unified Communications 121

5.1 Servicio de correo electrónico (SMTP/POP3-IMAP4) . . . . . . . . . . . . . . . . 121
ii
5.1.1 Cómo funciona el correo electrónico en Internet . . . . . . . . . . . . . . . 122
5.1.2 Configuración de un servidor SMTP/POP3-IMAP4 con eBox . . . . . . . . . 124
5.1.3 Recibiendo y retransmitiendo correo . . . . . . . . . . . . . . . . . . . . 124
5.1.4 Parámetros SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
5.1.5 Parámetros POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
5.1.6 Parámetros IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
5.1.7 Parámetros para ManageSieve . . . . . . . . . . . . . . . . . . . . . . . 133
5.2 Servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
5.2.1 Configurando el correo web en eBox . . . . . . . . . . . . . . . . . . . . 136
5.3 Servicio de mensajería instantánea (Jabber/XMPP) . . . . . . . . . . . . . . . . . 137
5.3.1 Configuración de un servidor Jabber/XMPP con eBox . . . . . . . . . . . . 138
5.3.2 Configuración de un cliente Jabber . . . . . . . . . . . . . . . . . . . . . 139
5.3.3 Configurando salas de conferencia Jabber . . . . . . . . . . . . . . . . . 145
5.3.4 Ejemplo práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
5.4 Servicio de Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
5.4.1 Protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
5.4.2 Códecs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
5.4.3 Despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
5.4.4 Configuración de un servidor Asterisk con eBox . . . . . . . . . . . . . . . 155
5.4.5 Configurando un softphone para conectar a eBox . . . . . . . . . . . . . . 159
5.4.6 Usando las funcionalidades de eBox Voz IP . . . . . . . . . . . . . . . . . 162
6 eBox Unified Threat Manager 165

6.1 Filtrado de correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
6.1.1 Esquema del filtrado de correo de eBox . . . . . . . . . . . . . . . . . . . 166
6.1.2 Listas de control de conexiones externas . . . . . . . . . . . . . . . . . . 175
6.1.3 Proxy transparente para buzones de correo POP3 . . . . . . . . . . . . . . 176
6.2 Configuración Avanzada para el proxy HTTP . . . . . . . . . . . . . . . . . . . . 178
6.2.1 Configuración de perfiles de filtrado . . . . . . . . . . . . . . . . . . . . . 178
6.2.2 Perfil de filtrado por objeto . . . . . . . . . . . . . . . . . . . . . . . . . 178
6.2.3 Filtrado basado en grupos de usuarios . . . . . . . . . . . . . . . . . . . 179
6.2.4 Filtrado basado en grupos de usuarios para objetos . . . . . . . . . . . . . 180
6.3 Interconexión segura entre redes locales . . . . . . . . . . . . . . . . . . . . . . 182
6.3.1 Redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . 182
6.3.2 Infraestructura de clave pública (PKI) con una autoridad de certificación (CA) 183
6.3.3 Configuración de una Autoridad de Certificación con eBox . . . . . . . . . . 184
6.3.4 Configuración de una VPN con eBox . . . . . . . . . . . . . . . . . . . . 189
6.4 Sistema de Detección de Intrusos (IDS) . . . . . . . . . . . . . . . . . . . . . . 199
iii
6.4.1 Configuración de un IDS con eBox . . . . . . . . . . . . . . . . . . . . . 199
6.4.2 Alertas del IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
7 eBox Core 203

7.1 Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
7.1.1 Configuración de registros . . . . . . . . . . . . . . . . . . . . . . . . . 205
7.2 Monitorización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
7.2.1 Métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
7.2.2 Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
7.3 Incidencias (eventos y alertas) . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
7.3.1 Ejemplo práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
7.4 Copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
7.4.1 Diseño de un sistema de copias de seguridad . . . . . . . . . . . . . . . . 219
7.4.2 Configuración de las copias de seguridad con eBox . . . . . . . . . . . . . 220
7.4.3 Como recuperarse de un desastre . . . . . . . . . . . . . . . . . . . . . 226
7.4.4 Copias de seguridad de la configuración . . . . . . . . . . . . . . . . . . 229
7.5 Actualización de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
7.5.1 Gestión de componentes de eBox . . . . . . . . . . . . . . . . . . . . . 231
7.5.2 Actualizaciones del sistema . . . . . . . . . . . . . . . . . . . . . . . . 232
7.5.3 Actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . . . . 234
7.6 Cliente del Centro de Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
7.6.1 Subscribir eBox al Centro de Control . . . . . . . . . . . . . . . . . . . . 234
7.6.2 Copia de seguridad de la configuración al Centro de Control . . . . . . . . . 236
iv
Chapter 1
eBox Platform: servidor Linux para PYMEs
1.1 Presentación
Aunque las PYMEs constituyen la inmensa mayoría del tejido empresarial mundial, sorprendente-
mente suelen carecer de soluciones tecnológicas que se ajusten a sus necesidades o recursos (hu-
manos, monetarios o técnicos) disponibles. En el mercado de los servidores, esto ha significado que
hasta ahora las PYMEs han dispuesto de pocas opciones donde elegir, consistentes por lo general en
soluciones sobredimensionadas a sus necesidades reales y con elevados costes de licencia, sin que
tampoco tuvieran alternativas de gestión de redes que integrasen todos los componentes necesarios
y que fueran sencillas de administrar.
Aparentemente es una buena oportunidad para que el software libre entre en el mercado con
una solución potente, escalable, flexible y de bajo coste que pueda ser soportada por una multitud
de proveedores externos potenciales. De hecho, Linux parece ser una opción perfecta como servidor
para PYMEs, gestionando la totalidad de la infraestructura de red y comunicaciones de organizaciones
pequeñas. Sin emabrgo, el uso de Linux como servidor de PYME es ínfimo, siendo Microsoft el
principal actor del mercado con Windows Small Business Server. ¿Por qué?
Linux, combinado con otras herramientas de software libre para la gestión de redes (Samba,
Postfix, Squid, Snort, eGroupware, Spamassasin, ClamAV, etc) tiene un potencial disruptivo enorme
en el mercado de servidores para PYMEs, puesto que aportan una gran ventaja en precio (de hecho,
son gratis). Además, de igual manera que otras tecnologías disruptivas, empezaron ofreciendo un
nivel de funcionalidad menor que sus alternativas en software propietario. Pero han evolucionado y
las han alcanzado o incluso superado en muchos mercados (cerca del 90% de los supercomputadores
1
del mundo funcionan con Linux, lo que es un buen indicador del nivel de calidad que ha alcanzado
esta tecnología).
Sin embargo, a pesar de estas condiciones, las soluciones de software libre tienen una presencia
muy reducida como servidores de PYMEs. La razón es sencilla: para que una solución de servidor
sea adoptada en una PYME necesita que todos sus componentes estén estrechamente integrados y
que sea fácil de administrar. Las PYMEs no disponen de los recursos ni del tiempo para desplegar
soluciones complejas de altas prestaciones, por lo que productos bien integrados como el SBS de
Microsoft cubren bien las necesidades tecnológicas de las PYMEs.
Es aquí donde una solución como eBox Platform (<http://ebox-platform.com/>) encuentra su en-
caje en el mercado. eBox Platform es un servidor Linux para PYMEs, la alternativa en software
libre a Windows Small Business Server. Basado en Ubuntu, eBox Platform permite a profesionales
TIC y a proveedores de servicios gestionados administrar todos los servicios de una red informática,
tales como el acceso a Internet, la seguridad y la infraestructura de la red, los recursos compar-
tidos o las comunicaciones, a través de una única plataforma. Todas estas funcionalidades están
estrechamente integradas, automatizando la mayoría de las tareas y ahorrando tiempo en la admin-
istración de sistemas. Estas características pueden desplegarse en distintas máquinas o en un único
servidor, eligiendo para cada caso la combinación funcional y de hardware más conveniente.
Todas estas características son de gran importancia para los departamentos TIC de PYMEs y
proveedores de servicio técnico, ya que tienen que hacerse cargo de un cada vez mayor tráfico de
redes y crecientes demandas de fiabilidad, seguridad y servicios adicionales con recursos mínimos.
En este panorama, eBox Platform aumenta significativamente la capacidad de estos recursos, permi-
tiendo disminuir la curva de aprendizaje de los nuevos administradores de sistemas, ahorrar tiempo de
los profesionales experimentados, eliminar riesgos de cometer errores de configuración y aumentar la
seguridad de los sistemas automatizando la mayoría de las tareas.
Además, eBox Platform es un software de código abierto, el cual se puede descargar libremente
de Internet. Actualmente, existen decenas de miles de implantaciones en todo el mundo, superando
las 12.000 descargas mensuales y con una comunidad de unos 2.500 colaboradores activos. Igual-
mente, eBox Platform es parte integral de la distribución Ubuntu desde hace tres años, lo que ayuda
a aumentar su difusión y credibilidad como producto tecnológico. Su uso está extendido a prácti-
camente todos los países del globo, siendo Estados Unidos, Alemania, España, Italia y Brasil los
países que cuentan con más instalaciones. eBox Platform se usa principalmente en PYMEs, pero
también en otros entornos como centros educativos, administraciones públicas, hospitales o incluso
en instituciones de alto prestigio como la propia NASA.
Los diversos despliegues de eBox Platform pueden ser gestionados desde un punto central, lla-
mado eBox Control Center, un producto alojado en la nube que permite la administración y moni-
torización centralizada, segura y a tiempo real de múltiples redes eBox. Además, posibilita la progra-
2
CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES
mación de tareas para grupos de redes, la aplicación masiva de actualizaciones de seguridad o la

realización de informes de actividad periódicos. Adicionalmente, a través de eBox Control Center se
ofrecen una serie de servicios de subscripción complementarios, como pueden ser backup remoto y
seguro de datos para la recuperación rápida de desastres o la contratación de crédito VoIP para la
realización de llamadas a bajo coste a cualquier teléfono del mundo a través de eBox como centralita
telefónica.
eBox Platform junto con eBox Control Center y los servicios remotos asociados constituyen una
solución muy atractiva tanto para las PYMEs como para proveedores de servicios gestionados (MSPs)
y revendedores de valor añadido (VARs) puesto que pueden obtener toda la tecnología y servicios
necesarios para gestionar de forma sencilla sus redes y las de sus clientes desde un único proveedor,
llegando a un nivel de integración que alcanza todos los aspectos que influyen en la gestión de redes.
eBox Technologies es la empresa detrás del desarrollo y comercialización de eBox Platform y sus
productos y servicios asociados, basando su modelo de negocio en la subscripción a eBox Control
Center y a los servicios remotos asociados, además de soporte técnico y formación certificada, tanto
de forma directa como a través de su red Global de Partners.
Este manual describe las principales características técnicas incluidas en la versión 1.4 de eBox
Platform, incluyendo los siguientes servicios:
• Gestión de redes:
– Cortafuegos y encaminador
* Filtrado de tráfico
* NAT y redirección de puertos
* Redes locales virtuales (VLAN 802.1Q)
* Soporte para múltiples puertas de enlace, balanceo de carga y auto-adaptación

ante la pérdida de conectividad.
* Moldeado de tráfico (soportando filtrado a nivel de aplicación)
* RADIUS
* Monitorización de tráfico
* Soporte de DNS dinámico

– Objetos y servicios de red de alto nivel
– Infraestructura de red
* Servidor DHCP
3
* Servidor DNS
* Servidor NTP
– Redes privadas virtuales (VPN)
* Auto-configuración dinámica de rutas

– Proxy HTTP
* Caché
* Autenticación de usuarios
* Filtrado de contenido (con listas categorizadas)
* Antivirus transparente
– Servidor de correo
* Filtro de Spam y Antivirus
* Filtro transparente de POP3
* Listas blancas, negras y grises
* Servicio de correo web

– Servidor web
* Dominios virtuales
– Sistema de Detección de Intrusos (IDS)
– Autoridad de Certificación
• Trabajo en grupo:
– Directorio compartido usando LDAP (Windows/Linux/Mac)
* Autenticación compartida (incluyendo PDC de Windows)

– Almacenamiento compartido actuando como NAS (almacenamiento pegado a la red)
– Impresoras compartidas
– Servidor de Groupware: calendarios, agendas, ...
– Servidor de VozIP
* Buzón de voz
4
* Conferencias
* Llamadas a través de proveedor externo

– Servidor de mensajería instantánea (Jabber/XMPP)
* Conferencias
– Rincón del usuario para que estos puedan modificar sus datos
• Informes y monitorización
– Dashboard para tener la información de los servicios centralizada
– Monitorización de disco, memoria, carga, temperatura y CPU de la máquina
– Estado del RAID por software e información del uso de disco duro
– Registros de los servicios de red en BBDD, permitiendo la realización de informes diarios,

semanales, mensuales y anuales
– Sistema de monitorización a través de eventos
* Notificación vía Jabber, correo y subscripción de noticias (RSS)

• Gestión de la máquina:
– Copia de seguridad de configuración y datos
– Actualizaciones
– Centro de control para administrar y monitorizar fácilmente varias máquinas eBox desde
un único punto 1
1.2 Instalación
eBox Platform está pensada para su instalación en una máquina (real o virtual) de forma, en principio,
exclusiva. Esto no impide que se puedan instalar otros servicios no gestionados a través de la interfaz
que deberán ser configurados manualmente.
2
Funciona sobre el sistema operativo GNU/Linux con la distribución Ubuntu Server Edition ver-
3
sión estable Long Term Support (LTS) . La instalación puede realizarse de dos maneras diferentes:
1
Para más información sobre este servicio ir a http://www.ebox-technologies.com/products/controlcenter/.
2
Ubuntu es una distribución de GNU/Linux desarrollada por Canonical y la comunidad orientada a ordenadores
portátiles, sobremesa y servidores <http://www.ubuntu.com/>.
3
Cuyo soporte es mayor que en una versión normal y para la versión para servidores llega a los 5 años.
5
• Usando el instalador de eBox Platform (opción recomendada).
• Instalando a partir de una instalación de Ubuntu Server Edition.
En el segundo caso es necesario añadir los repositorios oficiales de eBox Platform y proceder a
instalar eBox con aquellos paquetes que se deseen.
Sin embargo, en el primer caso se facilita la instalación y despliegue de eBox Platform ya que se
encuentran todas las dependencias en un sólo CD y además se realizan algunas preconfiguraciones
durante el proceso de instalación.
1.2.1 El instalador de eBox Platform
El instalador de eBox Platform está basado en el instalador de Ubuntu así que el proceso de insta-
lación resultará muy familiar a quien ya lo conozca.
Figure 1.1: Selección del idioma
Podemos instalar utilizando la opción por omisión que elimina todo el contenido del disco duro
y crea las particiones necesarias para eBox usando LVM y realizando menos preguntas. También
podemos seleccionar la opción expert mode que permite realizar un particionado personalizado. La
mayoría de los usuarios deberían elegir la opción por omisión a no ser que estén instalando en un
servidor con requisitos especiales, como por ejemplo RAID por software.
Tras instalar el sistema base y reiniciar, comenzará la instalación de eBox Platform. El primer
paso será crear un usuario en el sistema. Este usuario podrá entrar en el sistema y tendrá privilegios
de administrador mediante el comando sudo.
6
Figure 1.2: Pantalla de inicio del instalador
Figure 1.3: Usuario administrador
7
Después preguntará la contraseña para este usuario recién creado. Esta contraseña además se
usará para identificarse en la interfaz de eBox.
Figure 1.4: Contraseña administrativa
Se preguntará de nuevo la contraseña para confirmar que no ha habido ninguna equivación al

teclearla.
Figure 1.5: Confirmar contraseña administrativa
Ahora podremos seleccionar que funcionalidades queremos incluir en nuestro sistema. Existen
dos métodos para esta selección:
Simple: Se instalarán un conjunto de paquetes que agrupan una serie de funcionalidades según la
tarea que vaya a desempeñar el servidor.
Avanzado: Se seleccionarán los paquetes de manera individualizada. Si algún paquete tiene como
dependencia otro, posteriormente se seleccionará automáticamente.
8
Figure 1.6: Método de instalación de paquetes
Si la selección es simple, aparecerá la lista de perfiles disponibles. Como se puede observar en la

figura Perfiles de eBox a instalar dicha lista concuerda con los apartados siguientes de este manual.
Figure 1.7: Perfiles de eBox a instalar
eBox Gateway: eBox es la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y
controlado.
eBox Unified Threat Manager: eBox protege la red local contra ataques externos, intrusiones, ame-
nazas en la seguridad interna y posibilita la interconexión segura entre redes locales a través
de Internet u otra red externa.
eBox Infrastructure: eBox gestiona la infraestructura de la red local con los servicios básicos: DHCP,
DNS, NTP, servidor HTTP, etc.
eBox Office: eBox es el servidor de recursos compartidos de la red local: ficheros, impresoras, cal-
endarios, contactos, autenticación, perfiles de usuarios y grupos, etc.
9
eBox Unified Communications: eBox se convierte en el centro de comunicaciones de la empresa

incluyendo correo, mensajería instantánea y voz sobre IP.
Podemos seleccionar varios perfiles para hacer que eBox tenga, de forma simultánea, diferentes
roles en la red.
Sin embargo, si el método seleccionado es avanzado, entonces aparecerá la larga lista de módu-
los de eBox Platform y se podrán seleccionar individualmente aquellos que se necesiten.
Figure 1.8: Paquetes de eBox a instalar
Al terminar la selección, se instalarán también los paquetes adicionales necesarios. Además esta
selección no es definitiva, pudiendo posteriormente instalar y desinstalar paquetes según se necesite.
Una vez seleccionados los componentes a instalar, comenzará la instalación que irá informando
de su estado con una barra de progreso.
El instalador tratará de preconfigurar algunos parámetros importantes dentro de la configuración.

Primero tendremos que seleccionar el tipo de servidor para el modo de operación de Usuarios y Gru-
pos. Si sólo vamos a tener un servidor elegiremos Un sólo servidor. Si por el contrario estamos
desplegando una infraestructura maestro-esclavo o si queremos sincronizar los usuarios con un Mi-
crosoft Windows Active Directory, elegiremos Avanzado. Este paso aparecerá solamente si el módulo
usuarios y grupos está instalado.
También preguntará, si alguna de las interfaces de red es externa a la red local, es decir, si va a
ser utilizada para conectarse a Internet u otras redes externas. Se aplicarán políticas estrictas para
10
Figure 1.9: Instalando eBox Platform
Figure 1.10: Tipo de servidor
11
todo el tráfico entrante a través de interfaces de red externas. Este paso aparecerá solamente si el
módulo de red está instalado y el servidor tiene más de una interfaz de red.
Figure 1.11: Selección de la interfaz de red externa
Después, seguiremos con la configuración del correo, definiendo el principal dominio virtual. Este
paso solo presentará si hemos instalado el módulo de correo.
Una vez hayan sido respondidas estas preguntas, se realizará la preconfiguración de cada uno
de los módulos instalados preparados para su utilización desde la interfaz web.
Una vez terminado el proceso de instalación de eBox Platform, obtendremos un interfaz gráfico
con un navegador para autenticarnos en la interfaz web de administración de eBox utilizando la con-
traseña introducida en los primeros pasos del instalador.
1.3 La interfaz web de administración
Una vez instalado eBox Platform, la dirección para acceder a la interfaz web de administración, desde
cualquier máquina de la red interna, es:
https://direccion_de_red/ebox/
Donde direccion_de_red es la dirección IP o el nombre de la máquina donde está instalado eBox

que resuelve a esa dirección.
12
Figure 1.12: Configuración del servidor de correo
Figure 1.13: Preconfiguración de los paquetes
13
Figure 1.14: Interfaz web de administración de eBox
Warning: Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores
como Microsoft Internet Explorer pueden dar problemas.
La primera pantalla solicita la contraseña del administrador:
Tras autenticarse aparece la interfaz de administración que se encuentra dividida en tres partes
fundamentales:
Menú lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden configurar me-
diante eBox Platform, separados por categorías. Cuando se ha seleccionado algún servicio
en este menú puede aparecer un submenú para configurar cuestiones particulares de dicho
servicio.
Menú superior: Contiene las acciones para guardar los cambios realizados en el contenido y hac-
erlos efectivos, así como para el cierre de sesión.
14
Figure 1.15: Pantalla principal
Figure 1.16: Menú lateral izquierdo
15
Figure 1.17: Menú superior
Contenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios
o tablas con información acerca de la configuración del servicio seleccionado a través del
menú lateral izquierdo y sus submenús. En ocasiones, en la parte superior, aparecerá una
barra de pestañas en la que cada pestaña representará una subsección diferente dentro de la
sección a la que hemos accedido.
Figure 1.18: Formulario de configuración
1.3.1 Dashboard
El dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. En todo
momento se pueden reorganizar pulsando en los títulos y arrastrándolos.
Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir nuevos widgets.
Para añadir uno nuevo, se busca en el menú superior y se arrastra a la parte central.
Estado de los módulos
Hay un widget muy importante dentro del dashboard que muestra el estado de todos los módulos
instalados en eBox.
16
Figure 1.19: Dashboard
Figure 1.20: Configuración del dashboard
17
Figure 1.21: Widget de estado de los módulos
18
La imagen muestra el estado para un servicio y una acción que se puede ejecutar sobre él. Los
estados disponibles son los siguientes:
Ejecutándose: Los demonios del servicio se están ejecutando para aceptar conexiones de los
clientes. Se puede reiniciar el servicio usando Reiniciar.
Ejecutándose sin ser gestionado: Si no has configurado el servicio todavía, es posible encontrarlo
ejecutando con la configuración por defecto de la distribución. Por tanto, no es gestionado por
eBox hasta el momento.
Parado: Ha ocurrido algún problema ya que el servicio debería estar ejecutándose pero está parado
por alguna razón. Para descubrirla, se deberían comprobar los ficheros de registro para el
servicio o el fichero de registro de eBox mismo como describe la sección ¿Cómo funciona
eBox Platform?. Se puede intentar iniciar el servicio pinchando en Arrancar.
Deshabilitado: El servicio ha sido deshabilitado explícitamente por el administrador como se explica

en Configuración del estado de los módulos.
1.3.2 Aplicando los cambios en la configuración
Una particularidad importante del funcionamiento de eBox Platform es su forma de hacer efectivas las
configuraciones que hagamos en la interfaz. Para ello, primero se tendrán que aceptar los cambios en
el formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente
se tendrá que presionar Guardar Cambios del menú superior. Este botón cambiará a color rojo
para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se perderán todos
los cambios que se hayan realizado a lo largo de la sesión al finalizar ésta. Existen algunos casos
especiales en los que no es necesario guardar los cambios pero se avisa adecuadamente.
Figure 1.22: Guardar Cambios
Además de esto, se pueden revertir los cambios. Por tanto si has cambiado algo que no recuerdas
o no estás seguro de hacerlo, siempre puedes descartar los cambios de manera segura. Ten en
cuenta que si modificas la configuración de las interfaces de red o el puerto de administración, puedes
perder la conexión con eBox. Para recuperarla quizás debas reescribir la URL en el navegador.
19
1.3.3 Configuración del estado de los módulos
Como se ha discutido previamente, eBox se construye modularmente. El objetivo de la mayoría de

módulos es gestionar servicios de red que debes habilitar a través de Estado del módulo.
Figure 1.23: Configuración del estado de los módulos
Cada módulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el servicio
DHCP necesita que el módulo de red esté habilitado para que pueda ofrecer direcciones IP a través de
las interfaces de red configuradas. Por tanto, las dependencias se muestran en la columna Depende.
Habilitar un módulo por primera vez es conocido dentro de la jerga eBox como configurar un
módulo. Dicha configuración se realiza una vez por módulo. Seleccionando la columna Estado,
habilitas o deshabilitas el módulo. Si es la primera vez, se presenta un diálogo para completar una
serie de acciones y modificaciones a ficheros que implica la activación del módulo 4 . Tras ello, puedes
guardar los cambios para llevar a acabo las modificaciones.
4
Este proceso es obligatorio para cumplir la política de Debian/Ubuntu http://www.debian.org/doc/debian-policy/
20
Figure 1.24: Diálogo de confirmación para configurar un módulo
1.4 ¿Cómo funciona eBox Platform?
EBox Platform no es sólo una interfaz web que sirve para administrar los servicios de red más co-
munes 5 . Entre sus principales funciones destaca el dar cohesión y unicidad a un conjunto de servicios
de red que de lo contrario funcionarían de forma independiente.
Toda la configuración de cada uno de los servicios es escrita por eBox de manera automática.
Para ello utiliza un sistema de plantillas. Con esta automatización se evitan los posibles errores
cometidos de forma manual y ahorra a los administradores el tener que conocer los detalles de cada
uno de los formatos de los ficheros de configuración de cada servicio. Por tanto, no se deben editar
5
Para mostrar la magnitud del proyecto, podemos consultar el sitio independiente ohloh.net, donde se hace un análisis
extenso al código de eBox Platform en <http://www.ohloh.net/p/ebox/analyses/latest>.
21
los ficheros de configuración originales del sistema ya que se sobreescribirían al guardar cambios al
estar gestionados automáticamente por eBox.
Los informes de los eventos y posibles errores de eBox se almacenan en el directorio

/var/log/ebox/ y se distribuyen en los siguientes ficheros:
/var/log/ebox/ebox.log: Los errores relacionados con eBox Platform.
/var/log/ebox/error.log: Los errores relacionados con el servidor web de la interfaz.
/var/log/ebox/access.log: Los accesos al servidor web de la interfaz.
Si se quiere aumentar la información sobre algún error que se haya producido, se puede habilitar
el modo de depuración de errores a través de la opción debug en el fichero /etc/ebox/99ebox.conf. Tras
habilitar esta opción se deberá reiniciar el servidor web de la interfaz mediante sudo /etc/init.d/ebox
apache restart.
1.5 Emplazamiento en la red
1.5.1 Configuración de la red local
eBox Platform puede utilizarse de dos maneras fundamentales:
• Encaminador y filtro de la conexión a internet.
• Servidor de los distintos servicios de red.
Ambas funcionalidades pueden combinarse en una misma máquina o separarse en varias.
La figura Distintas ubicaciones en la red escenifica las distintas ubicaciones que puede tomar
el servidor con eBox Platform dentro de la red, tanto haciendo nexo de unión entre redes como un
servidor dentro de la propia red.
A lo largo de esta documentación se verá cómo configurar eBox Platform para desempeñar un
papel de puerta de enlace y encaminador. Y por supuesto también veremos la configuración en los
casos que actúe como un servidor más dentro de la red.
22
Figure 1.25: Distintas ubicaciones en la red
1.5.2 Configuración de red con eBox Platform
Si colocamos el servidor en el interior de una red, lo más probable es que se nos asigne una dirección
IP a través del protocolo DHCP. A través de Red → Interfaces se puede acceder a cada una de
las tarjetas de red detectadas por el sistema y se puede configurar de manera estática (dirección
configurada manualmente), dinámica (dirección configurada por DHCP) o como Trunk 802.1Q, para
la creación de redes VLAN.
Figure 1.26: Configuración de interfaces de red
Si configuramos la interfaz como estática podemos asociar una o más Interfaces Virtuales a
dicha interfaz real para servir direcciones IP adicionales con lo que se podría atender a diferentes
redes o a la misma con diferente dirección.
Si no se dispone de un router con soporte PPPoE, eBox puede gestionar también este tipo de
conexiones. Para ello, solo hay que seleccionar PPPoE como Método e introducir el Nombre de
usuario y Contraseña proporcionado por el proveedor de ADSL.
23
Figure 1.27: Configuración estática de interfaces de red
Figure 1.28: Configuración PPPoE de interfaces de red
24
Para que eBox sea capaz de resolver nombres de dominio debemos indicarle la dirección de uno
o varios servidores de nombres en Red → DNS.
Figure 1.29: Configuración de servidores DNS
Si tu conexión a Internet tiene una IP pública dinámica y quieres que un nombre de dominio
apunte a ella, se necesita un proveedor de DNS dinámico. eBox da soporte para conectar con algunos
de los proveedores de DNS dinámico más populares.
Para configurar un nombre de DNS dinámico en eBox desde Red → DynDNS selecciona el
proveedor del servicio y configura el nombre de usuario, contraseña y nombre de dominio que quer-
emos actualizar cuando la dirección pública cambie. Sólo resta Activar DNS Dinámico y Guardar
Cambios.
Figure 1.30: Configuración de DNS Dinámico
25
eBox se conecta al proveedor para conseguir la dirección IP pública evitando cualquier traducción
de dirección red que haya entre nosotros e Internet. Si estamos utilizando esta funcionalidad en
un escenario con multirouter 6 , no hay que olvidar crear una regla que haga que las conexiones al
proveedor use siempre la misma puerta de enlace.
1.5.3 Diagnóstico de redes
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red → Diag-
nóstico.
Figure 1.31: Herramientas de diagnóstico de redes
ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP para observar la
conectividad hasta una máquina remota mediante una sencilla conversación entre ambas.
Adicionalmente disponemos de la herramienta traceroute que se encarga de trazar los paquetes

encaminados a través de las distintas redes hasta llegar a una máquina remota determinada. Con
esta herramienta podemos ver el camino que siguen los paquetes para diagnósticos más avanzados.
Y también contamos con la herramienta dig que se utiliza para comprobar el correcto fun-
cionamiento del servicio de resolución de nombres.
Ejemplo práctico A
Vamos a configurar eBox para que obtenga la configuración de la red mediante DHCP.
Para ello:
6
Consultar Reglas multirouter y balanceo de carga para obtener más detalles.
26
Figure 1.32: Herramienta ping
27
Figure 1.33: Herramienta traceroute
28
Figure 1.34: Herramienta dig
29
1. Acción: Acceder a la interfaz de eBox, entrar en Red → Interfaces y seleccionar para la

interfaz de red eth0 el Método DHCP. Pulsar el botón Cambiar.
Efecto: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene los datos
introducidos.
2. Acción: Entrar en Estado del módulo y activar el módulo Red, para ello marcar su casilla en
la columna Estado.
Efecto: eBox solicita permiso para sobreescribir algunos ficheros.
3. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar
permiso a eBox para sobreescribirlos.
Efecto: Se ha activado el botón Guardar Cambios y algunos módulos que dependen de red
ahora pueden ser activados.
4. Acción: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
Ahora eBox gestiona la configuración de la red.
5. Acción: Acceder a Red → Herramientas de Diagnóstico. Hacer ping a ebox-platform.com.
Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con el servidor
de internet.
6. Acción: Acceder a Red → Herramientas de Diagnóstico. Hacer ping a una eBox de un com-
pañero de aula.
Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina.
7. Acción: Acceder a Red → Herramientas Diagnóstico. Ejecutar traceroute hacia ebox-

technologies.com.
Efecto: Se muestra como resultado la serie de máquinas que un paquete recorre hasta llegar
a la máquina destino.
30
Ejemplo práctico B
Para el resto de ejercicios del manual es una buena práctica habilitar los registros.
Para ello:
1. Acción: Acceder a la interfaz de eBox, entrar en Estado del módulo y activar el módulo Reg-
istros, para ello marcar su casilla en la columna Estado.
Efecto: eBox solicita permiso para realizar una serie de acciones.
2. Acción: Leer los acciones que va a realizar eBox y aceptarlas.
Efecto: Se ha activado el botón Guardar Cambios.
muestra.
Ahora eBox tiene los registros activados. Puedes echar un vistazo en Registros →
Consultar registros. De todas maneras, en la sección Registros.
31
32
Chapter 2
eBox Infrastructure
En este apartado explicaremos varios de los servicios para gestionar y optimizar el tráfico interno y la
infraestructura de una red local, incluyendo la gestión de dominio, la auto-configuración de red en los
clientes, la publicación de sitios Web internos y la sincronización de la hora via Internet. La configu-
ración de dichos servicios requiere un esfuerzo importante. Sin embargo, eBox facilita enormemente
esta tarea.
El servicio de DHCP es ampliamente utilizado para configurar automáticamente diversos parámet-

ros de red como pueden ser la dirección IP de una máquina, o la puerta de enlace o gateway que
utilizará para alcanzar Internet.
El servicio de DNS permite acceder a servicios y máquinas utilizando nombres en lugar de direc-
ciones IP, las cuales son más difíciles de memorizar.
Además, en muchas empresas se utilizan aplicaciones Web a las que sólo se tiene acceso de
manera interna.
2.1 Servicio de configuración de red (DHCP)
Como hemos comentado, DHCP (Dynamic Host Configuration Protocol) es un protocolo que permite
a un dispositivo pedir y obtener una dirección IP desde un servidor que tiene una lista de direcciones
disponibles para asignar.
El servicio DHCP 1 se usa también para obtener otros muchos parámetros tales como la puerta de
enlace por defecto, la máscara de red, las direcciones IP de los servidores de nombres o el dominio
1
eBox usa “ISC DHCP Software” (https://www.isc.org/software/dhcp) para configurar el servicio de DHCP
33
de búsqueda entre otros. De esta manera, se facilita el acceso a la red sin la necesidad de una
configuración manual por parte del cliente.
Cuando un cliente DHCP se conecta a la red envía una petición de difusión (broadcast). El
servidor DHCP responde a esa petición con una dirección IP, su tiempo de concesión y los otros
parámetros explicados previamente. La petición suele suceder durante el período de arranque del
cliente y debe completarse antes de seguir con el arranque del resto de servicios de red.
Existen dos métodos de asignación de direcciones:
Manual: La asignación se hace a partir de una tabla de correspondencia entre direcciones físicas
(MAC) y direcciones IP. El administrador de la red se encarga del mantenimiento de esta tabla.
Dinámica: El administrador de la red asigna un rango de direcciones IP por un proceso de petición y

concesión que usa el concepto de alquiler con un período controlado de tiempo en el que la IP
concedida es válida. El servidor guarda una tabla con las asignaciones anteriores para intentar
volver a asignar la misma IP a un cliente en sucesivas peticiones.
2.1.1 Configuración de un servidor DHCP con eBox
Para configurar el servicio DHCP con eBox, se necesita al menos una interfaz configurada estática-
mente. Una vez la tenemos, vamos al menú DHCP donde se configurará el servidor DHCP.
Como hemos dicho, se pueden enviar algunos parámetros de la red junto con la dirección IP,
estos parámetros se pueden configurar en la pestaña de Opciones comunes.
Puerta de enlace por defecto: Es la puerta de enlace que va a emplear el cliente si no conoce otra
ruta por la que enviar el paquete a su destino. Su valor puede ser eBox, una puerta de enlace
ya configurada en el apartado Red → Routers o una dirección IP personalizada.
Dominio de búsqueda: En una red cuyas máquinas estuvieran nombradas siguiendo la

forma <máquina>.sub.dominio.com, se podría configurar el dominio de búsqueda como
“sub.dominio.com”. De esta forma, cuando se intente resolver un nombre de dominio sin éxito,
se intentará de nuevo añadiéndole el dominio de búsqueda al final o partes de ese dominio.
Por ejemplo, si smtp no se puede resolver como dominio, se intentará resolver

smtp.dominio.com en la máquina cliente.
Podemos escribir el dominio de búsqueda, o podemos seleccionar uno que se haya configurado
en el servicio de DNS.
34
CHAPTER 2. EBOX INFRASTRUCTURE
Figure 2.1: Vista general de configuración del servicio DHCP
35
2
Servidor de nombres primario: Se trata de aquel servidor DNS con el que contactará el cliente
en primer lugar cuando tenga que resolver un nombre o traducir una dirección IP a un nombre.
Su valor puede ser eBox DNS local (si queremos que se consulte el propio servidor DNS de
eBox, hay que tener en cuenta que el módulo dns debe estar habilitado) o una dirección IP de
otro servidor DNS.
Servidor de nombres secundario: Servidor DNS con el que contactará el cliente si el primario no
está disponible. Su valor debe ser una dirección IP de un servidor DNS.
3
Servidor NTP: Este es el servidor NTP (Network Transport Protocol) que el cliente usará cuando
quiera sincronizar su reloj usando la red. Su valor puede ser ninguno, eBox NTP local (hay que
tener en cuenta que el módulo ntp debe estar habilitado) o un servidor NTP personalizado.
4
Servidor WINS: Este es el servidor WINS (Windows Internet Name Service) que el cliente usará
para resolver nombres NetBIOS. Su valor puede ser ninguno, eBox local (hay que tener en
cuenta que el módulo samba debe estar habilitado) o uno personalizado.
Debajo de las opciones comunes, se nos muestran los rangos de direcciones que se distribuyen
mediante DHCP y las direcciones asignadas de forma manual. Para que el servicio DHCP esté activo,
al menos debe haber un rango de direcciones a distribuir o una asignación estática. En caso contrario,
el servidor DHCP no servirá direcciones IP aunque esté escuchando en todas las interfaces de red.
Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde una deter-
minada interfaz vienen determinados por la dirección estática asignada a dicha interfaz. Cualquier
dirección IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estáticas.
Añadir un rango en la sección Rangos se hace introduciendo un nombre con el que identificar el
rango y los valores que se quieran asignar dentro del rango que aparece encima.
Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones físicas

en el apartado Asignaciones estáticas. Una dirección asignada de este modo no puede formar parte
de ningún rango. Se puede añadir una descripción opcional para la asignación también.
La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este tiempo se
tiene que pedir la renovación (configurable en la pestaña Opciones avanzadas). Este tiempo varía
desde 1800 segundos hasta 7200. Las asignaciones estáticas también están limitadas en el tiempo.
De hecho, desde el punto de vista del cliente, no hay diferencia entre ellas.
2
Ir a la sección Servicio de resolución de nombres (DNS) para tener más detalles sobre este servicio.
3
Comprobar la sección Servicio de sincronización de hora (NTP) para obtener detalles sobre el servicio de sin-
cronización de hora
4
WINS es una implementación para NBNS (NetBIOS Name Service). Para obtener más información sobre ello, ir a la
sección Servicio de compartición de ficheros y de autenticación.
36
Figure 2.2: Aspecto de la configuración avanzada para DHCP
Un Cliente Ligero es una máquina sin disco duro (y hardware modesto) que arranca a través de
la red, pidiendo el programa de arranque (sistema operativo) a un servidor de clientes ligeros.
eBox permite configurar a qué servidor PXE 5 se debe conectar el cliente. El servicio PXE, que se
encargará de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema,
se debe configurar por separado.
El servidor PXE puede ser una dirección IP o un nombre, en cuyo caso será necesario indicar la
ruta de la imagen de arranque, o eBox, en cuyo caso se puede cargar el fichero de la imagen.
Actualizaciones dinámicas de DNS
El servidor DHCP tiene la habilidad de actualizar dinámicamente el servidor DNS 6 . Esto es, el servidor
DHCP actualizará en tiempo real los registros A y PTR para mapear una dirección IP a un nombre de
máquina y viceversa cuando se sirva una dirección IP. La manera en que esto se hace es dependiente
de la configuración del servidor DHCP.
5
Preboot eXecution Environment es un entorno para arrancar ordenadores usando una interfaz de red in-
dependientemente de los dispositivos de almacenamiento (como disco duros) o sistemas operativos instalados
(http://en.wikipedia.org/wiki/Preboot_Execution_Environment)
6
El RFC 2136 explica como hacer actualizaciones automáticas en el Sistema de Nombres de Dominio (DNS).
37
Con eBox es posible usar la actualización dinámica de DNS integrando los módulos de dhcp y
dns de la misma máquina dentro la pestaña Opciones de DNS dinámico. Para habilitar esta carac-
terística, el módulo DNS debe ser habilitado también. Se debe disponer un Dominio dinámico y un
Dominio estático, que ambos se añadirán a la configuración de DNS automáticamente. El dominio
dinámico mapea los nombres de máquinas cuya dirección IP corresponde a una del rango y el nom-
bre asociado sigue este patrón: dhcp-<dirección-IP-ofrecida>.<dominio-dinámico>. Con respecto al
dominio estático, el nombre de máquina seguirá este patrón: <nombre>.<dominio-estático> siendo el
nombre que se establece en la tabla de Asignaciones estáticas. Hay que tener en cuenta que una
actualización desde el cliente DHCP es ignorada por eBox.
Figure 2.3: Configuración de actualizaciones DNS dinámicas
La actualización se hace usando un protocolo seguro 7 y, actualmente, sólo el mapeo directo está
soportado por eBox.
Ejemplo práctico
Configurar el servicio de DHCP para que asigne un rango de 20 direcciones de red. Comprobar desde
otra máquina cliente usando dhclient que funciona correctamente.
Para configurar DHCP debemos tener activado y configurado el módulo Red. La interfaz de
red sobre la cual vamos a configurar el servidor DHCP deberá ser estática (dirección IP asignada
manualmente) y el rango a asignar deberá estar dentro de la subred determinada por la máscara de
red de esa interfaz (por ejemplo rango 10.1.2.1-10.1.2.21 en una interfaz 10.1.2.254/255.255.255.0).
1. Acción: Entrar en eBox y acceder al panel de control. Entrar en Estado del módulo y activar
el módulo DHCP, para ello marcar su casilla en la columna Estado.
7
La comunicación se realiza usando TSIG (Transaction SIGnature) para autenticar las peticiones de actualizaciones
dinámicas usando una clave secreta compartida.
38
3. Acción: Entrar en DHCP y seleccionar la interfaz sobre la cual se configurará el servidor.

