Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Generalitat de Catalunya
Departament d’Educació
CICLE FORMATIU GRAU SUPERIOR
ADMINISTRACIÓ SISTEMES INFORMÀTICS
Curs: 2010...
Índex
Introducció..........................................................................................5
Presentació.....
Presentació....................................................................................51
Objectiu...................
Manual d'instal·lació TeamViewer.......................................................178
Presentació.......................
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Introducció
Presentació
El present projecte és fruit del treball de recerca e i...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
◦ Dades
▪ Encriptació de les dades
▪ Autenticació d'usuaris
▪ Contol d'inventar...
Esquema de la Xarxa
7/229
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació IPCOP
Presentació
És tracta d'una distribució de Linux di...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
avançat.
Autenticació d'usuaris locals, incloent administració de grups d'usuar...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
▪ El correu es descarta o es posa en aïllament (“ quarentena”) si té
virus o se...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
▪ Antispam (text): total d'e-mails amb spam per mes, dia, any, llistat
dels últ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
moment i en qualsevol direcció. A més permet configurar avisos si un
especific ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
d'Internet, però que en el cas que es produeixi alguna intrusió a algun equip d...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Procediment:
Les dades del nostre servidor Firewall / Proxy són:
◦ Hostname : I...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Ens dona la benvinguda.
La instal·lació es pot fer des d'una imatge que estigui...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Si haguéssim instal·lat anteriorment IP Cop podríem haver fet un backup de les
...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Ens demanarà l'adreça de xarxa per la zona GREEN (LAN), li podem posar qualsevo...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Seguidament hem de establir un paràmetres bàsics de configuració tals com
l'idi...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Comença la configuració de l'esquema de xarxa: Abans hem configurat nomes la
LA...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
A la escola li van canviar l'adreça de la Red a una 192.168.130.xxx
Seguretat: ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Donem el password de l'usuari root per accedir via Shell, el de admin per acced...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual de configuració
Ho primer que fem a l'accedir via web és permetre ssh i ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació Addons
Ara ja podem començar a instal·lar addons. Per ins...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació Addon Zerina
Presentació
Zerina es tracta d'un servei de ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
l'empresa) hem de triar una de les opcions que troben a la web oficial de OpenV...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual de configuració
Part Servidor
Un cop feta la instal·lació ja podem proce...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Omplim els camps (millor sense accents, ens ha donat errades) i fem click a
gen...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Com nosaltres només connectarem ordinadors amb mobilitat, només generem
certifi...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Part Client
Un cop creats hem de descarregar els certificats generats, tant els...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Ens apareixerà una icona amb 2 ordinadors vermells al costat del rellotge. Li f...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
En debian, farem servir els mateixos certificats que en windows. Hem d'anar a
S...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Referències:
http://www.it.uniovi.es/docencia/Cursos/ServiciosLinux/materi
al/C...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació Addon Advproxy
Presentació
És un addon per a IPCOP que es...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Baixem per veure més opcions com la de control d'accés per port de destí admeso...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Podem fer que comprovi un navegador i fer servir algun tipus de autenticació.Un...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Procediment:
El mateix que per instal·lar qualsevol Addon
Manual de configuraci...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació Cop+
Presentació
És un servei que podem implementar per a...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Seguretat: IPCOP 38/229
Títol: FreeTelecom
Autors/es: Antonio Alcalá, Alberto
J...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Si hem afegit youtube.com a la llista negra com diu l'exemple quan intentem
acc...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Referències:
http://dansguardian.org/
Seguretat: IPCOP 40/229
Títol: FreeTeleco...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació Nettfilter
Presentació
Aquest addon permet veure el tràfi...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Referències:
http://blockouttraffic.de/nt_index.php
Seguretat: IPCOP 42/229
Tít...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació Addon BlockOutTraffic
Presentació
BlockoutTraffic bloquej...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Referències:
http://blockouttraffic.de/index.php
Seguretat: IPCOP 44/229
Títol:...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual de configuració per defecte de IPCOP
Per defecte IPCOP també compte amb ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
I per accedir de la DMZ a la LAN
Podem activar la resposta a pings des de fora ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Pot fer de servidor horari de la LAN
Seguretat: IPCOP 47/229
Títol: FreeTelecom...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Des de Juny de 2010 snort ha deixat d'oferir les regles mitjançant el Oink codi...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Seguretat: IPCOP 49/229
Títol: FreeTelecom
Autors/es: Antonio Alcalá, Alberto
J...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Seguretat: IPCOP 50/229
Títol: FreeTelecom
Autors/es: Antonio Alcalá, Alberto
J...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació PROFTPD
Presentació
Proftpd és un servidor de FTP (File T...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Procediment:
Les dades del nostre servidor FTP de la DMZ són:
◦ Hostname : joom...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Com es pot veure a la imatge, la instal·lació ens suggereix una sèrie de paquet...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Per tal d'accedir al servidor necessitarem un client FTP que es connecti a aque...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual de configuració
La instal·lació de proftpd ens ha generat el fitxer de c...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
# Ens permetrà veure els vincles simbòlics del usuari connectat o no
TimeoutNoT...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
</IfModule>
# Deixem aquestes opcions per defecte, es podria restringir la quan...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
#Sense tancar el tag anonymous declarem els permisos per als directoris que con...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
• WRITE
◦ APPE, DELE, MKD, RMD, RNTO, STOR, STOU, XMKD, XRMD
Fins aquí tindríem...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Si hi hagués cap error al fitxer, el servei no es reiniciaria i ens advertiria ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Un cop connectats veurem a l'esquerra els nostres directoris local i a la dreta...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Podem fer canvis al directori pujades, penjarem un fitxer qualsevol i veurem co...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Un cop connectats anem a crear un directori per verificar els permisos que té.
...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Referències:
http://www.proftpd.org/localsite/Userguide/linked/userguide.html
h...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació Joomla
Presentació
Joomla! és un sistema de gestió de con...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Procediment:
Primer de tot instal·lem els requeriments de software: mysql, apac...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Un cop finalitzada la instal·lació d'aquests paquets editem el fitxer
/etc/apac...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Accedirem al fitxer pel navegador per verificar que el mètode de php s'executa
...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Si fem un ls -l veurem que apache no és el propietari dels arxius que acabem de...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
find . -type f -exec chmod 644 {} ;
Als directoris els hi posarem els permisos ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Ara podem accedir al instalador web de joomla per mi
Al passar a la següent pla...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Per evitar que ens surti l'error de permís d'escriptura sobre php farem les
com...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
En aquesta plana posarem al usuari admin o al usuari admin atès que ambdos
tene...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
servidor a la DMZ, en aquest mateix equip, per tant no hi ha cap problema per
h...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Ara que ja tenim el nostre Joomla creat i operatiu, podem fer login com
adminis...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual de configuració
Una de les seves grans característiques és la possibilit...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Nosaltres hem aprofitat el domini ciclesies.no-ip.org per crear el nostre lloc ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Servidor DMZ : Joomla 78/229
Hem vinculat el RSS que
hem volgut al nostre
lloc ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
S'ha afegit un gestor d'incidencies,anomenat Issue-Manager, només per als usuar...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Segons el perfil d'usuari es podran escriure articles, tant si ets autor com ed...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
L'aparença del lloc l'hem gestionat per mitjà d'una plantilla i modificant el c...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
En quant a configuració podrem en qualsevol moment consultar-la en el gestor de...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Els Usuaris Registrats es divideixen en 2 grups:
– Usuaris del Lloc (Front-end)...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual d'instal·lació Servidor Correu POSTFIX a la DMZ
Presentació
El servidor ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Així doncs uns servidor de correu funciona de la següent manera:
1. El client d...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Objectiu
L'objectiu és crear el servidor de correu per al nostre domini, aquest...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
El primer que hem de fer és obrir un terminal i escriure apt-get install postfi...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
S'ens obrirà l'assistent de configuració, i ens preguntarà quin tipus de servid...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Ens pregunta pel nombre de domini de la màquina, FQDN.
Ara li hem d'especificar...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
executant dpkg-reconfigure o bé podem anar directament al fitxer de configuraci...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Manual de configuració
Els dos fitxers principals de configuració del postfix s...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
La IP del Server_Host és la que es correspon al servidor ldap situat a la LAN, ...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
La comanda postconf -n ens mostrarà com queda el nostre fitxer, per què els
can...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
Els fitxers de log es troben a /var/log/mail.err, /var/log/mail.warn,
/var/log/...
CFGS ASI Curs: 2010-2011
Crèdit de Síntesi
l'envia i el firma també és el servidor de gmail
Podríem intentar solucionar aq...