La pasarela puede ser la propia eBox, alguna de las pasarelas de eBox, una dirección
específica, o ninguna (sin salida a otras redes). Además se podrá definir el dominio de
búsqueda (dominio que se añade a todos los nombres DNS que no se pueden resolver)
y al menos un servidor DNS (servidor DNS primario y opcionalmente uno secundario).
A continuación eBox nos informa del rango de direcciones disponibles, vamos a elegir un
subconjunto de 20 direcciones y en Añadir nueva le damos un nombre significativo al
rango que pasará a asignar eBox.
muestra.
Ahora eBox gestiona la configuración del servidor DHCP.
5. Acción: Desde otro equipo conectado a esa red solicitamos una IP dinámica del rango medi-
ante dhclient:
$ sudo dhclient eth0

There is already a pid file /var/run/dhclient.pid with pid 9922
killed old client process, removed PID file
Internet Systems Consortium DHCP Client V3.1.1
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/
wmaster0: unknown hardware address type 801

wmaster0: unknown hardware address type 801
Listening on LPF/eth0/00:1f:3e:35:21:4f
Sending on LPF/eth0/00:1f:3e:35:21:4f
Sending on Socket/fallback
DHCPREQUEST on wlan0 to 255.255.255.255 port 67
DHCPACK from 10.1.2.254
bound to 10.1.2.1 -- renewal in 1468 seconds.
39
6. Acción: Comprobar desde el Dashboard que la dirección concedida aparece en el widget

DHCP leases 8 .
2.2 Servicio de resolución de nombres (DNS)
La funcionalidad de DNS (Domain Name System) es convertir nombres de máquinas, legibles y fáciles
de recordar por los usuarios, en direcciones IP y viceversa. El sistema de dominios de nombres es
una arquitectura arborescente cuyos objetivos son evitar la duplicación de la información y facilitar la
búsqueda de dominios. El servicio escucha peticiones en el puerto 53 de los protocolos de transporte
UDP y TCP.
2.2.1 Configuración de un servidor caché DNS con eBox
9
Un servidor de nombres puede actuar como caché para las consultas que él no puede responder.
Es decir, la primera vez consultará al servidor adecuado porque se parte de una base de datos sin
información, pero posteriormente responderá la caché, con la consecuente disminución del tiempo de
respuesta.
En la actualidad, la mayoría de los sistemas operativos modernos tienen una biblioteca local para
traducir los nombres que se encarga de almacenar una caché propia de nombres de dominio con las
peticiones realizadas por las aplicaciones del sistema (navegador, clientes de correo, ...).
Ejemplo práctico A
Comprobar el correcto funcionamiento del servidor caché DNS. ¿Qué tiempo de respuesta hay ante
la misma petición www.example.com?
1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo DNS, para ello
marcar su casilla en la columna Estado.
8
Hay que tener en cuenta que las asignaciones estáticas no aparecen en el widget del DHCP.
9
Caché es una colección de datos duplicados de una fuente original donde es costoso de obtener o calcular comparado
con el tiempo de lectura de la caché (http://en.wikipedia.org/wiki/Cache)
40
3. Acción: Ir a Red → DNS y añadir un nuevo Servidor de nombres de dominio con valor
127.0.0.1 .
Efecto: Establece que sea la propia eBox la que traduzca de nombres a IP y viceversa.
muestra.
Ahora eBox gestiona la configuración del servidor DNS.
5. Acción: Comprobar a través de la herramienta Resolución de Nombres de Dominio

disponible en Red → Diagnóstico comprobar el funcionamiento de la caché consultado
el dominio www.example.com consecutivamente y comprobar el tiempo de respuesta.
2.2.2 Configuración de un servidor DNS con eBox
DNS posee una estructura en árbol y el origen es conocido como ‘.’ o raíz. Bajo el ‘.’ existen los TLD
(Top Level Domains) como org, com, edu, net, etc. Cuando se busca en un servidor DNS, si éste
no conoce la respuesta, se buscará recursivamente en el árbol hasta encontrarla. Cada ‘.’ en una
dirección (por ejemplo, home.example.com) indica una rama del árbol de DNS diferente y un ámbito
de consulta diferente que se irá recorriendo de derecha a izquierda.
Como se puede ver en la figura Árbol de DNS, cada zona tiene un servidor de nombre autor-
izado 10 . Cuando un cliente hace una petición a un servidor de nombres, delega la resolución a aquel
servidor de nombres apuntado por el registro NS que dice ser autoridad para esa zona. Por ejemplo,
un cliente pide la dirección IP de www.casa.example.com a un servidor que es autoridad para exam-
ple.com. Como el servidor tiene un registro que le indica el servidor de nombres que es autoridad para
la zona casa.example.com (el registro NS), entonces delega la respuesta a ese servidor que debería
saber la dirección IP para esa máquina.
Otro aspecto importante es la resolución inversa (in-addr.arpa), ya que desde una dirección IP
podemos traducirla a un nombre del dominio. Además a cada nombre asociado se le pueden añadir
tantos alias (o nombres canónicos) como se desee, así una misma dirección IP puede tener varios
nombres asociados.
10
Un servidor DNS es autoridad para un dominio cuando es aquel que tiene toda la información para resolver la consulta
para ese dominio
41
Figure 2.4: Árbol de DNS
Una característica también importante del DNS es el registro MX. Dicho registro indica el lugar
donde se enviarán los correos electrónicos que quieran enviarse a un determinado dominio. Por
ejemplo, si queremos enviar un correo a alguien@example.com, el servidor de correo preguntará por
el registro MX de example.com y el servicio responderá que es mail.example.com.
La configuración en eBox se realiza a través del menú DNS. En eBox, se pueden configurar tantos
dominios DNS como deseemos.
Para configurar un nuevo dominio, desplegamos el formulario pulsando Añadir nuevo. Desde allí
se configura el nombre del dominio y una dirección IP opcional a la que hará referencia el dominio.
Cuando se añade un nuevo dominio, se puede apreciar la presencia de un campo llamado

dinámico con valor falso. Un dominio se establece como dinámico cuando es actualizado automáti-
camente por un proceso sin reiniciar el servidor. Un ejemplo típico para esto es cuando un servidor
42
DHCP actualiza los registros DNS para un dominio cuando ofrece una dirección IP a una máquina. Ve
a la sección Actualizaciones dinámicas de DNS para obtener detalles sobre esta configuración con
eBox. Actualmente, si un dominio se establece como dinámico, no se puede configurar manualmente
desde el interfaz de eBox.
Una vez que hemos creado un dominio correcto, por ejemplo casa.example.com, tenemos la
posibilidad de rellenar la lista de máquinas (hostnames) para el dominio. Se podrán añadir tantas
direcciones IP como se deseen usando los nombres que decidamos. La resolución inversa se añade
automáticamente. Además, para cada pareja nombre-dirección se podrán también poner tantos alias
como se deseen.
Con eBox se establece automáticamente el servidor autorizado para los dominios configurados
a la máquina con nombre ns. Si esa máquina no existe, entonces se usa 127.0.0.1 como servidor
de nombres autorizado. Si quieres configurar el servidor de nombres autorizado manualmente para
tus dominios (registros NS), ve a servidores de nombres y elige una de las máquinas del dominio o
una personalizada. En el escenario típico, se configurará una máquina con nombre ns usando como
dirección IP una de las configuradas en la sección Red → Interfaces.
43
Como característica adicional, podemos añadir nombres de servidores de correo a través de los
intercambiadores de correo (Mail Exchangers) eligiendo un nombre de los dominios en los que eBox
es autoridad o uno externo. Además se le puede dar una preferencia cuyo menor valor es el que da
mayor prioridad, es decir, un cliente de correo intentará primero aquel servidor con menor número de
preferencia.
Para profundizar en el funcionamiento de DNS, veamos qué ocurre en función de la consulta que
se hace a través de la herramienta de diagnóstico dig que se encuentra en Red → Diagnóstico.
Si hacemos una consulta a uno de los dominios que hemos añadido, el propio servidor DNS de
eBox responde con la respuesta apropiada de manera inmediata. En caso contrario, el servidor DNS
lanza una petición a los servidores DNS raíz, y responderá al usuario tan pronto como obtenga una
respuesta de éstos. Es importante tener en cuenta que los servidores de nombres configurados en
Red → DNS son los usados por las aplicaciones cliente para resolver nombres, pero el servidor DNS
no los utiliza de ningún modo. Si queremos que eBox resuelva nombres utilizando su propio DNS
debemos configurar 127.0.0.1 como servidor DNS primario en dicha sección.
Ejemplo práctico B
Añadir un nuevo dominio al servicio de DNS. Dentro de este dominio asignar una dirección de red al
nombre de una máquina. Desde otra máquina comprobar usando la herramienta dig que resuelve
correctamente.
1. Acción: Comprobar que el servicio DNS está activo a través de Dashboard en el widget Es-
tado de módulos. Si no está activo, habilitarlo en Estado de módulos.
2. Acción: Entrar en DNS y en Añadir nueva introducimos el dominio que vamos a gestionar. Se
desplegará una tabla donde podemos añadir nombres de máquinas, servidores de correo
para el dominio y la propia dirección del dominio. Dentro de Nombres de máquinas
procedemos de la misma manera añadiendo el nombre de la máquina y su dirección IP
asociada.
44
Efecto: eBox solicitará permiso para escribir los nuevos ficheros.
4. Acción: Aceptar sobreescribir dichos ficheros y guardar cambios.
Efecto: Muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo mues-
tra.
5. Acción: Desde otro equipo conectado a esa red solicitamos la resolución del nombre me-
diante dig, siendo por ejemplo 10.1.2.254 la dirección de nuestra eBox y mirror.ebox-
platform.com el dominio a resolver:
$ dig mirror.ebox-platform.com @10.1.2.254
; <<>> DiG 9.5.1-P1 <<>> mirror.ebox-platform.com @10.1.2.254

;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33835
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;mirror.ebox-platform.com. IN A
;; ANSWER SECTION:
mirror.ebox-platform.com. 600 IN A 87.98.190.119
;; AUTHORITY SECTION:
ebox-platform.com. 600 IN NS ns1.ebox-platform.com.
ebox-platform.com. 600 IN NS ns2.ebox-platform.com.
;; ADDITIONAL SECTION:
ns1.ebox-platform.com. 600 IN A 67.23.0.68
ns2.ebox-platform.com. 600 IN A 209.123.162.63
;; Query time: 169 msec

;; SERVER: 10.1.2.254#53(10.1.2.254)
;; WHEN: Fri Mar 20 14:37:52 2009
;; MSG SIZE rcvd: 126
45
2.3 Servicio de publicación de información web (HTTP)
La Web es uno de los servicios más comunes en Internet, tanto que se ha convertido en su cara
visible para la mayoría de los usuarios.
Una página Web empezó siendo la manera más cómoda de publicar información en una red.
Para acceder basta con un navegador Web, que se encuentra instalado de serie en las plataformas de
escritorio actuales. Una página Web es fácil de crear y se puede visualizar desde cualquier ordenador.
Con el tiempo las posibilidades de las interfaces Web han mejorado y ahora disponemos de
verdaderas aplicaciones que no tienen nada que envidiar a las de escritorio.
En este capítulo veremos una introducción al funcionamiento interno de la Web, así como la
configuración de un servidor Web con eBox.
2.3.1 Hyper Text Transfer Protocol
Una de las claves del éxito de la Web ha sido el protocolo de capa de Aplicación empleado, HTTP
(Hyper Text Transfer Protocol), y es que HTTP es muy sencillo a la vez que flexible.
HTTP es un protocolo orientado a peticiones y respuestas. Un cliente, también llamado User

Agent, realiza una solicitud a un servidor. El servidor la procesa y devuelve una respuesta.
Por defecto HTTP usa el puerto TCP 80 para conexiones sin cifrar, y el 443 para conexiones
cifradas (HTTPS). Una de las tecnologías más usadas para el cifrado es TLS 11 .
Una solicitud del cliente contiene los siguientes elementos:
• Una primera línea conteniendo <método> <recurso solicitado> <versión HTTP>. Por ejemplo
GET /index.html HTTP/1.1 solicita el recurso /index.html mediante GET y usando el protocolo
HTTP/1.1.
• Cabeceras, como User-Agent: Mozilla/5.0 ... Firefox/3.0.6 que identifican el tipo de cliente que
solicita la información.
• Una línea en blanco.
• Un cuerpo del mensaje opcional. Se utiliza, por ejemplo, para enviar ficheros al servidor usando
el método POST.
11
TLS (Transport Layer Security ) y su predecesor SSL (Secure Sockets Layer ) son protocolos de cifrado que aportan
seguridad e integridad de datos para las comunicaciones en Internet. En la sección Redes privadas virtuales (VPN) se
ahondará en el tema.
46
Figure 2.5: Esquema de solicitud con cabeceras GET entre un cliente, y la respuesta 200 OK del
servidor. Encaminadores y proxies en medio.
47
Hay varios métodos 12 con los que el cliente puede pedir información. Los más comunes son GET
y POST:
GET: Se utiliza GET para solicitar un recurso. Es un método inocuo para el servidor, ya que no se
debe modificar ningún fichero en el servidor si se hace una solicitud mediante GET.
POST: Se utiliza POST para enviar una información que debe procesar el servidor. Por ejemplo en
un webmail cuando pulsamos Enviar Mensaje, se envía al servidor la información del correo
electrónico a enviar. El servidor debe procesar esa información y enviar el correo electrónico.
OPTIONS: Sirve para solicitar qué métodos se pueden emplear sobre un recurso.
HEAD: Solicita información igual que GET, pero la respuesta no incluirá el cuerpo, sólo la cabecera.
De esta forma se puede obtener la meta-información del recurso sin descargarlo.
PUT: Solicita que la información del cuerpo sea almacenada y accesible desde la ruta indicada.
DELETE: Solicita la eliminación del recurso indicado
TRACE: Indica al servidor que debe devolver la cabecera que envía el cliente. Es útil para ver cómo
modifican la solicitud los proxies intermedios.
CONNECT: La especificación se reserva este método para realizar túneles.
La respuesta del servidor tiene la misma estructura que la solicitud del cliente cambiando la
primera fila. En este caso la primera fila sigue la forma <status code> <text reason>, que corresponden
al código de respuesta y a un texto con la explicación respectivamente.
Los códigos de respuesta 13 más comunes son:
200 OK: La solicitud ha sido procesada correctamente.
403 Forbidden: Cuando el cliente se ha autenticado pero no tiene permisos para operar con el re-
curso solicitado.
404 Not Found: Si el recurso solicitado no se ha encontrado.
500 Internal Server Error: Si ha ocurrido un error en el servidor que ha impedido la correcta ejecu-
ción de la solicitud.
12
Una explicación más detallada se puede encontrar en la sección 9 del RFC 2616
13
En la sección 10 del RFC 2616 se pueden encontrar el listado completo de códigos de respuesta del servidor HTTP.
48
HTTP tiene algunas limitaciones dada su simplicidad. Es un protocolo sin estado, por tanto el
servidor no puede recordar a los clientes entre conexiones. Una solución para este problema es el
uso de cookies. Por otro lado, el servidor no puede iniciar una conversación con el cliente. Si el cliente
quiere alguna notificación del servidor, deberá solicitarla periódicamente.
El servicio HTTP puede ofrecer dinámicamente los resultados de aplicaciones software. Para ello,
el cliente realiza una petición a una determinada URL con unos parámetros y el software se encarga
gestionar la petición para devolver un resultado. El primer método utilizado fue conocido como CGI
(Common Gateway Interface) que se ejecuta un comando por URL. Este mecanismo ha sido superado
debido a su sobrecarga en memoria y bajo rendimiento por otras soluciones:
FastCGI: Un protocolo de comunicación entre las aplicaciones software y el servidor HTTP, teniendo
un único proceso para resolver las peticiones realizadas por el servidor HTTP.
SCGI (Simple Common Gateway Interface): Es una versión simplificada del protocolo de FastCGI
Otros mecanismos de expansión: Estos mecanismos dependerán del servidor HTTP utilizado y
pueden permitir la ejecución de software dentro del propio servidor.
2.3.2 El servidor HTTP Apache
14
El servidor HTTP Apache es el programa más popular para servir páginas Web desde abril de
1996. EBox usa dicho servidor tanto para su interfaz Web de administración como para el módulo
Web. Su objetivo es ofrecer un sistema seguro, eficiente y extensible siguiendo los estándares HTTP.
Ofrece la posibilidad de extender las funcionalidades del núcleo (core), utilizando módulos adicionales
para incluir nuevas características. Es decir, una de sus principales ventajas es la extensibilidad.
Algunos de los módulos nos ofrecen interfaces para lenguajes de script. Ejemplos de ello son
mod_perl, mod_python, TCL ó PHP, lo que permite crear páginas Web usando los lenguajes de pro-
gramación Perl, Python, TCL o PHP. También tenemos módulos para varios sistemas de autenticación
como mod_access, mod_auth, entre otros. Además, permite el uso de SSL y TLS con mod_ssl, mó-
dulo de proxy con mod_proxy o un potente sistema de reescritura de URL con mod_rewrite. En
definitiva, disponemos de una gran cantidad de módulos de Apache 15 para añadir diversas funcional-
idades.
14
Apache HTTP Server project http://httpd.apache.org.
15
Podemos consultar la lista completa en http://modules.apache.org.
49
2.3.3 Dominios virtuales
El objetivo de los dominios virtuales (Virtual Hosts) es alojar varios sitios Web en un mismo servidor.
Si el servidor dispone de una dirección IP pública por cada sitio Web, se puede realizar una
configuración por cada interfaz de red. Vistos desde fuera dará la impresión de que son varios Hosts
en la misma red. El servidor redirigirá el tráfico de cada interfaz a su sitio Web correspondiente.
Sin embargo, lo más normal es disponer de una o dos IPs por máquina. En ese caso habrá
que asociar cada sitio Web con su dominio. El servidor Web leerá las cabeceras de los clientes
y dependiendo del dominio de la solicitud lo redirigirá a un sitio Web u otro. A cada una de estas
configuraciones se le llama Virtual Host, ya que sólo hay un Host en la red, pero se simula que
existen varios.
2.3.4 Configuración de un servidor HTTP con eBox
A través del menú Web podemos acceder a la configuración del servicio.
Figure 2.6: Aspecto de la configuración del módulo Web
En el primer formulario podemos modificar los siguientes parámetros:
Puerto de escucha Dónde va a escuchar peticiones HTTP el demonio.
Habilitar el public_html por usuario Con esta opción, si está habilitado el módulo Samba (eBox
como servidor de ficheros) los usuarios pueden crear un subdirectorio llamado public_html en
su directorio personal dentro de samba que será expuesto por el servidor Web a través de
la URL http://<eboxIP>/~<username>/ donde username es el nombre del usuario que quiere
publicar contenido.
50
Respecto a los Dominios virtuales, simplemente se introducirá el nombre que se desea para el
dominio y si está habilitado o no. Cuando se crea un nuevo dominio, se trata de crear una entrada en
el módulo DNS (si está instalado) de tal manera que si se añade el dominio www.company.com, se
creará el dominio company.com con el nombre de máquina www cuya dirección IP será la dirección
de la primera interfaz de red que sea estática.
Para publicar datos estos deben estar bajo /var/www/<vHostname>, donde vHostName es el
nombre del dominio virtual. Si se quiere añadir cualquier configuración personalizada, por ejemplo
capacidad para servir aplicaciones en Python usando mod_python, se deberán crear los ficheros de
configuración necesarios para ese dominio virtual en el directorio /etc/apache2/sites-available/user-
ebox-<vHostName>/.
Ejemplo práctico
Habilitar el servicio Web. Comprobar que está escuchando en el puerto 80. Configurarlo para que
escuche en un puerto distinto y comprobar que el cambio surte efecto.
1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo servidor web, para
ello marcar su casilla en la columna Estado. Nos informa de los cambios que va a realizar en
el sistema. Permitir la operación pulsando el botón Aceptar.
muestra.
El servidor Web ha quedado habilitado por defecto en el puerto 80.
3. Acción: Utilizando un navegador, acceder a la siguiente dirección http://ip_de_eBox/.
Efecto: Aparecerá una página por defecto de Apache con el mensaje ‘It works!’.
4. Acción: Acceder al menú Web. Cambiar el valor del puerto de 80 a 1234 y pulsar el botón
Cambiar.
muestra.
Ahora el servidor Web está escuchando en el puerto 1234.
51
6. Acción: Volver a intentar acceder con el navegador a http://<ip_de_eBox>/.
Efecto: No obtenemos respuesta y pasado un tiempo el navegador informará de que ha sido

imposible conectar al servidor.
7. Acción: Intentar acceder ahora a http://<ip_de_eBox>:1234/.
Efecto: El servidor responde y obtenemos la página de ‘It works!’.
2.4 Servicio de sincronización de hora (NTP)
El protocolo NTP (Network Time Protocol) fue diseñado para sincronizar los relojes de las computado-
ras sobre una red no fiable, con latencia variable. Este servicio escucha en el puerto 123 del protocolo
UDP. Está diseñado para resistir los efectos de la latencia variable (jitter ).
Es uno de los protocolos más antiguos de Internet (desde antes de 1985). NTP versión 4 puede
alcanzar una exactitud de hasta 200 µs o incluso mejor si el reloj está en la red local. Existen diferentes
estratos que definen la distancia del reloj de referencia y su asociada exactitud. Existen hasta 16
niveles. El estrato 0 es para los relojes atómicos que no se conectan a la red sino a otro ordenador
con conexión serie RS-232 y estos son los de estrato 1. Los de estrato 2 son los ordenadores que se
conectan, ya por NTP a los de estrato superior y normalmente son los que se ofrecen por defecto en
los sistemas operativos más conocidos como GNU/Linux, Windows, o MacOS.
2.4.1 Configuración de un servidor NTP con eBox
16
Para configurar eBox dentro de la arquitectura NTP , en primer lugar eBox tiene que sincronizarse
con algún servidor externo de estrato superior (normalmente 2) que se ofrecen a través de Sistema
→ Fecha/hora. Una lista de los mismos se puede encontrar en el pool NTP (pool.ntp.org) que son
una colección dinámica de servidores NTP que voluntariamente dan un tiempo bastante exacto a sus
clientes a través de Internet.
16
Proyecto del servicio público NTP http://support.ntp.org/bin/view/Main/WebHome.
52
Una vez que eBox se haya sincronizado como cliente NTP 17 , el propio eBox podrá actuar también
como servidor NTP, con una hora sincronizada mundialmente.
Ejemplo práctico
Habilitar el servicio NTP y sincronizar la hora de nuestra máquina utilizando el comando ntpdate.
Comprobar que tanto eBox como la máquina cliente tienen la misma hora.
1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo ntp, para ello marca
su casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema.
Permitir la operación pulsando el botón Aceptar.
2. Acción: Acceder al menú Sistema → Fecha/Hora. En la sección Sincronización con servi-

dores NTP seleccionar Activado y pulsar Cambiar.
Efecto: Desaparece la opción de cambiar manualmente la fecha y hora y en su lugar aparecen

campos para introducir los servidores NTP con los que se sincronizará.
muestra.
Nuestra máquina eBox actuará como servidor NTP.

17
eBox usa ntpdate para sincronizarse por primera vez, una vez sincronizado usa ntpd para mantener la sincronía.
http://www.ece.udel.edu/~mills/ntp/html/
53
4. Acción: Instalar el paquete ntpdate en nuestra máquina cliente. Ejecutar el comando ntpdate
<ip_de_eBox>.
Efecto: La hora de nuestra máquina habrá quedado sincronizada con la de la máquina eBox.
Podemos comprobarlo ejecutando el comando date en ambas máquinas.
54
Chapter 3
eBox Gateway
En este apartado se explica la funcionalidad principal de eBox como puerta de enlace. eBox Gateway
puede hacer tu red más fiable, optimizada para tu ancho de banda y ayudarte a controlar lo que entrar
en tu red.
En este apartado hay un capítulo que se centra en el funcionamiento del módulo cortafuegos de
eBox, el cual nos permite la gestión de reglas para el tráfico entrante y saliente de nuestra red interna.
La configuración del cortafuegos no se realiza directamente, sino que se apoya en otros dos
módulos que facilitan la gestión de objetos y servicios de red, los cuales se describen en la primera
parte del apartado.
Para el acceso a Internet podemos aplicar balanceo de carga y diferentes reglas según el tráfico
saliente. Además, se explica en este apartado el moldeado de tráfico, que se utiliza para asegurar
que las aplicaciones críticas se sirven correctamente e incluso para limitar aquellas aplicaciones que
generan mucho tráfico en la red.
Finalmente, se ofrece una introducción al servicio de proxy HTTP que ofrece eBox. Este servicio
permite o deniega el acceso desde la red interna a la WWW utilizando diferentes reglas de filtrado,
incluyendo reglas basadas en el contenido.
3.1 Abstracciones de red a alto nivel de eBox
55
3.1.1 Objetos de red
Los objetos de red son una manera de dar un nombre a un elemento de una red o a un conjunto
de ellos. Sirven para simplificar y consecuentemente facilitar la gestión de la configuración de la red,
pudiendo elegir comportamientos para dichos objetos.
Por ejemplo, pueden servir para dar un nombre significativo a una dirección IP o a un grupo de
ellas. Si es el segundo caso, en lugar de definir reglas de acceso de cada una de las direcciones,
bastaría simplemente con definirlas para el objeto de red. Así, todas las direcciones pertenecientes al
objeto adquirirían dicha configuración.
Figure 3.1: Representación de objetos de red
Gestión de los objetos de red con eBox
Para su gestión en eBox se debe ir al menú Objetos y ahí se crean nuevos objetos, que tendrán
asociado un nombre, y una serie de miembros.
Se puede crear, editar y borrar objetos. Estos objetos serán usados más tarde por otros módulos
como por ejemplo el cortafuegos, el Proxy caché Web o el de correo.
56
CHAPTER 3. EBOX GATEWAY
Figure 3.2: Aspecto general del módulo de objetos de red
Cada uno de ellos tendrá al menos los siguientes valores: nombre, dirección IP y máscara de
red utilizando notación CIDR. La dirección física sólo tendrá sentido para miembros que representen
una única máquina.
Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener
mucho cuidado al usarlos en el resto de módulos para obtener la configuración deseada y no tener
problemas de seguridad.
3.1.2 Servicios de red
Un servicio de red es la abstracción de uno o más protocolos de aplicación que pueden ser usados
en otros módulos como el cortafuegos o el módulo de moldeado de tráfico.
La utilidad de los servicios es similar a la de los objetos. Si veíamos que con los objetos podíamos
hacer referencia fácilmente a un conjunto de direcciones IP usando un nombre significativo, podemos
57
así mismo identificar un conjunto de puertos numéricos, difíciles de recordar y engorrosos de teclear
varias veces en distintas configuraciones, con un nombre acorde a su función (típicamente el nombre
del protocolo de nivel 7 o aplicación que usa esos puertos).
Figure 3.3: Conexión de un cliente a un servidor
Gestión de los servicios de red con eBox
Para su gestión en eBox se debe ir al menú Servicios donde es posible crear nuevos servicios, que
tendrán asociado un nombre, una descripción y un indicador de si el servicio es externo o interno. Un
servicio es interno si los puertos configurados para dicho servicio se están usando en la máquina en
la que está eBox instalado. Además cada servicio tendrá una serie de miembros. Cada uno de ellos
tendrá los siguientes valores: protocolo, puerto origen y puerto destino.
En todos estos campos podemos introducir el valor cualquiera, por ejemplo para especificar ser-
vicios en los que sea indiferente el puerto origen.
Hay que tener en cuenta que los servicios de red basados en el modelo cliente/servidor que más
se utilizan el cliente suelen utilizar un puerto cualquiera aleatorio para conectarse a un puerto destino
conocido. Los puertos del 1 al 1023 se llaman puertos “bien conocidos” y en sistemas operativos
tipo Unix enlazar con uno de estos puertos requiere acceso como superusuario. Del 1024 al 49.151
son puertos registrados. Y del 49.152 al 65.535 son puertos efímeros y son utilizados como puertos
temporales, sobre todo por los clientes al comunicarse con los servidores. Existe una lista de servicios
de red conocidos aprobada por la IANA 1 para los protocolos UDP y TCP en el fichero /etc/services.
1
La IANA (Internet Assigned Numbers Authority ) es la entidad encargada de establecer los servicios asociados a
puertos bien conocidos. La lista completa se encuentra en http://www.iana.org/assignments/port-numbers
58
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. También existe un valor TCP/UDP para
evitar tener que añadir dos veces un mismo puerto que se use para ambos protocolos.
Figure 3.4: Aspecto general del módulo de servicios de red
Se puede crear, editar y borrar servicios. Estos servicios serán usados más adelante en el corta-
fuegos o el moldeado de tráfico haciendo referencia simplemente al nombre significativo.
Ejemplo práctico
Crear un objeto y añadir lo siguiente: una máquina sin dirección MAC, una máquina con dirección
MAC y una dirección de red.
Para ello:
1. Acción: Acceder a Objetos. Añadir máquinas de contabilidad.
Efecto: El objeto máquinas de contabilidad se ha creado.
2. Acción: Acceder a Miembros del objeto máquinas de contabilidad. Crear miembro servi-
dor contable con una dirección IP de la red, por ejemplo, 192.168.0.12/32. Crear otro miem-
bro servidor contable respaldo con otra dirección IP, por ejemplo, 192.168.0.13/32 y una
dirección MAC válida, por ejemplo, 00:0c:29:7f:05:7d. Finalmente, crea el miembro red de
59
ordenadores contables con dirección IP una subred de tu red local, como por ejemplo,
192.168.0.64/26. Finalmente, ir a Guardar cambios para confirmar la configuración creada.
Efecto: El objeto máquinas de contabilidad contendrá tres miembros servidor contable,

servidor contable respaldo y red de ordenadores contables de forma permanente.
3.2 Cortafuegos
Para ver la aplicación de los objetos y servicios de red, vamos a configurar un cortafuegos. Un
cortafuegos es un sistema que refuerza las políticas de control de acceso entre redes. En nuestro
caso, vamos a tener una máquina dedicada a protección de nuestra red interna y eBox de ataques
procedentes de la red exterior.
Un cortafuegos permite definir al usuario una serie de políticas de acceso, por ejemplo, cuáles
son las máquinas a las que se puede conectar o las que pueden recibir información y el tipo de la
misma. Para ello, utiliza reglas que pueden filtrar el tráfico dependiendo de determinados parámetros,
por ejemplo protocolo, dirección origen o destino y puertos utilizados.
Técnicamente, la mejor solución es disponer de un computador con dos o más tarjetas de red que
aislen las diferentes redes (o segmentos de ellas) conectadas, de manera que el software cortafuegos
se encargue de conectar los paquetes de las redes y determinar cuáles pueden pasar o no y a qué
red lo harán. Al configurar nuestra máquina como cortafuegos y encaminador podremos enlazar los
paquetes de tránsito entre redes de manera más segura.
3.2.1 El cortafuegos en GNU/Linux: Netfilter
A partir del núcleo Linux 2.4, se proporciona un subsistema de filtrado denominado Netfilter que
proporciona características de filtrado de paquetes y de traducción de redes NAT 2 . La interfaz del
comando iptables permite realizar las diferentes tareas de configuración de las reglas que afectan al
sistema de filtrado (tabla filter ), reglas que afectan a la traducción de los paquetes con NAT (tabla nat)
o reglas para especificar algunas opciones de control y manipulación de paquetes (tabla mangle). Su
manejo es muy flexible y ortogonal pero añade mucha complejidad y tiene una curva de aprendizaje
alta.
2
Network Address Translation (NAT): Es el proceso de reescribir la fuente o destino de un paquete IP mientras pasan
por un encaminador o cortafuegos. Su uso principal es permitir a varias máquinas de una red privada acceder a Internet
con una única IP pública.
60
3.2.2 Modelo de seguridad de eBox
El modelo de seguridad de eBox se basa en intentar proporcionar la máxima seguridad posible por
defecto, intentando a su vez minimizar el esfuerzo de configuración de un administrador cuando añade
nuevos servicios.
Cuando eBox actúa de cortafuegos normalmente se instala entre la red local y el router que
conecta esa red con otra red, normalmente Internet. Los interfaces de red que conectan la máquina
con la red externa (el router ) deben marcarse como tales. Esto permite al módulo Cortafuegos
establecer unas políticas de filtrado por defecto.
Figure 3.5: Red interna - Reglas de filtrado - Red externa
La política para las interfaces externas es denegar todo intento de nueva conexión a eBox. Para
las interfaces internas se deniegan todos los intentos de conexión, excepto los que se realizan a
servicios internos definidos en el módulo Servicios, que son aceptadas por defecto.
Además eBox configura el cortafuegos automáticamente de tal manera que hace NAT para los
paquetes que provengan de una interfaz interna y salgan por una externa. Si no se desea esta
funcionalidad, puede ser desactivada mediante la variable nat_enabled en el fichero de configuración
del módulo cortafuegos en /etc/ebox/80firewall.conf.
Configuración de un cortafuegos con eBox
Para facilitar el manejo de iptables en tareas de filtrado se usa el interfaz de eBox en Cortafuegos →
Filtrado de paquetes.
Si eBox actúa como puerta de enlace, se pueden establecer reglas de filtrado que se encargarán
de determinar si el tráfico de un servicio local o remoto debe ser aceptado o no. Hay cinco tipos de
tráfico de red que pueden controlarse con las reglas de filtrado:
61
• Tráfico de redes internas a eBox (ejemplo: permitir acceso SSH desde algunas máquinas).
• Tráfico entre redes internas y de redes internas a Internet (ejemplo: prohibir el acceso a Internet
desde determinada red interna).
• Tráfico de eBox a redes externas (ejemplo: permitir descargar ficheros por FTP desde la propia
máquina con eBox).
• Tráfico de redes externas a eBox (ejemplo: permitir que el servidor de Jabber se utilice desde
Internet).
• Tráfico de redes externas a redes internas (ejemplo: permitir acceder a un servidor Web interno
desde Internet).
Hay que tener en cuenta que los dos últimos tipos de reglas pueden ser un compromiso para la
seguridad de eBox y la red, por lo que deben utilizarse con sumo cuidado. Se pueden ver los tipos de
filtrado en el siguiente gráfico:
Figure 3.6: Tipos de reglas de filtrado
eBox provee una forma sencilla de controlar el acceso a sus servicios y los del exterior desde una
interfaz interna (donde se encuentra la Intranet) e Internet. Su configuración habitual se realiza por
objeto. Así podemos determinar cómo un objeto de red puede acceder a cada uno de los servicios de
62
eBox. Por ejemplo, podríamos denegar el acceso al servicio de DNS a determinada subred. Además
se manejan las reglas de acceso a Internet, por ejemplo, para configurar el acceso a Internet se debe
habilitar la salida como cliente a los puertos 80 y 443 del protocolo TCP a cualquier dirección.
Figure 3.7: Lista de reglas de filtrado de paquetes desde las redes internas a eBox
Cada regla tiene un origen y destino que es dependiente del tipo de filtrado que se realiza. Por
ejemplo, las reglas de filtrado para salida de eBox sólo hace falta fijar el destinatario ya que el origen
siempre es eBox. Se puede usar un servicio concreto o su inverso para, por ejemplo, denegar todo el
tráfico de salida excepto el de SSH 3 . Adicionalmente, se le puede dar una descripción para facilitar
la gestión de las reglas. Finalmente, cada regla tiene una decisión que tomar, existen tres tipos:
• Aceptar la conexión.
• Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se
ha podido establecer la conexión.
• Denegar la conexión y además registrarla. De esta manera, a través de Registros -> Consulta
registros del Cortafuegos podemos ver si una regla está funcionando correctamente.
3
SSH: Secure Shell permite la comunicación segura entre dos máquinas usando principalmente como consola remota
63
Redirecciones de puertos
Las redirecciones de puertos (NAT de destino) se configuran desde Cortafuegos → Redirecciones de

puertos donde se puede hacer que todo el tráfico dirigido a un puerto externo (o rango de puertos),
se direccione a una máquina que está escuchando en un puerto determinado haciendo la traducción
de la dirección destino.
Para configurar una redirección hay que establecer la interfaz donde se va a hacer la traducción,
el destino original (puede ser eBox, una dirección IP o un objeto), el puerto de destino original
(puede ser cualquiera, un rango de puertos o un único puerto), el protocolo, la origen desde donde se
iniciará la conexión (en una configuración usual su valor será cualquiera), la IP destino y, finalmente,
el puerto donde la máquina destino recibirá las peticiones, que puede ser el mismo que el original
o no. Existe también un campo opcional llamado descripción que es útil para añadir un comentario
que describa el propósito de la regla.
Según el ejemplo, todas las conexiones que vayan a eBox a través del interfaz eth0 al puerto
8080/TCP se redirigirán al puerto 80/TCP de la máquina con dirección IP 10.10.10.10.
Ejemplo práctico
Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970 en la máquina
eBox. Añadir un servicio y una regla de cortafuegos para que una máquina interna pueda acceder al
servicio.
64
Para ello:
1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo Cortafuegos, para
ello marcar su casilla en la columna Estado.
Efecto: eBox solicita permiso para realizar algunas acciones.
2. Acción: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo.
3. Acción:
Crear un servicio interno a través de Servicios con nombre netcat con puerto destino 6970.
Seguidamente, ir a Cortafuegos → Filtrado de paquetes en Reglas de filtrado desde las
redes internas a eBox añadir la regla con, al menos, los siguientes campos:
• Decisión : ACEPTAR
• Fuente : Cualquiera
• Servicio : netcat. Creado en esta acción.
Una vez hecho esto. Guardar cambios para confirmar la configuración.
Efecto: El nuevo servicio netcat se ha creado con una regla para las redes internas que
permiten conectarse al mismo.
4. Acción: Lanzar desde la consola de eBox el siguiente comando:
nc -l -p 6970
5. Acción: Desde la máquina cliente comprobar que hay acceso a dicho servicio usando el co-
mando nc:
nc <ip_eBox> 6970
Efecto Puedes enviar datos que serán visto en la terminal donde hayas lanzado netcat en
eBox.
65
3.3 Encaminamiento
3.3.1 Tablas de encaminamiento
El término encaminamiento hace referencia a la acción de decidir a través de qué interfaz debe ser
enviado un determinado paquete que va a salir desde una máquina. El sistema operativo cuenta con
una tabla de encaminamiento con un conjunto de reglas para tomar esta decisión.
Cada una de estas reglas cuenta con diversos campos, pero los tres más importantes son: di-
rección de destino, interfaz y router. Se deben de leer como sigue: para llegar a una dirección de
destino dada, tenemos que dirigir el paquete a través de un router, el cual es accesible a través de
una determinada interfaz.
Cuando llega un mensaje, se compara su dirección destino con las entradas en la tabla y se
envía por la interfaz indicada en la regla cuya dirección mejor coincide con el destino del paquete,
es decir, aquella regla que es más específica. Por ejemplo, si se especifica una regla en la que para
alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra regla en la que para alcanzar la red B
(10.15.23.0/24), la cual es una subred de A, debe ir por el router B; si llega un paquete con destino
10.15.23.23/32, entonces el sistema operativo decidirá que se envíe al router B ya que existe una
regla más específica.
Todas las máquinas tienen al menos una regla de encaminamiento para la interfaz de loopback,
o interfaz local, y reglas adicionales para otras interfaces que la conectan con otras redes internas o
con Internet.
Para realizar la configuración manual de una tabla de rutas estáticas se utiliza Red → Rutas
(interfaz para el comando route o ip route). Estas rutas pueden ser sobreescritas si se utiliza el
protocolo DHCP.
Puerta de enlace
A la hora de enviar un paquete, si ninguna ruta coincide y hay una puerta de enlace configurada, éste
se enviará a través de la puerta de enlace.
La puerta de enlace (gateway ) es la ruta por omisión para los paquetes que se envían a otras
redes.
Para configurar una puerta de enlace se utiliza Red → Puertas de enlace.
66
Figure 3.8: Configuración de rutas
Habilitado: Indica si realmente esta puerta de enlace es efectiva o está desactivada.
Nombre: Nombre por el que identificaremos a la puerta de enlace.
Dirección IP: Dirección IP de la puerta de enlace. Esta dirección debe ser accesible desde la
máquina que contiene eBox.
Interfaz: Interfaz de red conectada a la puerta de enlace. Los paquetes que se envíen a la puerta de
enlace se enviarán a través de esta interfaz.
Peso: Cuanto mayor sea el peso, más tráfico absorberá esa puerta de enlace cuando esté activado
el balanceo de carga.
Default: Si está activado, se toma esta como la puerta de enlace por omisión.
67
Si se tienen interfaces configuradas como DHCP o PPPoE no se pueden añadir puertas de enlace
explíticamente para ellas, dado que ya son gestionadas automáticamente. A pesar de eso, se pueden
seguir activando o desactivando, editando su Peso o elegir el Predeterminado, pero no se pueden
editar el resto de los atributos.
Figure 3.9: Lista de puertas de enlace con DHCP y PPPoE
Ejemplo práctico A
Vamos a configurar la interfaz de red de manera estática. La clase quedará dividida en dos
subredes.
Para ello:
1. Acción: Acceder a la interfaz de eBox, entrar en Red → Interfaces y seleccionar para el

interfaz de red eth0 el método Estático. Como dirección IP introducir la que indique el
instructor. Como Máscara de red 255.255.255.0. Pulsar el botón Cambiar.
La dirección de red tendrá la forma 10.1.X.Y, dónde 10.1.X corresponde con la red e Y con la
máquina. En adelante usaremos estos valores.
Entrar en Red → DNS y seleccionar Añadir. Introducir como Servidor de nombres 10.1.X.1.
Pulsar Añadir.
Efecto: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene los datos
introducidos. Ha aparecido una lista con los servidores de nombres en la que aparece el
servidor recién creado.
Efecto: eBox muestra el progreso mientras aplica los cambios.
68
3. Acción: Acceder a Red → Diagnóstico. Hacer ping a ebox-platform.com.
Efecto: Se muestra como resultado:
connect: Network is unreachable
4. Acción: Acceder a Red → Diagnóstico. Hacer ping a una eBox de un compañero de aula que
forme parte de la misma subred.
esté en la otra subred.
Ejemplo práctico B
Vamos a configurar una ruta para poder acceder a máquinas de otras subredes.
Para ello:
1. Acción: Acceder a la interfaz de eBox, entrar en Red → Rutas y seleccionar Añadir nuevo.
Rellenar el formulario con los siguientes valores:
Network 10.1.X.0 / 24
Gateway 10.1.1.1
Description Ruta a la otra subred
Pulsar el botón Añadir.
Efecto: Se ha activado el botón Guardar Cambios. Ha aparecido una lista de rutas en la que
se incluye la ruta recién creada.
69
Ejemplo práctico C
Vamos a configurar una puerta de enlace que nos conecte con el resto de redes.
Para ello:
1. Acción: Acceder a la interfaz de eBox, entrar en Red → Rutas y eliminar la ruta creada en el
ejercicio anterior.
Entrar en Red → Puertas de enlace y selecciona Añadir nuevo. Rellenar con los siguientes
datos:
Nombre Default Gateway
IP Address 10.1.X.1
Interface eth0
Weight 1
Default sí
Efecto: Se ha activado el botón Guardar Cambios. Ha desaparecido la lista de rutas. Ha

aparecido una lista de puertas de enlace con la puerta de enlace recién creada.
70
3.3.2 Reglas multirouter y balanceo de carga
Las reglas multirouter son una herramienta que permite a los computadores de una red utilizar varias
conexiones a Internet de una manera transparente. Esto es útil si, por ejemplo, una oficina dispone
de varias conexiones ADSL y queremos poder utilizar la totalidad del ancho de banda disponible sin
tener que preocuparnos de repartir el trabajo manualmente de las máquinas entre ambos routers, de
tal manera que la carga se distribuya automáticamente entre ellos.
El balanceo de carga básico reparte de manera equitativa los paquetes que salen de eBox hacia
Internet. La forma más simple de configuración es establecer diferentes pesos para cada router, de
manera que si las conexiones de las que se dispone tienen diferentes capacidades podemos hacer
un uso óptimo de ellas.
Las reglas multirouter permiten hacer que determinado tipo de tráfico se envíe siempre por el
mismo router en caso de que sea necesario. Ejemplos comunes son enviar siempre el correo elec-
trónico por un determinado router o hacer que una determinada subred siempre salga a Internet por
el mismo router.
eBox utiliza las herramientas iproute2 e iptables para llevar a cabo la configuración necesaria
para la funcionalidad de multirouter. Mediante iproute2 se informa al kernel de la disponibilidad
de varios routers. Para las reglas multirouter se usa iptables para marcar los paquetes que nos
interesan. Estas marcas pueden ser utilizadas desde iproute2 para determinar el router por el que
un paquete dado debe ser enviado.
Hay varios posibles problemas que hay que tener en cuenta. En primer lugar en iproute2 no existe
el concepto de conexión, por lo que sin ningún otro tipo de configuración los paquetes pertenecientes
a una misma conexión podrían acabar siendo enviados por diferentes routers, imposibilitando la co-
municación. Para solucionar esto se utiliza iptables para identificar las diferentes conexiones y ase-
gurarnos que todos los paquetes de una conexión se envían por el mismo router.
Lo mismo ocurre con las conexiones entrantes que se establecen, todos los paquetes de re-
spuesta a una conexión deben ser enviados por el mismo router por el cual se recibió esa conexión.
Para establecer una configuración multirouter con balanceo de carga en eBox debemos definir
tantos routers como sean necesarios en Red → Puertas de enlace. Utilizando el parámetro peso en
la configuración de un router podemos determinar la proporción de paquetes que cada uno de ellos
enviará. Si se dispone de dos routers y establecemos unos pesos de 5 y 10 respectivamente, por el
primer router se enviarán 5 de cada 15 paquetes mientras que los otros 10 restantes se enviarán a
través del segundo.
71
Las reglas multirouter y el balanceo de tráfico se establecen en la sección Red → Balanceo

de tráfico. En esta sección podemos añadir reglas para enviar ciertos paquetes a un determinado
router dependiendo de la interfaz de entrada, la fuente (puede ser una dirección IP, un objeto, eBox
o cualquiera), el destino (una dirección IP o un objeto de red), el servicio al que se quiere asociar
esta regla y por cual de los routers queremos direccionar el tipo de tráfico especificado.
Ejemplo práctico D
Configurar un escenario multirouter con varios routers con diferentes pesos y comprobar que funciona
utilizando la herramienta traceroute.
Para ello:
1. Acción: Ponerse por parejas, dejando una eBox con la configuración actual y añadiendo en la
otra un nuevo gateway, accediendo a través del interfaz a Red → Puertas de enlace y pulsando
en Añadir nuevo, con los siguientes datos:
Nombre Gateway 2
72
Dirección IP <IP eBox compañero>
Interfaz eth0
Peso 1
Predeterminado sí
Efecto: Se ha activado el botón Guardar Cambios. Ha aparecido una lista de puertas de

enlace con la puerta de enlace recién creada y la puerta de enlace anterior.
3. Acción: Ir a una consola y ejecutar el siguiente script:
for i in $(seq 1 254); do sudo traceroute -I -n 155.210.33.$i -m 6; done
Efecto: El resultado de una ejecución de traceroute muestra los diferentes routers por los
que un paquete pasa para llegar a su destino. Al ejecutarlo en una máquina con configu-
ración multirouter el resultado de los primeros saltos entre routers debería ser diferente
dependiendo del router elegido.
3.3.3 Tolerancia a fallos (WAN Failover)
Si se está balanceando tráfico entre dos o más routers esta característica es realmente útil. En un
escenario normal sin tolerancia a fallos, supóngase que se está balanceando el tráfico entre dos
routers y uno de ellos se cae. Asumiendo que los dos routers tengan el mismo peso, la mitad del
tráfico seguiría intentando salir por el router caído, causando problemas de conectividad a todos los
clientes de la red.
En la configuración del failover se pueden definir conjuntos de reglas para cada router que nece-
site ser comprobado. Estas reglas pueden ser un ping al router, a una máquina externa, una resolu-
ción de DNS o una petición HTTP. También se puede definir cuántas pruebas se quieren realizar así
como el porcentaje de aceptación exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje
de aceptación, el router asociado a ella será desactivado. Pero las pruebas se siguen ejecutando, por
tanto, en cuanto el router vuelva a estar operativo, todas las pruebas se ejecutarán satisfactoriamente
y el router será activado de nuevo.
73
Deshabilitar un router sin conexión tiene como consecuencia que todo el tráfico salga por el otro
router que sigue habilitado, en lugar de ser balanceado. De esta forma, los usuarios de la red no
deberían sufrir problemas con su conexión a Internet. Una vez que eBox detecta que el router caído
está completamente operativo se restaura el comportamiento normal de balanceo de tráfico.
El failover está implementado como un evento de eBox. Para usarlo, primero se necesita tener el
4
módulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.
Para configurar las opciones y reglas del failover se debe acudir al menú Red → WAN Failover.
Se puede especificar el periodo del evento modificando el valor de la opción Tiempo entre revisiones.
Para añadir una regla simplemente hay que pulsar la opción Añadir nueva y aparecerá un formulario
con los siguientes campos:
Habilitado: Indica si la regla va a ser aplicada o no durante la comprobación de conectividad de

los routers. Se pueden añadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las
necesidades, sin tener que borrarlas y añadirlas de nuevo.
4
Para más detalles acerca de cómo funcionan y como se configuran los eventos en eBox se puede consultar el capítulo
Incidencias (eventos y alertas).
74
Router: Se encuentra previamente rellenado con la lista de routers configurados, sólo se necesita
seleccionar uno de ellos.
Tipo de prueba: Puede tomar uno de los siguientes valores:
Ping a puerta de enlace: Envía un paquete ICMP echo con la dirección de la puerta de en-
lace como destino.
Ping a máquina: Envía un paquete ICMP echo con la dirección IP de la máquina externa
especificada abajo como destino.
Resolución DNS: Intenta obtener la dirección IP para el nombre de máquina especificado

abajo.
Petición HTTP: Se descarga el contenido del sitio web especificado abajo.
Máquina: El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping
a puerta de enlace.
Número de pruebas: Número de veces que se repite la prueba.
Ratio de éxito requerido: Indica que proporción de intentos satisfactorios es necesaria para consid-
erar correcta la prueba.
Se recomienda configurar un emisor de eventos para estar al tanto de las conexiones y desconex-
iones de routers que puedan producirse. Si no se hace esto, los eventos serán registrados solamente
en el fichero /var/log/ebox/ebox.log.
3.4 Moldeado de tráfico
3.4.1 Calidad de servicio (QoS)
La calidad de servicio (Quality of Service, QoS) en redes de computadores se refiere a los mecan-
ismos de control en la reserva de recursos que pueden dar diferente prioridad a usuarios o flujos de
datos diferentes, o garantizar un cierto nivel de rendimiento de acuerdo con las restricciones impues-
tas por la aplicación. Restricciones como el retraso en la entrega, la tasa de bit, la probabilidad de
pérdida de paquetes o la variación de retraso por paquete 5 pueden estar fijadas por diversas aplica-
ciones de flujo de datos multimedia como voz o TV sobre IP. Estos mecanismos sólo aplican cuando
5
jitter o Packet Delay Variation (PDV) es la diferencia en el retraso entre el emisor y el receptor entre los paquetes
seleccionados de un flujo.
75
los recursos son limitados (redes inalámbricas celulares) o cuando hay congestión en la red, en caso
contrario no se deberían aplicarse dichos mecanismos.
Existen diversas técnicas para dar calidad de servicio:
Reserva de recursos de red: Usando el protocolo Resource reSerVation Protocol (RSVP) para
pedir y reservar espacio en los encaminadores. Sin embargo, esta opción se ha relegado
ya que no escala bien en el crecimiento de Internet.
Uso de servicios diferenciados (DiffServ): Mediante el marcado de paquetes dependiendo el ser-

vicio al que sirven. Dependiendo de las marcas, los encaminadores usarán diversas técnicas
de encolamiento para adaptarse a los requisitos de las aplicaciones. Esta técnica está actual-
mente aceptada.
Como añadido a estos sistemas, existen mecanismos de gestión de ancho de banda para mejorar
la calidad de servicio basada en el moldeado de tráfico, algoritmos de scheduling o evitación de
la congestión.
Para el moldeado de tráfico existen básicamente dos algoritmos:
Token bucket: Dicta cuando el tráfico puede transmitirse, basado en la presencia de tokens en el
bucket (sitio virtual donde almacenar tokens). Cada token es una unidad de Bytes determi-
nada, así cada vez que se envían datos, se consumen tokens, cuando no hay tokens no es
posible transmitir datos. Se proveen tokens periódicamente a cada uno de los buckets. Con
esta técnica se permite el envío de datos en períodos de alta demanda 6 .
Leaky bucket: Se basa en la presencia de un bucket con un agujero. Entran paquetes en el bucket
hasta que este se llena, momento en el que se descartan. La salida de paquetes se hace a
una tasa continua y estable a través de dicho agujero.
3.4.2 Configuración de la calidad de servicio en eBox
eBox utiliza las capacidades del núcleo de Linux 7 para hacer moldeado de tráfico usando token bucket
que permite una tasa garantizada, limitada y una prioridad a determinados tipos de flujos de datos
(protocolo y puerto) a través del menú Moldeado de tráfico → Reglas.
Para poder realizar moldeado de tráfico es necesario disponer de al menos una interfaz interna y
una interfaz externa. También debe existir un router. Además debemos configurar las tasas de subida
y bajada de los routers en Moldeado de tráfico → Tasas de Interfaz, estableciendo el ancho de banda
6
Término conocido como burst.
7
Linux Advanced Routing & Traffic Control http://lartc.org
76
que nos proporciona cada router que está conectado a una interfaz externa. Las reglas de moldeado
son específicas para cada interfaz y pueden asignarse a las interfaces externas con ancho de banda
asignado y a todas las interfaces internas.
Si se moldea la interfaz externa, entonces se estará limitando el tráfico de salida de eBox hacia
Internet. En cambio, si se moldea la interfaz interna, entonces se estará limitando la salida de eBox
hacia sus redes internas. El límite máximo de tasa de salida y entrada viene dado por la configuración
en Moldeado de tráfico → Tasas de Interfaz. Como se puede observar, no se puede moldear el tráfico
entrante en sí, eso es debido a que el tráfico proveniente de la red no es predecible y controlable de
casi ninguna forma. Existen técnicas específicas a diversos protocolos para tratar de controlar el
tráfico entrante a eBox, como por ejemplo, TCP con el ajuste artificial del tamaño de ventana de flujo
de la conexión TCP o controlando la tasa de confirmaciones (ACK ) devueltas al emisor.
Para cada interfaz se pueden añadir reglas para dar prioridad (0: máxima prioridad, 7: mínima
prioridad), tasa garantizada o tasa limitada. Esas reglas se aplicarán al tráfico determinado por el
servicio, origen y destino del flujo.
Figure 3.10: Reglas de moldeado de tráfico
Ejemplo práctico
Crear una regla para moldear el tráfico de bajada HTTP y limitarlo a 20KB/s. Comprobar su fun-
cionamiento.
1. Acción: Añadir un router a través de Red → Routers a tu interfaz de red externo.
Efecto: Se ha activado el botón Guardar Cambios. La lista de puertas de enlace contiene un

único router.
77
3. Acción: Acceder de nuevo a la interfaz de eBox y añadir en Servicios un servicio llamado

HTTP con protocolo TCP, tipo externo y puerto de destino simple 80.
Efecto: eBox muestra una lista con los servicios en la que aparece nuestro nuevo servicio
HTTP.
4. Acción: Ir a la entrada Moldeado de tráfico → Reglas. Seleccionar la interfaz interna en la

lista de interfaces y pulsar en Añadir nuevo para añadir una nueva regla con los siguientes
datos:
Habilitada Sí
Servicio Servicio basado en puerto / HTTP
Origen cualquiera
Destino cualquiera
Prioridad 7
Tasa garantizada 0 Kb/s
Tasa limitada 160 Kb/s
Efecto: eBox muestra una tabla con la nueva regla de moldeado de tráfico.
5. Acción: Comenzar a descargar desde una máquina de tu LAN (distinta de eBox) usando el
comando wget un fichero grande accesible desde Internet (por ejemplo, una imagen ISO de
Ubuntu).
Efecto: La velocidad de descarga de la imagen no supera los 20KB/s (160 Kbits/s).
3.5 RADIUS
RADIUS (Remote Authentication Dial In User Service) es un protocolo de red que proporciona aut-
enticación, autorización y gestión de la tarificación, en inglés AAA (Authentication, Authorization and
Accounting) para ordenadores que se conectan y usan una red.
El flujo de autenticación y autorización en RADIUS funciona de la siguiente manera: el usuario

o máquina envía una petición a un NAS (Network Access Server ) como podría ser un punto de
78
acceso inalámbrico, utilizando el protocolo de enlace pertinente para obtener acceso a una red uti-
lizando los credenciales de acceso. En respuesta, el NAS envía un mensaje Access Request al
servidor RADIUS solicitando autorización para acceder a la red, incluyendo todos los credenciales
de acceso necesarios, no solo nombre de usuario y contraseña, pero probablemente también realm,
dirección IP, VLAN asignada y tiempo máximo que podrá permanecer conectado. Esta información
se comprueba utilizando esquemas de autenticación como Password Authentication Protocol (PAP),
8
Challenge-Handshake Authentication Protocol (CHAP) or Extensible Authentication Protocol (EAP)
y se envía una respuesta al NAS:
Access Reject: Cuando se deniega el acceso al usuario.
Access Challenge: Cuando se solicita información adicional, como en TTLS donde un diálogo a
través de un túnel establecido entre el servidor RADIUS y el cliente realiza una segunda aut-
enticación.
Access Accept: Cuando se autoriza el acceso al usuario.
Los puertos oficialmente asignados por el IANA son 1812/UDP para autenticación y 1813/UDP
para tarificación. Este protocolo no transmite las contraseñas en texto plano entre el NAS y el servidor
(incluso utilizando el protocolo PAP) ya que existe una contraseña compartida que cifra la comuni-
cación entre ambas partes.
El servidor FreeRADIUS 9 es el elegido para el servicio de RADIUS en eBox.
3.5.1 Configuración del servidor RADIUS con eBox
Para configurar el servidor RADIUS en eBox, primero comprobaremos en Estado del Módulo si Usuar-
ios y Grupos está habilitado, ya que RADIUS depende de él. Entonces marcaremos la casilla RA-
DIUS para habilitar el módulo de eBox de RADIUS.
Para configurar el servicio, accederemos a RADIUS en el menú izquierdo. Allí podremos definir si
Todos los usuarios o sólamente los usuarios que pertenecen a uno de los grupos existentes podrán
acceder al servicio.
Todos los dispositivos NAS que vayan a enviar solicitudes de autenticación a eBox deben ser
especificados en Clientes RADIUS. Para cada uno podemos definir:
Habilitado: Indicando si el NAS está habilitado o no.
Cliente: El nombre para este cliente, como podría ser el nombre de la máquina.
8
Estos protocolos de autenticación están definidos en RFC 1334.
9
FreeRADIUS - El servidor RADIUS más popular del mundo <http://freeradius.org/>.
79
Figure 3.11: Configuración general de RADIUS
Dirección IP: La dirección IP o el rango de direcciones IP a las que se permite enviar peticiones al
servidor RADIUS.
Contraseña compartida: Contraseña compartida entre el servidor RADIUS y el NAS para autenticar
y cifrar sus comunicaciones.
3.5.2 Configuración del Punto de Acceso
En cada dispositivo NAS necesitaremos configurar la dirección de eBox como el servidor RADIUS,
el puerto, normalmente el UDP/1812, y la contraseña compartida. Tanto WPA como WPA2, usando
TKIP o AES (recomendado) pueden usarse con eBox RADIUS. El modo deberá ser EAP.
3.6 Servicio Proxy HTTP
Un servidor Proxy Caché Web se utiliza para reducir el consumo de ancho de banda en una conexión
HTTP (Web) 10 , controlar su acceso, mejorar la seguridad en la navegación e incrementar la velocidad
de recepción de páginas de la red.
Un proxy es un programa que actúa de intermediario en la conexión a un protocolo, en este

caso el protocolo HTTP. Al intermediar puede modificar el comportamiento del protocolo, por ejemplo
actuando de caché o modificando los datos recibidos.
10
Para más información sobre el servicio HTTP, ir a la sección Servicio de publicación de información web (HTTP).
80
Figure 3.12: Configuración del Punto de Acceso
81
El servicio de proxy HTTP suministrado por eBox ofrece las siguientes funcionalidades:
• Actúa de caché de contenidos acelerando la navegación y reduciendo el consumo de ancho

de banda.
• Restricción de acceso dependiendo de la dirección de red de origen, de usuario o de horario.
• Anti-virus, bloqueando el acceso a contenidos infectados.
• Restricción de acceso a determinados dominios y tipos de fichero.
• Filtrado de contenidos.
eBox utiliza Squid 11 como proxy, apoyándose en Dansguardian 12 para el control de contenidos.
3.6.1 Configuración de política de acceso
La parte más importante de configurar el proxy HTTP es establecer la política de acceso al contenido
web a través de él. La política determina si se puede acceder a la web y si se aplica del filtro de
contenidos.
El primer paso a realizar es definir una política global de acceso. Podemos establecerla en la
sección Proxy HTTP → General, seleccionando una de las seis políticas disponibles:
11
Squid: http://www.squid-cache.org Squid Web Proxy Cache
12
Dansguardian: http://www.dansguardian.org Web content filtering
82
Permitir todo: Con esta política se permite a los usuarios navegar sin restricciones. Esta falta de
restricciones no significa que no puedan disfrutar de las ventajas de la caché de páginas web.
Denegar todo: Esta política deniega el acceso web. A primera vista podría parecer poco útil ya que el
mismo efecto se puede conseguir más fácilmente con una regla de cortafuegos. Sin embargo,
como explicaremos posteriormente podemos establecer políticas particulares para cada objeto
de red, pudiendo usar esta política para denegar por defecto y luego aceptar las peticiones
web para determinados objetos.
Filtrar: Esta política permite el acceso y activa el filtrado de contenidos que puede denegar el acceso
web según el contenido solicitado por los usuarios.
Autorizar y Filtrar, Autorizar y permitir todo, Autorizar y denegar todo: Estas políticas son ver-
siones de las políticas anteriores que incluyen autorización. La autorización se explicará en
la sección Configuración Avanzada para el proxy HTTP.
Tras establecer la política global, podemos refinar nuestra política asignando políticas particulares
a objetos de red. Para asignarlas entraremos en la sección Proxy HTTP → Política de objetos.
Podremos elegir cualquiera de las seis políticas para cada objeto; cuando se acceda al proxy
desde cualquier miembro del objeto esta política tendrá preferencia sobre la política global. Una
dirección de red puede estar contenida en varios objetos distintos por lo que es posible ordenar los
objetos para reflejar la prioridad. Se aplicará la política del objeto de mayor prioridad que contenga la
dirección de red. Además existe la posibilidad de definir un rango horario fuera del cual no se permitira
acceso al objeto de red.
83
Warning: La opción de rango horario no es compatible para políticas que usen filtrado de con-
tenidos.
Figure 3.13: Políticas de acceso web para objetos de red
3.6.2 Conexión al proxy y modo transparente
Para conectar al proxy HTTP, los usuarios deben configurar su navegador estableciendo eBox como
proxy web. El método específico depende del navegador, pero la información necesaria es la dirección
del servidor de eBox y el puerto donde acepta peticiones el proxy.
El proxy de eBox Platform únicamente acepta conexiones provenientes de sus interfaces de red
internas, por tanto, se debe usar una dirección interna en la configuración del navegador.
El puerto por defecto es el 3128, pero se puede configurar desde la sección Proxy HTTP →
General. Otros puertos típicos para servicios de proxy web son el 8000 y el 8080.
Para evitar que los usuarios se salten cualquier control de usuario sin pasar por el proxy, de-
beríamos tener denegado el tráfico HTTP en nuestro cortafuegos.
Una manera de evitar la necesidad de configurar cada navegador es usar el modo transpar-
ente. En este modo, eBox debe ser establecido como puerta de enlace y las conexiones HTTP hacia
las redes externas a eBox (Internet) serán redirigidas al proxy. Para activar este modo debemos ir
a la página Proxy HTTP → General y marcar la opción proxy transparente. Como veremos en
Configuración Avanzada para el proxy HTTP, el modo transparente es incompatible con políticas que
requieran autorización.
84
Por último, hay que tener en cuenta que el tráfico Web seguro (HTTPS) no puede ser filtrado al
estar cifrado. Si se quiere usar el proxy transparente se debe establecer una regla en el cortafuegos
para las redes internas hacia Internet dando acceso garantizado al tráfico HTTPS.
3.6.3 Control de parámetros de la caché
En el apartado Proxy HTTP → General es posible definir el tamaño de la caché en disco y qué
direcciones están exentas de su uso.
El tamaño de la caché controla el máximo de espacio usado para almacenar los elementos web
cacheados. El tamaño se establece en el campo Tamaño de ficheros de caché que se puede
encontrar bajo el encabezado Configuración General.
Con un mayor tamaño se aumentará la probabilidad de que se pueda recuperar un elemento

desde la caché, pudiendo incrementar la velocidad de navegación y reducir el uso de ancho de banda.
Sin embargo, el aumento de tamaño tiene como consecuencias negativas no sólo el aumento de
espacio usado en el disco duro sino también un aumento en el uso de la memoria RAM, ya que la
caché debe mantener índices a los elementos almacenados en el disco duro.
Corresponde a cada administrador decidir cual es el tamaño óptimo para la caché teniendo en
cuenta las características de la máquina y el tráfico web esperado.
Es posible indicar dominios que estén exentos del uso de la caché. Por ejemplo, si tenemos
servidores web locales no se acelerará su funcionamiento usando la caché HTTP y se malgastaría
memoria que podría ser usada por elementos de servidores remotos. Si un dominio está exento de la
caché, cuando se reciba una petición con destino a dicho dominio se ignorará la caché y se devolverán
directamente los datos recibidos desde el servidor sin almacenarlos.
Dichos dominios se definen bajo el encabezado Excepciones a la caché que podemos encontrar
en la sección Proxy HTTP → General.
3.6.4 Filtrado de contenidos web
eBox permite el filtrado de páginas web según su contenido. Para que el filtrado tenga lugar la política
global o la particular de cada objeto desde que se accede deberá ser de Filtrar o Autorizar y Filtrar.
Con eBox se pueden definir múltiples perfiles de filtrado pero sólo trataremos en esta sección el
perfil por defecto, dejando la discusión de múltiples perfiles para la sección Configuración Avanzada
para el proxy HTTP. Para configurar las opciones de filtrado, iremos a Proxy HTTP → Perfiles de
Filtrado y seleccionaremos la configuración del perfil por defecto
85
El filtrado de contenidos de la páginas Web se basa en diferentes métodos incluyendo marcado

de frases clave, filtrado heurístico y otros filtros más sencillos. La conclusión final es determinar si una
página puede ser visitada o no.
El primer filtro es el anti-virus. Para poder utilizarlo debemos tener el módulo de antivirus insta-
lado y activado. Podemos configurar si deseamos activarlo o no. Si está activado se bloqueará el
tráfico HTTP en el que sean detectados virus.
El filtro de contenidos principalmente consiste en el análisis de los textos presentes en las paginas
web, si se considera que el contenido no es apropiado (pornografía, violencia, etc) se bloqueará el
acceso a la página.
Para controlar este proceso se puede establecer un umbral más o menos restrictivo, siendo este
el valor que se comparará con la puntuación asignada a la página para decidir si se bloquea o no. El
lugar donde establecer el umbral es la sección Umbral de filtrado de contenido. También se puede
desactivar este filtro eligiendo el valor Desactivado. Hay que tener en cuenta que con este análisis
se puede llegar a bloquear paginas inocuas, este problema se puede remediar añadiendo dominios a
una lista blanca, pero siempre existirá el riesgo de un falso positivo con páginas desconocidas.
Existen otro tipo de filtros de carácter explícito:
• Por dominio: Prohibiendo el acceso a la página de un diario deportivo en una empresa.
• Por extensión del fichero a descargar.
• Por tipo de contenidos MIME: Denegando la descarga de todos los ficheros de audio o vídeo.
Estos filtros están dispuestos en la interfaz por medio de las pestañas Filtro de extensiones de
fichero, Filtro de tipos MIME y Filtro de dominios,
86
En la pestaña de Filtro de extensiones de fichero se puede seleccionar que extensiones serán

bloqueadas.
De manera similar en Filtro de tipos MIME se puede indicar qué tipos MIME se quieren bloquear
y añadir otros nuevos si es necesario. Los tipos MIME (Multipurpose Internet Mail Extensions) son
un estándar, concebido para extender las capacidades del correo electrónico, que define los tipos de
contenidos. Estos también se usan en otros protocolos como el HTTP para determinar el contenido
de los ficheros que se transmiten. Un ejemplo de tipo MIME es text/html que son las páginas Web. El
primero de los elementos determina el tipo de contenido que almacena (texto, vídeo, audio, imagen,
binario, ...) y el segundo el formato específico para representar dicho contenido (HTML, MPEG, gzip,
...).
En la pestaña de Filtro de dominios encontraremos los parametros que controlan el filtrado de

paginas en base al dominio al que pertenecen. Existen dos opciones de carácter general:
87
• Bloquear dominios especificados sólo como IP, esta opción bloquea cualquier dominio es-
pecificado únicamente por su IP asegurándonos así que no es posible encontrar una manera
de saltarse nuestras reglas mediante el uso de direcciones IP.
• Bloquear dominios no listados, esta opción bloquea todos los dominios que no estén pre-
sentes en la seccion Reglas de dominios o en las categorias presentes en Archivos de listas
de dominios. En este último caso, las categorias con una política de Ignorar no son consider-
adas como listadas.
A continuación tenemos, la lista de dominios, donde podemos introducir nombres de dominio y

seleccionar una política para ellos entre las siguientes:
Permitir siempre: El acceso a los contenidos del dominio será siempre permitido, todos los filtros del
filtro de contenido son ignorados.
Denegar siempre: El acceso nunca se permitirá a los contenidos de este dominio.
Filtrar: Se aplicarán las reglas usuales a este dominio. Resulta útil si está activada la opción Blo-
quear dominios no listados.
En el encabezado Archivos de listas de dominios podemos simplificar el trabajo del admin-

istrador usando listas clasificadas de dominios. Estas listas son normalmente mantenidas por terceras
88
partes y tienen la ventaja de que los dominios están clasificados por categorías, permitiéndonos se-
leccionar una política para una categoría entera de dominios. eBox soporta las listas distribuidas por
13 14
urlblacklist , shalla’s blacklists y cualquiera que use el mismo formato.
Estas listas son distribuidas en forma de archivo comprimido. Una vez descargado el archivo,
podemos incorporarlo a nuestra configuración y establecer políticas para las distintas categorías de
dominios.
Las políticas que se pueden establecer en cada categoría son las mismas que se pueden asig-
nar a dominios y se aplican a todos los dominios presentes en dicha categoría. Existe una política
adicional Ignorar que, como su nombre indica, simplemente ignora la existencia de la categoría a la
hora de filtrar. Dicha política es la elegida por defecto para todas las categorías.
Ejemplo práctico
Activar el modo transparente del proxy. Comprobar usando los comandos de iptables las reglas de
NAT que ha añadido eBox para activar este modo
Para ello:
1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo Proxy HTTP, para
ello marcar su casilla en la columna Estado.