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Ldap free nas_postfix
Upcoming SlideShare
Loading in …5
×

Ldap free nas_postfix

2,143 views

Published on

Instalación de FreeNas, Open Filer, LDAP, Postfix, GLPI, Joomla, Bacula ...

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Ldap free nas_postfix

  1. 1. Generalitat de Catalunya Departament d’Educació CICLE FORMATIU GRAU SUPERIOR ADMINISTRACIÓ SISTEMES INFORMÀTICS Curs: 2010-2011 Memòria Presentada per: Antonio Alcalá Cuevas Alberto Jara Silvia Gracia Bolinches Sabadell, 27 de Maig de 2011
  2. 2. Índex Introducció..........................................................................................5 Presentació.....................................................................................5 Objectius........................................................................................5 Esquema de la Xarxa..............................................................................7 Manual d'instal·lació IPCOP......................................................................8 Presentació.....................................................................................8 Objectiu.........................................................................................8 Requeriments...................................................................................8 Procediment: .................................................................................14 Manual de configuració.....................................................................22 Manual d'instal·lació Addons...............................................................23 Manual d'instal·lació Addon Zerina...........................................................24 Presentació....................................................................................24 Objectiu........................................................................................24 Requeriments.................................................................................24 Procediment: .................................................................................25 Manual de configuració.....................................................................26 Manual d'instal·lació Addon Advproxy.......................................................33 Presentació....................................................................................33 Objectiu........................................................................................33 Requeriments.................................................................................33 Procediment: .................................................................................33 Manual de configuració.....................................................................33 Manual d'instal·lació SARG.....................................................................35 Presentació....................................................................................35 Objectiu........................................................................................35 Requeriments.................................................................................35 Procediment: .................................................................................36 Manual de configuració.....................................................................36 Manual d'instal·lació Cop+.....................................................................37 Presentació....................................................................................37 Objectiu........................................................................................37 Requeriments.................................................................................37 Procediment: .................................................................................37 Manual de configuració.....................................................................37 Manual d'instal·lació Nettfilter................................................................41 Presentació....................................................................................41 Objectiu........................................................................................41 Requeriments.................................................................................41 Procediment: .................................................................................41 Manual de configuració.....................................................................41 Manual d'instal·lació Addon BlockOutTraffic................................................43 Presentació....................................................................................43 Objectiu........................................................................................43 Requeriments.................................................................................43 Procediment: .................................................................................43 Manual de configuració.....................................................................43 Manual de configuració per defecte de IPCOP.........................................45 Manual d'instal·lació PROFTPD................................................................51
  3. 3. Presentació....................................................................................51 Objectiu........................................................................................51 Requeriments.................................................................................51 Procediment: .................................................................................52 Manual de configuració.........................................................................55 Manual d'instal·lació Joomla...................................................................65 Presentació....................................................................................65 Objectiu........................................................................................65 Requeriments.................................................................................65 Procediment: .................................................................................66 Manual de configuració.....................................................................76 Manual d'instal·lació Servidor Correu POSTFIX a la DMZ.................................84 Presentació....................................................................................84 Objectiu........................................................................................86 Requeriments.................................................................................86 Procediment: .................................................................................86 Manual de configuració.....................................................................91 Manual d'instal·lació Distribució Mandriva Enterprise Server 5.2.....................98 Presentació....................................................................................98 Objectiu........................................................................................98 Requeriments.................................................................................99 Procediment: .................................................................................99 Manual de configuració....................................................................104 Manual d'instal·lació Servidor DNS Intern.................................................112 Presentació..................................................................................112 Objectiu......................................................................................112 Requeriments...............................................................................112 Procediment: ...............................................................................112 Manual de configuració....................................................................113 Manual d'integració d'una màquina Windows a Samba.................................116 Procediment: ...............................................................................116 Manual d'integració d'una màquina Linux a LDAP.......................................119 Procediment: ...............................................................................119 Manual d'instal·lació Servidor correu Postfix LAN.......................................125 Presentació..................................................................................125 Objectiu......................................................................................125 Requeriments...............................................................................126 Procediment: ...............................................................................126 Manual de configuració....................................................................128 ....................................................................................................145 Manual d'instal·lació OCSInventory i GLPI.................................................146 Presentació..................................................................................146 Objectiu......................................................................................146 Requeriments...............................................................................146 Procediment: ...............................................................................147 Manual de configuració....................................................................151 Manual d'instal·lació NoMachine............................................................168 Presentació..................................................................................168 Objectiu......................................................................................168 Requeriments...............................................................................168 Procediment: ...............................................................................169 Manual de configuració....................................................................173