13
URLBlacklist: http://www.urlblacklist.com
14
Shalla’s blacklist: http://www.shallalist.de
89
3. Acción: Ir a Proxy HTTP → General, activar la casilla de Modo transparente. Asegurarnos

que eBox puede actuar como router, es decir, que haya al menos una interfaz de red externa y
otra interna.
Efecto: El modo transparente está configurado
4. Acción: Guardar cambios para confirmar la configuración
Efecto: Se reiniciarán los servicios de cortafuegos y proxy HTTP.
5. Acción: Desde la consola en la máquina en la que está eBox, ejecutar el comando

iptables -t nat -vL.
Efecto: La salida de dicho comando debe ser algo parecido a esto:
Chain PREROUTING (policy ACCEPT 7289 packets, 1222K bytes)

pkts bytes target prot opt in out source destination
799 88715 premodules all -- any any anywhere anywhere
Chain POSTROUTING (policy ACCEPT 193 packets, 14492 bytes)

29 2321 postmodules all -- any any anywhere anywhere
0 0 SNAT all -- any eth2 !10.1.1.1 anywhere to:10.1.1.
Chain OUTPUT (policy ACCEPT 5702 packets, 291K bytes)

Chain postmodules (1 references)

Chain premodules (1 references)

0 0 REDIRECT tcp -- eth3 any anywhere !192.168.45.204 tcp
90
Chapter 4
eBox Office
Uno de los fundamentos de la creación de las redes de computadores, fue la compartición de recursos
y de información 1 . A lo largo de todo este capítulo, se van a ir explorando los diferentes recursos de
información disponibles en una red de área local dispuesta en casa o en la oficina.
La gestión de usuarios y grupos a través de un servicio de directorio para todos los servicios
de la red de forma unificada, el empleo de ficheros e impresoras compartidas, además de todos los
servicios de grupo como calendarios, contactos, tareas, etc, se van a ver dentro de este apartado.
4.1 Servicio de directorio (LDAP)
Para almacenar y organizar la información relativa a organizaciones (en nuestro caso, usuarios y gru-
pos) se utilizan los servicios de directorio. Estos permiten a los administradores de la red manejar
el acceso a los recursos por parte de los usuarios añadiendo una capa de abstracción entre ambos.
Este servicio da una interfaz de acceso a la información. También actúa como una autoridad central y
común a través de la cual los usuarios se pueden autenticar de manera segura.
Se podría hacer la analogía entre un servicio de directorio y las páginas amarillas. Entre sus
características destacan:
• La información es muchas más veces leída que escrita.
• Estructura jerárquica que simula la arquitectura de las organizaciones.

1
De hecho, se considera la motivación principal de su creación.
91
• A cada clase de objeto, estandarizada por la IANA 2 , se le definen unas propiedades sobre las
cuales se pueden definir listas de control de acceso (ACLs).
Existen múltiples implementaciones del servicio de directorio entre las que destacamos NIS,
OpenLDAP, ActiveDirectory, etc. eBox usa OpenLDAP como servicio de directorio con tecnología
Samba para controlador de dominios Windows además de para la compartición de ficheros e impre-
soras.
4.1.1 Usuarios y grupos
Normalmente, en la gestión de una organización de mayor o menor tamaño existe la concepción

de usuario o grupo. Para facilitar la tarea de administración de recursos compartidos se diferencia
entre entre usuarios y grupos de ellos. Cada uno de los cuales puede tener diferentes privilegios con
respecto a los recursos de la organización.
Gestión de los usuarios y grupos en eBox
Modos
Como se ha explicado, eBox está diseñada de manera modular, permitiendo al administrador

distribuir los servicios entre varias máquinas de la red. Para que esto sea posible, el módulo de
usuarios y grupos puede configurarse siguiendo una arquitectura maestro/esclavo para compartir
usuarios entre las diferentes eBoxes.
Por defecto y a no ser que se indique lo contrario en el menú Usuarios y Grupos → Modo,
3
el módulo se configurará como un directorio LDAP maestro y el Nombre Distinguido (DN) del
directorio se establecerá de acuerdo al nombre de la máquina. Si se desea configurar un DN diferente,
se puede hacer en la entrada de texto LDAP DN.
2
Internet Assigned Numbers Authority (IANA) es una organización que se encarga de la asignación de direcciones IP
públicas, nombres de dominio de máximo nivel (TLD), etc. http://www.iana.org/
3
Cada entrada en un directorio LDAP tiene un identificador único llamado nombre distinguido que tiene similitudes
con el concepto de ruta completa de fichero en un sistema de ficheros.
92
CHAPTER 4. EBOX OFFICE
Otras eBoxes pueden ser configuradas para usar un maestro como fuente de sus usuarios, con-
virtiéndose así en directorios esclavos. Para hacer esto, se debe seleccionar el modo esclavo en
Usuarios y Grupos → Modo. La configuración del esclavo necesita dos datos más, la IP o nombre de
máquina del directorio maestro y su clave de LDAP. Esta clave no es la de eBox, sino una generada
automáticamente al activar el módulo usuarios y grupos. Su valor puede ser obtenido en el campo
Contraseña de la opción de menú Usuarios y Grupos → Datos LDAP en la eBox maestra.
Hay un requisito más antes de registrar una eBox esclava en una eBox maestra. El maestro debe
de ser capaz de resolver el nombre de máquina del esclavo utilizando DNS. Hay varias maneras de
conseguir esto. La más sencilla es añadir una entrada para el esclavo en el fichero /etc/hosts del
maestro. Otra opción es configurar el servicio DNS en eBox, incluyendo el nombre de máquina del
esclavo y la dirección IP.
Si el módulo cortafuegos está habilitado en la eBox maestra, debe ser configurado de manera
que permita el tráfico entrante de los esclavos. Por defecto, el cortafuegos prohíbe este tráfico, por lo
que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir.
93
Una vez todos los parámetros han sido establecidos y el nombre de máquina del esclavo puede
ser resuelto desde el maestro, el esclavo puede registrarse en la eBox maestra habilitando el módulo
de usuarios y grupos en Estado de los módulos.
Los esclavos crean una réplica del directorio maestro cuando se registran por primera vez, que
se mantiene actualizada automáticamente cuando se añaden nuevos usuarios y grupos. Se puede
ver la lista de esclavos en el menú Usuarios y grupos → Estado de los esclavos de la eBox maestra.
Los módulos que utilizan usuarios como por ejemplo correo y compartición de ficheros pueden
instalarse ahora en los esclavos y utilizarán los usuarios disponibles en la eBox maestra. Algunos
módulos necesitan que se ejecuten algunas acciones cuando se añaden usuarios, como por ejemplo
compartición de ficheros, que necesita crear los directorios de usuario. Para hacer esto, el maestro
notifica a los esclavos sobre nuevos usuarios y grupos cuando son creados, dando la oportunidad a
los esclavos de ejecutar las acciones apropiadas.
Puede haber problemas ejecutando estas acciones en ciertas circunstancias, por ejemplo si uno
de los esclavos está apagado. En ese caso, el maestro recordará que hay acciones pendientes que
deben realizarse y lo reintentará periódicamente. El usuario puede comprobar también el estado
de los esclavos en Usuarios y Grupos → Estado de Esclavo y forzar el reintento de las acciones
manualmente. Desde esta sección también es posible borrar un esclavo.
Hay una importante limitación en la arquitectura maestro/esclavo actual. El maestro eBox no

puede tener instalados módulos que dependan de usuarios y grupos, como por ejemplo compar-
tición de ficheros o correo. Si el maestro tiene alguno de estos módulos instalados, deben ser
desinstalados antes de intentar registrar un esclavo en él.
Si en algún momento se desea cambiar el modo de operación del módulo usuarios y grupos, se
puede hacer ejecutando el script:
94
# sudo /usr/share/ebox-usersandgroups/ebox-usersandgroups-reinstall
Cuando se ejecuta elimina completamente el contenido del directorio LDAP, borrando todos los
usuarios y grupos actuales y reinstalando desde cero un directorio vacío que puede ser configurado
en un modo diferente.
Creación de usuarios y grupos
Se puede crear un grupo desde el menú Usuarios y Grupos → Grupos. Un grupo se identifica
por su nombre, y puede contener una descripción.
A través de Usuarios y Grupos → Grupos se pueden ver todos los grupos existentes para poder
editarlos o borrarlos.
Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen al grupo, además
de la información que tiene que ver con aquellos módulos de eBox instalados que poseen alguna
configuración específica para los grupos de usuarios.
95
Entre otras cosas con grupos de usuarios es posible:
• Disponer de un directorio compartido entre los usuarios de un grupo.
• Dar permisos sobre una impresora a todos los usuarios de un grupo.
• Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo.
• Asignar permisos de acceso a las distintas aplicaciones de eGroupware a todos los usuarios
de un grupo.
Los usuarios se crean desde el menú Usuarios y Grupos→ Usuarios, donde tendremos que
rellenar la siguiente información:
Nombre de usuario: Nombre que tendrá el usuario en el sistema, será el nombre que use para
identificarse en los procesos de autenticación.
Nombre: Nombre del usuario.
Apellidos: Apellidos del usuario.
Comentario: Información adicional sobre el usuario.
Contraseña: Contraseña que empleará el usuario en los procesos de autenticación. Esta información
se tendrá que dar dos veces para evitar introducirla incorrectamente.
Grupo: Es posible añadir el usuario a un grupo en el momento de su creación.
Desde Usuarios y Grupos → Usuarios se puede obtener un listado de los usuarios, editarlos o
eliminarlos.
96
Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre
del usuario, además de la información que tiene que ver con aquellos módulos de eBox instalados
que poseen alguna configuración específica para los usuarios. También se puede modificar la lista de
grupos a los que pertenece.
Editando un usuario es posible:
• Crear una cuenta para el servidor Jabber.
• Crear una cuenta para la compartición de ficheros o de PDC con una cuota personalizada.
• Dar permisos al usuario para usar una impresora.
• Crear una cuenta de correo electrónico para el usuario y aliases para la misma.
• Asignar permisos de acceso a las distintas aplicaciones de eGroupware.
• Asignar una extensión telefónica a dicho usuario.
97
En una configuración maestro-esclavo, los campos básicos de usuarios y grupos se editan desde
el maestro, mientras que el resto de atributos relacionados con otros módulos instalados en un esclavo
dado se editan desde el mismo.
Rincón del Usuario
Los datos del usuario sólo pueden ser modificados por el administrador de eBox lo cual comienza a
ser no escalable cuando el número de usuarios que se gestiona comienza a ser grande. Tareas de
administración como cambiar la contraseña de un usuario puede hacer perder la mayoría del tiempo
del encargado de dicha labor. De ahí surge la necesidad del nacimiento del rincón del usuario. Dicho
rincón es un servicio de eBox para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe
ser habilitada como el resto de módulos. El rincón del usuario se encuentra escuchando en otro
puerto por otro proceso para aumentar la seguridad del sistema.
El usuario puede entrar en el rincón del usuario a través de:
https://<ip_de_eBox>:<puerto_rincon_usuario>/
Una vez el usuario introduce su nombre y su contraseña puede realizar cambios en su configu-
ración personal. Por ahora, la funcionalidad que se presenta es la siguiente:
• Cambiar la contraseña actual.
• Configuración del buzón de voz del usuario.
• Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido
en su cuenta del servidor de correo en eBox.
98
Ejemplo práctico A
Crear un grupo en eBox llamado contabilidad.
Para ello:
1. Acción: Activar el módulo usuarios y grupos. Entrar en Estado de los módulos y activar el
módulo en caso de que no esté habilitado.
Efecto: El módulo está activado y listo para ser usado.
2. Acción: Acceder a Usuarios y Grupos → Grupos. Añadir contabilidad como grupo. El

parámetro comentario es opcional.
Efecto: El grupo contabilidad ha sido creado. No es necesario que se guarden los cambios
ya que las acciones sobre LDAP tienen efecto inmediato.
Ejemplo práctico B
Crear el usuario pedro y añadirlo al grupo contabilidad.
Para ello:
1. Acción: Acceder a Usuarios → Añadir usuario. Rellenar los distintos campos para nuestro
nuevo usuario. Se puede añadir al usuario pedro al grupo contabilidad desde esta pantalla.
Efecto: El usuario ha sido añadido al sistema y al grupo contabilidad.
Comprobar desde consola que hemos añadido a nuestro usuario correctamente:
99
1. Acción: Ejecutar en la consola el comando:
# id pedro
Efecto: El resultado debería de ser algo como esto:
uid=2003(pedro) gid=1901(__USERS__)
groups=1901(__USERS__) ,2004(contabilidad)
4.2 Servicio de compartición de ficheros y de autenticación
4.2.1 Compartición de ficheros
La compartición de ficheros se realiza a través de un sistema de ficheros en red. Los principales sis-
temas existentes para ello son Network File System (NFS), de Sun Microsystems, que fue el primero
en crearse, Andrew File System (AFS) y Common Internet File System (CIFS) también conocido como
Server Message Block (SMB).
A los clientes se les da la abstracción de estar haciendo operaciones (creación, lectura, escritura)
sobre ficheros en un medio de almacenamiento de la misma máquina. Sin embargo, esta información
puede estar dispersa en diferentes lugares, siendo por tanto transparente en cuanto a su localización.
Idealmente, el cliente no debería saber si el fichero se almacena en la propia máquina o se dispersa
por la red. En realidad, eso no es posible debido a los retardos de la red y las cuestiones relacionadas
con la actualización concurrente de ficheros comunes y que no deberían interferir entre ellas.
4.2.2 SMB/CIFS y su implementación Linux Samba
El SMB (Server Message Block ) o CIFS (Common Internet File System) se usa para compartir el
acceso a ficheros, impresoras, puertos serie y otra serie de comunicaciones entre nodos en una red
local. También ofrece mecanismos de autenticación entre procesos. Se usa principalmente entre
ordenadores Windows, sin embargo, existen implementaciones en otros sistemas operativos como
GNU/Linux a través de Samba que implementa los protocolos de los sistemas Windows utilizando
ingeniería inversa 4 .
4
La ingeniería inversa trata de averiguar los protocolos de comunicación usando para ello únicamente sus mensajes.
100
Ante el auge de otros sistemas de compartición de ficheros, Microsoft decidió renombrar SMB a
CIFS añadiendo nuevas características como enlaces simbólicos y fuertes, mayores tamaños para los
ficheros y evitar el uso de NetBIOS 5 sobre el que SMB se basa.
4.2.3 Primary Domain Controller (PDC)
Un PDC es un servidor de dominios de versiones Windows NT previas a Windows 2000. Un dominio,

según este entorno, es un sistema que permite el acceso restringido a una serie de recursos con el
uso de un única combinación nombre de usuario y contraseña. Por tanto, es posible utilizarlo para
permitir la entrada en el sistema con control de acceso remoto. PDC también ha sido recreado por
Samba dentro del sistema de autenticación de SMB. En las versiones más modernas de Windows ha
pasado a denominarse simplemente Domain Controller.
4.2.4 eBox como servidor de ficheros
Nosotros nos vamos a aprovechar de la implementación de SMB/CIFS para Linux usando Samba
como servidor de ficheros y de autenticación de sistemas operativos Windows en eBox.
Los servicios de compartición de ficheros están activos cuando el módulo de Compartición de

ficheros esté activo, sin importar si la función de PDC esté activa.
Con eBox la compartición de ficheros está integrada con los usuarios y grupos. De tal manera
que cada usuario tendrá su directorio personal y cada grupo puede tener un directorio compartido
para todos sus usuarios.
El directorio personal de cada usuario es compartido automáticamente y solo puede ser accedido
por el correspondiente usuario.
También se puede crear un directorio compartido para un grupo desde Grupos → Editar grupo.
Todos los miembros del grupo tendrán acceso a ese directorio y podrán leer o escribir los ficheros y
directorios dentro de dicho directorio compartido.
5
NetBIOS (Network Basic Input/Output System): API que permite la comunicación en una red de área local entre
ordenadores diferentes dando a cada máquina un nombre NetBIOS y una dirección IP correspondiente a un (posiblemente
diferente) nombre de máquina.
101
Ir a Compartir Ficheros → Configuración general para configurar los parámetros generales del
servicio de compartición de ficheros. Establecemos como dominio dónde se trabajará dentro de la
red local dentro de Windows, y como nombre NetBIOS el nombre que identificará a eBox dentro de
la red Windows. Se le puede dar una descripción larga para describir el dominio. Además se puede
establecer de manera opcional un límite de cuota. Con el Grupo Samba se puede opcionalmente
configurar un grupo exclusivo en el que sus usuarios tenga cuenta de compartición de ficheros en vez
de todos los usuarios, la sincronización se hace cada hora.
Para crear un directorio compartido, se accede a Compartir Ficheros → Directorios compartidos

y se pulsa Añadir nuevo.
Habilitado: Lo dejaremos marcado si queremos que este directorio esté compartido. Podemos de-
shabilitarlo para dejar de compartirlo manteniendo la configuración.
Nombre del directorio compartido: El nombre por el que será conocido el directorio compartido.
Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio
dentro del directorio de eBox /home/samba/shares, o usar directamente una ruta existente del
sistema si se elige Ruta del sistema de ficheros.
102
Comentario: Una descripción más extensa del directorio compartido para facilitar la gestión de los
elementos compartidos.
Desde la lista de directorios compartidos podemos editar el control de acceso. Allí, pulsando en
Añadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administración a un usuario
o a un grupo. Si un usuario es administrador de un directorio compartido podrá leer, escribir y borrar
ficheros de cualquier otro usuario dentro de dicho directorio.
También se puede crear un directorio compartido para un grupo desde Usuarios y Grupos →
Grupos. Todos los miembros del grupo tendrán acceso, podrán escribir sus propios ficheros y leer
todos los ficheros en el directorio.
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado Recy-
cleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros →
Papelera de Reciclaje. Si no se desea activar la papelera para todos los recursos compartidos, se
pueden añadir excepciones en la sección Recursos excluidos de la Papelera de Reciclaje. Tam-
bién se pueden modificar algunos otros valores por defecto para esta característica, como por ejemplo
el nombre del directorio, editando el fichero /etc/ebox/80samba.conf.
103
En Compartir ficheros → Antivirus existe también una casilla para habilitar o deshabilitar la
búsqueda de virus en los recursos compartidos y la posibilidad de añadir excepciones para aquel-
los en los que no se desee buscar. Nótese que para acceder la configuración del antivirus para el
módulo de compartir ficheros es requisito tener instalado el paquete samba-vscan en el sistema. El
módulo antivirus de eBox debe estar así mismo instalado y habilitado.
4.2.5 Configuración de clientes SMB/CIFS
Una vez tenemos el servicio ejecutándose podemos compartir ficheros a través de Windows o
GNU/Linux.
Cliente Windows
A través de Mis sitios de red → Toda la red. Encontramos el dominio que hemos elegido
y después aparecerá la máquina servidora con el nombre seleccionado y podremos ver
sus recursos compartidos:
104
Cliente Linux
1. Konqueror (KDE)
En Konqueror basta con poner en la barra de búsqueda smb:// para ver la red de Windows
en la que podemos encontrar el dominio especificado:
2. Nautilus (Gnome)
105
En Nautilus vamos a Lugares → Servidores de Red → Red de Windows, ahí encontramos

nuestro dominio y dentro del mismo el servidor eBox donde compartir los recursos.
Hay que tener en cuenta que los directorios personales de los usuarios no se muestran en la
navegación y para entrar en ellos se debe hacer directamente escribiendo la dirección en la
barra de búsqueda. Por ejemplo, para acceder al directorio personal del usuario pedro, debería
introducir la siguiente dirección:
smb://<ip_de_ebox>/pedro
3. Smbclient
Además de las interfaces gráficas, disponemos un cliente de línea de comandos que funciona
de manera similar a un cliente FTP, con manejo de sesiones. Permite la descarga y subida de
ficheros, recoger información sobre ficheros y directorios, etc. Un ejemplo de sesión puede ser
el siguiente:
$ smbclient -U joe //192.168.45.90/joe

> get ejemplo
> put eaea
> ls
106
> exit
$ smbclient -U joe -L //192.168.45.90/
Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian]
Sharename Type Comment
--------- ---- -------
_foo Disk
_mafia Disk
hp Printer
br Printer
IPC$ IPC IPC Service (eBox Samba Server)
ADMIN$ IPC IPC Service (eBox Samba Server)
joe Disk Home Directories
Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian]
Server Comment
--------- -------
DME01 PC Verificaci
eBox-SMB3 eBox Samba Server
WARP-T42
Workgroup Master
--------- -------
eBox eBox-SMB3
GRUPO_TRABAJO POINT
INICIOMS WARHOL
MSHOME SHINNER
WARP WARP-JIMBO
4.2.6 eBox como un servidor de autenticación
Para aprovechar las posibilidades del PDC como servidor de autenticación y su implementación
Samba para GNU/Linux debemos marcar la casilla Habilitar PDC a través de Compartir ficheros
→ Configuración General.
107
Si la opción Perfiles Móviles está activada, el servidor PDC no sólo realizará la autenticación,
sino que también almacenará los perfiles de cada usuario. Estos perfiles contienen toda la información
del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, o sus documentos.
Cuando un usuario inicie sesión, recibirá del servidor PDC su perfil. De esta manera, el usuario
dispondrá de su entorno de trabajo en varios ordenadores. Hay que tener en cuenta antes de activar
esta opción que la información de los usuarios puede ocupar varios GiB de información, el servidor
PDC necesitará espacio de disco suficiente. También se puede configurar la letra del disco al que se
conectará el directorio personal del usuario tras autenticar contra el PDC en Windows.
Es posible definir políticas para las contraseñas de los usuarios a través de Compartir ficheros →
PDC. Estas políticas suelen ser forzadas por la ley.
• Longitud mínima de contraseña.
• Edad máxima de contraseña. Dicha contraseña deberá renovarse tras superar los días con-
figurados.
• Forzar historial de contraseñas. Esta opción forzará a almacenar un máximo de contraseñas,

impidiendo que puedan ser repetidas en sucesivas modificaciones.
Estas políticas son únicamente aplicables cuando se cambia la contraseña desde Windows con
una máquina que está conectada a nuestro dominio. De hecho, Windows forzará el cumplimiento de
dicha política al entrar en una máquina registrada en el dominio.
108
4.2.7 Configuración de clientes PDC
Para poder configurar la autenticación PDC en una máquina, se necesita utilizar una cuenta que tenga
privilegios de administrador en el servidor PDC. Esto se configura en Usuarios y Grupos→ Usuarios
→ Cuenta de compartición de ficheros o de PDC. Adicionalmente, se puede establecer una Cuota
de disco.
Ahora vamos a otra máquina dentro de la misma red de área local (hay que tener en cuenta que
el protocolo SMB/CIFS funciona en modo difusión total) con un Windows capaz de trabajar con CIFS
(Ej. Windows XP Professional). Allí, en Mi PC → Propiedades, lanzamos el asistente para asignar
una Id de red a la máquina. En cada pregunta se le da como nombre de usuario y contraseña la de
aquel usuario al que hemos dado privilegios de administrador, y como dominio el nombre de dominio
escrito en la configuración de Compartir Ficheros. El nombre de la máquina puede ser el mismo que
estaba, siempre y cuando no colisione con el resto de equipos a añadir al dominio. Tras finalizar el
asistente, se debe reiniciar la máquina.
109
Una vez hemos entrado con uno de los usuarios, podemos entrar en Mi PC y aparecerá una
partición de red con una cuota determinada en la configuración de eBox.
4.3 Servicio de compartición de impresoras
Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios y grupos
para su uso, debemos tener accesibilidad a dicha impresora desde la máquina que contenga eBox
ya por conexión directa, puerto paralelo o USB 6 , o a través de la red local. Además debemos cono-
cer información relativa al fabricante, modelo y controlador de la impresora si se quiere obtener un
funcionamiento correcto.
Una vez tenemos todos los datos previos, se puede añadir una impresora a través de Impresoras
→ Añadir Impresora. Ahí se sigue un asistente en el que se irán introduciendo los datos necesarios
para su incursión en función de los datos entrantes.
En primer lugar, se establece un nombre significativo para la impresora y se configura el método

de conexión. Este método depende del modelo de impresora y de cómo esté conectada a nuestra
red. Los siguiente métodos de conexión están soportados por eBox:
6
Universal Serial Bus (USB) es un bus serie estándar para comunicación de dispositivos con la computadora.
110
Puerto paralelo: Una impresora conectada al servidor eBox mediante el puerto paralelo del mismo.
USB: Una impresora conectada al servidor eBox mediante el puerto USB.
AppSocket: Una impresora remota de red que se comunica con el protocolo AppSocket. A este
protocolo también se le conoce con el nombre de JetDirect.
IPP: Una impresora remota que usa el protocolo IPP 7 para comunicarse.
LPD: Una impresora remota que usa el protocolo LPD 8 para comunicarse.
Samba: Una impresora remota a la que se puede acceder como recurso compartido de red bajo
Samba o Windows.
En función del método seleccionado, se deben configurar los parámetros de la conexión. Por
ejemplo, para una impresora en red, se debe establecer la dirección IP y el puerto de escucha de la
misma como muestra la imagen.
Posteriormente, en los siguientes cuatro pasos se debe delimitar qué controlador de impresora
debe usar eBox para transmitir los datos a imprimir, estableciendo el fabricante, modelo, controlador
de impresora a utilizar y sus parámetros de configuración.
7
Internet Printing Protocol (IPP) es un protocolo de red para la impresión remota y para la gestión de cola de impresión.
Más información en RFC 2910.
8
Line Printer Daemon protocol (LPD) son un conjunto de programas que permiten la impresión remota y el envío de
trabajos usando spooling a las impresoras para los sistemas Unix. Más información en RFC 1179.
111
Una vez finalizado el asistente, ya tenemos la impresora configurada. Por tanto, podremos obser-
var qué trabajos de impresión están pendientes o en proceso. También tendremos la posibilidad de
modificar alguno de los parámetros introducidos en el asistente a través de Impresoras → Gestionar
impresoras.
Las impresoras gestionadas por eBox son accesibles mediante el protocolo Samba. Adicional-
mente podremos habilitar el demonio de impresión CUPS 9 que hará accesibles las impresoras medi-
ante IPP.
9
Common Unix Printing System (CUPS) es un sistema modular de impresión para sistemas Unix que permiten a una
máquina actuar de servidor de impresión, lo cual permite aceptar trabajos de impresión, su procesamiento y envío a la
impresora adecuada.
112
Figure 4.1: Gestión de impresoras
Si una impresora no está soportada por eBox, es decir, que eBox no dispone de los controladores
necesarios para gestionar dicha impresora, hay que usar CUPS en su defecto. Para añadir una
impresora por CUPS hay que habilitar su demonio de impresión como se muestra en la figura Gestión
de impresoras con Habilitar CUPS. Una vez se ha habilitado, se puede configurar a través de:
http://direccion_ebox:631
Una vez añadida la impresora a través de CUPS, eBox es capaz de exportarla usando el protocolo
de Samba para ello.
Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso a
dichos recursos a través de la edición del grupo o del usuario (Grupos → Editar Grupo → Impresoras
o Usuarios → Editar Usuario → Impresoras).
113
4.4 Servicio de groupware
El groupware, también conocido como software colaborativo, es el conjunto de aplicaciones que

integran el trabajo de distintos usuarios en proyectos comunes. Cada usuario puede conectarse al
sistema desde distintas estaciones de trabajo de la red local o también desde cualquier punto del
mundo a través de Internet.
Algunas de las funciones más destacadas de las herramientas de groupware son:
• Comunicación entre los usuarios: correo, salas de chat, etc.
• Compartición de información: calendarios compartidos, listas de tareas, libretas de direcciones

comunes, base de conocimiento, compartición de ficheros, noticias, etc.
• Gestión de proyectos, recursos, tiempo, bugtracking, etc.
114
Existen en el mercado una gran cantidad de soluciones de groupware. Entre las opciones que
10
nos ofrece el Software Libre, una de las más populares es eGroupware y es la seleccionada para
eBox Platform para implementar esta funcionalidad tan importante en el ámbito empresarial.
Con eBox Platform la puesta a punto de eGroupware es muy sencilla. El objetivo es que el
usuario no tenga que acceder a la configuración tradicional que ofrece eGroupware y pueda realizarlo
prácticamente todo desde el interfaz de eBox, salvo que necesite alguna personalización avanzada.
11
De hecho la contraseña para la configuración de eGroupware es auto-generada por eBox y el
administrador debería usarla bajo su responsabilidad dado que si realiza una acción inapropiada el
módulo podría quedar mal configurado y en un estado inestable.
4.4.1 Configuración de servicio de groupware con eBox
La mayor parte de la configuración de eGroupware se realiza automáticamente al habilitar el módulo

y guardar los cambios. Sin requerir ninguna intervención adicional del usuario, eGroupware estará en
funcionamiento integrado con el servicio de directorio (LDAP) de eBox. Es decir, todos los usuarios
que sean añadidos en eBox a partir de ese momento podrán iniciar sesión en eGroupware sin requerir
ninguna otra acción especial.
Adicionalmente, podemos integrar el servicio de correo web (webmail) que eGroupware nos pro-
porciona con el módulo de correo de eBox. Para ello lo único que hay que hacer es seleccionar un
dominio virtual previamente existente y tener habilitado el servicio de recepción de correo IMAP. Las
instrucciones relativas a la creación de un dominio de correo y configuración del servicio IMAP se
explican con detenimiento en el capítulo Servicio de correo electrónico (SMTP/POP3-IMAP4).
Para la selección del dominio que usará eGroupware accederemos a través de la pestaña Group-
ware → Dominio Virtual de Correo. El interfaz se muestra en la siguiente imagen, sólo tenemos
que seleccionar el dominio deseado y pulsar el botón Cambiar. Aunque como de costumbre esto no
tendrá efecto hasta que no pulsemos el botón Guardar Cambios.
10
eGroupware: An enterprise ready groupware software for your network http://www.egroupware.org
11
Nota para usuarios avanzados de eGroupware: La contraseña se encuentra en el fichero /var/lib/ebox/conf/ebox-
egroupware.passwd y los nombres de usuario son admin y ebox para la configuración del encabezado y del dominio
respectivamente.
115
Para que nuestros usuarios puedan utilizar el servicio de correo tendrán que tener creadas sus
respectivas cuentas en el mismo. En la imagen que se muestra a continuación (Usuarios y Grupos →
Usuarios) podemos ver que en la configuración de eGroupware se muestra un aviso indicando cuál
debe ser el nombre de la cuenta de correo para que pueda ser usada desde eGroupware.
eGroupware se compone de varias aplicaciones, en eBox podemos editar los permisos de acceso
de cada usuario asignándole una plantilla de permisos, como se puede ver en la imagen anterior.
Disponemos de una plantilla de permisos creada por defecto pero podemos definir otras personal-
izadas.
La plantilla de permisos por defecto es útil si queremos que la mayoría de los usuarios del sistema
tengan los mismos permisos, de modo que cuando creemos un nuevo usuario no tengamos que
preocuparnos de asignarle permisos, ya que éstos serán asignados automáticamente.
Para editar la plantilla por defecto accederemos a la pestaña Groupware → Aplicaciones prede-
terminadas, como se muestra en la imagen.
116
Para grupos reducidos de usuarios como es el caso de los administradores, podemos definir una
plantilla de permisos personalizada y aplicarla manualmente a dichos usuarios.
Para definir una nueva plantilla debemos acceder a la pestaña Groupware → Plantillas definidas
por el usuario y pulsar en Añadir nueva. Una vez introducido el nombre deseado aparecerá en la
tabla y podremos editar las aplicaciones pulsando en Aplicaciones permitidas, de forma análoga a
como se hace con la plantilla por defecto.
Hay que tener en cuenta que si modificamos la plantilla de permisos por defecto, los cambios
sólo serán aplicados a los usuarios que sean creados a partir de ese momento. No se aplicarán de
manera retroactiva a los usuarios creados previamente. Lo mismo ocurre con las plantillas definidas
117
por el usuario, si existiesen usuarios con esa plantilla aplicada habría que editar las propiedades del
usuario y aplicarle nuevamente la misma plantilla después de modificarla.
Finalmente, cuando hayamos configurado todo, podemos acceder a eGroupware a través de la

dirección http://<ip_de_ebox>/egroupware utilizando el usuario y contraseña definidos en la interfaz
de eBox.
El manejo de eGroupware está fuera del alcance de este manual, para cualquier duda se debe
consultar el manual de usuario oficial de eGroupware. Este se encuentra disponible en Internet en su
página oficial y también está enlazado desde la propia aplicación una vez que estamos dentro.
Ejemplo práctico
Habilitar el módulo Groupware y comprobar su integración con el correo.
1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo Groupware, para
ello marca su casilla en la columna Estado. Nos informa de que se modificará la configuración
de eGroupware. Permitir la operación pulsando el botón Aceptar. Asegurarse de que se han
habilitado previamiente los módulos de los que depende (Correo, Webserver, Usuarios...).
2. Acción: Configurar un dominio virtual de correo como se muestra en el ejemplo Ejemplo prác-
tico. En dicho ejemplo también se añade un usuario con su cuenta de correo correspondiente.
No son necesarios los pasos de ese ejemplo relativos a objetos o políticas de reenvío. Realizar
sólo hasta el paso en que se añade el usuario.
Efecto: El usuario creado tiene una cuenta de correo válida.
3. Acción: Acceder al menú Correo → General y en la pestaña Opciones del servidor de

correo activar la casilla Servicio IMAP habilitado y pulsar Cambiar.
118
Efecto: El cambio se ha guardado temporalmente pero no será efectivo hasta que se guarden
los cambios.
4. Acción: Acceder al menú Groupware y en la pestaña Dominio Virtual de Correo seleccionar

el dominio creado anteriormente y pulsar Cambiar.
los cambios.
muestra.
A partir de ahora eGroupware se encuentra configurado correctamente para integrarse

con nuestro servidor IMAP.
6. Acción: Acceder a la interfaz de eGroupware (http://<ip_de_ebox>/egroupware) con el usuario

que hemos creado anteriormente. Acceder a la aplicación de correo electrónico de eGroupware
y enviar un correo a nuestra propia dirección.
Efecto: Recibiremos el correo recién enviado en nuestro buzón de entrada.
119
120
Chapter 5
eBox Unified Communications
En este apartado se van a ver los diferentes métodos de comunicación para compartir información
centralizados en eBox y pudiendo acceder a todos ellos usando el mismo usuario y contraseña.
En primer lugar, se explica el servicio de correo electrónico, que permite su integración rápida
y sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo las últimas técnicas
disponibles para la prevención del correo basura.
En segundo lugar, el servicio de mensajería instántanea a través del estándar Jabber/XMPP. Este
nos evita depender de empresas externas o de la conexión a Internet. Ofrece salas de conferencia
comunes y permite, mediante la utilización de cualquiera de los múltiples clientes disponibles, una
comunicación más rápida para los casos en que el correo no es suficiente.
Finalmente, veremos una introducción a la voz sobre IP, con la que cada persona puede tener una
extensión a la que llamar o hacer conferencias fácilmente. Adicionalmente, con un proveedor externo,
eBox es capaz de configurarse para conectarse a la red telefónica tradicional.
5.1 Servicio de correo electrónico (SMTP/POP3-IMAP4)
1
El servicio de correo electrónico es un método de almacenamiento y envío para la composición,
emisión, reserva y recepción de mensajes sobre sistemas de comunicación electrónicos.
1
Almacenamiento y envío: Técnica de telecomunicación en la cual la información se envía a una estación intermedia
que almacena y después envía la información a su destinatario o a otra estación intermedia.
121
5.1.1 Cómo funciona el correo electrónico en Internet
Figure 5.1: Diagrama correo electrónico Alice manda un correo a Bob
El diagrama muestra una secuencia típica de eventos que tienen lugar cuando Alice escribe un
mensaje usando su cliente de correo o Mail User Agent (MUA) con destino la dirección de correo de
su destinatario.
1. Su MUA da formato al mensaje en un formato de Internet para el correo electrónico y usa el

protocolo Simple Mail Transfer Protocol (SMTP) que envía el mensaje a su agente de envío de
correos o Mail Transfer Agent (MTA).
2. El MTA mira en la dirección destino dada por el protocolo SMTP (no de la cabecera del men-
saje), en este caso bob@b.org, y hace una solicitud al servicio de nombres para saber la IP
del servidor de correo del dominio del destino (registro MX que vimos en el capítulo donde se
explicaba DNS).
3. El smtp.a.org envía el mensaje a mx.b.org usando SMTP, que almacena el mensaje en el

buzón del usuario bob.
4. Bob obtiene el correo a través de su MUA, que recoge el correo usando el protocolo Post Office
Protocolo 3 (POP3).
Esta situación puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro protocolo
de obtención de correos como es Internet Message Access Protocol (IMAP) que permite leer direc-
tamente desde el servidor o usando un servicio de Webmail como el que usan diversos servicios
gratuitos de correo vía Web.
122
CHAPTER 5. EBOX UNIFIED COMMUNICATIONS
Por tanto, podemos ver como el envío y recepción de correos entre servidores de correo se realiza
a través de SMTP pero la obtención de correos por parte del usuario se realiza a través de POP3,
IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes
servidores y clientes de correo. Lamentablemente, también existen protocolos propietarios como los
que usan Microsoft Exchange o Lotus Notes de IBM.
POP3 vs. IMAP
El diseño de POP3 para recoger los mensajes del correo ayuda a las conexiones lentas permitiendo
a los usuarios recoger todo el correo de una vez para después verlo y manipularlo sin necesidad
de estar conectado. Estos mensajes, normalmente, se borran del buzón del usuario en el servidor,
aunque actualmente la mayoría de MUAs permiten mantenerlos.
El más moderno IMAP, permite trabajar en línea o desconectado además de sólo borrar los men-
sajes depositados en el servidor de manera explícita. Adicionalmente, permite que múltiples clientes
accedan al mismo buzón o lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo,
es un protocolo bastante complicado con más carga de trabajo en el lado del servidor que POP3, que
relega dicho trabajo en el cliente. Las ventajas principales de IMAP sobre POP3 son:
• Modo de operación conectado y desconectado.
• Varios clientes a la vez conectados al mismo buzón.
• Descarga parcial de correos.
• Información del estado del mensaje usando banderas (leído, borrado, respondido, ...).
• Varios buzones en el servidor (el usuario los ve en forma de carpetas) pudiendo hacer alguno
de ellos públicos.
• Búsquedas en el lado del servidor.
• Mecanismos de extensión incluidos en el propio protocolo.
Tanto POP3 como IMAP, tienen versiones seguras, llamadas respectivamente POP3S y IMAPS.
La diferencia con la versión simple es que usan cifrado TLS por lo que el contenido de los mensajes
no puede ser escuchado sin permiso.
123
5.1.2 Configuración de un servidor SMTP/POP3-IMAP4 con eBox
En el servicio de correo debemos configurar el MTA para enviar y recibir correos así como la recepción
de correos por parte de MUAs vía IMAP o POP3.
2
Para el envío/recepción de correos se usa Postfix como servidor SMTP. Para el servicio de
3
recepción de correos (POP3, IMAP) se usa Dovecot . Ambos con soporte para comunicación segura
con SSL.
5.1.3 Recibiendo y retransmitiendo correo
Para comprender la configuración de un sistema de correo se debe distinguir entre recibir y retransmitir
correo.
La recepción se realiza cuando el servidor acepta un mensaje de correo en el que uno de los
destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El
correo puede ser recibido de cualquier cliente que pueda conectarse al servidor.
Sin embargo, la retransmisión ocurre cuando el servidor de correo recibe un mensaje de correo
en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo ges-
tionados, requiriendo por tanto su reenvío a otro servidor. La retransmisión de correo está restringida,
de otra manera los spammers podrían usar el servidor para enviar spam en Internet.
eBox permite la retransmisión de correo en dos casos:
1. usuarios autenticados
2. una dirección de origen que pertenezca a un objeto que tenga una política de retransmisión
permitida.
Configuración general
A través de Correo → General → Opciones del servidor de correo → Autenticacion podemos ges-
tionar las opciones de autenticacion. Están disponibles las siguientes opciones:
TLS para el servidor SMTP: Fuerza a los clientes a usar cifrado TLS, evitando la interceptación del
contenido por personas maliciosas.
2
Postfix The Postfix Home Page http://www.postfix.org .
3
Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .
124
Exigir la autenticación: Este parámetro activa el uso de autenticación. Un usuario debe usar su
dirección de correo y su contraseña para identificarse, una vez autenticado podrá retransmitir
correo a través del servidor. No se puede usar un alias de la cuenta de correo para autenticarse.
En la sección Correo → General → Opciones del servidor de correo → Opciones se pueden

configurar los parámetros generales del servicio de correo:
Dirección del smarthost: Dirección IP o nombre de dominio del smarthost. También se puede es-
tablecer un puerto añadiendo el texto :[numero de puerto] después de la dirección. El puerto
por defecto, es el puerto estándar SMTP, 25.
Si se establece esta opción eBox no enviará directamente sus mensajes sino que cada mensaje
de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso,
125
eBox actuara como un intermediario entre el usuario que envía el correo y el servidor que
enviará finalmente el mensaje.
Autenticación del smarthost: Determinar si el smarthost requiere autenticación y si es así proveer

un usuario y contraseña.
Nombre de correo del servidor: Determina el nombre de correo del sistema, será usado por el ser-
vicio de correo como la dirección local del sistema.
Dirección del postmaster: La dirección del postmaster por defecto es un alias del superusuario
(root) pero puede establecerse a cualquier dirección, perteneciente a los dominios virtuales de
correo gestionados o no.
Esta cuenta está pensada para tener una manera estándar de contactar con el administrador
de correo. Correos de notificación automáticos suelen usar postmaster como dirección de
respuesta.
Tamaño máximo de buzón: En esta opción se puede indica un tamaño máximo en MiB para los
buzones del usuario. Todo el correo que exceda el limite será rechazado y el remitente recibirá
una notificación. Esta opción puede sustituirse para cada usuario en la pagina Usuarios y
Grupos -> Usuarios.
Tamaño máximo aceptado para los mensajes: Señala, si es necesario, el tamaño máximo de men-
saje aceptado por el smarthost en MiB. Esta opción tendrá efecto sin importar la existencia o
no de cualquier límite al tamaño del buzón de los usuarios.
Periodo de expiración para correos borrados: Si esta opción está activada el correo en la carpeta
de papelera de los usuarios será borrado cuando su fecha sobrepase el limite de días estable-
cido.
Periodo de expiración para correo de spam: Esta opción se aplica de la misma manera que la op-
ción anterior pero con respecto a la carpeta de spam de los usuarios.
Para configurar la obtención de los mensajes, hay que ir a la sección Servicios de obtención de
correo. eBox puede configurarse como servidor de POP3 o IMAP además de sus versiones seguras
POP3S y IMAPS. En esta sección también pueden activarse los servicios para obtener correo de
direcciones externas y ManageSieve, estos servicios se explicarán a partir de la sección Obtención
de correo desde cuentas externas.
También se puede configurar eBox para que permita reenviar correo sin necesidad de autenticarse
desde determinadas direcciones de red. Para ello, se permite una política de reenvío con objetos
de red de eBox a través de Correo → General → Política de retransmisión para objetos de red
126
basándonos en la dirección IP del cliente de correo origen. Si se permite el reenvío de correos desde
dicho objeto, cualquier miembro de dicho objeto podrá enviar correos a través de eBox.
Warning: Hay que tener cuidado con usar una política de Open Relay, es decir, permitir reenviar
correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertirá
en una fuente de spam.
Finalmente, se puede configurar el servidor de correo para que use algún filtro de contenidos
para los mensajes 4 . Para ello el servidor de filtrado debe recibir el correo en un puerto determinado
y enviar el resultado a otro puerto donde el servidor de correo estará escuchando la respuesta. A
través de Correo → General → Opciones de Filtrado de Correo se puede seleccionar un filtro de
correo personalizado o usar eBox como servidor de filtrado.
4
En la sección Filtrado de correo electrónico se amplia este tema.
127
Creación de cuentas de correo a través de dominios virtuales
Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo.
Desde Correo → Dominio Virtual, se pueden crear tantos dominios virtuales como queramos que
proveen de nombre de dominio a las cuentas de correo de los usuarios de eBox. Adicionalmente, es
posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su
alias sea indiferente.
Para crear cuentas de correo lo haremos de manera análoga a la compartición de ficheros, acud-
imos a Usuarios y Grupos → Usuarios → Crear cuenta de correo. Es ahí donde seleccionamos el
dominio virtual principal del usuario. Si queremos asignar al usuario a más de una cuenta de correo
lo podemos hacer a través de los alias. Indiferentemente de si se ha usado un alias o no, el correo
sera almacenado una única vez en el buzón del usuario. Sin embargo, no es posible usar un alias
para autenticarse, se debe usar siempre la cuenta real.
128
Ten en cuenta que puedes decidir si deseas que a un usuario se le cree automáticamente una
cuenta de correo cuando se crea. Este comportamiento puede ser configurado en Usuarios y Grupos
-> Plantilla de Usuario por defecto –> Cuenta de correo.
De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias
son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a
través de Usuarios y Grupos → Grupos → Crear un alias de cuenta de correo al grupo. Los alias de
grupo están sólo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.
Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias será
retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio
virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en
Correo → Dominios Virtuales → Alias a cuentas externas.
Gestión de cola
Desde Correo → Gestión de cola podemos ver los correos que todavía no han sido enviados con
la información acerca del mensaje. Las acciones que podemos realizar con estos mensajes son:
eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). También hay dos botones
que permiten borrar o reencolar todos los mensajes en la cola.
129
Obtención de correo desde cuentas externas
Se puede configurar eBox para recoger correo de cuentas externas y enviarlo a los buzones de los
→ General → Opciones del servidor de
usuarios. Para ello, deberás activar en la sección Correo
corre → Servicios de obtención de correo. Una vez activado, los usuarios tendrán sus mensajes
de correo de sus cuentas externas recogido en el buzón de su cuenta interna. Cada usuario puede
configurar sus cuentas externas a través del rincón del usuario 5 . El usuario debe tener una cuenta
de correo para poder hacerlo. Los servidores externos son consultados periódicamente, así que la
obtención del correo no es instantánea.
Para configurar sus cuentas externas, un usuario debe entrar en el Rincón del Usuario y hacer
clic en Recuperar correo de cuentas externas en el menú izquierdo. En la pagina se muestra la lista
de cuentas de correo del usuario, el usuario puede añadir, borrar y editar cuentas. Cada cuenta tiene
los siguientes parámetros:
Cuenta externa: El nombre de usuario o dirección de correo requerida para identificarse en el servi-
cio externo de recuperación de correo.
Contraseña: Contraseña para autenticar la cuenta externa.
Servidor de correo: Dirección del servidor de correo que hospeda a la cuenta externa.
Protocolo: Protocolo de recuperación de correo usado por la cuenta externa, puede ser uno de los
siguientes: POP3, POP3S, IMAP o IMAPS.
Puerto: Puerto usado para conectar al servidor de correo externo.
Para obtener el correo externo, eBox usa el programa Fetchmail 6 .

5
La configuración del rincón del usuario se explica en la sección Rincón del Usuario.
6
Fetchmail The Fetchmail Home Page http://fetchmail.berlios.de/ .
130
Lenguaje Sieve y protocolo ManageSieve
7
El lenguaje Sieve permite el control al usuario de cómo su correo es recibido, permitiendo, entre
otras cosas, clasificarlo en carpetas IMAP, reenviarlo o el uso de un mensaje por ausencia prolongada
(o vacaciones).
ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para
usarlo, es necesario que el cliente de correo pueda entender dicho protocolo 8 .
Para usar ManageSieve en eBox, debes activar el servicio en Correo→ General → Opciones de
servidor de correo -> Servicios de obtención de correo y podrá ser usado por todos los usuarios con
9
cuenta de correo. Si ManageSieve está activado y el módulo de correo web en uso, el interfaz de
gestión para scripts Sieve estará disponible en el correo web.
La autenticación en ManageSieve se hace con la cuenta de correo del usuario y su contraseña.
Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve está
activado o no.
Configuración del cliente de correo
A no ser que los usuarios sólo usen el correo a través del módulo de de correo web o a través de la
aplicación de correo de groupware, deberán configurar su cliente de correo para usar el servidor de
correo de eBox. El valor de los parámetros necesarios dependerán de la configuración del servicio de
correo.
Hay que tener en cuenta que diferentes clientes de correo podrán usar distintos nombres para
estos parámetros, por lo que debido a la multitud de clientes existente esta sección es meramente
orientativa.
5.1.4 Parámetros SMTP
Servidor SMTP: Introducir la dirección del servidor eBox. La dirección puede ser descrita como una
dirección IP o como nombre de dominio.
Puerto SMTP: 25, si usas TLS puedes usar en su lugar el puerto 465.
7
Para mas información sobre Sieve http://sieve.info/ .
8
Para tener una lista de clientes Sieve http://sieve.info/clients .
9
El módulo de correo web (webmail) se explica en el capítulo Servicio de correo web.
131
Conexión segura: Seleccionar TLS si tienes activada la opción TLS para el servidor SMTP, en
otro caso seleccionar ninguna. Si se usa TLS lee la advertencia aparece más adelante sobre
TLS/SSL.
Usuario SMTP: Como nombre de usuario se debe usar la dirección de correo completa del usuario,
no uses su nombre de usuario o alguno de sus alias de correo. Esta opción sólo es obligatoria
si está habilitado el parámetro Exigir autenticación.
Contraseña SMTP: La contraseña del usuario.
5.1.5 Parámetros POP3
Sólo puedes usar configuración POP3 cuando el servicio POP3 o POP3S está activado en eBox.
Servidor POP3: Introducir la dirección de eBox de la misma manera que la sección de parámetros
SMTP.
Puerto POP3: 110 o 995 en el caso de usar POP3S.
Conexión segura: Selecciona SSL en caso de que se use POP3S, ninguno si se usa POP3. Si se
utiliza POP3S, ten en cuenta la advertencia que aparece más adelante sobre TLS/SSL.
Usuario POP3: Dirección de correo completa del usuario, no se debe usar ni el nombre de usuario
ni ninguno de sus alias de correo.
Contraseña POP3: La contraseña del usuario.
5.1.6 Parámetros IMAP
Sólo se puede usar la configuración IMAP si el servicio IMAP o IMAPS está activo.
Servidor IMAP: Introducir la dirección de eBox de la misma manera que la sección de parámetros
SMTP.
Puerto IMAP: 443 o 993 en el caso de usar IMAPS.
Conexión segura: Seleccionar SSL en caso de que se use IMAPS, ninguno si se utiliza IMAP. Si se
usa IMAPS, leer la advertencia que aparece más adelante sobre TLS/SSL.
Usuario IMAP: Dirección de correo completa del usuario, no se debe usar ni el nombre de usuario ni
ninguno de sus alias de correo.
Contraseña IMAP: La contraseña del usuario.
132
Warning: En las implementaciones de los clientes de correo a veces hay confusión sobre el
uso de los protocolos SSL y TLS. Algunos clientes usan SSL para indicar que van a conectar con
TLS, otros usan TLS para indicar que van a tratar de conectar al servicio a través de un puerto
tradicionalmente usado por las versiones del protocolo en claro. De hecho, en algunos clientes
hará falta probar tanto los modos SSL como TLS para averiguar cual de los métodos funciona
correctamente.
Tienes mas información sobre este asunto en el wiki de Dovecot, http://wiki.dovecot.org/SSL .
5.1.7 Parámetros para ManageSieve
Para conectar a ManageSieve, se necesitan los siguientes parámetros:
Servidor Sieve: El mismo que tu servidor IMAP o POP3.
Puerto: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error el puerto número
2000 como puerto por defecto para ManageSieve.
Conexión segura: Activar esta opción.
Nombre de usuario: Dirección de correo completa, como anteriormente evitar el nombre de usuario
o cualquiera de sus alias de correo.
Contraseña: Contraseña del usuario. Algunos clientes permiten indicar que se va a usar la misma
autenticación que para IMAP o POP, si esto es posible, hay que seleccionar dicha opción.
Cuenta para recoger todo el correo
Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo el correo
enviado y recibido por un dominio de correo. En eBox se permite definir una de estas cuentas por
cada dominio; para establecerla se debe ir a la pagina Correo → Dominios Virtuales y después hacer
clic en la celda Opciones.
Todos los mensajes enviados y recibidos por el dominio serán enviados como copia oculta (CCO
ó BCC) a la dirección definida. Si la dirección rebota el correo, será devuelto al remitente.
133
Ejemplo práctico
Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de correo en
el dominio creado para dicho usuario. Configurar la retransmisión para el envío de correo. Enviar un
correo de prueba con la cuenta creada a una cuenta externa.
1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo Correo, para ello
marca su casilla en la columna Estado. Habilitar primero los módulos Red y Usuarios y
grupos si no se encuentran habilitados con anterioridad.
3. Acción: Acceder al menú Correo → Dominio Virtual, pulsar Añadir nuevo, introducir un nom-
bre para el dominio y pulsar el botón Añadir.
Efecto: eBox nos notifica de que debemos salvar los cambios para usar el dominio.
muestra.
Ahora ya podemos usar el dominio de correo que hemos añadido.
5. Acción: Acceder a Usuarios y Grupos → Usuarios → Añadir usuario, rellenar sus datos y
pulsar el botón Crear.
Efecto: El usuario se añade inmediatamente sin necesidad de salvar cambios. Aparece la

pantalla de edición del usuario recién creado.
6. Acción: (Este paso sólo es necesario si has deshabilitado la opción de crear cuentas de correo
automáticamente en Usuarios y Grupos –> Plantilla de Usuario por defecto –> Cuenta
de correo). Escribir un nombre para la cuenta de correo del usuario en la sección Crear
cuenta de correo y pulsar el botón Crear.
Efecto: La cuenta se ha añadido inmediatamente y nos aparecen opciones para eliminarla o

crear alias para ella.
134
7. Acción: Acceder al menú Objetos → Añadir nuevo. Escribir un nombre para el objeto y pulsar
Añadir. Pulsar el icono de Miembros del objeto creado. Escribir de nuevo un nombre para el
miembro, introducir la dirección IP de la máquina desde donde se enviará el correo y pulsar
Añadir.
Efecto: El objeto se ha añadido temporalmente y podemos usarlo en otras partes de la interfaz

de eBox, pero no será persistente hasta que se guarden cambios.
8. Acción: Acceder a Correo → General → Política de reenvío sobre objetos. Seleccionar

el objeto creado en el paso anterior asegurándose de que está marcada la casilla Permitir
reenvío y pulsar el botón Añadir.
Efecto: El botón Guardar Cambios estará activado.
Efecto: Se ha añadido una política de reenvío para el objeto que hemos creado, que permitirá
el envío de correos al exterior para ese origen.
10. Acción: Configurar el cliente de correo seleccionado para que use eBox como servidor SMTP
y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa.
Efecto: Transcurrido un breve periodo de tiempo deberíamos recibir el correo enviado en el

buzón de la cuenta externa.
11. Acción: Comprobar en el servidor de correo a través del fichero de registro /var/log/mail.log
como el correo se ha enviado correctamente.
5.2 Servicio de correo web
El servicio de correo web permite a los usuarios leer y enviar correo a través de un interfaz web
ofrecida por el servidor de correo.
Sus principales ventajas son que el usuario no tiene que configurar nada. Y que puede acceder
a su correo desde cualquier navegador web que pueda alcanzar al servidor. Sus desventajas son
que la experiencia de usuario suele ser más pobre que con un programa de correo de escritorio y
que se debe permitir el acceso web al servidor de correo. Además, incrementa la carga del servidor
para mostrar los mensajes de correo, este trabajo se realiza en el cliente con el software tradicional
de gestión de correo electrónico.
eBox usa Roundcube para implementar este servicio 10 .

10
Roundcube webmail http://roundcube.net/ .
135
5.2.1 Configurando el correo web en eBox
El servicio de correo web se puede habilitar de la misma manera que cualquier otro servicio de
eBox. Sin embargo, requiere que el módulo de correo esté configurado para usar IMAP, IMAPS o
ambos además de tener el módulo webserver habilitado. Si no lo está, el servicio rehusará activarse.
Opciones del correo web
Podemos acceder a las opciones pulsando en la sección Webmail de menú izquierdo. Se puede
establecer el titulo que usará el correo web para identificarse, este titulo se mostrará en la pantalla de
entrada y en los títulos HTML de pagina.
Entrar en el correo web
Para entrar en el correo web, primero necesitaremos que el tráfico HTTP desde la dirección usada
para conectar esté permitido por el cortafuegos. La pantalla de entrada del correo web está disponible
en http://[direccion del servidor]/webmail desde el navegador. A continuación, se debe introducir su
dirección de correo y su contraseña. Los alias no funcionarán, por tanto se debe usar la dirección
real.
136
Filtros SIEVE
El correo web también incluye una interfaz para administrar filtros SIEVE. Esta interfaz sólo está
disponible si el protocolo ManageSIEVE está activo en el servicio de correo.
5.3 Servicio de mensajería instantánea (Jabber/XMPP)
Las aplicaciones de mensajería instantánea permiten gestionar una lista de personas con las que
uno desea mantenerse en contacto intercambiando mensajes. Convierte la comunicación asíncrona
proporcionada por el correo electrónico en una comunicación síncrona en la que los participantes
pueden comunicarse en tiempo real.
Además de la conversación básica permite otras prestaciones como:
• Salas de conversación.
• Transferencia de ficheros.
• Actualizaciones de estado (por ejemplo: ocupado, al teléfono, ausente).
• Pizarra compartida que permite ver y mostrar dibujos a los contactos.
• Conexión simultánea desde distintos dispositivos con prioridades (por ejemplo: desde el móvil
y el ordenador dando preferencia a uno de ellos para la recepción de mensajes).
En la actualidad existen multitud de protocolos de mensajería instantánea como ICQ, AIM, MSN
o Yahoo! Messenger cuyo funcionamiento es básicamente centralizado y propietario.
Sin embargo, también existe Jabber/XMPP que es un conjunto de protocolos y tecnologías que
permiten el desarrollo de sistemas de mensajería distribuidos. Estos protocolos son públicos, abiertos,
flexibles, extensibles, distribuidos y seguros. Aunque todavía sigue en proceso de estandarización, ha
sido adoptado por Cisco o Google (para su servicio de mensajería Google Talk) entre otros.
eBox usa Jabber/XMPP como protocolo de mensajería instantánea, integrando los usuarios con
las cuentas de Jabber. El servidor XMPP jabberd2 11 es el elegido para el servicio de Jabber/XMPP
en eBox.
11
jabberd2 - servidor XMPP <http://jabberd2.xiaoka.com/>.
137
5.3.1 Configuración de un servidor Jabber/XMPP con eBox
Para configurar el servidor Jabber/XMPP en eBox, primero debemos comprobar en Estado del Mó-
dulo si el módulo Usuarios y Grupos está habilitado, ya que Jabber depende de él. Entonces mar-
caremos la casilla Jabber para habilitar el módulo de eBox de Jabber/XMPP.
Figure 5.2: Configuración general del servicio Jabber
Para configurar el servicio, accederemos a Jabber en el menú izquierdo, definiendo los siguientes
parámetros:
Nombre de dominio: Especifica el nombre de dominio del servidor. Esto hará que las cuentas de
los usuarios sean de la forma usuario@dominio.
Tip: dominio debería estar registrado en el servidor DNS para que pueda resolverse desde
los clientes.
Conectar a otros servidores: Para que nuestros usuarios puedan contactar con usuarios de otros
servidores externos. Si por el contrario queremos un servidor privado, sólo para nuestra red
interna, deberá dejarse desmarcada.
Habilitar MUC (Multi User Chat): Habilita las salas de conferencias (conversaciones para más de
dos usuarios).
Tip: las salas de conferencias residen bajo el dominio conference.dominio que como el Nom-
bre de dominio debería estar registrado en el servidor DNS para que pueda resolverse desde
los clientes también.
138
Soporte SSL: Especifica si las comunicaciones (autentificación y mensajes) con el servidor serán
cifradas o en texto plano. Podemos desactivarlo, hacer que sea obligatorio o dejarlo como
opcional. Si lo dejamos como opcional será en la configuración del cliente Jabber donde se
especifique si se quiere usar SSL.
Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios → Añadir usuario si queremos
crear una nueva cuenta o a Usuarios → Editar usuario si solamente queremos habilitar la cuenta de
Jabber para un usuario ya existente.
Figure 5.3: Configuración de cuenta Jabber de un usuario
Como se puede ver, aparecerá una sección llamada Cuenta Jabber donde podemos seleccionar
si la cuenta está activada o desactivada. Además, podemos especificar si el usuario en cuestión ten-
drá privilegios de administrador. Los privilegios de administrador permiten ver los usuarios conectados
al servidor, enviarles mensajes, configurar el mensaje mostrado al conectarse (MOTD, Message Of
The Day ) y enviar un anuncio a todos los usuarios conectados (broadcast).
5.3.2 Configuración de un cliente Jabber
Para ilustrar la configuración de un cliente Jabber, vamos a usar Pidgin y Psi, aunque en caso de
utilizar otro cliente distinto, los pasos a seguir serían muy similares.
Pidgin
12
Pidgin es un cliente multiprotocolo que permite gestionar varias cuentas a la vez. Además de
Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM, MSN y Yahoo!.
12
Pidgin, the universal chat client <http://www.pidgin.im/>.
139
Pidgin era el cliente por omisión del escritorio Ubuntu hasta la versión Karmic, pero todavía sigue
siendo el cliente de mensajería más popular. Lo podemos encontrar en Internet → Cliente de men-
sajería Internet Pidgin. Al arrancar Pidgin, si no tenemos ninguna cuenta configurada, nos aparecerá
la ventana de gestión de cuentas tal como aparece en la imagen.
Desde esta ventana podemos tanto añadir cuentas, como modificar y borrar las cuentas exis-
tentes.
Pulsando el botón Añadir, aparecerán dos pestañas de configuración básica y avanzada.
Para la configuración Básica de la cuenta Jabber, deberemos seleccionar en primer lugar el

protocolo XMPP. El Nombre de usuario y Contraseña deberán ser los mismos que la cuenta Jabber
tiene en eBox. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo
de Jabber/XMPP de eBox. Opcionalmente, en el campo Apodo local introduciremos el nombre que
queramos mostrar a nuestros contactos.
140
En la pestaña Avanzada está la configuración de SSL/TLS. Por defecto Requerir SSL/TLS está
marcado, así que si hemos deshabilitado Soporte SSL debemos desmarcar esto y marcar Permitir
autentificación en texto plano sobre hilos no cifrados.
141
Si no cambiamos el certificado SSL por defecto, aparecerá un aviso preguntando si queremos

aceptarlo o no.
142
Psi
Psi 13 es un cliente de Jabber/XMPP que permite manejar múltiples cuentas a la vez. Rápido y ligero,
Psi es código abierto y compatible con Windows, Linux y Mac OS X.
Al arrancar Psi, si no tenemos ninguna cuenta configurada todavía, aparecerá una ventana pre-
guntando si queremos usar una cuenta ya existente o registrar una nueva, como aparece en la imagen.
Seleccionaremos Usar una cuenta existente.
En la pestaña Cuenta definiremos la configuración básica como el Jabber ID o JID que es

usuario@dominio y la Contraseña. Este usuario y contraseña deberán ser los mismos que la cuenta
Jabber tiene en eBox. El dominio deberá ser el mismo que hayamos definido en la configuración del
módulo de Jabber/XMPP de eBox.
13
Psi, The Cross-Platform Jabber/XMPP Client For Power Users <http://psi-im.org/>.
143
En la pestaña Conexión podemos encontrar la configuración de SSL/TLS entre otras. Por

omisión, Cifrar conexión: Cuando esté disponible está marcado. Si deshabilitamos en eBox el
Soporte SSL debemos cambiar Permitir autentificación en claro a Siempre.
Si no hemos cambiado el certificado SSL aparecerá un aviso preguntando si queremos aceptarlo

o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaña Conexión que vimos en
el anterior paso.
La primera vez que conectemos, el cliente mostrará un error inofensivo porque todavía no hemos
publicado nuestra información personal en el servidor.
144
Opcionalmente, podremos publicar información sobre nosotros aquí.
Una vez publicada, este error no aparecerá de nuevo.
5.3.3 Configurando salas de conferencia Jabber
El servicio Jabber MUC (Multi User Chat) permite a varios usuarios intercambiar mensajes en el
contexto de una sala. Funcionalidades como asuntos, invitaciones, posibilidad de expulsar y prohibir
la entrada a usuarios, requerir contraseña y muchas más están disponibles en las salas de Jabber.
Para una especificación completa, comprueba el borrador XEP-0045 14 .
Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la sección Jabber del
menú de eBox, el resto de la configuración se realiza desde los clientes Jabber.
14
La especificación de las salas de conversación Jabber/XMPP está disponible en <http://xmpp.org/extensions/xep-
0045.html>.
145
Todo el mundo puede crear una sala en el servidor Jabber/XMPP de eBox y el usuario que la crea
se convierte en el administrador para esa sala. Este administrador puede definir todos los parámetros
de configuración, añadir otros usuarios como moderadores o administradores y destruir la sala.
Uno de los parámetros que deberíamos destacar es Hacer Sala Persistente. Por omisión, todas
las salas se destruyen al poco después de que su último participante salga. Estas son llamadas salas
dinámicas y es el método preferido para conversaciones de varios usuarios. Por otra parte, las salas
persistentes deben ser destruidas por uno de sus administradores y se utilizan habitualmente para
grupos de trabajo o asuntos.
En Pidgin para entrar en una sala hay que ir a Contactos –> Entrar en una Sala.... Aparecerá
una ventana de Entrar en una Sala preguntando alguna información como el Nombre de la sala, el
Servidor que debería ser conference.dominio, el Usuario y la Contraseña en caso de ser necesaria.
El primer usuario en entrar a una nueva sala la bloqueará y se le preguntará si quiere Configurar
la Sala o Aceptar la Configuración por Omisión.
En Configuración de la Sala podremos configurar todos los parámetros de la sala. Esta ventana
de configuración puede ser abierta posteriormente ejecutando /config en la ventana de conversación.
146
Una vez configurada, otros usuarios podrán entrar en la sala bajo la configuración aplicada es-
tando la sala lista para su uso.
En Psi para entrar en una sala deberemos ir a General –> Entrar en una Sala. Una ventana
de Entrar en una Sala aparecerá preguntando alguna información como el Servidor que deberá ser
conference.dominio, el Nombre de la Sala, el Nombre de Usuario y la Contraseña en caso de ser
necesaria.
147
El primer usuario en entrar a una nueva sala la bloqueará y se le pedirá que la configure. En la
esquina superior derecha hay un botón que despliega un menú contextual dónde aparece la opción
Configurar Sala.
En Configuración de la Sala podremos configurar todos los parámetros de la sala.
148
Una vez configurada, otros usuarios podrán entrar en la sala bajo la configuración aplicada es-
tando la sala lista para su uso.
5.3.4 Ejemplo práctico
Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que eBox y los clientes sean
capaces de resolver.
1. Acción: Acceder a eBox, entrar en Estado del Módulo y activar el módulo Jabber. Cuando
nos informe de los cambios que va a realizar en el sistema, permitir la operación pulsando el
botón Aceptar.
2. Acción: Añadir un dominio con el nombre que hayamos elegido y cuya dirección IP sea la de
la máquina eBox, de la misma forma que se hizo en Ejemplo práctico B.
Efecto: Podremos usar el dominio añadido como dominio para nuestro servicio Jabber/XMPP.
3. Acción: Acceder al menú Jabber. En el campo Nombre de dominio, escribir el nombre del
dominio que acabamos de añadir. Pulsar el botón Aplicar Cambios.
muestra.
El servicio Jabber/XMPP ha quedado listo para ser usado.
149
5.4 Servicio de Voz sobre IP
La Voz sobre IP o Voz IP consiste en transmitir voz sobre redes de datos usando una serie de
protocolos para enviar la señal digital en paquetes en lugar de enviarla a través de circuitos analógicos
conectados.
Cualquier red IP puede ser utilizada para esto, desde redes locales hasta redes públicas como
Internet. Esto conlleva un ahorro importante de costes al utilizar una misma red para llevar voz y
datos, sin escatimar en calidad o fiabilidad. Los principales problemas que se encuentra la Voz IP en
su despliegue sobre las redes de datos son el NAT 15 y las dificultades que tienen los protocolos para
16
gestionarlo, y el QoS , la necesidad de ofrecer un servicio de calidad en tiempo real, considerando
la latencia (tiempo que se tarda en llegar al destino), el jitter (la variación de la latencia) y el ancho de
banda.
5.4.1 Protocolos
Son varios los protocolos involucrados en la transmisión de voz, desde los protocolos de red como
IP, con los protocolos de transporte como UDP o TCP, hasta los protocolos de voz, tanto para su
transporte como para su señalización.
Los protocolos de señalización en Voz IP desempeñan las tareas de establecimiento y control

de la llamada. SIP, IAX2 y H.323 son protocolos de señalización.
El protocolo de transporte de voz más utilizado es RTP (Realtime Transport Protocol) y su tarea
es transportar la voz codificada desde el origen hasta el destino. Este protocolo se pone en marcha
una vez establecida la llamada por los protocolos de señalización.
SIP
17
SIP o Session Initiation Protocol es un protocolo creado en el seno del IETF para la iniciación,
modificación y finalización de sesiones interactivas multimedia. Tiene gran similitud con HTTP y SMTP.
SIP solamente se encarga de la señalización funcionando sobre el puerto UDP/5060. La transmisión
multimedia se realiza con RTP sobre el rango de puertos UDP/10000-20000.
15
Concepto que se explica en la sección Cortafuegos.
16
Concepto que se explica en la sección Moldeado de tráfico.
17
Internet Engineering Task Force desarrolla y promociona estándares de comunicaciones usados en Internet.
150
IAX2
IAX2 es la versión 2 del protocolo Inter Asterisk eXchange creado para la interconexión de centralitas
18
Asterisk . Las características más importantes de este protocolo es que la voz y la señalización va
por el mismo flujo de datos y además éste puede ser cifrado. Esto tiene la ventaja directa de poder
atravesar NAT con facilidad y que la sobrecarga es menor a la hora de mantener varios canales de
comunicación simultáneos entre servidores. IAX2 funciona sobre el puerto UDP/4569.
5.4.2 Códecs
Un códec es un algoritmo que adapta (codificando en origen y descodificando en destino) una infor-
mación digital con el objetivo de comprimirla reduciendo el uso de ancho de banda y detectando y
recuperándose de los errores en la transmisión. G.711, G.729, GSM y speex son códecs habituales
dentro de la Voz IP.
G.711: Es uno de los códecs más utilizados, con dos versiones, una americana (ulaw) y otra europea
(alaw). Este códec ofrece buena calidad pero su consumo de ancho de banda es bastante
significativo con 64kbps. Es el más habitual para la comunicación por voz en redes locales.
G.729: Tiene una compresión mucho mayor usando solamente 8kbps siendo ideal para las comuni-
caciones a través de Internet. El inconveniente es que tiene algunas restricciones en su uso.
GSM: Es el mismo códec que el usado en las redes de telefonía celular. La calidad de voz no es muy
buena y usa 13kbps aproximadamente.
speex: Es un códec libre de patentes diseñado para voz. Es muy flexible a pesar de consumir más
tiempo de CPU que el resto y puede trabajar a distintas tasas de frecuencia desde 8KHz,
16KHz hasta 32KHz, normalmente referidos como narrowband, wideband y ultra-wideband
respectivamente con un consumo de 15.2kbps, 28kbps y 36kbps.
5.4.3 Despliegue
Veamos los elementos implicados en el despliegue de Voz IP:

18
Asterisk es un software para centralitas telefónicas que eBox usa para implementar el módulo de Voz IP
<http://www.asterisk.org/>.
151
Teléfonos IP
Son teléfonos con una apariencia convencional pero disponen de un conector RJ45 para conectarlo
a una red Ethernet en lugar del habitual RJ11 de las redes telefónicas. Introducen características
nuevas como acceso a la agenda de direcciones, automatización de llamadas, etc. no presentes en
los teléfonos analógicos convencionales.
152
Adaptadores Analógicos
También conocidos como adaptadores ATA (Analog Telephony Adapter ), permiten conectar un telé-
fono analógico convencional a una red de datos IP y hacer que este funcione como un teléfono IP.
Para ello dispone de un puerto de red de datos RJ45 y uno o más puertos telefónicos RJ11.
Softphones
Los softphones son aplicaciones de ordenador que permiten realizar llamadas Voz IP sin más hard-
ware adicional que los propios altavoces y micrófono del ordenador. Existen multitud de aplicaciones
para este propósito, para todas las plataformas y sistemas operativos. X-Lite y QuteCom (Wengo-
Phone) están disponibles tanto para Windows y OSX como para GNU/Linux. Ekiga (GnomeMeeting)
o Twinkle son nativas de este último.
Centralitas IP
A diferencia de la telefonía tradicional, dónde las llamadas pasaban siempre por la centralita, en la Voz
IP los clientes (teléfonos IP o softphones) se registran en el servidor, el emisor pregunta por los datos
del receptor al servidor, y entonces el primero realiza una llamada al receptor. En el establecimiento
de la llamada negocian un códec común para la transmisión de la voz.
Asterisk es una aplicación exclusivamente software que funciona sobre cualquier servidor habitual
proporcionando las funcionalidades de una centralita o PBX (Private Branch eXchange): conectar
entre sí distintos teléfonos, a un proveedor de Voz IP, o bien a la red telefónica. También ofrece
servicios como buzón de voz, conferencias, respuesta interactiva de voz, etc.
153
Figure 5.4: Qutecom
Figure 5.5: Twinkle
154
Para conectar el servidor de la centralita Asterisk a la red telefónica analógica se usan unas
tarjetas llamadas FXO (Foreign eXchange Office) que permiten a Asterisk funcionar como si fuera un
teléfono convencional y redirigir las llamadas a través de la red telefónica. Para conectar un teléfono
analógico al servidor se debe usar una tarjeta FXS (Foreign eXchange Station) así se pueden adaptar
los terminales existentes a una nueva red de telefonía IP.
Figure 5.6: Digium TDM422E FXO and FXS card
5.4.4 Configuración de un servidor Asterisk con eBox
El módulo de Voz IP de eBox permite gestionar un servidor Asterisk con los usuarios ya existentes
en el servidor LDAP del sistema y con las funcionalidades más habituales configuradas de una forma
sencilla.
Como ya es habitual, en primer lugar deberemos habilitar el módulo. Iremos a la sección Estado
del Módulo del menú de eBox y seleccionaremos la casilla Voz IP. Si no tenemos habilitado el módulo
Usuarios y Grupos deberá ser habilitado previamente ya que depende de él.
A la configuración general del servidor se accede a través del menú Voz IP → General, una vez
allí sólo necesitamos configurar los siguientes parámetros generales:
155
Habilitar extensiones demo: Habilita las extensiones 400, 500 y 600. Si llamamos a la extensión
400 podremos escuchar la música de espera, llamando a la 500 se realiza una llamada medi-
ante el protocolo IAX a guest@pbx.digium.com. En la extensión 600 se dispone de una prueba
de eco para darnos una idea de la latencia en las llamadas. En definitiva estas extensiones
nos permiten comprobar que nuestro cliente esta correctamente configurado.
Habilitar llamadas salientes: Habilita las llamadas salientes a través del proveedor SIP que teng-
amos configurado para llamar a teléfonos convencionales. Para realizar llamadas a través
del proveedor SIP tendremos que añadir un cero adicional antes del número a llamar, por
ejemplo si queremos llamar a las oficinas de eBox Technologies (+34 976733506, o mejor
0034976733506), pulsaríamos 00034976733506.
Extensión de buzón de voz: Es la extensión donde podemos consultar nuestro buzón de voz. El
usuario y la contraseña es la extensión adjudicada por eBox al crear el usuario o al asignársela
por primera vez. Recomendamos cambiar la contraseña inmediatamente desde el Rincón
del Usuario 19 . La aplicación que reside en esta extensión nos permite cambiar el mensaje de
bienvenida a nuestro buzón, escuchar los mensajes en él y borrarlos. Esta extensión solamente
es accesible por los usuarios de nuestro servidor, no aceptará llamadas entrantes de otros
servidores por seguridad.
Dominio Voz IP: Es el dominio que se asignará a las direcciones de nuestros usuarios. Así pues un
usuario usuario, que tenga una extensión 1122 podrá ser llamado a usuario@dominio.tld o
1122@dominio.tld.
19
El Rincón del Usuario se explica en la sección Rincón del Usuario.
156
En la sección de Proveedor SIP introduciremos los datos suministrados por nuestro proveedor
SIP para que eBox pueda redirigir las llamadas a través de él:
20
Proveedor: Si estamos usando eBox VoIP Credit , seleccionaremos esta opción que preconfigu-
rará el nombre del proveedor y el servidor. En otro caso usaremos Personalizado.
Nombre: Es el identificador que se da al proveedor dentro de eBox.
Nombre de usuario: Es el nombre de usuario del proveedor.
Contraseña: Es la contraseña de usuario del proveedor.
Servidor: Es el nombre de dominio del servidor del proveedor.
Destino de las llamadas entrantes: Es la extensión interna a la que se redirigen las llamadas real-
izadas a la cuenta del proveedor.
En la sección de Configuración NAT definiremos la posición en la red de nuestra máquina eBox.

Si tiene una IP pública la opción por defecto eBox está tras NAT: No es correcta. Si tiene una IP
privada deberemos indicar a Asterisk cuál es la IP pública que obtenemos al salir a Internet. En caso
de tener una IP pública fija simplemente la introduciremos en Dirección IP fija; si nuestra IP pública
es dinámica tendremos que configurar el servicio de DNS dinámico (DynDNS) de eBox disponible en
Red → DynDNS (o configurarlo manualmente) e introduciremos el nombre de dominio en Nombre
de máquina dinámico.
En la sección de Redes locales podremos añadir las redes locales a las que accedemos desde
eBox sin hacer NAT, como pueden ser redes VPN, u otra serie de segmentos de red no configurados
desde eBox como pudiera ser una red wireless. Esto es necesario debido al comportamiento del
protocolo SIP en entornos con NAT.
A la configuración de las conferencias se accede a través Voz IP → Conferencias. Aquí podemos

configurar salas de reunión multiconferencia. La extensión de estas salas deberá residir en el rango
8001-8999 y podrán tener opcionalmente una contraseña de entrada, una contraseña administra-
tiva y una descripción. A estas extensiones se podrá acceder desde cualquier servidor simplemente
marcando extension@dominio.tld.
Cuando editemos un usuario, podremos habilitar o deshabilitar la cuenta de VozIP de este usuario
y cambiar su extensión. Hay que tener en cuenta que una extensión sólamente puede asignarse a
un usuario y no a más, si necesitas llamar a más de un usuario desde una extensión será necesario
utilizar colas.
20
Puedes comprar eBox VoIP credit en nuestra tienda si tienes Professional o Enterprise Server Subscriptions.
157
158
Cuando editemos un grupo, podremos habilitar o deshabilitar la cola de este grupo. Una cola
es una extensión dónde al recibir una llamada, se llama a todos los usuarios que pertenecen a este
grupo.
Si queremos configurar la música de espera, colocaremos las canciones en formato MP3 en

/var/lib/asterisk/mohmp3/ e instalaremos el paquete mpg123.
5.4.5 Configurando un softphone para conectar a eBox
Ekiga (Gnome)
Ekiga 21 es el softphone o cliente de voz IP recomendado en el entorno de escritorio Gnome. Al lan-

zarlo por primera vez presenta un asistente para configurar datos personales del usuario, dispositivos
de sonido y vídeo, la conexión a Internet y los servicios de Ekiga.net. Podemos omitir la configuración
tanto de la cuenta en Ekiga.net como de Ekiga Call Out.
21
Ekiga: Free your speech <http://ekiga.org/>
159
Desde Editar –> Cuentas, seleccionando Cuentas –> Añadir una cuenta SIP podremos config-
urar la cuenta de Voz IP de eBox Platform.
Nombre: Es el identificador de la cuenta dentro de Ekiga.
Servidor de registro: Es el nombre de dominio del servidor de Voz IP de eBox.
Usuario y Usuario para autenticación: Son el nombre de usuario de eBox.
Contraseña: Es la contraseña de usuario de eBox.
Tras configurar la cuenta se intentará registrar en el servidor.
Para realizar una llamada tan sólo hay que escribir el número o dirección SIP en la barra superior
y llamar usando el icono del teléfono verde a la derecha. Para colgar se usa el icono del teléfono rojo
a la derecha también.
160
Qutecom (Multiplataforma)
Qutecom 22 es un softphone que usa las bibliotecas Qt4 por lo que está disponible en las tres platafor-
mas más extendidas: Linux, OSX y Windows. También al lanzarlo por primera vez nos presentará un
asistente para configurar la cuenta de Voz IP.
Tenemos un teclado numérico o una lista de contactos para realizar llamadas. Se usan los
botones verde / rojo en la parte inferior para llamar y colgar.
22
QuteCom: Free VOIP Softphone http://www.qutecom.org
161
5.4.6 Usando las funcionalidades de eBox Voz IP
Transferencia de llamadas
La transferencia de llamadas es muy sencilla. Durante el transcurso de una conversación, pulsando

# y después introduciendo la extensión a dónde queremos reenviar la llamada podremos realizar una
transferencia. En ese momento, podremos colgar ya que esta llamada estará marcando la extensión
a donde ha sido transferida.
Aparcamiento de llamadas
El aparcamiento de llamadas se realiza sobre la extensión 700. Durante el transcurso de una conver-
sación, pulsaremos # y después marcaremos 700. La extensión donde la llamada ha sido aparcada
será anunciada a la parte llamada y quien estaba llamando comenzará a escuchar la música de es-
pera, si está configurada. Podremos colgar en ese momento. Desde un teléfono distinto u otro usuario
distinto marcando la extensión anunciada podremos recoger la llamada aparcada y restablecer la con-
versación.
En eBox, el aparcamiento de llamadas soporta 20 conversaciones y el periodo máximo que una

llamada puede esperar son 300 segundos.
162
Ejemplo práctico
Crear un usuario que tenga una cuenta de Voz IP. Cambiarle la extensión a 1500.
1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo Voz IP marcando
la casilla correspondiente en la columna Estado. Si Usuarios y Grupos no está activado
deberemos activarlo previamente pues depende de él. Entonces se informa sobre los cambios
que se van a realizar en el sistema. Permitiremos la operación pulsando el botón Aceptar.
2. Acción: Acceder al menú Voz IP. En el campo Dominio Voz IP escribir el nombre de dominio
que corresponda a esta máquina. Este dominio deberá poder resolverse desde las máquinas
de los clientes del servicio. Pulsar el botón Cambiar.
muestra.
El servicio de Voz IP está preparado para usarse.
4. Acción:
Acceder al menú Usuarios y Grupos → Usuarios → Añadir Usuario. Completar

la información del formulario para crear un nuevo usuario. Pulsar el botón Crear
Usuario.
Efecto: eBox crea un nuevo usuario y nos muestra el perfil con las opciones de este.
5. Acción: En la sección Cuenta de Voz IP muestra si el usuario tiene la cuenta activada o

desactivada y la extensión que tiene asignada. Cerciorarse de que la cuenta está activada, ya
que todos los usuarios creados mientras el módulo de Voz IP está habilitado tienen la cuenta
activada. Por último, cambiar la extensión asignada por defecto, que es la primera libre del
rango de extensiones de usuarios, a la extensión 1500 que deseábamos. Pulsar el botón
Aplicar cambios de la sección Cuenta de Voz IP.
Efecto: eBox aplica los cambios realizados inmediatamente, el usuario ya puede recibir lla-
madas sobre esa extensión.
163
164
Chapter 6
eBox Unified Threat Manager
En este apartado se verán diferentes técnicas para proteger la red más allá de un simple cortafuegos,
evitando ataques externos, y detectando posibles intrusiones hacia servicios de red que se usen.
El correo electrónico sin un buen filtrado de correo no funciona correctamente, en este tema se
verán diferentes técnicas para evitar el correo basura (spam) y los virus en el correo electrónico con
eBox.
El tráfico Web también puede traer problemas dependiendo de los lugares que se visiten. Por ello,
en este tema se explicará la integración del filtrado de contenidos del proxy HTTP con un antivirus y
diversas configuraciones más avanzadas para dar mayor seguridad a la navegación por Internet de
los usuarios de la red.
En este apartado, se explicará como conectar de manera segura a los empleados fuera de la
oficina o a realizar conexiones entre oficinas mediante el uso de redes privadas virtuales, para ello
se definirán las bases que sigue la seguridad en la red.
Finalmente, la detección de intrusos a través de reglas de ataque se verán también en este

apartado. De una forma sencilla, podemos recibir notificaciones de ataques y analizar los daños que
hayan podido causar.
6.1 Filtrado de correo electrónico
Los principales problemas en el sistema de correo electrónico son el spam y los virus.
165
El spam, o correo electrónico no deseado, distrae la atención del usuario que tiene que bucear
en su bandeja de entrada para encontrar los correos legítimos. También genera una gran cantidad de
tráfico que puede afectar al funcionamiento normal de la red y del servicio de correo.
Aunque los virus informáticos no afectan al sistema en el que está instalado eBox, un correo
electrónico que contenga un virus puede infectar otras máquinas clientes de la red.
6.1.1 Esquema del filtrado de correo de eBox
Para defendernos de estas amenazas, eBox dispone de un filtrado de correo bastante potente y
flexible.
Figure 6.1: Esquema del filtrado de correo en eBox
En la figura se observan los diferentes pasos que sigue un correo antes de determinar si es válido
o no. En primer lugar, el servidor de correo envía el correo al gestor de políticas de listas grises. Si el
correo supera este filtro, pasará al filtro de correo donde se examinarán una serie de características del
correo, para ver si contiene virus o si se trata de correo basura, utilizando para ello un filtro estadístico.
Si supera todos esos filtros, entonces se determina que el correo es válido y se emite a su receptor o
se almacena en un buzón del servidor.
En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros y cómo
se configuran en eBox.
166
CHAPTER 6. EBOX UNIFIED THREAT MANAGER
Lista gris
1
Una greylist (lista gris) es un método de defensa contra el spam que no descarta correos, sólo le
pone más difícil el trabajo a un servidor de correo que actúa como spammer (emisor de correo spam
o basura).
En el caso de eBox, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor
nuevo quiere enviarle un correo, eBox le dice “Estoy fuera de servicio en este momento, inténtalo en
2
300 segundos.” , si el servidor remitente cumple la especificación reenviará el correo pasado ese
tiempo y eBox lo apuntará como un servidor correcto.
En eBox, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos con
política de permitir retransmisión y al que tiene como remitente una dirección que se encuentra en la
lista blanca del antispam.
Sin embargo, los servidores que envían Spam no suelen seguir el estándar y no reenviarán el
correo. Así habríamos evitado los mensajes de Spam.
Figure 6.2: Esquema del funcionamiento de una lista gris
El Greylist se configura desde Correo → Lista gris con las siguientes opciones:
1
eBox usa postgrey http://postgrey.schweikert.ch/ como gestor de esta política en postfix.
2
Realmente el servidor de correo envía como respuesta Greylisted, es decir, puesto en la lista gris en espera de
permitir el envío de correo o no pasado el tiempo configurado.
167
Habilitado: Marcar para activar el greylisting.
Duración de la lista gris (segundos): Segundos que debe esperar el servidor remitente antes de
reenviar el correo.
Ventana de reintento (minutos): Tiempo en horas en el que el servidor remitente puede enviar
correos. Si el servidor ha enviado algún correo durante ese tiempo, dicho servidor pasará
a la lista gris. En una lista gris, el servidor de correo puede enviar todos los correos que quiera
sin restricciones temporales.
Tiempo de vida de las entradas (días): Días que se almacenarán los datos de los servidores evalu-
ados en la lista gris. Si pasan más de los días configurados, cuando el servidor quiera volver a
enviar correos tendrá que pasar de nuevo por el proceso de greylisting descrito anteriormente.
Verificadores de contenidos
El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para
realizar esta tarea eBox usa un interfaz entre el MTA (postfix) y dichos programas. Para ello, se usa
3
el programa amavisd-new que habla con el MTA usando (E)SMTP o LMTP (Local Mail Transfer
Protocol RFC 2033) para comprobar que el correo no es spam ni contiene virus. Adicionalmente, esta
interfaz realiza las siguientes comprobaciones:
• Listas blancas y negras de ficheros y extensiones.
• Filtrado de correos con cabeceras mal-formadas.

3
Amavisd-new: http://www.ijs.si/software/amavisd/
168
Antivirus
El antivirus que usa eBox es ClamAV 4 , el cual es un conjunto de herramientas antivirus para UNIX
especialmente diseñadas para escanear adjuntos en los correos electrónicos en un MTA. ClamAV
posee un actualizador de base de datos que permite las actualizaciones programadas y firmas digi-
tales a través del programa freshclam. Dicha base de datos se actualiza diariamente con los nuevos
virus que se van encontrando. Además, el antivirus es capaz de escanear de forma nativa diversos
formatos de fichero como por ejemplo Zip, BinHex, PDF, etc.
En Antivirus se puede comprobar si está instalado y actualizado el antivirus en el sistema.
Se puede actualizar desde Gestión de Software, como veremos en Actualización de software.
Si el antivirus está instalado y actualizado, eBox lo tendrá en cuenta dependiendo de la configu-

ración del filtro SMTP, el proxy POP, el proxy HTTP o incluso podría funcionar para la compartición de
ficheros.
Antispam
El filtro antispam asigna a cada correo un puntuación de spam, si el correo alcanza la puntuación
umbral de spam es considerado correo basura, si no es considerado correo legítimo. A este último
tipo de correo se le suele denominar ham.
El detector de spam usa las siguientes técnicas para asignar la puntuación:
• Listas negras publicadas vía DNS (DNSBL).
• Listas negras de URI que siguen los sitios Web de Spam.
• Filtros basados en el checksum de los mensajes.
• Entorno de política de emisor (Sender Policy Framework o SPF) RFC 4408.
• DomainKeys Identified Mail (DKIM)

4
Clam Antivirus: http://www.clamav.net/
169
• Filtro bayesiano
• Reglas estáticas
5
• Otros.
Entre estas técnicas el filtro bayesiano debe ser explicado con más detenimiento. Este tipo de
filtro hace un análisis estadístico del texto del mensaje obteniendo una puntuación que refleja la prob-
abilidad de que el mensaje sea spam. Sin embargo, el análisis no se hace contra un conjunto estático
de reglas sino contra un conjunto dinámico, que es creado suministrando mensajes ham y spam al
filtro de manera que pueda aprender cuales son las características estadísticas de cada tipo.
La ventaja de esta técnica es que el filtro se puede adaptar al siempre cambiante flujo de spam,
las desventajas es que el filtro necesita ser entrenado y que su precisión reflejará la calidad del
entrenamiento recibido.
eBox usa Spamassassin 6 como detector de spam.
La configuración general del filtro se realiza desde Filtro de correo → Antispam:

5
Existe una lista muy larga de técnicas antispam que se puede consultar en http://en.wikipedia.org/wiki/Anti-
spam_techniques_(e-mail)
6
The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org .
170
Umbral de Spam: Puntuación a partir de la cual un correo se considera como Spam.
Etiqueta de asunto Spam: Etiqueta para añadir al asunto del correo en caso de que sea Spam.
Usar clasificador bayesiano: Si está marcado se empleará el filtro bayesiano, si no será ignorado.
Auto-lista blanca: Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje. Esto
es, si el remitente ha enviado mucho correo como ham es altamente probable que el próximo
correo que envíe sea ham y no spam.
Auto-aprendizaje: Si está marcado, el filtro aprenderá de los mensajes recibidos, cuya puntuación
traspase los umbrales de auto-aprendizaje.
Umbral de auto-aprendizaje de spam: Puntuación a partir de la cual el filtro aprenderá automática-

mente un correo como spam. No es conveniente poner un valor bajo, ya que puede provocar
posteriormente falsos positivos. Su valor debe ser mayor que Umbral de spam.
171
Umbral de auto-aprendizaje de ham: Puntuación a partir de la cual el filtro aprenderá automática-

mente un correo como ham. No es conveniente poner un valor alto, ya que puede provocar
falsos negativos. Su valor debería ser menor que 0.
Desde Política de emisor podemos marcar los remitentes para que siempre se acepten sus
correos (whitelist), para que siempre se marquen como spam (blacklist) o que siempre los procese el
filtro antispam (procesar ).
Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano enviándole un
7
buzón de correo en formato Mbox que únicamente contenga spam o ham. Existen en Internet
muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser más exacto entrenarlo
con correo recibido en los sitios a filtrar. Conforme más entrenado esté el filtro, mejor será el resultado
de la decisión de tomar un correo como basura o no.
Listas de control basadas en ficheros
Es posible filtrar los ficheros adjuntos que se envían en los correos a través de Filtro de correo →
ACL por fichero (File Access Control Lists).
Allí podemos permitir o bloquear correos según las extensiones de los ficheros adjuntos o de sus
tipos MIME.
7
Mbox y maildir son formatos de almacenamiento de correos electrónicos y es dependiente del cliente de correo
electrónico. En el primero todos los correos se almacenan en un único fichero y con el segundo formato, se almacenan
en ficheros separados diferentes dentro de un directorio.
172
Filtrado de Correo SMTP
Desde Filtro de correo → Filtro de correo SMTP se puede configurar el comportamiento de los fil-
tros anteriores cuando eBox reciba correo por SMTP. Desde General podemos configurar el compor-
tamiento general para todo el correo entrante:
173
Habilitado: Marcar para activar el filtro SMTP.
Antivirus habilitado: Marcar para que el filtro busque virus.
Antispam habilitado: Marcar para que el filtro busque spam.
Puerto de servicio: Puerto que ocupará el filtro SMTP.
Notificar los mensajes problemáticos que no son spam: Podemos enviar notificaciones a una
cuenta de correo cuando se reciben correos problemáticos que no son spam, por ejemplo
con virus.
Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo de correo.
Por cada tipo de correo problemático, se pueden realizar las siguientes acciones:
Aprobar: No hacer nada, dejar pasar el correo a su destinatario.
Rechazar: Descartar el mensaje antes de que llegue al destinatario, avisando al remitente de que el
mensaje ha sido descartado.
Rebotar: Igual que Rechazar, pero adjuntando una copia del mensaje en la notificación.
Descartar: Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente.
Desde Filtro de correo → Filtro de correo SMTP → Dominios virtuales se puede configurar el
comportamiento del filtro para los dominios virtuales de correo. Estas configuraciones sobreescriben
las configuraciones generales definidas previamente.
Para personalizar la configuración de un dominio virtual de correo, pulsamos sobre Añadir nuevo.
174
Los parámetros que se pueden sobreescribir son los siguientes:
Dominio: Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se hayan
configurado en Correo → Dominio Virtual.
Usar filtrado de virus / spam: Si están activados se filtrarán los correos recibidos en ese dominio
en busca de virus o spam respectivamente.
Umbral de spam: Se puede usar la puntuación por defecto de corte para los correos Spam, o un
valor personalizado.
Aprender de las carpetas IMAP de Spam de las cuentas: Si esta activado, cuando mensajes de
correo se coloquen en la carpeta de Spam serán aprendidos por el filtro como spam. De
manera similar si movemos un mensaje desde la carpeta de spam a una carpeta normal, sera
aprendido como ham.
Cuenta de aprendizaje de ham / spam: Si están activados se crearán las cuentas ham@dominio
y spam@dominio respectivamente. Los usuarios pueden enviar correos a estas cuentas para
entrenar al filtro. Todo el correo enviado a ham@dominio será aprendido como correo no spam,
mientras que el correo enviado a spam@dominio será aprendido como spam.
Una vez añadido el dominio, se pueden añadir direcciones a su lista blanca, lista negra o que sea
obligatorio procesar desde Política antispam para el emisor.
6.1.2 Listas de control de conexiones externas
Desde Filtro de correo → Filtro de correo SMTP → Conexiones externas se pueden configurar las
conexiones desde MTAs externos mediante su dirección IP o nombre de dominio hacia el filtro de
correo que se ha configurado usando eBox. De la misma manera, se puede permitir a esos MTAs
externos filtrar correo de aquellos dominios virtuales externos a eBox que se permitan a través de su
175
configuración en esta sección. De esta manera, eBox puede distribuir su carga en dos máquinas, una
actuando como servidor de correo y otra como servidor para filtrar correo.
6.1.3 Proxy transparente para buzones de correo POP3
Si eBox está configurado como un proxy transparente, puede filtrar el correo POP. La máquina eBox
se colocará entre el verdadero servidor POP y el usuario filtrando el contenido descargado desde los
servidores de correo (MTA). Para ello, eBox usa p3scan 8 .
Desde Filtro de correo → Proxy transparente POP se puede configurar el comportamiento del
filtrado:
Habilitado: Si está marcada, se filtrará el correo POP.

8
Transparent POP proxy http://p3scan.sourceforge.net/
176
Filtrar virus: Si está marcada, se filtrará el correo POP en busca de virus.
Filtrar spam: Si está marcada, se filtrará el correo POP en busca de spam.
Asunto spam del ISP: Si el servidor de correo marca el spam con una cabecera, poniéndola aquí
avisaremos al filtro para que tome los correos con esa cabecera como spam.
Ejemplo práctico
Activar el filtro de correo y el antivirus. Enviar un correo con virus. Comprobar que el filtro surte efecto.
1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo filtro de correo, para
ello marcar su casilla en la columna Estado. Habilitar primero los módulos red y cortafuegos
si no se encuentran habilitados con anterioridad.
3. Acción: Acceder al menú Filtro de Correo → Filtro de correo SMTP, marcar las casillas Ha-
bilitado y Antivirus habilitado y pulsar el botón Cambiar.
Efecto: eBox nos avisa de que hemos modificado satisfactoriamente las opciones mediante el
mensaje Hecho.
4. Acción: Acceder a Correo → General → Opciones de Filtrado de Correo y seleccionar Filtro

de correo interno de eBox.
Efecto: eBox usará su propio sistema de filtrado.
muestra.
El filtro de correo ha sido activado con la opción de antivirus.
6. Acción: Descargar el fichero http://www.eicar.org/download/eicar_com.zip, que contiene un

virus de prueba y enviarlo desde nuestro cliente de correo a una de las cuentas de correo de
eBox.
Efecto: El correo nunca llegará a su destino porque el antivirus lo habrá descartado.
177
7. Acción: Acceder a la consola de la máquina eBox y examinar las últimas líneas del fichero
/var/log/mail.log, por ejemplo mediante el uso del comando tail.
Efecto: Observaremos que ha quedado registrado el bloqueo del mensaje infectado, especi-
ficándonos el nombre del virus:
Blocked INFECTED (Eicar-Test-Signature)
6.2 Configuración Avanzada para el proxy HTTP
6.2.1 Configuración de perfiles de filtrado
La configuración de perfiles de filtrado se realiza en la sección Proxy HTTP → Perfiles de Filtrado.
Se pueden crear y configurar nuevos perfiles de filtrado para su uso por grupos de usuarios u
objetos de red.
Las opciones de configuración son idénticas a las explicadas en la configuración del perfil por
defecto, con una importante salvedad: es posible usar la misma configuración del perfil por defecto
en las distintas áreas de configuración. Para ello basta con marcar la opción Usar configuración por
defecto.
6.2.2 Perfil de filtrado por objeto
Se puede seleccionar un perfil de filtrado para un objeto origen. Las peticiones que procedan de este
objeto usaran el perfil seleccionado en vez del perfil por defecto.
178
Para ello, hay que acceder a la sección Proxy HTTP → Política de objetos y cambiar el perfil
de filtrado en la linea correspondiente al objeto. Esta opción requiere que la política del objeto este
establecida a Filtrar.
6.2.3 Filtrado basado en grupos de usuarios
Es posible usar los grupos de usuarios en el control de acceso y en el filtrado. Para ello primero
debemos usar como política global o del objeto de red desde el cuál accedemos al proxy, una de las
siguientes: Autorizar y permitir todo, Autorizar y denegar todo o Autorizar y filtrar.
Estas políticas hacen que el proxy pida identificación de usuario y de no ser satisfactoria se
bloqueará el acceso.
Warning: Hay que tener en cuenta que, por una limitación técnica de la autenticación HTTP, las
políticas con autenticación son incompatibles con el modo transparente.
Si tenemos establecida una política global con autorización podremos también establecer políticas
globales de grupo, la política nos permitirá controlar el acceso a los miembros del grupo y asignarle
un perfil de filtrado distinto del perfil por defecto.
Las políticas de grupo se gestionan en la sección Proxy HTTP → Política de Grupo. El acceso
del grupo puede ser permitir o denegar. Esto sólo afecta al acceso a la web, la activación del filtrado
de contenidos no depende de esto sino de que tengamos una política global o de objeto de filtrar. A
la política de grupo se le puede asignar un horario, fuera del horario el acceso será denegado.
Cada política de grupo tiene una prioridad reflejada en su posición en la lista (primero en la lista,
mayor prioridad). La prioridad es importante ya que hay usuarios que pueden pertenecer a varios
grupos, en cuyo caso le afectarán únicamente las políticas adoptadas al grupo de mayor prioridad.
También aquí se le puede asignar un perfil de filtrado para ser usado cuando se realice filtrado de
contenidos a miembros del grupo de usuarios. En la próxima sección se explica el uso de los perfiles
de filtrado.
179
6.2.4 Filtrado basado en grupos de usuarios para objetos
Recordamos que es posible configurar políticas por objeto de red. Dichas políticas tienen prioridad
sobre la política general del proxy y sobre las políticas globales de grupo.
Además en caso de que hayamos elegido una política con autorización, es posible también definir
políticas por grupo. Las políticas de grupo en este caso sólo influyen en el acceso y no en el filtrado
que vendrá determinado por la política de objeto. Al igual que en la política general, las políticas con
autorización son incompatibles con el filtrado transparente.
Por último, cabe destacar que no podemos asignar perfiles de filtrado a los grupos en las políticas
de objeto. Por tanto, un grupo usará el perfil de filtrado establecido en su política global de grupo, sea
cual sea el objeto de red desde el que se acceda al proxy.
Ejemplo práctico
Tenemos que crear una política de acceso para dos grupos: IT y Contabilidad. Los miembros del
grupo de contabilidad sólo podrán acceder en horario de trabajo y tendrán el contenido filtrado con
mayor umbral que el resto de la empresa. Los miembros de IT podrán entrar a cualquier hora, no
tendrán filtrado pero tendrán denegada la misma listas de dominios que el resto de la empresa. Asum-
imos que los grupos y sus usuarios ya están creados.
Para ello, podemos seguir estos pasos:
1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo Proxy, para ello
Efecto: Una vez los cambios guardados, se pedirá autenticación a todo el que trate de acceder
al contenido web y de acceder el filtrado de contenidos estará activado.
180
2. Acción: Entrar a la gestión de perfiles de filtrado, situada en Proxy HTTP → Perfiles de Fil-
trado. Primero, agregar al perfil por defecto la lista de dominios prohibidos por la empresa.
Entrar por medio del icono en la columna de Configuración a los parámetros del perfil por de-
fecto. Seleccionar la pestaña Filtrado de dominios y en la lista de dominios añadir marca.es
y youtube.com.
A continuación, volver a Proxy HTTP → Perfiles de Filtrado, y crear dos nuevos perfiles de
filtrado para nuestros grupos, con los nombres Perfil IT y Perfil contabilidad. Seguidamente
configuraremos ambos.
El Perfil contabilidad tan sólo debe distinguirse por la poca tolerancia de su umbral, así que en
umbral de filtrado lo estableceremos al valor muy estricto, el resto de configuración debe seguir
la política por defecto de la empresa así que tanto en Filtro de dominios, como en Filtro de
extensiones de fichero y en Filtro de tipos MIME marcaremos la opción Usar configuración
por defecto asegurándonos así que el comportamiento para estos elementos no diferirá de la
política por defecto.
En el Perfil IT debemos dejar libre acceso a todo menos a los dominios prohibidos, para los
que debemos seguir la política habitual. En consecuencia iremos a Filtro de dominios y
marcaremos la opción Usar configuración por defecto, el nivel de umbral lo dejaremos en
Desactivado y las listas de filtrado de extensiones de fichero y tipos MIME, vacías.
Efecto: Tendremos definidos los perfiles de filtrado necesarios para nuestros grupos de usuar-
ios.
3. Acción: Ahora asignaremos los horarios y los perfiles de filtrado a los grupos. Para ello en-
traremos en Proxy HTTP → Política de grupo.
Pulsaremos sobre Añadir nueva, seleccionaremos Contabilidad como grupo, estableceremos

el horario de lunes a viernes de 9:00 a 18:00 y seleccionaremos el perfil de filtrado Perfil de
contabilidad.
De igual manera crearemos una política para el grupo IT. Para este grupo seleccionaremos el
Perfil IT y no pondremos ninguna restricción en cuanto horario.
Efecto: Una vez guardados los cambios, habremos finalizado la configuración para este caso.
Entrando con usuarios pertenecientes a uno u otro grupo podremos comprobar de las
dos políticas. Algunas cosas que podemos comprobar:
• Entrar como miembro de contabilidad en www.playboy.com y comprobar que es

denegada por el análisis de contenidos. A continuación entrar como miembro de IT
y comprobar que el análisis esta desactivado entrando en dicha página.
181
• Tratar de entrar en alguno de los dominios prohibidos, comprobando que la lista

está en vigor para ambos grupos.
• Cambiar la fecha a un día no laborable, comprobar que los miembros de IT pueden

acceder pero los de Contabilidad, no.
6.3 Interconexión segura entre redes locales
6.3.1 Redes privadas virtuales (VPN)
Las redes privadas virtuales se idearon tanto para permitir el acceso a la red corporativa por usuarios
remotos a través de Internet como para unir redes dispersas geográficamente.
Es frecuente que haya recursos necesarios para nuestros usuarios en nuestra red, pero que
dichos usuarios, al encontrarse fuera de nuestras instalaciones no puedan conectarse directamente a
ella. La solución obvia es permitir la conexión a través de Internet. Esto nos puede crear problemas
de seguridad y configuración, los cuales se tratan de resolver mediante el uso de las redes privadas
virtuales.
La solución que ofrece una VPN (Virtual Private Network ) a este problema es el uso de cifrado
para permitir sólo el acceso a los usuarios autorizados (de ahí el adjetivo privada). Para facilitar el uso
y la configuración, las conexiones aparecen como si existiese una red entre los usuarios (de ahí lo de
virtual).
La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organización puede
desear conectar entre sí redes que se encuentran en sitios distintos. Por ejemplo, oficinas en distin-
tas ciudades. Antes, la solución a este problema estaba en la contratación de líneas dedicadas para
conectar dichas redes, este servicio es costoso y lento de desplegar. Sin embargo, el avance de Inter-
net proporcionó un medio barato y ubicuo, pero inseguro. De nuevo las características de autorización
y virtualización de las VPN resultaron la respuesta adecuada a dicho problema.
A este respecto, eBox ofrece dos modos de funcionamiento. Permite funcionar como servidor
para usuarios individuales y también como conexión entre dos o más redes gestionadas con eBox.
182
6.3.2 Infraestructura de clave pública (PKI) con una autoridad de certificación

(CA)
La VPN que usa eBox para garantizar la privacidad e integridad de los datos transmitidos utiliza
cifrado proporcionado por tecnología SSL. La tecnología SSL está extendida y lleva largo tiempo en
uso, así que podemos estar razonablemente seguros de su eficacia. Sin embargo, todo mecanismo de
cifrado tiene el problema de cómo distribuir las claves necesarias a los usuarios, sin que estas puedan
ser interceptadas por terceros. En el caso de las VPN, este paso es necesario cuando un nuevo
participante ingresa en la red privada virtual. La solución adoptada es el uso de una infraestructura
de clave pública (Public Key Infraestructure - PKI). Esta tecnología nos permite la utilización de claves
en un medio inseguro, como es el caso de Internet, sin que sea posible la interceptación de la clave
por observadores de la comunicación.
La PKI se basa en que cada participante genera un par de claves: una pública y una privada.
La pública es distribuida y la privada guardada en secreto. Cualquier participante que quiera cifrar
un mensaje puede hacerlo con la clave pública del destinatario, pero el mensaje sólo puede ser de-
scifrado con la clave privada del mismo. Como esta última no debe ser comunicada a nadie nos
aseguramos que el mensaje sólo pueda ser descifrado por el destinatario. No obstante, esta solución
engendra un nuevo problema. ¿Si cualquiera puede presentar una clave pública, cómo garantizamos
que un participante es realmente quien dice ser y no está suplantando una identidad que no le corre-
9
sponde?. Para resolver este problema, se crearon los certificados.
Figure 6.3: Cifrado con clave pública
Los certificados aprovechan otra capacidad de la PKI: la posibilidad de firmar ficheros. Para
firmar ficheros se usa la propia clave privada del firmante y para verificar la firma cualquiera puede
9
Existe mucha documentación sobre el cifrado basado en clave pública. Este enlace puede ser un comienzo:
http://en.wikipedia.org/wiki/Public-key_encryption
183
Figure 6.4: Firmado con clave pública
usar la clave pública. Un certificado es un fichero que contiene una clave pública, firmada por un
participante en el que confiamos. A este participante en el que depositamos la confianza de verificar
las identidades se le denomina autoridad de certificación (Certification Authority - CA).
Figure 6.5: Expedición de un certificado
6.3.3 Configuración de una Autoridad de Certificación con eBox
eBox tiene integrada la gestión de la Autoridad de Certificación y del ciclo de vida de los certificados
10
expedidos por esta para tu organización. Utiliza las herramienta de consola OpenSSL para este
10
OpenSSL - The open source toolkit for SSL/TLS <http://www.openssl.org/>.
184
servicio.
Primero, es necesario generar las claves y expedir el certificado de la CA. Este paso es necesario
para firmar nuevos certificados, así que el resto de funcionalidades del módulo no estarán disponibles
hasta que las claves de la CA se generen y su certificado, que es auto firmado, sea expedido. Téngase
en cuenta que este módulo es independiente y no necesita ser activado en Estado del Módulo.
Accederemos a Autoridad de Certificación → General y nos encontraremos ante el formulario

para expedir el certificado de la CA tras generar automáticamente el par de claves. Se requerirá el
Nombre de la Organización y el Número de Días para Expirar. A la hora de establecer la duración
hay que tener en cuenta que su expiración revocará todos los certificados expedidos por esta CA,
provocando la parada de todos los servicios que dependan de estos certificados. También es posible
dar los siguientes datos de manera opcional:
Código del País Un acrónimo de dos letras que sigue el estándar ISO-3166.
Ciudad
Estado o Región
185
Una vez que la CA ha sido creada, seremos capaces de expedir certificados firmados por esta
CA. Para hacer esto, usaremos el formulario que aparece ahora en Autoridad de Certificación →
General. Los datos necesarios son el Nombre Común del certificado y los Días para Expirar. Este
último dato está limitado por el hecho de que ningún certificado puede ser válido durante más tiempo
que la CA. En el caso de que estemos usando estos certificados para un servicio como podría ser un
servidor web o un servidor de correo, el Nombre Común deberá coincidir con el nombre de dominio
del servidor. De todas maneras, se puede poner cualquier número de Nombres alternativos para
11
el sujeto para el certificado para, por ejemplo, establecer otro nombre común a un dominio virtual
12
HTTP o una dirección IP o incluso una dirección de correo para firmar los mensajes de correo
electrónico.
Una vez el certificado haya sido creado, aparecerá en la lista de certificados y estará disponible
para los módulos de eBox que usen certificados y para las demás aplicaciones externas. Además, a
través de la lista de certificados podemos realizar distintas acciones con ellos:
• Descargar las claves pública, privada y el certificado.
• Renovar un certificado.
11
Para tener más información sobre los nombres alternativos para un sujeto, visita
http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name
12
Para más información sobre los dominios virtuales en HTTP, investiga en la sección Dominios virtuales para obtener
más detalles.
186
• Revocar un certificado.
Si renovamos un certificado, el certificado actual será revocado y uno nuevo con la nueva fecha
de expiración será expedido junto al par de claves.
Si revocamos un certificado no podremos utilizarlo más ya que esta acción es permanente y no

se puede deshacer. Opcionalmente podemos seleccionar la razón para revocarlo:
unspecified Motivo no especificado
keyCompromise La clave privada ha sido comprometida
CACompromise La clave privada de la autoridad de certificación ha sido comprometida
affilliationChanged Se ha producido un cambio en la afiliación de la clave pública firmada hacia otra

organización.
superseded El certificado ha sido renovado y por tanto reemplaza al emitido.
cessationOfOperation Cese de operaciones de la entidad certificada.
certificateHold Certificado suspendido.
removeFromCRL Actualmente sin implementar da soporte a los CRLs delta o diferenciales.
Si se renueva la CA, todos los certificados se renovarán con la nueva CA tratando de mantener la
antigua fecha de expiración, si esto no es posible debido a que es posterior a la fecha de expiración
de la CA, entonces se establecerá la fecha de expiración de la CA.
187
Cuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración de

cada certificado se comprueba una vez al día y cada vez que se accede al listado de certificados.
Certificados de Servicios
En Autoridad de Certificación → Certificados de Servicios podemos encontrar la lista de módulos

de eBox usando certificados para sus servicios. Por omisión estos son generados por cada módulo,
pero si estamos usando la CA podemos remplazar estos certificados auto firmados por uno expedido
por la CA de nuestra organización. Para cada servicio podemos definir el Nombre Común del certifi-
cado y si no hay un certificado con ese Nombre Común, la CA expedirá uno. Para ofrecer este par
de claves y el certificado firmado al servicio deberemos Activar el certificado para ese servicio.
Cada vez que un certificado se renueva se ofrece de nuevo al módulo de eBox pero es necesario
reiniciar ese servicio para forzarlo a usar el nuevo certificado.
Ejemplo práctico A
Crear una autoridad de certificación (CA) válida durante un año, después crear un certificado llamado
servidor y crear dos certificados para clientes llamados cliente1 y cliente2.
1. Acción: En Autoridad de Certificación → General, en el formulario Expedir el Certificado de

la Autoridad de Certificación rellenamos los campos Nombre de la Organización y Días
para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certifi-
cación.
Efecto: El par de claves de la Autoridad de Certificación es generados y su certificado expe-

dido. La nueva CA se mostrará en el listado de certificados. El formulario para crear la
Autoridad de Certificación será sustituido por uno para expedir certificados normales.
188
2. Acción: Usando el formulario Expedir un Nuevo Certificado para expedir certificados, es-
cribiremos servidor en Nombre Común y en Días para Expirar un número de días
menor o igual que el puesto en el certificado de la CA. Repetiremos estos pasos con los
nombres cliente1 y cliente2.
Efecto: Los nuevos certificados aparecerán en el listado de certificados, listos para ser usa-
dos.
6.3.4 Configuración de una VPN con eBox
13
El producto seleccionado por eBox para crear las VPN es OpenVPN . OpenVPN posee las sigu-
ientes ventajas:
• Autenticación mediante infraestructura de clave pública.
• Cifrado basado en tecnología SSL.
• Clientes disponibles para Windows, MacOS y Linux.
• Código que se ejecuta en espacio de usuario, no hace falta modificación de la pila de red (al
contrario que con IPSec).
• Posibilidad de usar programas de red de forma transparente.
Cliente remoto con VPN
Se puede configurar eBox para dar soporte a clientes remotos (conocidos familiarmente como Road
Warriors). Esto es, una máquina eBox trabajando como puerta de enlace y como servidor OpenVPN,
que tiene una red de área local (LAN) detrás, permitiendo a clientes en Internet (los road warriors)
conectarse a dicha red local vía servicio VPN.
La siguiente figura puede dar una visión más ajustada:
Nuestro objetivo es conectar al cliente 3 con los otros 2 clientes lejanos (1 y 2) y estos últimos
entre sí.
Para ello, necesitamos crear una Autoridad de Certificación y certificados para los dos clientes
remotos. Tenga en cuenta que también se necesita un certificado para el servidor OpenVPN. Sin
embargo, eBox creará este certificado automáticamente cuando cree un nuevo servidor OpenVPN.
En este escenario, eBox actúa como una Autoridad de Certificación.
13
OpenVPN: An open source SSL VPN Solution by James Yonan http://openvpn.net.
189
Figure 6.6: eBox y clientes remotos de VPN
Una vez tenemos los certificados, deberíamos poner a punto el servidor OpenVPN en eBox medi-
ante Crear un nuevo servidor. El único parámetro que necesitamos introducir para crear un servidor
es el nombre. eBox hace que la tarea de configurar un servidor OpenVPN sea sencilla, ya que es-
tablece valores de forma automática.
Los siguientes parámetros de configuración son añadidos automáticamente por eBox, y pueden
ser modificados si es necesario: una pareja de puerto/protocolo, un certificado (eBox creará uno
automáticamente usando el nombre del servidor OpenVPN) y una dirección de red. Las direcciones
de la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la dirección de
red nos deberemos asegurar que no entra en conflicto con una red local. Además, las redes locales,
es decir, las redes conectadas directamente a los interfaces de red de la máquina, se anunciarán
automáticamente a través de la red privada.
Como vemos, el servidor OpenVPN estará escuchando en todas las interfaces externas. Por
tanto, debemos poner al menos una de nuestras interfaces como externa vía Red → Interfaces. En
nuestro escenario sólo se necesitan dos interfaces, una interna para la LAN y otra externa para el
lado colocado hacia Internet. Es posible configurar nuestro servidor para escuchar en las interfaces
internas, activando la opción de Network Address Translation (NAT), pero de momento la vamos a
ignorar.
Si queremos que los clientes puedan conectarse entre sí usando su dirección de VPN, debemos
activar la opción Permitir conexiones entre clientes.
El resto de opciones de configuración las podemos dejar con sus valores por defecto.
190
Tras crear el servidor OpenVPN, debemos habilitar el servicio y guardar los cambios. Posterior-
mente, se debe comprobar en Dashboard que un servidor OpenVPN está funcionando.
Tras ello, debemos anunciar redes, dichas redes serán accesibles por los clientes OpenVPN
autorizados. Hay que tener en cuenta que eBox anunciará todas las redes internas automáticamente.
Por supuesto, podemos añadir o eliminar las rutas que necesitemos. En nuestro escenario, se habrá
añadido automáticamente la red local para hacer visible el cliente 3 a los otros dos clientes.
Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de configurar
un cliente OpenVPN es utilizando nuestros bundles. Estos están disponibles en la tabla que aparece
en VPN → Servidores, pulsando el icono de la columna Descargar bundle del cliente. Se han
creado dos bundles para dos tipos de sistema operativo. Si se usa un entorno como MacOS™ o
GNU/Linux, se debe elegir el sistema Linux. Al crear un bundle se seleccionan aquellos certificados
que se van dar al cliente y se establece la dirección IP externa a la cual los clientes VPN se deben
conectar. Si el sistema seleccionado es Windows™, se incluye también un instalador de OpenVPN
para Win32. Los bundles de configuración los descargará el administrador de eBox para distribuirlos
a los clientes de la manera que crea más oportuna.
191
Un bundle incluye el fichero de configuración y los ficheros necesarios para comenzar una conex-
ión VPN. Por ejemplo, en Linux, simplemente se descomprime el archivo y se ejecuta, dentro del
recientemente creado directorio, el siguiente comando:
openvpn --config filename
Ahora tenemos acceso al cliente 3 desde los dos clientes remotos. Hay que tener en cuenta que
el servicio local de DNS de eBox no funciona a través de la red privada a no ser que se configuren
los clientes remotos para que usen eBox como servidor de nombres. Es por ello que no podremos
acceder a los servicios de las máquinas de la LAN por nombre, únicamente podremos hacerlo por
dirección IP. Eso mismo ocurre con el servicio de NetBIOS 14 para acceder a recursos compartidos por
Windows, para navegar en los recursos compartidos desde la VPN se deben explícitamente permitir
el tráfico de difusión del servidor SMB/CIFS.
Para conectar entre sí los clientes remotos, necesitamos activar la opción Permitir conexiones
cliente-a-cliente dentro de la configuración del servidor OpenVPN. Para comprobar que la configu-
ración es correcta, observar en la tabla de rutas del cliente donde las nuevas redes anunciadas se
han añadido al interfaz virtual tapX.
Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de eBox.
Ejemplo práctico B
En este ejercicio vamos a configurar un servidor de VPN. Configuraremos un cliente en un ordenador

residente en una red externa, conectaremos a la VPN y a través de ella accederemos a una máquina
residente en una red local a la que solo tiene acceso el servidor por medio de una interfaz interna.
14
Para más información sobre compartición de ficheros ir a la sección Servicio de compartición de ficheros y de auten-
ticación
192
Para ello:
1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo OpenVPN, para ello
Efecto: eBox solicita permiso para realizar algunas acciones.
2. Acción: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo.
Efecto: Se ha activado el botón Guardar cambios.
3. Acción: Acceder a la interfaz de eBox, entrar en la sección VPN → Servidores, pulsar sobre
Añadir nuevo, aparecerá un formulario con los campos Habilitado y Nombre. Introduciremos
un nombre para el servidor.
Efecto: El nuevo servidor aparecerá en la lista de servidores.
4. Acción: Pulsar en Guardar cambios y aceptar todos los cambios.
Efecto: El servidor está activo, podemos comprobar su estado en la sección Dashboard.
5. Acción: Para facilitar la configuración del cliente, descargar el bundle de configuración para
el cliente. Para ello, pulsar en el icono de la columna Descargar bundle de cliente y
rellenar el formulario de configuración. Introducir las siguientes opciones:
• Tipo de cliente: seleccionar Linux, ya que es el SO del cliente.
• Certificado del cliente: elegir cliente1. Si no está creado este certificado, crearlo
siguiendo las instrucciones del ejercicio anterior.
• Dirección del servidor: aquí introducir la dirección por la que el cliente puede al-
canzar al servidor VPN. En nuestro escenario coincide con la dirección de la interfaz
externa conectada a la misma red que el ordenador cliente.
Efecto: Al cumplimentar el formulario, bajaremos un archivo con el bundle para el

cliente. Será un archivo en formato comprimido .tar.gz.
6. Acción: Configurar el ordenador del cliente. Para ello descomprimir el bundle en un directorio.
Observar que el bundle contenía los ficheros con los certificados necesarios y un fichero
de configuración con la extensión ‘.conf’. Si no han existido equivocaciones en los pasos
anteriores ya tenemos toda la configuración necesaria y no nos queda más que lanzar el
programa.
Para lanzar el cliente ejecutar el siguiente comando dentro del directorio:
193
openvpn --config [ nombre_del_fichero.conf ]
Efecto: Al lanzar el comando en la ventana de terminal se irán imprimiendo las acciones

realizadas por el programa. Si todo es correcto, cuando la conexión esté lista se
leerá en la pantalla Initialization Sequence Completed; en caso contrario se leerán
mensajes de error que ayudarán a diagnosticar el problema.
7. Acción: Antes de comprobar que existe conexión entre el cliente y el ordenador de la red
privada, debemos estar seguros que este último tiene ruta de retorno al cliente VPN. Si
estamos usando eBox como puerta de enlace por defecto, no habrá problema, en caso
contrario necesitaremos añadir una ruta al cliente.
Primero comprobaremos que existe la conexión con el comando ping, para ello eje-
cutaremos el siguiente comando:
ping -c 3 [ dirección_ip_del_otro_ordenador ]
Para comprobar que no sólo hay comunicación sino que podemos acceder a los recursos
del otro ordenador, iniciar una sesión de consola remota, para ello usamos el siguiente
comando desde el ordenador del cliente:
ssh [ dirección_ip_del_otro_ordenador ]
Después de aceptar la identidad del ordenador e introducir usuario y contraseña, acced-

eremos a la consola del otro ordenador.
Cliente remoto NAT con VPN
Si queremos tener un servidor VPN que no sea la puerta de enlace de la red local, es decir, la
máquina no posee interfaces externos, entonces necesitaremos activar la opción de Network Ad-
dress Translation. Como es una opción del cortafuegos, tendremos que asegurarnos que el módulo
de cortafuegos está activo, de lo contrario no podremos activar esta opción. Con dicha opción, el
servidor VPN se encargará de actuar como representante de los clientes VPN dentro de la red lo-
cal. En realidad, lo será de todas las redes anunciadas, para asegurarse que recibe los paquetes de
respuesta que posteriormente reenviará a través de la red privada a sus clientes. Esta situación se
explica mejor con el siguiente gráfico:
194
Figure 6.7: Conexión desde un cliente VPN a la LAN con VPN usando NAT
Interconexión segura entre redes locales
En este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas a
través de una red privada. Para hacerlo, usaremos eBox en ambas como puertas de enlace. Una ac-
tuará como cliente OpenVPN y otra como servidora. La siguiente imagen trata de aclarar la situación:
Figure 6.8: eBox como servidor OpenVPN vs. eBox como cliente OpenVPN
Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estu-
viesen en la misma red local. Por tanto, debemos configurar un servidor OpenVPN como hacemos en
el Ejemplo práctico B.
Sin embargo, se necesita hacer dos pequeños cambios habilitando la opción Permitir túneles
eBox a eBox para intercambiar rutas entre máquinas eBox y contraseña túnel eBox a eBox para
establecer la conexión en un entorno más seguro entre las dos oficinas. Hay que tener en cuenta que
deberemos anunciar la red LAN 1 en Redes anunciadas.
195
Para configurar eBox como un cliente OpenVPN, podemos hacerlo a través de VPN → Clientes.
Debes dar un nombre al cliente y activar el servicio. Se puede establecer la configuración del cliente
manualmente o automáticamente usando el bundle dado por el servidor VPN, como hemos hecho en
el Ejemplo práctico B. Si no se usa el bundle, se tendrá que dar la dirección IP y el par protocolo-
puerto donde estará aceptando peticiones el servidor. También será necesaria la contraseña del
túnel y los certificados usados por el cliente. Estos certificados deberán haber sido creados por la
misma autoridad de certificación que use el servidor.
Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio OpenVPN en
la red 2 ejecutándose como cliente con la conexión objetivo dirigida a la otra eBox dentro de la LAN 1.
Cuando la conexión esté completa, la máquina que tiene el papel de servidor tendrá acceso a
todas las rutas de las maquinas clientes a través de la VPN. Sin embargo, aquellas cuyo papel sea de
196
cliente sólo tendrán acceso a aquellas rutas que el servidor haya anunciado explícitamente.
Ejemplo práctico C
El objetivo de este ejercicio es montar un túnel entre dos redes que usan servidores eBox como puerta
de enlace hacia una red externa, de forma que los miembros de ambas redes se puedan conectar
entre sí.
1. Acción: Acceder a la interfaz Web de eBox que va a tener el papel de servidor en el túnel.
Asegurarse de que el módulo de VPN está activado y activarlo si es necesario. Una vez en
la sección VPN → Servidores, crear un nuevo servidor. Usar los siguientes parámetros de
configuración:
• Puerto: elegir un puerto que no esté en uso, como el 7766.
• Dirección de VPN: introducir una dirección privada de red que no esté en uso en ninguna
parte de nuestra infraestructura, por ejemplo 192.168.77.0/24.
• Habilitar Permitir túneles eBox-a-eBox. Esta es la opción que indica que va a ser un
servidor de túneles.
• Introducir una contraseña para túneles eBox-a-eBox.
• Finalmente, desde la selección de Interfaces donde escuchará el servidor, elegir la

interfaz externa con la que podrá conectar la eBox cliente.
Para concluir la configuración del servidor se deben anunciar redes siguiendo los mismos pasos
que en ejemplos anteriores. Anunciar la red privada a la que se quiere que tenga acceso
el cliente. Conviene recordar que este paso no va a ser necesario en el cliente, el cliente
suministrará todas sus rutas automáticamente al servidor. Nos resta habilitar el servidor y
guardar cambios.
Efecto: Una vez realizados todos los pasos anteriores tendremos al servidor corriendo, pode-
mos comprobar su estado en el Dashboard.
2. Acción: Para facilitar el proceso de configuración del cliente, obtener un bundle de configu-
ración del cliente, descargándolo del servidor. Para descargarlo, acceder de nuevo a la interfaz
Web de eBox y en la sección VPN → Servidores, pulsar en Descargar bundle de configu-
ración del cliente en nuestro servidor. Antes de poder descargar el bundle se deben estable-
cer algunos parámetros en el formulario de descarga:
• Tipo de cliente: elegir Túnel eBox a eBox.
197
• Certificado del cliente: elegir un certificado que no sea el del servidor ni esté en uso por
ningún cliente más. Sino se tienen suficientes certificados, seguir los pasos de ejercicios
anteriores para crear un certificado que pueda usar el cliente.
• Dirección del servidor: aquí se debe introducir la dirección por la que el cliente pueda
conectar con el servidor, en nuestro escenario la dirección de la interfaz externa conec-
tada a la red visible tanto por el servidor como el cliente será la dirección adecuada.
Una vez introducidos todos los datos pulsamos el botón de Descargar.
Efecto: Descargamos un archivo tar.gz con los datos de configuración necesarios para el
cliente.
3. Acción: Acceder a la interfaz Web del servidor eBox que va a tener el papel de cliente. Com-
probar que el módulo VPN está activo, ir a la sección VPN → Clientes. En esta sección se
ve una lista vacía de clientes, para crear uno pulsar sobre Añadir cliente e introducir un nom-
bre para él. Como no está configurado no se podrá habilitar, así que se debe volver a la lista
de clientes y pulsar en el apartado de configuración correspondiente a nuestro cliente. Dado
que se tiene un bundle de configuración de cliente, no se necesita rellenar las secciones a
mano. Usaremos la opción Subir bundle de configuración del cliente, seleccionar el archivo
obtenido en el paso anterior y pulsar sobre Cambiar. Una vez cargada la configuración, se
puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo, pulsar en el
icono de Editar, que se encuentra en la columna de Acciones. Aparecerá un formulario donde
podremos marcar la opción de Habilitado. Ahora tenemos el cliente totalmente configurado y
sólo nos resta guardar los cambios.
Efecto: Una vez guardados los cambios, tendremos el cliente activo como podremos compro-
bar en el Dashboard. Si tanto la configuración del servidor como del cliente son correctas,
el cliente iniciará la conexión y en un instante tendremos el túnel listo.
4. Acción: Ahora se comprobará que los ordenadores en las redes internas del servidor y del
cliente pueden verse entre sí. Además de la existencia del túnel serán necesarios los siguientes
requisitos:
• Los ordenadores deberán conocer la ruta de retorno a la otra red privada. Si, como en
nuestro escenario, eBox está siendo utilizado como puerta de enlace no habrá necesidad
de introducir rutas adicionales.
• El cortafuegos deberá permitir conexiones entre las rutas para los servicios que utilice-
mos.
198
Una vez comprobados estos requisitos podremos pasar a comprobar la conexión, para ello
entraremos en uno de los ordenadores de la red privada del servidor VPN y haremos las
siguientes comprobaciones:
• Ping a un ordenador en la red del cliente VPN.
• Tratar de iniciar una sesión SSH en un ordenador de la red del cliente VPN.
Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red del cliente
VPN, eligiendo como objetivo un ordenador residente en la red del servidor VPN.
6.4 Sistema de Detección de Intrusos (IDS)
Un Sistema de Detección de Intrusos (IDS) es una aplicación diseñada para evitar accesos no
deseados a nuestras máquinas, principalmente ataques provenientes de Internet.
Las dos funciones principales de un IDS es detectar los posibles ataques o intrusiones, lo cual se
realiza mediante un conjunto de reglas que se aplican sobre los paquetes del tráfico entrante. Además
de registrar todos los eventos sospechosos, añadiendo información útil (como puede ser la dirección
IP de origen del ataque), a una base de datos o fichero de registro; algunos IDS combinados con el
cortafuegos también son capaces de bloquear los intentos de intrusión.
Existen distintos tipos de IDS, el más común de ellos es el Sistema de Detección de Intrusos de
Red (NIDS), se encarga de examinar todo el tráfico de una red local. Uno de los NIDS más populares
es Snort 15 , que es la herramienta que integra eBox para realizar dicha tarea.
6.4.1 Configuración de un IDS con eBox
La configuración del Sistema de Detección de Intrusos en eBox es muy sencilla. Solamente nece-
sitamos activar o desactivar una serie de elementos. En primer lugar, tendremos que especificar en
qué interfaces de red queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos
conjuntos de reglas a aplicar sobre los paquetes capturados, con el objetivo de disparar alertas en
caso de resultados positivos.
A ambas opciones de configuración se accede a través del menú IDS. En la pestaña Interfaces
aparecerá una tabla con la lista de todas las interfaces de red que tengamos configuradas. Por defecto,
todas ellas se encuentran deshabilitadas debido al incremento en la latencia de red y consumo de CPU
15
Snort: A free lightweight network intrusion detection system for UNIX and Windows http://www.snort.org
199
que genera la inspección de tráfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en
la casilla de selección.
En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los conjun-
tos de reglas de Snort instaladas en nuestro sistema (ficheros bajo el directorio /etc/snort/rules). Por
defecto, se encuentra habilitado un conjunto típico de reglas. Podemos ahorrar tiempo de CPU desac-
tivando aquellas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra
red. Si tenemos recursos hardware de sobra podemos también activar otras reglas adicionales que
nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las
interfaces.
200
6.4.2 Alertas del IDS
Con lo que hemos visto hasta ahora podemos tener funcionando el módulo IDS, pero su única utili-
dad sería que podríamos observar manualmente las distintas alertas en el fichero /var/log/snort/alert.
Como vamos a ver, gracias al sistema de registros y eventos de eBox podemos hacer que esta tarea
sea más sencilla y eficiente.
El módulo IDS se encuentra integrado con el módulo de registros de eBox, así que si este último
se encuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento
habitual. Así mismo, podemos configurar un evento para que cualquiera de estas alertas sea notifi-
cada al administrador del sistema por alguno de los distintos medios disponibles.
Para más información al respecto, consultar el capítulo Registros.
Ejemplo práctico
Habilitar módulo IDS y lanzar un “ataque” basado en el escaneo de puertos contra la máquina eBox.
1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo IDS, para ello marcar
su casilla en la columna Estado. Nos informa de que se modificará la configuración de Snort.
Permitir la operación pulsando el botón Aceptar.
2. Acción: Del mismo modo, activar el módulo registros, en caso de que no se encontrase
activado previamente.
Efecto: Cuando el IDS entre en funcionamiento podrá registrar sus alertas.
3. Acción: Acceder al menú IDS y en la pestaña Interfaces activar una interfaz que sea alcanz-
able desde la máquina en la que lanzaremos el ataque.
los cambios.
muestra.
A partir de ahora el IDS se encuentra analizando el tráfico de la interfaz seleccionada.
5. Acción: Instalar el paquete nmap en otra máquina mediante el comando aptitude install nmap.
201
Efecto: La herramienta nmap se encuentra instalada en el sistema.
6. Acción: Desde la misma máquina ejecutar el comando nmap pasándole como único argu-
mento de línea de comandos la dirección IP de la interfaz de eBox seleccionada anteriormente.
Efecto: Se efectuarán intentos de conexión a distintos puertos de la máquina eBox. Se puede

interrumpir el proceso pulsando Ctrl-c.
7. Acción: Acceder a Registros → Consulta Registros y seleccionar Informe completo para el

dominio IDS.
Efecto: Aparecen en la tabla entradas relativas al ataque que acabamos de efectuar.
202
Chapter 7
eBox Core
En eBox no sólo se configuran los servicios de red de manera integrada. Sino que además ofrece una
serie de características que facilitan y hacen más eficiente la administración de eBox. Este conjunto
de características es lo que denominamos el núcleo del sistema eBox.
Las copias de seguridad para restaurar un estado anterior, registros de los servicios para saber
qué ha pasado y cuándo, notificaciones ante incidencias o determinados eventos, monitorización de
la máquina o las actualizaciones de seguridad de software son cuestiones que se van a explicar en
este apartado.
7.1 Registros
eBox proporciona una infraestructura para que sus módulos puedan registrar todo tipo de eventos que
puedan ser útiles para el administrador. Estos registros se pueden consultar a través de la interfaz de
eBox de manera común. Estos registros se almacenan en una base de datos para hacer la consulta,
los informes y las actualizaciones de manera más sencilla y eficiente. El gestor de base de datos que
se usa es PostgreSQL 1 .
Además podemos configurar distintos manejadores para los eventos, de forma que el admin-
istrador pueda ser notificado por distintos medios (Correo, Jabber o RSS 2 ).
Disponemos de registros para los siguientes servicios:

1
PostgreSQL The world’s most advanced open source database http://www.postgresql.org/.
2
RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuentemente actual-
izadas http://www.rssboard.org/rss-specification/.
203
• OpenVPN (Redes privadas virtuales (VPN))
• SMTP Filter (Filtrado de Correo SMTP)
• POP3 proxy (Proxy transparente para buzones de correo POP3)
• Impresoras (Servicio de compartición de impresoras)
• Cortafuegos (Cortafuegos)
• DHCP (Servicio de configuración de red (DHCP))
• Correo (Servicio de correo electrónico (SMTP/POP3-IMAP4))
• Proxy HTTP (Servicio Proxy HTTP)
• Ficheros compartidos (Servicio de compartición de ficheros y de autenticación)
• IDS (Sistema de Detección de Intrusos (IDS))
Así mismo, podemos recibir notificaciones de los siguientes eventos:
• Valores específicos de los registros.
• Estado de salud de eBox.
• Estado de los servicios.
• Eventos del subsistema RAID por software
• Espacio libre en disco.
• Problemas con los routers de salida a Internet.
• Finalización de una copia completa de datos.
En primer lugar, para que funcionen los registros, al igual que con el resto de módulos de eBox,
debemos asegurarnos de que este se encuentre habilitado.
Para habilitarlo debemos ir a Estado del módulo y seleccionar la casilla registros. Para obtener
informes de los registros existentes, podemos acceder a la sección Registros → Consultar registros
del menú de eBox.
Podemos obtener un Informe completo de todos los dominios de registro. Además, algunos
de ellos nos proporcionan un interesante Informe resumido que nos ofrece una visión global del
funcionamiento del servicio durante un periodo de tiempo.
En el Informe completo se nos ofrece una lista de todas las acciones registradas para el do-
minio seleccionado. La información proporcionada es dependiente de cada dominio. Por ejemplo,
204
CHAPTER 7. EBOX CORE
Figure 7.1: Pantalla de consulta de registros
para el dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con
un certificado concreto, o por ejemplo para el dominio Proxy HTTP podemos saber de un determi-
nado cliente a qué páginas se le ha denegado el acceso. Por tanto, podemos realizar una consulta
personalizada que nos permita filtrar tanto por intervalo temporal como por otros distintos valores de-
pendientes del tipo de dominio. Dicha búsqueda podemos almacenarla en forma de evento para que
nos avise cuando ocurra alguna coincidencia. Además, si la consulta se realiza hasta el momento
actual, el resultado se irá refrescando con nuevos datos.
El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un día,
una hora, una semana o un mes. La información que obtenemos es una o varias gráficas, acom-
pañadas de una tabla-resumen con valores totales de distintos datos. En la imagen podemos ver,
como ejemplo, las estadísticas de peticiones y tráfico del proxy HTTP al día.
7.1.1 Configuración de registros
Una vez que hemos visto como podemos consultar los registros, es importante también saber que
podemos configurarlos en la sección Registros → Configurar los registros del menú de eBox.
Los valores configurables para cada dominio instalado son:
Habilitado: Si esta opción no está activada no se escribirán los registros de ese dominio.
Purgar registros anteriores a: Establece el tiempo máximo que se guardarán los registros. Todos
aquellos valores cuya antigüedad supere el periodo especificado, serán desechados.
205
Figure 7.2: Pantalla de informe completo
Además podemos forzar la eliminación instantánea de todos los registros anteriores a un determi-
nado periodo. Esto lo hacemos mediante el botón Purgar de la sección Forzar la purga de registros,
que nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 días.
Ejemplo práctico
Habilitar el módulo de registros. Usar el Ejemplo práctico como referencia para generar tráfico de
correo electrónico conteniendo virus, spam, remitentes prohibidos y ficheros prohibidos. Observar los
resultados en Registros → Consulta Registros → Informe completo.
1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo registros, para ello
marcar su casilla en la columna Estado. Nos informa de que se creará una base de datos para
guardar los registros. Permitir la operación pulsando el botón Aceptar.
2. Acción: Acceder al menú Registros → Configurar registros y comprobar que los registros para
el dominio Correo se encuentran habilitados.
Efecto: Hemos habilitado el módulo registros y nos hemos asegurado de tener activados los
registros para el correo.
206
Figure 7.3: Pantalla de informe resumido
207
Figure 7.4: Pantalla de configurar registros
muestra.
A partir de ahora quedarán registrados todos los correos que enviemos.
4. Acción: Volver a enviar unos cuantos correos problemáticos (con spam o virus) como se hizo
en el tema correspondiente.
Efecto: Como ahora el módulo registros está habilitado, los correos han quedado registrados,
a diferencia de lo que ocurrió cuando los enviamos por primera vez.
5. Acción: Acceder a Registros → Consulta Registros y seleccionar Informe completo para el

dominio Correo.
Efecto: Aparece una tabla con entradas relativas a los correos que hemos enviado mostrando
distintas informaciones de cada uno.
208
7.2 Monitorización
El módulo de monitorización permite al administrador conocer el estado del uso de los recursos del
servidor eBox. Esta información es esencial tanto para diagnosticar problemas como para planificar
los recursos necesarios con el objetivo de evitar problemas.
Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determinar si dichos
valores son normales o están fuera del rango común de valores, tanto en su valor inferior como
superior. El principal problema de la monitorización es la selección de aquellos valores significativos
del sistema. Para cada una de las máquinas esos valores pueden ser diferentes. Por ejemplo, en un
servidor de ficheros el espacio libre de disco duro es importante. Sin embargo, para un encaminador
la memoria disponible y la carga son valores mucho más significativos para conocer el estado del
servicio ofrecido. Es conveniente evitar la obtención de muchos valores sin ningún objetivo concreto.
Es por ello que las métricas que monitoriza eBox son relativamente limitadas. Estas son: carga
del sistema, uso de CPU, uso de memoria y uso del sistema de ficheros.
La monitorización se hace mediante gráficas que permiten hacerse fácilmente una idea de la
evolución del uso de recursos. Para acceder a las gráficas se hace a través de la entrada Monitor-
ización. Ahí se muestran las gráficas de las medidas monitorizadas. Colocando el cursor encima de
algún punto de la línea de la gráfica en el que estemos interesados podremos saber el valor exacto
para ese momento.
Podemos elegir la escala temporal de las gráficas entre una hora, un día, un mes o un año. Para
ello simplemente pulsaremos sobre la pestaña correspondiente.
209
7.2.1 Métricas
Carga del sistema
La carga del sistema trata de medir la relación entre la demanda de trabajo y el realizado por el
computador. Esta métrica se calcula usando el número de tareas ejecutables en la cola de ejecución
y es ofrecida por muchos sistemas operativos en forma de media de uno, cinco y quince minutos.
La interpretación de esta métrica es la capacidad de la CPU usada en el periodo elegido. Así, una
carga de 1 significaría que esta operando a plena capacidad. Un valor de 0.5 significaría que podría
llegar a soportar el doble de trabajo. Y siguiendo la misma proporción, un valor de 2 se interpretaría
como que le estamos exigiendo el doble del trabajo que puede realizar.
Hay que tener en cuenta que los procesos que están interrumpidos por motivos de lec-
tura/escritura en almacenamiento también contribuyen a la métrica de carga. En estos casos no
se correspondería bien con el uso de la CPU, pero seguiría siendo útil para estimar la relación entre
la demanda y la capacidad de trabajo.
210
Uso de la CPU
Con esta gráfica tendremos una información detallada del uso de la CPU. En caso de que dispong-
amos de una maquina con múltiples CPUs tendremos una gráfica para cada una de ellas.
En la gráfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados,
ejecutando código de usuario, código del sistema, estamos inactivo, en espera de una operación de
entrada/salida, entre otros valores. Ese tiempo no es un porcentaje sino unidades de scheduling
conocidos como jiffies. En la mayoría de sistemas Linux ese valor es 100 por segundo pero no hay
ninguna limitación o posibilidad que dicho valor sea diferente.
211
Uso de la memoria
La gráfica nos muestra el uso de la memoria. Se monitorizan cuatro variables:
Memoria libre: Cantidad de memoria no usada
Caché de pagina: Cantidad destinada a la caché del sistema de ficheros
Buffer cache: Cantidad destinada a la caché de los procesos
Memoria usada: Memoria usada que no esta destinada a ninguno de las dos anteriores cachés.
Uso del sistema de ficheros
Esta gráfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto de montaje.
212
Temperatura
Con esta gráfica es posible leer la información disponible sobre la temperatura del sistema en grados
centígrados usando el sistema ACPI 3 . Para tener activada esta métrica, es necesario que existan
datos en los directorios /sys/class/thermal o /proc/acpi/thermal_zone.
3
La especificación Advanced Configuration and Power Interface (ACPI) es un estándar abierto para la configuración
de dispositivos centrada en sistemas operativos y en la gestión de energía del computador. http://www.acpi.info/
213
7.2.2 Alertas
Las gráficas no tendrían ninguna utilidad si no se ofreciera notificaciones cuando se producen algunos
valores de la monitorización. De esta manera, podemos saber cuando la máquina está sufriendo una
carga inusual o está llegando a su máxima capacidad.
Las alertas de monitorización deben configurarse en el módulo de eventos. Entrando en Even-

tos → Configurar eventos, podemos ver la lista de eventos disponibles, los eventos de monitorización
están agrupados en el vento Monitor.
Pulsando en la celda de configuración, accederemos a la configuración de este evento. Podremos

elegir cualquiera de las métricas monitorizadas y establecer umbrales que disparen el evento.
En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo así dis-
criminar entre la gravedad del evento. Tenemos la opción de invertir: que hará que los valores
considerados correctos sean considerados fallos y a la inversa. Otra opción importante es la de per-
sistente:. Dependiendo de la métrica también podremos elegir otros parámetros relacionados con
214
esta, por ejemplo para el disco duro podemos recibir alertas sobre el espacio libre, o para la carga
puede ser útil la carga a corto plazo, etc.
Cada medida tiene una métrica que se describe como sigue:
Carga del sistema: Los valores deben ser en número de tareas ejecutables media en la cola de
ejecución.
Uso de la CPU: Los valores se deben disponer en jiffies o unidades de scheduling.
Uso de la memoria física: Los valores deben establecerse en bytes.
Sistema de ficheros: Los valores deben establecerse en bytes.
Temperatura: Los valores a establecer debe establecer en grados.
Una vez configurado y activado el evento deberemos configurar al menos un observador para
recibir las alertas. La configuración de los observadores es igual que la de cualquier evento, así que
deberemos seguir las indicaciones contenida en el capítulo de Incidencias (eventos y alertas).
7.3 Incidencias (eventos y alertas)
Aunque la posibilidad de hacer consultas personalizadas a los registros, o la visualización de los

resúmenes son opciones muy útiles. Se complementan mejor todavía con las posibilidades de moni-
torización de eventos a través de la notificación.
Disponemos de los siguientes mecanismos emisores para la notificación de incidencias:
• Correo 4
• Jabber
• Registro
• RSS
Antes de activar los eventos debemos asegurarnos de que el módulo se encuentra habilitado.
Para habilitarlo, como de costumbre, debemos ir a Estado del módulo y seleccionar la casilla eventos.
A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran activados por
defecto, para los eventos tendremos que activar explícitamente aquellos que nos interesen.
4
Teniendo instalado y configuración el módulo de correo (Servicio de correo electrónico (SMTP/POP3-IMAP4)).
215
Para activar cualquiera de ellos accederemos al menú Eventos → Configurar eventos. Podemos
editar el estado de cada uno mediante el icono del lápiz. Para ello marcaremos la casilla Habilitado y
pulsaremos el botón Cambiar.
Figure 7.5: Pantalla de configurar eventos
Además, algunos eventos como el observador de registros o el observador de espacio restante

en disco tienen sus propios parámetros de configuración.
La configuración para el observador de espacio en disco libre es sencilla. Sólo debemos especi-
ficar el porcentaje mínimo de espacio libre con el que queremos ser notificados (cuando sea menor
de ese valor).
En el caso del observador de registros, podemos elegir en primer lugar qué dominios de registro
queremos observar. Después, por cada uno de ellos, podemos añadir reglas de filtrado específicas
dependientes del dominio. Por ejemplo: peticiones denegadas en el proxy HTTP, concesiones DHCP
a una determinada IP, trabajos de cola de impresión cancelados, etc. La creación de alertas para
monitorizar también se puede hacer mediante el botón Guardar como evento a través de Registros
→ Consultar registros → Informe completo.
Respecto a la selección de medios para la notificación de los eventos, podemos seleccionar los
emisores que deseemos en la pestaña Configurar emisores.
216
Figure 7.6: Pantalla de configurar observadores de registros
Figure 7.7: Pantalla de configurar emisores
217
De idéntica forma a la activación de eventos, debemos editarlos y seleccionar la casilla Habili-

tado. Excepto en el caso del fichero de registro (que escribirá implícitamente los eventos recibidos al
fichero /var/log/ebox/ebox.log), el resto de emisores requieren una configuración adicional que detal-
lamos a continuación:
Correo: Debemos especificar la dirección de correo destino (típicamente la del administrador de

eBox), además podemos personalizar el asunto de los mensajes.
Jabber: Debemos especificar el nombre y puerto del servidor Jabber, el nombre de usuario y con-
traseña del usuario que nos notificará los eventos, y la cuenta Jabber del administrador que
recibirá dichas notificaciones.
RSS: Nos permite seleccionar una política de lectores permitidos, así como el enlace del canal. Pode-
mos hacer que el canal sea público, que no sea accesible para nadie, o autorizar sólo a una
dirección IP u objeto determinado.
7.3.1 Ejemplo práctico
Usar el módulo eventos para hacer aparecer el mensaje “eBox is up and running” en el fichero
/var/log/ebox/ebox.log. Dicho mensaje se generará cada vez que se reinicie el módulo
de eventos.
1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo eventos, para ello
2. Acción: Acceder al menú Eventos y a la pestaña Configurar eventos. Pulsar el icono del lápiz
sobre la fila Estado. Marcar la casilla Habilitado y pulsar el botón Cambiar.
Efecto: Veremos que en la tabla de eventos aparece como habilitado el evento de Estado.
3. Acción: Acceder a la pestaña Configurar emisores. Pulsar el icono del lápiz sobre la fila
Registro. Marcar la casilla Habilitado y pulsar el botón Cambiar.
Efecto: Veremos que en la tabla de emisores aparece como habilitado el emisor de Registro.
muestra.
En el fichero de registro /var/log/ebox/ebox.log aparecerá un evento con el mensaje ‘eBox

is up and running’.
218
5. Acción: Desde la consola de la máquina eBox, ejecutar el comando sudo /etc/init.d/ebox

events restart.
Efecto: En el fichero de registro /var/log/ebox/ebox.log volverá a aparecer un nuevo evento

con el mensaje ‘eBox is up and running’.
7.4 Copias de seguridad
7.4.1 Diseño de un sistema de copias de seguridad
La pérdida de datos en un sistema es un accidente ocasional ante el que debemos estar prevenidos.
Fallos de hardware, fallos de software o un error humano pueden provocar un daño irreparable en el
sistema o la pérdida de datos importantes.
Es por tanto imprescindible diseñar un correcto procedimiento para realizar, comprobar y

restaurar copias de seguridad o respaldo del sistema, tanto de configuración como de datos.
Una de las primeras decisiones que deberemos tomar es si realizaremos copias completas, es
decir, una copia total de todos los datos, o copias incrementales, esto es, a partir de una primera
copia completa copiar solamente las diferencias. Las copias incrementales reducen el espacio con-
sumido para realizar copias de seguridad aunque requieren lógica adicional para la restauración de
la copia de seguridad. La decisión más habitual es realizar copias incrementales y de vez en cuando
hacer una copia completa a otro medio, pero esto dependerá de nuestras necesidades y recursos de
almacenamiento disponibles.
Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre la misma
máquina o a otra remota. El uso de una máquina remota ofrece un nivel de seguridad mayor debido
a la separación física. Un fallo de hardware, un fallo de software, un error humano o una intrusión en
el servidor principal no deberían de afectar la integridad de las copias de seguridad. Para minimizar
este riesgo el servidor de copias debería ser exclusivamente dedicado para tal fin y no ofrecer otros
servicios adicionales más allá de los requeridos para realizar las copias. Tener dos servidores no
dedicados realizando copias uno del otro es definitivamente una mala idea, ya que un compromiso en
uno lleva a un compromiso del otro.
219
7.4.2 Configuración de las copias de seguridad con eBox
En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local o remotamente.
En caso de éste último, necesitaremos especificar que protocolo se usa para conectarse al servidor
remoto.
Figure 7.8: Configuración
Método: Los distintos métodos que son soportados actualmente son FTP, Rsync, SCP y Sistema de
ficheros. Debemos tener en cuenta que dependiendo del método que seleccione deberemos
proporcionar más o menos información: dirección del servidor remoto, usuario o contraseña.
Todos los métodos salvo Sistema de ficheros acceden servicios remotos. Ésto significa que
proporcionaremos los credenciales adecuados para conectar con el servidor. Esto es, si se
selecciona FTP, Rsync o SCP tendremos que introducir la dirección del servidor remoto.
Warning: Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor y aceptar la
huella del servidor remoto para añadirlo a la lista de servidores SSH conocidos. Si no se realiza
esta operación, la copia de respaldo no podrá ser realizada ya que fallará la conexión con el
servidor.
Servidor o destino:
Para FTP, y SCP tenemos que proporcionar el nombre del servidor
220
remoto o su dirección IP. En caso de usar Sistema de ficheros, introduciremos la ruta de un

directorio local.
Usuario: Nombre de usuario para autenticarse en la máquina remota.
Contraseña: Contraseña para autenticarse en la máquina remota.
Cifrado: Se puede cifrar los datos de la copia de seguridad usando una clave simétrica que se in-
troduce en el formulario, o se puede seleccionar una clave GPG ya creada para dar cifrado
asimétrico a tus datos.
Frecuencia de copia de seguridad completa: Este parámetro se usa para determinar la frecuencia
con la que las copias de seguridad completas se llevan a cabo. Los valores son: Diario,
Semanal y Mensual. Si seleccionas Semanal o Mensual, aparecerá una segunda selección
para poder decidir el día exacto de la semana o del mes en el que se realizará la copia.
Número de copias totales almacenadas: Este valor se usa para limitar el número de copias totales
que están almacenadas. Es importante y debemos familiarizarnos con lo que significa. Tiene
relación directa con Frecuencia de copia de seguridad completa. Si seleccionamos una fre-
cuencia Semanal y el número de copias almacenadas a 2, la copia de respaldando más antigua
será de dos semanas. De forma similar, seleccionando Mensual y 4, la copia de respaldo más
antigua será de 4 meses. Deberemos seleccionar un valor acorde a el periodo que queramos
almacenar de las copias de respaldo y el espacio en disco que tengamos.
Frecuencia de copia incremental: Este valor también está relacionado con Frecuencia de copia de
seguridad completa. Una configuración típica de copias de respaldo consiste en realizar copias
incrementales entre las copias completas. Estas copias deben hacerse con más frecuencia
que las completas. Esto significa que si tenemos copias completas semanales, las copias
incrementales se harán diarias. Por el contrario, no tiene sentido hacer copias incrementales
con las misma frecuencia que las completas. Para entender ésto mejor veamos un ejemplo:
Si la copia incremental está activa podemos seleccionar una frecuencia Diaria o Semanal. En
el último caso, se debe decidir el día de la semana. Sin embargo, hay que tener en cuenta que
la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa.
En los días en que se realice una copia completa, se saltará cualquier copia incremental pro-
gramada.
Comienzo de copia de respaldo: Este campo es usado para indicar cuando comienza el proceso
de la toma de la copia de respaldo, tanto el completo como el incremental. Es una buena idea
establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho
de banda de subida.
221
Número de copias totales almacenadas: Este valor se usa para limitar el número de copias totales
que están almacenadas. Puedes elegir limitar por número o por antigüedad.
Si limitas por número, solo el número indicados de copias será guardado; la última copia com-
pleta no se cuenta. En el caso que límites por antigüedad, sólo se guardarán las copias com-
pletas que sean más recientes que el período indicado.
Cuando una copia completa se borra, todas las copias incrementales realizadas a partir de ella
también son borradas.
Configuración de los directorios y ficheros que son respaldados
La configuración por defecto efectuará una copia de todo el sistema de ficheros. Esto significa que
ante un eventual desastre seremos capaces de restaurar la máquina completamente. Es un buena
idea no cambiar esta configuración al menos que tengas problemas de espacio. Una copia completa
de una máquina eBox con todos sus módulos ocupa alrededor de 300 MB.
Figure 7.9: Lista de inclusión y exclusión
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de
flechas.
Note: Puedes excluir archivos por su extensión usando una exclusión con expresión regular.
Por ejemplo si quieres que los archivos AVI no figuren en la copia de respaldo, puedes seleccionar
Exclusión por expresión regular y añadir .avi$.
222
La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, y /proc. Es una mala
idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podría
fallar.
La lista por defecto de directorios incluidos es: /.
Podemos excluir extensiones de fichero utilizando caracteres de shell. Por ejemplo, si quieres
saltarte ficheros de vídeo AVI de tu copia de seguridad, puedes seleccionar Excluir expresión regular
y añadir *.avi.
Comprobando el estado de las copias
Podemos comprobar el estado de las copias de respaldo en la sección Estado de las copias remotas.
En esta tabla podemos ver el tipo de copia, completa o incremental, y la fecha de cuando fue tomada.
Note: Si por cualquier razón borras manualmente los archivos del backup, puedes forzar a
regenerar este listado con el comando:
# /etc/init.d/ebox ebackup restart
Figure 7.10: Estado de las copias
Cómo comenzar un proceso de copia de respaldo manualmente
El proceso de copia de respaldo se inicia automáticamente a la hora configurada. Sin embargo, si

necesitamos comenzarlo manualmente podemos ejecutar:
# /usr/share/ebox-ebackup/ebox-remote-ebackup --full
O para iniciar una copia incremental:
223
# /usr/share/ebox-ebackup/ebox-remote-ebackup --incremental
Restaurar ficheros
Hay dos formas de restaurar un fichero. Dependiendo del tamaño del fichero o del directorio que
deseemos restaurar.
Es posible restaurar ficheros directamente desde el panel de control de eBox. En la sección Copia
de seguridad → Restaurar ficheros tenemos acceso a la lista de todos los ficheros y directorios que
contiene la copia remota, así como las fecha de las distintas versiones que podemos restaurar.
Si la ruta a restaurar es un directorio todos sus contenidos se restauraran, incluyendo subdirecto-

rios.
El archivo se restaurar con sus contenidos en la fecha seleccionada, si el archivo no esta presente
en la copia de respaldo en esa fecha se restaurara la primera versión que se encuentre en las copias
anteriores a la indicada; si no existen versiones anteriores se notificara con un mensaje de error.
Warning: Los archivos mostrados en la interfaz son aquellos que están presentes en la última
copia de seguridad. Los archivos que están almacenados en copias anteriores pero no en la
última no se muestran, pero pueden ser restaurados a través de la línea de comandos.
Podemos usar este método con ficheros pequeños. Con ficheros grandes, el proceso es costoso
en tiempo y no se podrá usar el interfaz Web de eBox mientras la operación está en curso. Debe-
mos ser especialmente cautos con el tipo de fichero que restauramos. Normalmente, será seguro
restaurar ficheros de datos que no estén siendo abiertos por aplicaciones en ese momento. Estos
archivos de datos están localizados bajo el directorio /home/samba. Sin embargo, restaurar ficheros
del sistema de directorios como /lib, /var o /usr mientras el sistema está en funcionamiento puede ser
muy peligroso. No hagas ésto a no ser que sepas muy bien lo que estás haciendo.
Los ficheros grandes y los directorios y ficheros de sistema deben ser restaurados manualmente.
Dependiendo del fichero, podemos hacerlo mientras el sistema está en funcionamiento. Sin embargo,
para directorios de sistema usaremos un CD de rescate como explicamos más tarde.
En cualquier caso, debemos familiarizarnos con la herramienta que usa este módulo: duplicity.
El proceso de restauración de un fichero o directorio es muy simple. Se ejecuta el siguiente comando:
duplicity restore --file-to-restore -t 3D <fichero o directorio a restaurar> <URL r
224
Figure 7.11: Restaurar un fichero
La opción -t se usa para seleccionar la fecha que queremos restaurar. En este caso, 3D significa
hace tres días. Usando now podemos restaurar la copia más actual.
Podemos obtener <URL remota y argumentos leyendo la nota que se encuentra encima de la
sección Restaurar ficheros en eBox.
Figure 7.12: URL remota y argumentos
Por ejemplo, si queremos restaurar el fichero /home/samba/users/john/balance.odc ejecutaríamos

el siguiente comando:
225
# duplicity restore --file-to-restore home/samba/users/john/balance.odc \

scp://backupuser@192.168.122.1 --ssh-askpass --no-encryption /tmp/balance.odc
El comando mostrado arriba restauraría el fichero en /tmp/balance.odc. Si necesitamos sobree-

scribir un fichero o un directorio durante una operación de restauración necesitamos añadir la opción
–force, de lo contrario duplicity rechazará sobreescribir los archivos.
7.4.3 Como recuperarse de un desastre
Tan importante es realizar copias de seguridad como conocer el procedimiento y tener la destreza y
experiencia para llevar a cabo una recuperación en un momento crítico. Debemos ser capaces de
restablecer el servicio lo antes posible cuando ocurre un desastre que deja el sistema no operativo.
Para recuperarnos de un desastre total, arrancaremos el sistema usando un CD-ROM de rescate

que incluye el software de copia de respaldos duplicity. El nombre de este CD-ROM es grml.
Descargaremos la imagen de grml y arrancaremos la máquina con ella. Usaremos el parámetro

nofb en caso de problemas con el tamaño de la pantalla.
Una vez que el proceso de arranque ha finalizado podemos obtener un intérprete de comandos
pulsando la tecla enter.
Si nuestra red no está configurada correctamente, podemos ejecutar netcardconfig para configu-
rarla.
El siguiente paso es montar el disco duro de nuestro sistema. En este caso, vamos a suponer
que nuestra partición raíz es /dev/sda1. Así que ejecutamos:
# mount /dev/sda1 /mnt
El comando de arriba montará la partición en el directorio /mnt. En este ejemplo haremos una
restauración completa. Primero eliminaremos todos los directorios existentes en la partición. Por
supuesto, si no haces una restauración completa este paso no es necesario.
Para eliminar los ficheros existentes y pasar a la restauración ejecutamos:
# rm -rf /mnt/*
Instalaremos duplicity en caso de no tenerlo disponible:
226
Figure 7.13: Arranque grml
Figure 7.14: Comenzar un intérprete de comandos
227
# apt-get update
# apt-get install duplicity
Antes de hacer una restauración completa necesitamos restaurar /etc/passwd y /etc/group. En

caso contrario, podemos tener problemas al restaurar archivos con el propietario incorrecto. El prob-
lema se debe a que duplicity almacena los nombres de usuario y grupo y no los valores numéricos.
Así pues, tendremos problemas si restauramos ficheros en un sistema en el que el nombre de usuario
o grupo tienen distinto UID o GID. Para evitar este problema sobreescribimos /etc/passwd y /etc/group
en el sistema de rescate. Ejecutamos:
# duplicity restore --file-to-restore etc/passwd \

# scp://backupuser@192.168.122.1 /etc/passwd --ssh-askpass --no-encryption --force
# duplicity restore --file-to-restore etc/group \

# scp://backupuser@192.168.122.1 /etc/group --ssh-askpass --no-encryption --force
Warning: Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor para añadir el
servidor remoto a la lista de servidores SSH conocidos. Si no se realiza esta operación, la copia
de respaldo no podrá ser realizada ya que fallará la conexión con el servidor.
Ahora podemos proceder con la restauración completa ejecutando duplicity manualmente:
# duplicity restore scp://backupuser@192.168.122.1 /mnt/ --ssh-askpass --no-encryp
Por último debemos crear los directorios excluidos de la copia de respaldo así como limpiar los
directorios temporales:
# mkdir -p /mnt/dev
# mkdir -p /mnt/sys
# mkdir -p /mnt/proc
# rm -fr /mnt/var/run/*
# rm -fr /mnt/var/lock/*
El proceso de restauración ha finalizado y podemos reiniciar el sistema original.
228
7.4.4 Copias de seguridad de la configuración
eBox Platform dispone adicionalmente de otro método para realizar copias de seguridad de la con-
figuración y restaurarlas desde la propia interfaz. Este método guarda la configuración de todos los
módulos que hayan sido habilitados por primera vez en algún momento, los usuarios del LDAP y
cualquier otro fichero adicional para el funcionamiento de cada módulo.
También permite realizar copia de seguridad de los datos que almacena cada módulo (directorios
de usuarios, buzones de voz, etc.). Sin embargo, desde la versión 1.2 se desaconseja esta opción en
favor del método comentado anteriormente a lo largo de este capítulo, ya que no está preparado el
sistema para manejar grandes cantidades de datos.
Para acceder a las opciones de estas copias de seguridad lo haremos, como de costumbre, a
través del menú principal Sistema → Backup. No se permite realizar copias de seguridad si existen
cambios en la configuración sin guardar, como puede verse en el aviso que aparece en la imagen.
Una vez introducido un nombre para la copia de seguridad, seleccionado el tipo deseado (con-
figuración o completo) y pulsando el botón Backup, aparecerá una pantalla donde se mostrará el
progreso de los distintos módulos hasta que finalice con el mensaje de Backup finalizado con éxito.
Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la

página aparece una Lista de backups. A través de esta lista podemos restaurar, descargar a nuestro
disco, o borrar cualquiera de las copias guardadas. Así mismo aparecen como datos informativos el
tipo de copia, la fecha de realización de la misma y el tamaño que ocupa.
En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia de se-
guridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalación anterior
229
de eBox Platform en otra máquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedirá con-
firmación, hay que tener cuidado porque la configuración actual será reemplazada por completo. El
proceso de restauración es similar al de copia, después de mostrar el progreso se nos notificará el
éxito de la operación si no se ha producido ningún error.
Herramientas de linea de comandos para copias de seguridad de la configuración
Existen dos herramientas disponibles a través de la línea de comandos que también nos permiten
guardar y restaurar la configuración . Residen en /usr/share/ebox, se denominan ebox-make-backup
y ebox-restore-backup.
ebox-make-backup nos permite realizar copias de seguridad de la configuración, entre sus op-
ciones están elegir qué tipo de copia de seguridad queremos realizar. Entre estos está el bug-report
que ayuda a los desarrolladores a arreglar un fallo al enviarlo, incluyendo información extra. Cabe
destacar que en este modo, las contraseñas de los usuarios son reemplazadas para mayor confiden-
cialidad. Este tipo de copia de seguridad no se puede realizar desde la interfaz web.
Podemos ver todas las opciones del programa con el parámetro –help.
ebox-restore-backup nos permite restaurar ficheros de copia de seguridad de la configuración.

Posee también una opción para extraer la información del fichero. Otra opción a señalar es la posibil-
idad de hacer restauraciones parciales, solamente de algunos módulos en concreto. Es el caso típico
cuando queremos restaurar una parte de una copia de una versión antigua. También es útil cuando el
proceso de restauración ha fallado por algún motivo. Tendremos que tener especial cuidado con las
dependencias entre los módulos. Por ejemplo, si restauramos una copia del módulo de cortafuegos
que depende de una configuración del módulo objetos y servicios debemos restaurar también estos
primero. Aún así, existe una opción para ignorar las dependencias que puede ser útil usada con
precaución.
Si queremos ver todas las opciones de este programa podemos usar también el parámetro –help.
7.5 Actualización de software
Como todo sistema de software, eBox Platform requiere actualizaciones periódicas, bien sea para
añadir nuevas características o para reparar defectos o fallos del sistema.
230
eBox distribuye su software mediante paquetes y usa la herramienta estándar de Ubuntu, APT 5 ,
6
sin embargo para facilitar la tarea ofrece una interfaz web que simplifica el proceso.
Mediante la interfaz web podremos ver para qué componentes de eBox está disponible una nueva
versión e instalarlos de un forma sencilla. También podemos actualizar el software en el que se apoya
eBox, principalmente para corregir posibles fallos de seguridad.
7.5.1 Gestión de componentes de eBox
La gestión de componentes de eBox permite instalar, actualizar y eliminar módulos de eBox.
El propio gestor de componentes es un módulo más, y como cada módulo de eBox, debe ser
habilitado antes de ser usado. Para gestionar los componentes de eBox debemos entrar en Gestión
de Software→ Componentes de eBox.
Presenta una lista con todos los componentes de eBox, así como la versión instalada y la ultima
versión disponible. Aquellos componentes que no estén instalados o actualizados, pueden instalarse
o actualizarse pulsando en el icono correspondiente en la columna de Acciones. Existe un botón de
Actualizar todos los paquetes para actualizar todos aquellos que tengan actualización disponible.
También podemos desinstalar componentes pulsando el icono apropiado para esta acción. Antes
de realizar la desinstalación, se muestra un diálogo con la lista de aquellos paquetes de software que
5
Advanced Packaging Tool (APT) es un sistema de gestión de paquetes software creado por el proyecto De-
bian que simplifica en gran medida la instalación y eliminación de programas en el sistema operativo GNU/Linux
http://wiki.debian.org/Apt
6
Para una explicación más extensa sobre la instalación de paquetes software en Ubuntu, leer el capítulo al respecto
de la documentación oficial https://help.ubuntu.com/8.04/serverguide/C/package-management.html
231
se van a eliminar. Este paso es necesario porque hemos podido querer eliminar un componente que
al ser usados por otros conlleva también la eliminación de los últimos.
Algunos componentes son básicos y no pueden desinstalarse, ya que haría que se desinstalase
eBox Platform.
7.5.2 Actualizaciones del sistema
Las actualizaciones del sistema actualizan programas usados por eBox. Para llevar a cabo su
función, eBox Platform usa diferentes programas del sistema para llevar a cabo sus funciones, en
los distintos paquetes de los componentes de eBox. Dichos programas son referenciados como de-
pendencias asegurando que al instalar eBox, son instalados también ellos asegurando el correcto
funcionamiento de eBox Platform. De manera análoga, estos programas pueden tener dependencias
también.
Normalmente una actualización de una dependencia no es suficientemente importante como para

crear un nuevo paquete de eBox con nuevas dependencias, pero sí puede ser interesante instalarla
para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad.
Para ver las actualizaciones del sistema debemos ir a Gestión de Sofware → Actualizaciones
del sistema. Debe aparecer una lista de los paquetes que podemos actualizar o si el sistema está
ya actualizado. Si se instalan paquetes en la maquina por otros medios que no sea la interfaz web,
los datos de esta pueden quedar desactualizados. Por ello, cada noche se ejecuta el proceso de
búsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dicha búsqueda se puede
hacer ejecutando:
$ sudo ebox-software
Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono
indicativo de más información. Si es una actualización de seguridad podemos ver el fallo de seguridad
con el registro de cambios del paquete, pulsando sobre el icono.
Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la
acción y pulsar el botón correspondiente. Como atajo también tenemos un botón de Actualizar todos
los paquetes. Durante la actualización se irán mostrando mensajes sobre el progreso de la operación.
232
233
7.5.3 Actualizaciones automáticas
Las actualizaciones automáticas consisten en que eBox Platform automáticamente instala cualquier
actualización disponible. Dicha actualización se realiza cada noche a la medianoche.
Podremos activar esta característica accediendo a la pagina Gestión de Software → Actualiza-

ciones automáticas.‘
No es aconsejable usar esta opción si el administrador quiere tener una mayor seguridad en la
gestión de sus actualizaciones. Realizando la actualizaciones manualmente se facilita que posibles
errores en las mismas no pasen desapercibidos.
7.6 Cliente del Centro de Control
eBox Control Center es una solución tolerante a fallos que permite la monitorización en tiempo real
y la administración de múltiples instalaciones de eBox de un modo centralizado. Incluye característi-
cas como administración segura, centralizada y remota de grupos de eBox, copias de seguridad de
7
configuración automáticas remotas, monitorización de red e informes personalizados.
A continuación se describe la configuración del lado del cliente con el Centro de Control.
7.6.1 Subscribir eBox al Centro de Control
Para configurar eBox para suscribirse al Centro de Control, debes instalar el paquete ebox-
remoteservices que se instala por defecto si usas el instalador de eBox. Además, la conexión a
Internet debe estar disponible. Una vez esté todo preparado, ve a Centro de Control y rellena los
siguientes campos:
Nombre de Usuario o Dirección de Correo: Se debe establecer el nombre de usuario o la dirección

de correo que se usa para entrar en la página Web del Centro de Control.
Contraseña: Es la misma contraseña que se usa para entrar en la Web del Centro de Control.
7
http://www.ebox-technologies.com/products/controlcenter/
234
Nombre de eBox: Es el nombre único que se usará para esta eBox desde el Centro de Control. Este
nombre se muestra en el panel de control y debe ser un nombre de dominio válido. Cada eBox
debería tener un nombre diferente, si dos eBoxes tiene el mismo nombre para conectarse al
Centro de Control, entonces sólo una de ellas se podrá conectar.
Figure 7.16: Subscribiendo eBox al Centro de Control
Tras introducir los datos, la subscripción tardará alrededor de un minuto. Nos tenemos que ase-
gurar que tras terminar el proceso de subscripción se guardan los cambios. Durante el proceso se
8
habilita una conexión VPN entre eBox y el Centro de Control, por tanto, se habilitará el módulo vpn.
Figure 7.17: Tras suscribirse eBox al Centro de Control
Si la conexión funcionó correctamente con el Centro de Control, entonces un widget aparecerá

en el dashboard indicando que la conexión se estableció correctamente.
Figure 7.18: Widget de conexión al Centro de Control
8
Para más información sobre VPN, ir a la sección Redes privadas virtuales (VPN).
235
7.6.2 Copia de seguridad de la configuración al Centro de Control
Una de las características usando el Centro de Control es la copia de seguridad automática de la

9
configuración de eBox que se almacena en el Centro de Control. Esta copia se hace diariamente
si hay algún cambio en la configuración de eBox. Ir a Sistema – > Backup → Backup remoto para
comprobar que las copias se han hecho correctamente. Puedes realizar una copia de seguridad de la
configuración de manera manual si quieres estar seguro que tu última configuración está almacenada
en el Centro de Control.
Figure 7.19: Copia de seguridad de la configuración remota
Se pueden restaurar, descargar o borrar copias de seguridad de la configuración que se almace-

nan en el Centro de Control. Además para mejorar el proceso de restauración ante un desastre, se
puede restaurar o descargar la configuración almacenada de uno del resto de eBox suscritos al Cen-
tro de Control usando tu par usuario/correo electrónico y contraseña. Para hacer eso, ir a la pestaña
Sistema → Backup → Backup remoto de otras máquinas suscritas.
9
Las copias de seguridad de la configuración en eBox se explican en la sección Copias de seguridad de la configu-
ración.
236
Figure 7.20: Copia de seguridad de la configuración remota desde otra máquina suscrita
237

Ebox For Network Administrators

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ebox For Network Administrators

Uploaded by

Copyright:

Available Formats

eBox 1.

4 para Administradores de Redes

G UÍA DEL ESTUDIANTE

Este Documento se distribuye bajo licencia Creative Commons Reconocimiento-Compartir bajo

1 eBox Platform: servidor Linux para PYMEs 1

5 eBox Unified Communications 121

6 eBox Unified Threat Manager 165

7 eBox Core 203

eBox Platform: servidor Linux para PYMEs

mación de tareas para grupos de redes, la aplicación masiva de actualizaciones de seguridad o la

* NAT y redirección de puertos

* Redes locales virtuales (VLAN 802.1Q)

* Soporte para múltiples puertas de enlace, balanceo de carga y auto-adaptación

* Moldeado de tráfico (soportando filtrado a nivel de aplicación)

* Soporte de DNS dinámico

* Auto-configuración dinámica de rutas

* Filtrado de contenido (con listas categorizadas)

* Filtro de Spam y Antivirus

* Filtro transparente de POP3

* Listas blancas, negras y grises

* Servicio de correo web

– Directorio compartido usando LDAP (Windows/Linux/Mac)

* Autenticación compartida (incluyendo PDC de Windows)

– Servidor de Groupware: calendarios, agendas, ...

* Llamadas a través de proveedor externo

– Dashboard para tener la información de los servicios centralizada

– Monitorización de disco, memoria, carga, temperatura y CPU de la máquina

– Registros de los servicios de red en BBDD, permitiendo la realización de informes diarios,

– Sistema de monitorización a través de eventos

* Notificación vía Jabber, correo y subscripción de noticias (RSS)

– Copia de seguridad de configuración y datos

• Usando el instalador de eBox Platform (opción recomendada).

• Instalando a partir de una instalación de Ubuntu Server Edition.

1.2.1 El instalador de eBox Platform

Figure 1.1: Selección del idioma

Figure 1.2: Pantalla de inicio del instalador

Figure 1.3: Usuario administrador

Figure 1.4: Contraseña administrativa

Se preguntará de nuevo la contraseña para confirmar que no ha habido ninguna equivación al

Figure 1.5: Confirmar contraseña administrativa

Figure 1.6: Método de instalación de paquetes

Si la selección es simple, aparecerá la lista de perfiles disponibles. Como se puede observar en la

Figure 1.7: Perfiles de eBox a instalar

eBox Unified Communications: eBox se convierte en el centro de comunicaciones de la empresa

Figure 1.8: Paquetes de eBox a instalar

El instalador tratará de preconfigurar algunos parámetros importantes dentro de la configuración.

Figure 1.9: Instalando eBox Platform

Figure 1.10: Tipo de servidor

Figure 1.11: Selección de la interfaz de red externa

1.3 La interfaz web de administración

Donde direccion_de_red es la dirección IP o el nombre de la máquina donde está instalado eBox

Figure 1.12: Configuración del servidor de correo

Figure 1.13: Preconfiguración de los paquetes

Figure 1.14: Interfaz web de administración de eBox

La primera pantalla solicita la contraseña del administrador:

Figure 1.15: Pantalla principal

Figure 1.16: Menú lateral izquierdo

Figure 1.17: Menú superior

Figure 1.18: Formulario de configuración

Estado de los módulos

Figure 1.19: Dashboard

Figure 1.20: Configuración del dashboard

Figure 1.21: Widget de estado de los módulos