  4. 4. Manual d'instal·lació TeamViewer.......................................................178 Presentació..................................................................................178 Objectiu......................................................................................178 Requeriments...............................................................................178 Procediment: ...............................................................................179 Manual de configuració....................................................................182 Manual d'instal·lació Openfiler..............................................................185 Presentació..................................................................................185 Objectiu......................................................................................185 Requeriments...............................................................................185 Procediment: ...............................................................................186 Manual de configuració....................................................................194 Manual d'instal·lació FreeNAS...............................................................204 Presentació..................................................................................204 Objectiu......................................................................................204 Requeriments...............................................................................205 Procediment: ...............................................................................205 Manual de configuració....................................................................206 Manual d'instal·lació Bacula..................................................................218 Presentació..................................................................................218 Objectiu......................................................................................218 Requeriments...............................................................................218 Procediment: ...............................................................................219 Manual de configuració....................................................................222
  5. 5. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Introducció Presentació El present projecte és fruit del treball de recerca e implantació que hem dut a terme durant el període de crèdit de Síntesis de l'any 2011 per al curs CFGS Administració de sistemes informàtics. Com a futurs administradors hem volgut reflectir les necessitats informàtiques d'una empresa envers als serveis que ha d'oferir i gaudir habitualment. Actualment, la majoria d'empreses estan informatitzades en xarxa: quasi tota la informació que fan servir està format digital, incorporen servidors a la xarxa local per la gestió interna i alhora oferixen serveis web, de correu o inclús de fitxers per la xarxa externa, evidentment han d'implantar mecanismes de seguretat per preservar la confidencialitat de les dades i l'estabilitat dels serveis sense que això suposi una gran inversió econòmica. Així doncs, el nostre projecte consisteix en muntar la topologia de servidors i xarxes que qualsevol empresa podria necessitar sense obviar mai la seguretat al mínim cost possible per fer-ho les eines que utilitzarem seran de llicència GPL i ens recolzarem en la virtualització per estalviar i aprofitar encara més els recursos dels que disposem. Els coneixements requerits per duur a terme aquest projecte els hem extret d'una banda de la formació que hem rebut i d'altra banda encara més gran del treball d'investigació i esforç tant personal com en grup. "Nuestra recompensa se encuentra en el esfuerzo y no en el resultado. Un esfuerzo total es una victoria completa.” <Mahatma Gandhi> Els documents que segueixen son les manuals d'instal·lació i de configuració de cadascuna de les eines que hem fet servir per tal d'assolir el nostre objectiu. Objectius En primera instància els objectius d'aquest projecte són: • Utilitzar Software Lliure i Virtualització • Implementar seguretat en múltiples nivells ◦ Xarxa ▪ Instal·lació d'un tallafocs (Firewall) ▪ Monitoritzar el tràfic i l'estat de la xarxa ▪ Instal·lació Proxy ▪ Creació de VPN ▪ Filtratge Web ▪ Prevenció de Virus i Spam al correus Introducció 5/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  6. 6. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi ◦ Dades ▪ Encriptació de les dades ▪ Autenticació d'usuaris ▪ Contol d'inventari • Crear una zona desmilitaritzada que ofereixi serveis de: ◦ Servidor Web – Creació lloc propi ◦ Servidor de Correu ◦ Servidor de Fitxers (FTP) • Oferir Serveis a la LAN tals com: ◦ Autenticació Centralitzada ◦ Compartició de fitxers en Samba i NFS ◦ DNS intern ◦ Control Remot (Només als administradors) ◦ Correu Intern ◦ Bases de dades ◦ Control d'inventari ◦ Gestor d'incidències Introducció 6/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  7. 7. Esquema de la Xarxa 7/229
  8. 8. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació IPCOP Presentació És tracta d'una distribució de Linux dissenyada per oferir el servei de Firewall, és a dir controlarà l'accés d'entrada i sortida d'una xarxa. L'administració d'aquest firewall es fa a través d'una interfície amigable via web.Originalment va néixer com una extensió (fork) de la distribució SmoothWall. IPCop està capat i solament té instal·lades les eines justes per a la seva funció com firewall, limitant el dany que podria fer un intrús que comprometés el sistema. Si es desitja ampliar la funcionalitat existeixen extensions, comunes amb SmoothWall, que permeten instal·lar tot tipus d'utilitats com per exemple instal·lar Nmap per escanejar Ips. La seva interfície d'usuari és totalment web; encara que permet també accés per SSH. Objectiu IPCop té com a objectius ser un tallafocs-proxy senzill, amb pocs requeriments maquinari orientat a usuaris domèstics o a petites empreses amb funcionalitats bàsiques i avançades, mitjançant la Configuració de mòduls addicionals per tal de donar més funcionalitat al servidor, tals com VPN, anant (a manera d'exemple) des del simple filtrat de paquets fins a l'assignació d'ample de banda fix a cada lloc de treball, servidor de DHCP, la configuració de xarxes virtuals VPN, filtre d'urls, control de virus i spam al correu electrònic,etc.... IPCop s'actualitza des de l'Interfície Web de manera molt senzilla, incloent actualitzacions del Kernel. Requeriments ➢ Programari: Imatge IP_COP v.1.4.21 Addons: • Urlfilter Completa integració amb la Interfície Gràfica d'Usuari per a la configuració i la visualització dels logs. Bloqueig per categories molt flexible. Treballa amb totes les llestes negres compatibles amb squidGuard. Actualitzacions de les llistes negres dinàmiques i programades. Restriccions de temps i categories basades en usuaris. • Openvpn(Zerina) Creació de connexions virtuals privades tant per a hosts com Net2Net (Entre dos servidors) • Advproxy Integració a la Interfície Gràfica d'Usuari per a la configuració del proxy web Seguretat: IPCOP 8/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  9. 9. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi avançat. Autenticació d'usuaris locals, incloent administració de grups d'usuaris. Autenticació identd (RFC 1413) Autenticació LDAP, inclou Active Directory, eDirectory i OpenLDAP. Autenticació Windows, inclou dominis Windows NT/2003 i Samba. Autenticació RADIUS. Administració Estesa de la cache. Control d'Accés Web per IP i adreça MAC. Restriccions basades accessos de temps. Filtrat de tipus ACARONI Bloqueig de navegadors o clients. Suport automàtic per a la configuració client (PAC i WPAD) • BlockoutTraffic Completa integració a la Interfície Gràfica d'Usuari. Control del tràfic cap a i a través de IPCop. Restriccions del tràfic per adreces MAC, IP i interfícies de xarxa. Agrupació d'adreces per a una major organització. Definició de serveis específics. Agrupació de serveis. Regles de temps basades en el tallafocs. Control dels log de tallafocs. • Copfilter: Addon per escanejar i filtrar tot el teu tràfic d'Internet per detectar virus i spam. Per a això, combina un munt d'eines de codi obert, ajustades per funcionar sense conflictes. Una vegada instal·lat i configurat, tot el tràfic (és a dir, correu -POP i SMTP- FTP i Web) és filtrat de manera transparent, impedint l'accés a qualsevol contingut contaminat. Les funcions que incorpora són: ◦ A nivell de correu electrònic: ▪ Escanejat contra virus i spam de tots els missatges entrants (POP3) ▪ Escanejat contra virus i spam de tots els missatges entrants i sortints (SMTP) ▪ Sanejat dels missatges HTML eliminant etiquetes perilloses. ▪ Escanejat d'adjunts al correu, reanomenant els perillosos. ▪ Afegeix una nota a les capçaleres de cada missatge indicant que el correu ha estat escanejat. Seguretat: IPCOP 9/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  10. 10. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi ▪ El correu es descarta o es posa en aïllament (“ quarentena”) si té virus o sembla spam ◦ A nivell de Tràfic Web ▪ Escanejat del tràfic HTTP, continu, transparent, sense retards i sense bloquejar descàrregues. ▪ Bloqueig de la majoria de llocs de phishing o explotant debilitats en navegadors. ▪ Escanejat del tràfic FTP amb cert retard (el fitxer és descarregat i escanejat en segon pla). ▪ Elimina anuncis, bàners, finestres emergents, etc. ◦ A nivell de Xarxa ▪ Tots els serveis funcionen de forma transparent, sense haver de reconfigurar cap client. ▪ Pot utilitzar-se qualsevol client de correu (Outlook, Thunderbird, Evolution...) en qualsevol sistema operatiu (Windows, Linux, MacOS...). ▪ Suport d'àlies d'IP per a entrades MX en servidors de correu diferents a la IP assignada. ◦ A nivell de Monitoratge ▪ Informació detallada de cada servei instal·lat. ▪ Monitoratge dels serveis. Si algun caigués, és reiniciat automàticament, amb notificació per e-mail. ▪ Els serveis poden arrencar-se o detenir-se per separat des d'un interfície gràfic. ◦ Administració i Maneig ▪ Maneig de tota la configuració antivirus i antispam mitjançant interfície gràfic, podent configurar-se diferents nivells d'alarma i notificació. ▪ Tests antivirus (en correu, web i ftp) i antispam des del propi interfície per verificar el sistema. ◦ Generació d'estadístiques ▪ Antivirus (text): total de virus, per data, hora, mes, any, llistat dels 200 últims. ▪ Antivirus (gràfic): mostra setmanal dels tipus de virus detectats. Seguretat: IPCOP 10/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  11. 11. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi ▪ Antispam (text): total d'e-mails amb spam per mes, dia, any, llistat dels últims 200. ▪ Totals i mitjanes per dia/mes, grandària, temps d'escanejat, puntuació mitjana. ▪ Web/FTP (text): estadístiques mostrant els virus i les IP d'origen. ◦ Control d'actualitzacions ▪ Automàtica d'actualitzacions de signatures antivirus. ▪ Automàtica d'actualitzacions de jocs de regles antispam. ▪ L'última versió disponible de Copfilter es mostra automàticament en l'interfície. ◦ Notificacions per correu a l'usuari ▪ En comptes d'un correu infectat amb virus, l'usuari rep una notificació que se li enviat un virus, incloent detalls com a remitent, tema i capçaleres del missatge original. Opcionalment, amb còpia a l'administrador. ▪ Resum diari de totes les adreces que van enviar spam en 24 hores. ◦ Notificacions per correu a l'administrador ▪ Actualitzacions de signatures d'antivirus i regles antispam. ▪ Serveis que van fallar i si va funcionar el reinicio automàtic. • Cop+ Aquest addon proporciona la funcionalitat de DansGuardian al IP Cop. DansGuardian és un programari que controla els continguts de les pàgines webs de manera que podem concretar si determinades extensions seran carregades al navegador o no, altrament incorpora un antivirus per als fitxers que es descarreguen. • SARG Sarg és un Squid Analysis Report Generator que et permet veure "on" estan navegant els teus usuaris dins d'Internet. Sarg genera informes en html, amb molts camps, com: usuaris, Adreces IP, bytes transmesos, llocs web,top 100... Exemple dels informes aquí: http://sarg.sourceforge.net/squid- reports/index.html • Nettraffic Aquest addon permet veure el tràfic de xarxa entre les NIC's del IPCOP, podent analitzar molt tràfic en qualsevol de les nostres xarxes, en qualsevol Seguretat: IPCOP 11/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  12. 12. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi moment i en qualsevol direcció. A més permet configurar avisos si un especific nivell de tràfic es rebutjat. ➢ Maquinari: CPU 386 RAM: 32MB DISC DUR: 300MB XARXA: Entre 2 i 4 targes 10/100 Mbps Ethernet Cables ethernet Durant la Instal·lació: Monitor Lector cdrom Teclat Tarja Gràfica Requereix d'un maquinari dedicat i permet gestionar l'accés a Internet, la seguretat i la interacció de fins a quatre xarxes diferents que, en l'argot del IPCop, es denominen GREEN, BLUE, ORANGE i RED. Les mateixes tenen les següents característiques: GREEN: Aquesta és la interfície de xarxa de la nostra LAN o xarxa d'àrea local. Aquí és on connectarem tots els nostres equips que necessitin major protecció, com a servidors que no hagin de tenir presència en Internet i llocs de treball. Els dispositius que es trobin connectats a aquesta interfície tindran accés a les interfícies RED, BLUE i ORANGE, o sigui que podran sortir a Internet (i connectar-se als equips que es trobin en qualsevol d'aquestes altres tres xarxes) per qualsevol port, però al seu torn els equips de la interfície RED (equips en Internet) no poden iniciar connexions a cap equip que es trobi en les interfícies GREEN, BLUE i ORANGE. En altres paraules, estaran protegits de l'exterior, en el sentit que no són accessibles des d'Internet. BLUE: És la interfície que s'assigna normalment per connectar un access point de manera que es puguin connectar dispositius sense fils. De tota manera serveix per connectar qualsevol altra xarxa que es necessiti sigui aquesta sense fil o no. Els dispositius que es trobin en aquesta xarxa, no podran iniciar una connexió als dispositius que es trobin en la interfície GREEN, però excepte aquesta excepció, comptaran amb el mateix nivell d'accés i protecció que expliquen els dispositius connectats a la interfície GREEN. No és necessari activar aquesta interfície en una instal·lació de IPCop si no es compta amb més d'una xarxa, o no es va a utilitzar un router sense fil. ORANGE: Aquesta és la interfície que s'utilitzarà per muntar una DMZ o zona desmilitaritzada. Principalment s'utilitza per muntar servidors web, de correu, de ftp, etc. que hagin de tenir presència en Internet; o sigui que siguin accessibles des Seguretat: IPCOP 12/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  13. 13. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi d'Internet, però que en el cas que es produeixi alguna intrusió a algun equip d'aquesta xarxa, això no comprometi la seguretat de la nostra xarxa interna (GREEN). Els equips que formin part de la xarxa ORANGE no podran iniciar connexions a cap dels dispositius que es trobin en les interfícies GREEN i BLUE. No és necessari activar aquesta interfície en una instal·lació de IPCop si no es pensa utilitzar una DMZ. RED: És la interfície de xarxa que ens connectarà directament al nostre proveïdor d'Internet. Pot ser una connexió ADSL, cable modem, una línia dedicada o fins a inclusivament un mòdem telefònic comú. Qualsevol instal·lació de IPCop comptarà amb aquesta interfície habilitada. (Suporta tant dispositius ethernet com a USB) Com a aclariment cal destacar que els equips que estan a la mateixa xarxa, ja sigui aquesta GREEN, BLUE o ORANGE, tenen la possibilitat d'iniciar connexions entre ells. En el cas de comptar amb un router wifi, si bé és convenient, no és obligatori que aquest estigui connectat a la interfície blue, ja que es podrà connectar sense problemes a la interfície GREEN. A la imatge següent podem apreciar com venen configurades les regles per a cada interfície per defecte Seguretat: IPCOP 13/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  14. 14. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Procediment: Les dades del nostre servidor Firewall / Proxy són: ◦ Hostname : Ipcop10 ◦ Domini: cicles.ies ◦ IP: 10.0.0.1 Com ja hem comentat Ip cop és una distribució completa de gnu/Linux és a dir que no s'instal·la com un paquet més si no que que inclou el seu propi nucli i entorn, per tant, no pot conviure amb una altra distribució. Per començar necessitarem disposar del maquinari adient (vegeu requeriments) i el cd de ip_cop 1.4.2,iniciarem l'equip des del cd i seguirem el procés d'instal·lació de la següent manera: A la pantalla inicial ens avisa de que totes les particions del disc seran eliminades, destruint les seves dades. I a la següent triem l'idioma (22 disponibles) Seguretat: IPCOP 14/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  15. 15. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Ens dona la benvinguda. La instal·lació es pot fer des d'una imatge que estigui a la xarxa (http/ftp) o bé des d'una unitat fisica com el cdrom / usb-key, nosaltres tenim la Iso grabada en un cd per tant escollim cdrom. Com ja hem comentat abans,lP cop s'instal·la a tot el disc dur, el següent missatge ens adverteix de que farà servir /dev/hda per crear les seves particions i el sistema de fitxers. Seguretat: IPCOP 15/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  16. 16. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Si haguéssim instal·lat anteriorment IP Cop podríem haver fet un backup de les regles establertes i la configuració general, la següent pantalla ens permet restaurar aquesta configuració indicant-li on es troba el fitxer de backup. Com que és el primer cop que l'instal·lem aquest pas el saltem. Un Firewall s'ha de situar a l'entrada/sortida de la Lan cap a l'exterior (WAN), per controlar el tràfic, així doncs en un esuqem ade xarxa simple tindrem una zona no segura a una banda del firewall i la xarxa segura a l'altra banda. Altramenrt la zona segura es pot dividir en la zona desmilitaritzada, la zona de xarxa sense fils i la zona interna (LAN). IP Cop té la seva nomenclatura per cada zona de xarxa, anomeará vermella a la part de xarxa que es comunica amb la WAN, és a dir a la zona no segura. La zona Taronga (Orange) és correspon a la DMZ, la Blau (Blue) és la zona sense fils i la Verda (Green) és la LAN. Cadascuna d'aqueste zones es configura individualment, podent assignar rang d'ips diferents, cal però un tarja de xarxa per cada zona. La següent pantalla intenta detectar els drivers de la tarja de xarxa que és correspon a la zona VERD, podem cliclar a “Prueba” per tal de que ho busqui automaticament o bé “Selecciona” per escollir el driver que farm servir d'una llista. Seguretat: IPCOP 16/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  17. 17. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Ens demanarà l'adreça de xarxa per la zona GREEN (LAN), li podem posar qualsevol IP privada, nosaltres hem escollit una classe A per distingir-la clarament de la resta, perquè creiem que és d'on penjaran més equips i per tant necessitem un gran ventall d'IPs dintre d'aquesta xarxa. La seguënt pantalla no és només un missatge de felicitacions, ens indica com accdeir a la pagina web d'administració d'IP Cop. Bé podem fer-lo pel por 81 o el port segur 445 (https). Seguretat: IPCOP 17/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  18. 18. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Seguidament hem de establir un paràmetres bàsics de configuració tals com l'idioma, zona horària, nom de l'equip, nom del domini El ISDN o RDSI en castellà és la Xarxa Digital de Serveis Integrats, fa referència al conjunt de protocols CCITT/ITU que no son més que l'evolució de les xarxes actuals, aquest tipus de xarxa permet fer connexions extrem a extrem a nivell digital (transmissió digital de senyal analògics) oferint multituds de serveis de forma integrada (amb la mateixa interficie es transmet veu, dades, tèlex, commutació circuits...). Nosaltres, però, fem servir ADSL per connectar-nos a la xarxa, per tant deshabilitem el RDSI. Seguretat: IPCOP 18/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  19. 19. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Comença la configuració de l'esquema de xarxa: Abans hem configurat nomes la LAN (Green), ara anem a modificar la configuració per afegir la Orange i la Red. Hem decidit crear una DMZ (Orange), una LAN (Green) i sortida a la WAN (Red) Per cada zona hem de definir els drivers de les Nic utilitzades, ho podem fer automàticament o bé manualment. Un cop posats els drivers continuem configurant les NIC's que falten repetint el procés anterior de la Green, per la Orange i per la Red. Seguretat: IPCOP 19/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  20. 20. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi A la escola li van canviar l'adreça de la Red a una 192.168.130.xxx Seguretat: IPCOP 20/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  21. 21. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Donem el password de l'usuari root per accedir via Shell, el de admin per accedir via web i el de backup, amb la qual cosa la instal·lació es dona per finalitzada. A partir d'ara totes les configuracions les farem via web. Seguretat: IPCOP 21/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  22. 22. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual de configuració Ho primer que fem a l'accedir via web és permetre ssh i actualitzar l'IPCOP a l'última versió que hi ha estable la 1.4.21. Ja que ens ho diu a la pantalla de benvinguda. Aixó es fa baixant el paquet .tgz.pgp de la web oficial d'IPCOP. Seguretat: IPCOP 22/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  23. 23. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació Addons Ara ja podem començar a instal·lar addons. Per instal·lar qualsevol addon s'ha de seguir el mateix procediment: 1. descarregar l'arxiu (normalment .tar.gz) 2. mitjançant scp portar-lo al nostre servidor (fem sevir l'eina gràfica sshClient que porta incorporada la connexió ssh (port 222, us:root pass:****** i scp gràfic) o primer la comanda #scp -P 222 ruta_nom_del_addon root@ipcop10.cicles.ies:/carpeta_on_ho_desem això demanarà la contrasenya de root i desprès per instal·lar fem un ssh -P 222 root@ipcop10.cicles.ies) 3. descomprimir-lo 4. ./install Nosaltres per tenir-ho ordenat hem creat una carpeta /addons, aquí tenim tots els arxius de les addons que volem instal·lar comprimits. Quan volem instal·lar un, creem una carpeta am el seu nom i el descomprimim allà o el situem a la carpeta que demani. Seguretat: IPCOP 23/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  24. 24. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació Addon Zerina Presentació Zerina es tracta d'un servei de Xarxa Privada Virtual (VPN) per IpCop basat en openVPN que permet treballar amb connexions Net2Net (interconnectar 2 xarxes amb firewalls IpCop a través d'internet -dues seus que comparteixen recursos, estalvi en servidors) o la connexió d'ordinadors (Host2Net mitjançant Roadwarrior) per disposar dels recursos de xarxa per als nostres treballadors amb mobilitat (normalment comercials amb portàtils,etc). Objectiu Disposar d'un sistema que permeti als nostres treballadors amb mobilitat accedir a la documentació i serveis de l'empresa des de qualsevol lloc amb connexió a internet de manera segura, com si estiguessin a la “nostra LAN”. Requeriments ➢ Programari per al servidor: Tenir instal·lada una versió IpCop superior a la 1.4.15 Imatge ZERINA-0.9.7a14 http://mh-lantech.css-hamburg.de/ipcop/download.php?list.28 ➢ Programari per als clients: Depenent del SO del nostre client (ordenador que vol accedir als recursos de Seguretat: IPCOP 24/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  25. 25. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi l'empresa) hem de triar una de les opcions que troben a la web oficial de OpenVPN. Per Debian i ubuntu el paquet ve instal·lat. http://openvpn.net/index.php/open-source/downloads.html Procediment: Un cop tenim el nostre addon al directori que volem d'IPCOP fem: #tar -xzf /addons/ZERINA-0.9.7a14-Installer.tar.gz /addons/Zerina #cd /addons/Zerina #./install Això no ens ho deixa fer la instal·lació, surt una errada que diu que la versió del ipCop no és la 1.4.15, llavors editant l'arxiu install amb el nano canviem la següent línia ficant la nostra versió i tornem a instal·lar. Seguretat: IPCOP 25/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  26. 26. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual de configuració Part Servidor Un cop feta la instal·lació ja podem procedir a la configuració via web https://192.168.1.150:445/cgi-bin/index.cgi us:admin pass:****** Fem click en connectar i anem al Menú VPNs -> OPENVPN Ara hem de triar el tipus de connexió que volem o totes dues si volem connexió entre les nostres seus i generar els certificats per poder tenir una connexió segura. El primer que hem de fer a la web de configuració és Generar els certificats Arrel/Anfitrió Seguretat: IPCOP 26/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  27. 27. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Omplim els camps (millor sense accents, ens ha donat errades) i fem click a generar Un cop generats la pantalla ens queda de la següent manera i hem de configurar el rang per als nostres clients i activar l'opció per a que es puguin connectar mitjançant la interfície vermella, que és la que dona accés des de Internet i fer click al botó Reiniciar OpenVPN Seguretat: IPCOP 27/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  28. 28. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Com nosaltres només connectarem ordinadors amb mobilitat, només generem certificats per a cada usuari, així tindrem controlada cada connexió de manera independent (per saber com es fa la connexió Net2Net mirar aquest manual http://www.kriptopolis.org/node/4062 ). Per fer això fem click al botó Agregar de l'apartat Roadwarrior. Omplim els camps i fem click a guardar. Així per a tots els usuaris que hagin de fer servir el servei OpenVPN. Seguretat: IPCOP 28/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  29. 29. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Part Client Un cop creats hem de descarregar els certificats generats, tant els de l'usuari concret (mira imatge anterior, fent clic i descarregant el zip) com els Arrel i Anfitrió (fent clic a sobre de la icona del disquet a cadascun, com es veu a la imatge on s'havien generat els certificats) i adjuntar-los a la configuració del client (descomprimits), a l'ordinador que hagi de fer servir l'usuari concret (això vol dir que si aquest usuari a de deixar l'ordinador a una altre persona, la configuració ha de canviar depenent de l'usuari que faci servir l'ordinador o que el client OpenVPN només estigui actiu per a aquell usuari). Primer fem la instal·lació del client (cas windows ,next,next,next ...) i reiniciem l'ordinador. Un cop fet, anem a Menú Inici -> Programes ->OpenVPN -> ShortCuts -> OpenVPN configuration file directory Tal com s'aprecia a la imatge i introduïm els nostres certificats (4 per ser exactes) a allà i iniciem el programa Client openVPN des de l'accés directe de l'escriptori o des de Inicio -> Programas -> OpenVPN -> OpenVPN GUI Seguretat: IPCOP 29/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  30. 30. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Ens apareixerà una icona amb 2 ordinadors vermells al costat del rellotge. Li fem click a sobre amb el botó dret i click amb el botó esquerra a connect Si tot funciona correctament, veure pantalles amb la icona de openvpn en groc, al costat del rellotge ens apareixerà la icona dels 2 ordinadors vermells anteriors de color verda (hem de tenir en compte que si no disposem de una ip pública estàtica, haurem de fer servir un domini dyndns i obrir els ports del nostre router per poder connectar-nos des de l'exterior, per fer això a cada router serà una mica diferent, amb la qual cosa s'haurà de mirar exactament com ho fem per a cada model) És molt important que comuniquen als usuaris dels clients VPN que per sortir ho primer que han de fer es desconnectar la sessió, fent click amb el botó dret a sobre de la icona dels 2 ordinadors verds i clic amb el botó esquerra a Disconnect, per assegurar-nos que no queda cap sessió vpn oberta sense fer servir. Teòricament al cap d'un temps el servidor si veu que no hi ha activitat desconnecta la sessió, però sempre és més el tancament manual per part del client Seguretat: IPCOP 30/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  31. 31. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi En debian, farem servir els mateixos certificats que en windows. Hem d'anar a Sistema/Administració/Gestor de paquets Synaptic. Llavors busquem e instal·lem el paquet network-manager-openvpn-gnome (com imatge a continuació). Seguidament fem clic botó dret al icona de xarxa i editar connexions i després fem clic al icona de xarxa/Connexions VPN/Configurar VPN... En la finestra VPN fem importar i seleccionem el fitxer dels certificats .ovpn (en la mateixa carpeta han de ser els 4 arxius que mostra l'imatge a continuació per que funcioni correctament): Finalment fem clic al icona de xarxa altra vegada i en connexions VPN surt el nom de la nostra VPN. La seleccionem i ja estaríem connectats correctament al VPN, hauria de canviar l'icona de xarxa amb un cadenat si tot a sortit correctament: Seguretat: IPCOP 31/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  32. 32. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Referències: http://www.it.uniovi.es/docencia/Cursos/ServiciosLinux/materi al/Cursoservicios_IPCop.pdf http://www.openvpn.eu/index.php?id=35 http://thinkhole.org/wp/2006/03/28/ipcop-openvpn-howto/ http://openvpn.net/ http://www.kriptopolis.org/node/4062 http://www.linuxzone.es/tutorial-sobre-ip-cop/ Seguretat: IPCOP 32/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  33. 33. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació Addon Advproxy Presentació És un addon per a IPCOP que esten la seva funcionalitat proxy web amb un munt de característiques addicionals versàtil i útil. El paquet conté un binari de squid que torna a compilar amb opcions de configuració avançada per a una màxima flexibilitat. La interfície gràfica d'usuari avançada de proxy li dóna accés a la configuració molt més que la incorporada en el proxy GUI per defecte. Objectiu Estendre les funcionalitats del proxy per defecte, amb les característiques comentades anteriorment. Requeriments ➢ Programari: descarregar el paquet de http://www.advproxy.net/download.html ➢ Maquinari: El requerits per al sistema operatiu Procediment: El mateix que per instal·lar qualsevol Addon Manual de configuració Per començar la configuració entrem via web a IPCOP i anem al Menú Servicios → Advanced Proxy Ho primer que fem és definir l'idioma al apartat advanced web proxy Seguretat: IPCOP 33/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  34. 34. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Baixem per veure més opcions com la de control d'accés per port de destí admesos i els ssl Quines xarxes permetem, quina adreça no tindrà cap restricció o quina no deixarem passar, també ho podem fer per MAC. Podem controlar també els dies i la franja horària en la que està permesa la navegació El tipus MIME d'un arxiu és simplement una descripció del que és l'arxiu ja que al navegador amb l'extensió no és suficient (exemple tipus application/pdf ). Seguretat: IPCOP 34/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  35. 35. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Podem fer que comprovi un navegador i fer servir algun tipus de autenticació.Un cop configurat tot això guardem i reiniciem Referències: http://www.advproxy.net/ Manual d'instal·lació SARG Presentació Sarg és un Squid Analysis Report Generator que et permet veure "on" estan navegant els teus usuaris dins d'Internet. Objectiu Generar informes en html, amb molts camps, com: usuaris, Adreces IP, bytes transmesos, llocs web, top 100... que podrem fer servir per saber si l'ús d'internet és l'adequat i si no és així poder saber si hem de tancar alguna URL en concret. Requeriments ➢ Programari: Addon descarregat de http://mh-lantech.css-hamburg.de/ipcop/download.php?view.185 ➢ Maquinari: El requerits per al sistema operatiu Seguretat: IPCOP 35/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  36. 36. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Procediment: El mateix que per instal·lar qualsevol Addon Manual de configuració Més que un manual de configuració és un manual d'ús, que es descriu a cop de ratolí Referències: http://sarg.sourceforge.net/ Seguretat: IPCOP 36/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  37. 37. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació Cop+ Presentació És un servei que podem implementar per al filtrat de continguts a la nostra xarxa. Dansguardian funcionarà com un filtrat de continguts i control d'accés, deixant a Squid solament la tasca de proxy cache. Objectiu Configurar un filtrat de paquets d'una manera senzilla, poden fer servir llistes blanques i negres (aquestes es poden exportar). Filtrar per URL's i per domini. Requeriments ➢ Programari: Addon descarregat de http://home.earthlink.net/~copplus/index.html ➢ Maquinari: El requerits per al sistema operatiu Procediment: El mateix que per instal·lar qualsevol Addon, però aquest s'ha de fer al directori arrel. Manual de configuració Per començar la configuració entrem via web a IPCOP i anem al Menú Servicios → Content Filter , on ho primer que troben és el seu estat, poder reiniciar-lo i veure els logs Al següent apartat podrien configurar grups d'usuaris per aplicar-li filtratges diferents, mitjançant les diferents llistes, segons el nostre criteri (blanca passa, negra prohibeix). Seguretat: IPCOP 37/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  38. 38. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Seguretat: IPCOP 38/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  39. 39. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Si hem afegit youtube.com a la llista negra com diu l'exemple quan intentem accedir Dansguardian ens mostra aquesta pantalla. També permet importar i actualitzar llistes negres de manera automàtica i buscar de noves mitjançant una frase Al Menú Logs Content Filter podem observar tots els intents de navegació,→ permesos i denegats, i així comprovar si el que acaben d'actualitzar funciona correctament seleccionant per les dates que volem. Seguretat: IPCOP 39/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  40. 40. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Referències: http://dansguardian.org/ Seguretat: IPCOP 40/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  41. 41. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació Nettfilter Presentació Aquest addon permet veure el tràfic de xarxa entre les NIC's del IPCOP, podent analitzar molt tràfic en qualsevol de les nostres xarxes, en qualsevol moment i en qualsevol direcció. A més permet configurar avisos si un especific nivell de tràfic es rebutjat Objectiu L'objectiu és poder analitzar el tràfic que circula per les nostres targetes per poder detectar anomalies. Requeriments ➢ Programari: descarregar l'addon de http://blockouttraffic.de/nt_download.php ➢ Maquinari: El requerits per al sistema operatiu Procediment: El mateix que per instal·lar qualsevol Addon Manual de configuració Per començar anem a Menú Estado Net-Traffic→ I s'obrirà una pantalla on podem observar tot el tràfic d'entrada i de sortida de cada targeta. Podem dir-li la data per analitzar, aquell moment determinat i canviar la configuració per que ens avisi si es passa d'un volum de tràfic. Seguretat: IPCOP 41/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  42. 42. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Referències: http://blockouttraffic.de/nt_index.php Seguretat: IPCOP 42/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  43. 43. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació Addon BlockOutTraffic Presentació BlockoutTraffic bloquejarà tot el tràfic que es permet en una instal·lació normal de IPCop. Les regles han de ser creades per permetre el tràfic, la qual cosa significa treball, però permet una major influència en el tràfic a través del firewall. Objectiu Aconseguir una configuració més acurada de les regles de control de tràfic, tal com s'explica al començament del apartat seguretat, que el reenviaments de ports que porta per defecte IPCOP Requeriments ➢ Programari: descarregar l'Addon de http://blockouttraffic.de/download.php ➢ Maquinari: El requerits per al sistema operatiu Procediment: El mateix que per instal·lar qualsevol addon. NOTA: l'addon que hi ha és per la versió de IPCOP 1.4.4. És possible que per aquesta raó cada cop que l'activem no funconi, encara que configurem regles abans, com per exemple obrir el por 80. Per a recuperar el sistema treballem directament sobre la màquina física IPCOP. Descomprimim el tar.gz del BlockOutTraffic i executem ./unsistall Manual de configuració Seguretat: IPCOP 43/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  44. 44. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Referències: http://blockouttraffic.de/index.php Seguretat: IPCOP 44/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  45. 45. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual de configuració per defecte de IPCOP Per defecte IPCOP també compte amb diverses funcionalitats que ens serveixen per administrar el nostre firewall, configuracions de regles de tràfic des de la LAN al exterior i a la inversa des de l'exterior cap a la LAN o la DMZ. Seguretat: IPCOP 45/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  46. 46. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi I per accedir de la DMZ a la LAN Podem activar la resposta a pings des de fora a Ens permet configurar diferents serveis, com un servidor DHCP, assignar IP's fixes per MAC i observar la llista de connexions dinàmiques, entre altres. Seguretat: IPCOP 46/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  47. 47. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Pot fer de servidor horari de la LAN Seguretat: IPCOP 47/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  48. 48. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Des de Juny de 2010 snort ha deixat d'oferir les regles mitjançant el Oink codi per fer servir la detecció d'intrusions, s'ha de fer descarregant un fitxer compatible amb la teva versió de snort, amb la qual cosa IPCOP no ho permet. Al menú Estado podem monitoritzar diferents paràmetres del sistema, com el consum dels recursos, gràfics de xarxa, etc Seguretat: IPCOP 48/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  49. 49. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Seguretat: IPCOP 49/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  50. 50. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Seguretat: IPCOP 50/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  51. 51. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació PROFTPD Presentació Proftpd és un servidor de FTP (File Transfer Protocol) per a sistemes GNU/Linux de codi lliure (Llicència GPL); com tot servidor FTP, és fa servir per transferir arxius entre aquest, anomenat servidor, i el client ftp. Clients FTP n'hi ha moltíssims, nosaltres escollirem Filezilla pel fet de ser multiplataforma, gratuït, senzill i altament funcional. Les característica més rellevant de proftpd és que permet fer autenticació d'usuaris no només contra els usuaris existents al servidor ftp, sinó també, envers servidors ftp virtuals, servidors ldap o bases de dades (sql) amb suport de RADIUS, SSL, TLS. És tracta d'un dels productes més utilitzats atès la seva flexibilitat, modulabilitat , facilitat d'us i de configuració. Objectiu Implantació d'un servidor FTP per al domini de la DMZ, el qual, d'una banda proporcionarà la capa FTP per al servidor web amb Joomla i d'altra banda serà el servidor públic del nostre domini amb accés anònim i accés autenticat contra el sistema. L'accés anònim permetrà descarregar fitxers de l'arrel i escriure en una carpeta que anomenarem “pujades”. L'accés autenticat “engabiarà” al usuari en la seva zona de forma que no pugi accedir a nivells superiors de directori; Aquests usuaris tindran tots els privilegis sobre la seva arrel. Per comprovar la funcionalitat instal·larem el client Filezilla. Requeriments ➢ Programari: Sistema Operatiu Debian Squeeze Proftpd Client FTP : Filezilla ➢ Maquinari: El requerits per al sistema operatiu Servidor DMZ: ProFTPd 51/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  52. 52. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Procediment: Les dades del nostre servidor FTP de la DMZ són: ◦ Hostname : joomla ◦ Domini: dmzcicles.ies ◦ IP: 172.16.0.20 La instal·lació de Proftpd sobre Debian és summament senzilla, només cal que obrim un terminal i executem apt-get install proftpd Una altra opció és descarregar el codi font disponible a la web oficial en format tar.gz. Un cop descarregat només caldrà descomprimir i compilar el paquet de forma habitual seguit la seqüència: tar -xvzf cd proftpd* ./compile make make install Nosaltres però hem optat solució més ràpida i còmode, farem servir apt-get Servidor DMZ: ProFTPd 52/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  53. 53. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Com es pot veure a la imatge, la instal·lació ens suggereix una sèrie de paquets que són els mòduls addicionals per al proftpd : proftpd-mod-mysql... A continuació s'ens presenta l'assistent de configuració inicial: A la primera plana hem d'escollir el tipus de servidor que volem muntar, podem escollir entre inetd o standalone, si escollim inetd li estem dient que aquest servidor serà un servei més de la maquina on s'instal·la mentre que amb l'opció standalone estem fent que sigui un servidor dedicat, com que l'objectiu és implantar-lo a la dmz, amb accés anònim i i que estigui en constant execució escollirem standalone ja que no tenim constància del tràfic que hi haurà. Un cop seleccionat podrem veure que s'han creat dos usuaris nous al sistema: proftpd i ftp, a més del directori personal del usuari ftp, aquest serà el nostre usuari anònim. Añadiendo el usuario del sistema `proftpd' (UID 110) ... Añadiendo un nuevo usuario `proftpd' (UID 110) con grupo `nogroup' ... Añadiendo el usuario del sistema `ftp' (UID 111) ... Añadiendo un nuevo usuario `ftp' (UID 111) con grupo `nogroup' ... Creando el directorio personal `/home/ftp' ... «/usr/share/proftpd/templates/welcome.msg» -> «/home/ftp/welcome.msg.proftpd-new» Ja tenim el servidor FTP instal·lat. Servidor DMZ: ProFTPd 53/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  54. 54. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Per tal d'accedir al servidor necessitarem un client FTP que es connecti a aquest, com ja hem comentat fem servir Filezilla, la seva instal·lació és tan senzilla o més que la del servidor, només hem d'obrir un terminal i fer apt-get install filezilla. Ens apareixerà el client instal·lat al menú Aplicacions – Internet- Filezilla Abans d'executar el client anem a configurar el servidor FTP Servidor DMZ: ProFTPd 54/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  55. 55. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual de configuració La instal·lació de proftpd ens ha generat el fitxer de configuració /etc/proftpd/proftpd.conf, aquest és l'únic fitxer que farem servir per configurar el nostre servidor tal com hem indicat als objectius. Hem comentat que volíem fer un directori d'accés anònim on es pugi escriure, aquest cal crear-lo abans o després de la configuració, és indiferent. # mkdir /home/ftp/pujades # chmod 755 /home/ftp/pujades/ # chown ftp /home/ftp/pujades Li hem canviat els permisos al directori per a que el propietari pugui fer de tot, el membres del grup i la resta nomes podran llegir i executar. També canviem al propietari, el directori ha estat creat com ha root, amb chown fem que ftp sigui el propietari. El fitxer de configuració /etc/proftpd/proftpd.conf quedarà de la següent manera (el codi està modificat: s'han esborrat línies comentades i s'han afegit comentaris personals per clarificar els paràmetres) #Fitxer configuració /etc/proftpd/proftpd.conf #Aspectes genareals: no cal tocar res... # Includes DSO modules Include /etc/proftpd/modules.conf # Set off to disable IPv6 support which is annoying on IPv4 only boxes. UseIPv6 on # If set on you can experience a longer connection delay in many cases. IdentLookups off #****Opcions Servidor ServerName "FTP Joomla" #Nom del servidor ServerType standalone # El tipus del servidor: inetd o standalone DeferWelcome off #Missatge de benvinguda, és un boleà que el podem posar a on i llavors especificar el missatge a continuació, nosaltres ho farem quan l'usuari accedeixi.. AccessGrantMsg "Login Correcte!" # Missatge de benvinguda al login AccessDenyMsg "Login Incorrecte..." #Missatge per advertir que les credencials no son vàlides per al sistema al fer login MultilineRFC2228 on # Compatibilitat amb altres servidors ftp, segueix l'estàndard DefaultServer on #Opcions per defecte habilitades ShowSymlinks on Servidor DMZ: ProFTPd 55/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  56. 56. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi # Ens permetrà veure els vincles simbòlics del usuari connectat o no TimeoutNoTransfer 600 # Temps en segons abans de desconnectar-se per manca de transaccions TimeoutStalled 600 # Temps en segons abans de cancel·lar una descarrega que està bloquejada TimeoutIdle 1200 #Temps en segons abans de desconnectar-se per manca de tota activitat DisplayLogin welcome.msg # missatge de benvinguda al ftp, abans del missatge d'accés, és un fitxer que es pot editar i fer banners per exemple DisplayChdir .message true #habilita l'opció de crear un fitxer ocult anomenat .message a cada directori per tal de mostrar un missatge diferent a mesura que ens moguem per l'arbre permès ListOptions "-l" #Si ens connectem per terminal podrem fer servir -l per llistar les opcions DenyFilter *.*/ #Filtre intern del proftpd, ens pot servir per restringir la pujada de certs fitxers o tipus de fitxers (per l'extensió), així ho permetem tot DefaultRoot ~ #Opció per engabiar als usuaris al seu directori personal, prohibint que es puguin desplaçar a altres directoris superiors, així cada usuari te accés nomes a la seva gàbia RequireValidShell off #Especifica si l'usuari connectat ha de tenir una shell vàlida o no, en el nostre cas posarem /bin/false, per tant la opció es queda en off Port 21 #Port del servidor MaxInstances 30 #Nombre de connexions concurrents, fetes per processos, que pot rebre el servidor en tipus standalone, serveix per prevenir atacs DoS User proftpd Group nogroup #Nom d'usuari i grup que executa el servidor, root també pot Umask 022 022 #mascara per restringir l'escriptura de forma general als membres del grup i a la resta, el funcionament d'umask és una resta sobre els permisos de l'usuari AllowOverwrite on #Habilita l'opció de reescriure #Logs i configuarció interna de quotes i ample de banda TransferLog /var/log/proftpd/xferlog SystemLog /var/log/proftpd/proftpd.log # Els dos logs per defecte del servidor, útils per consultar errors o veure accessos al servidor <IfModule mod_quotatab.c> QuotaEngine off </IfModule> <IfModule mod_ratio.c> Ratios off Servidor DMZ: ProFTPd 56/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  57. 57. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi </IfModule> # Deixem aquestes opcions per defecte, es podria restringir la quantitat de MB Pujats/Descarregats i la velocitat de les transferències <IfModule mod_delay.c> DelayEngine on </IfModule> # Per defecte habilitat per preveure atacs de Timing <IfModule mod_ctrls.c> ControlsEngine off ControlsMaxClients 2 ControlsLog /var/log/proftpd/controls.log ControlsInterval 5 ControlsSocket /var/run/proftpd/proftpd.sock </IfModule> #Normalment aquest paràmetre no es toca, serveix per poder alterar el comportament del servei ftp tipus standalone mentre es troba en execució, les opcions mes interessants son els logs ,l'interval que és cada quant temps s'ha de mirar el socket per veure qui hi ha connectat i el nombre de clients que poden accedir a controlar el servei. <IfModule mod_ctrls_admin.c> AdminControlsEngine off </IfModule> # Si estigues en “on” habilitaria un altre modul de manipulació del servei per als administradors #Declaració dels directoris i accés als recursos # Ja hem habilitat “l'engabiament”, per tant podem declarar límits sobre usuaris concrets d'aquesta manera <Limit LOGIN> AllowUser adminftp AllowUser unaltre </Limit> #Els permisos sobre els seu directori dependran dels permisos linux establerts en la creació de /home/nomusuari, normalment tots. La contrasenya és la mateixa que la del sistema. #El funcionament és semblant al html, funciona amb tags que s'obren i es tanquen, dintre de cada tag es poden declarar altres per filar prim a les necessitats, en aquest cas obrim el tag Anonymus i el configurem així: <Anonymous /home/ftp> # Indiquem que l'accés anònim és farà sobre el directori /home/ftp User ftp Group nogroup #L'usuari i el grup anònim és ftp i nogroup respectivament, ja els ha creat la instal·lació, no hem de fer res UserAlias anonymous ftp #Afegim un alies sobre ftp, de forma que puguem fer login anònim amb el nombre anonymous, això és perquè molts clients ftp, al no posar credencials et posen aquest 'usuari per defecte RequireValidShell off # Aquest usuari te la shell /bin/false i no necessita cap shell habilitada per accedir al servei MaxClients 10 #Nombre màxim de clients connectas de forma anònima concurrentment Servidor DMZ: ProFTPd 57/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  58. 58. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi #Sense tancar el tag anonymous declarem els permisos per als directoris que conté <Directory /home/ftp> #declaració del directori sobre el qual establim els permisos amb el tag Limit <Limit WRITE> DenyAll </Limit> #cap usuari pot escriure en /home/ftp ni directoris ni fitxers <Limit READ LOGIN> AllowAll </Limit> #però tots poden fer login i llegir el contingut </Directory> #Els tags s'han de tancar, no cal que el codi estigui ben tabulat però l'administrador ho agrairà <Directory /home/ftp/pujades> #Declarem el directori pujades, el qual té uns permisos diferents Umask 022 022 #Aquesta opció és redundant atès que en opcions general ja he filtrat per aquesta màscara, en un principi hauria de servir per a que nomes el propietari pogués fer canvis però com que tots els usuaris anònims es connecten amb el mateix usuari propietari, tots poden fer canvis <Limit READ STOR> AllowAll </Limit> #En aquest directori està permès llegir i escriure els límits son conjunts de comandes FTP, podríem posar el conjunt WRITE el qual engloba STOR però a diferencia d'aquest write permet crear subdirectoris, i hem decidit no donar aquest permís </Directory> </Anonymous> # Tanquem la resta de tags i ja tenim la part de l'usuari anònim configurada Destaquem la senzillesa alhora de fer servir el Limits de comandes FTP sobre els directoris, aquestes estan englobades en conjunt de forma que podem establir el conjunt generals o concretat al permís correcte, la llista de Límits disponibles és la següent però recomanem visitar prèviament la llista de totes les comandes FTP per entendre quin permís estem assignant: • ALL ◦ Totes les comandes FTP: http://www.proftpd.org/docs/howto/FTP.html • DIRS ◦ CDUP, CWD, LIST, MDTM, MLSD, MLST, NLST, PWD, RNFR, STAT, XCUP, XCWD, XPWD • LOGIN • READ ◦ RETR, SIZE Servidor DMZ: ProFTPd 58/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  59. 59. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi • WRITE ◦ APPE, DELE, MKD, RMD, RNTO, STOR, STOU, XMKD, XRMD Fins aquí tindríem el fitxer del servidor configurat per les nostres necessitats, ara bé ProFTPd és molt modulable i com a tal ens permet fer servidors ftp molt potents amb fins i tot dominis virtuals. Només ens falta crear als usuaris que tindran acces amb comptes del sistema, hem establert que no requeriran shell i que estan engabiats als seu home, per tant el procediment serà: Declarar /bin/false a /etc/shells: afegint a final de línia /bin/false, es pot fer amb un editor de textos o amb comandes echo /bin/false >> /etc/shells Afegir l'usuari adminftp o qualsevol altre amb aquesta shell, i el directori personal amb l'opció -m de useradd useradd -s /bin/false -m admin ftp Assignar una contrasenya al usuari creat passwd adminftp És moment de verificar la configuració que hem dissenyat, cal però reiniciar el servei abans d'executar el client per tal de que el fitxer sigui recarregat. /etc/init.d/proftpd restart Servidor DMZ: ProFTPd 59/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  60. 60. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Si hi hagués cap error al fitxer, el servei no es reiniciaria i ens advertiria de l'error. Anem a deixar un tag obert per veure el missatge d'error que ens mostraria. Ho solucionem i reiniciem el servei amb /etc/init.d/proftpd restart Ara ja podem verificar el funcionament amb un client FTP, com ara Filezilla. L'obrim i ens topem amb una interfície molt fàcil de fer anar, a la part superior es on es poden fer connexions ràpides cap al servidor FTP.Per comprovar la connexio d'acces anònim moes hem d'indicar la IP del servidor, a la DMZ configurada serà la IP 172.16.0.20, a la captura es veu una altra ip perque està feta des de casa. Servidor DMZ: ProFTPd 60/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  61. 61. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Un cop connectats veurem a l'esquerra els nostres directoris local i a la dreta els directoris del ftp Si provem a escriure a l'arrel no ens deixarà, el missatge d'error és: “Error crítico de transferència de fichero”,altrament veurem que la pestanya de transferència fallida marca l'error. Servidor DMZ: ProFTPd 61/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  62. 62. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Podem fer canvis al directori pujades, penjarem un fitxer qualsevol i veurem com la pestanya de transferències satisfactòries augmenta. A Filezilla podem enregistrar els llocs ftp, guardarem aquest ftp amb les des de del usuari ftp i ens connectarem Servidor DMZ: ProFTPd 62/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  63. 63. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Un cop connectats anem a crear un directori per verificar els permisos que té. Per fer-ho anem a Servidor- introducir comando personalizado Si hem llegir la llista de comandes sabrem que amb MKD es poden crear directoris: Actualitzem la vista i ens ha d'aparèixer la carpeta Tenim tots els permisos sobre aquest usuari. Més endavant farem servir aquest usuari per la configuració de Joomla. Servidor DMZ: ProFTPd 63/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  64. 64. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Referències: http://www.proftpd.org/localsite/Userguide/linked/userguide.html http://www.proftpd.org/docs/howto/FTP.html Servidor DMZ: ProFTPd 64/229 Títol:FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  65. 65. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació Joomla Presentació Joomla! és un sistema de gestió de continguts (CMS) de codi obert construït amb PHP sota llicència GPL que permet crear llocs webs i aplicacions web. Un CMS no és més que un conjunt de programari que permeten organitzar i facilitar la creació de documents i altres continguts de forma compartida, en aquest cas Joomla és una aplicació web que es recolza en MySQL per tal de gestionar llocs web i continguts web. S'inclouen característiques com: fer caché de pàgines per millorar el rendiment, indexació web, feed RSS, versions imprimibles de pàgines, flaix amb notícies, blogs, fòrums, polls (enquestes), calendaris, recerca en el lloc web, e internacionalització del llenguatge. Objectiu Implementació d'un lloc web associat al nostre domini que sigui accessible des de l'exterior i que permeti publicar noticies, gestionar als usuaris, crear incidències, contactar amb l'administrador... Requeriments ➢ Programari: Sistema Operatiu Debian Squeeze MySQL 5 Apache 2.2 PHP 5.x Joomla Spanish ➢ Maquinari: El requerits per al sistema operatiu Servidor DMZ : Joomla 65/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  66. 66. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Procediment: Primer de tot instal·lem els requeriments de software: mysql, apache i php També es podria fer amb LAMP, però és més interessant així, obrim un terminal i executem apt-get install mysql-server apache2 php5 php5-mysql Durant la instal·lació ens demana la contrasenya de mysql per al usuari root Servidor DMZ : Joomla 66/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  67. 67. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Un cop finalitzada la instal·lació d'aquests paquets editem el fitxer /etc/apache2/conf.d/fqdn , aquest fitxer serveix per indicar on es troba instal·lat apache, si no existeix el creem. El contingut ha de ser ServerName localhost Editem el fixer /etc/apache2/sites-available/default per tal d'agregar la línia que indicarà a l'apache que ha de fet servir index.php com a pàgina d'inici DirectoryIndex index.php index.html index.htm Per verificar la instal·lació de php creem el fitxer /var/www/inici.php el qual contindrà: <? phpinfo(); ?> Servidor DMZ : Joomla 67/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  68. 68. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Accedirem al fitxer pel navegador per verificar que el mètode de php s'executa sense errors: Cal crear el directori Joomla al directori d'apache: mkdir /var/www/Joomla El següent pas es descarregar JoomlaSpanish de la web oficial, anirem llavors al directori on s'hagi descarregat i el copiarem al directori d'apache Joomla que acabem de crear. cp '/home/administrator/Descargas/Joomla_1.5.23-Spanish-pack_completo.zip' /var/www/Joomla/ Un cop copiat, ens situem al directori i el descomprimim cd /var/www/Joomla unzip /var/www/Joomla/Joomla_1.5.23-Spanish-pack_completo.zip Servidor DMZ : Joomla 68/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  69. 69. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Si fem un ls -l veurem que apache no és el propietari dels arxius que acabem de descomprimir, llavors és necessari canviar la propietat de tots els arxius , aquests han de ser propietat del usuari apache essent aquest www-data del grup www-data Com que són molts els fitxers crearem una variable que els contingui tots i amb un mini script de bash canviarem la propietat, així doncs a un terminal escrivim: cd /var/www/Joomla PLACES=' administrator/backups administrator/components administrator/modules administrator/templates cache components images images/banners images/stories language plugins media modules templates ' Amb això hem creat la varaible PLACES, ara la recorrem amb un for de bash i li assignem els permisos. De nou al terminal escrivim: for i in $PLACES; do sudo chown -R www-data:www-data $i; done Per poder operar bé amb tots els fitxers hem de canviar els permisos. Als tots els fitxers que pengen de /var/www/Joomla els hi posarem 644, per fer-ho al terminal escriure'm: Servidor DMZ : Joomla 69/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  70. 70. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi find . -type f -exec chmod 644 {} ; Als directoris els hi posarem els permisos 755 find . -type d -exec chmod 755 {} ; Ara crearem la base de dades per a joomla, llavors en un terminal d'usuari escriurem (ens demanarà la contrasenya de la instal·lació) : mysqladmin -u root -p create joomladb Ens connectem a mysql i creem al usuari admin que tindrà tots els privilegis sobre la bbdd de joomladb Servidor DMZ : Joomla 70/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  71. 71. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Ara podem accedir al instalador web de joomla per mi Al passar a la següent plana podem veure com el fitxer configuaration.php surt com a no escribible No és cap error en tant que la configuració encara no s'ha creat, aquest fitxer no existeix de moment però si ens molesta el que podem fer és crear-lo a mà Servidor DMZ : Joomla 71/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  72. 72. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Per evitar que ens surti l'error de permís d'escriptura sobre php farem les comandes: # touch /var/www/Joomla/configuration.php # chown www-data:www-data /var/www/Joomla # chown www-data:www-data /var/www/Joomla/configuration.php # chmod 644 /var/www/Joomla/configuration.php tornem a carregar la web 127.0.0.1/Joomla La següent plana és només la llicència, està bé llegir-se-la, és GNU/GPL Servidor DMZ : Joomla 72/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  73. 73. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi En aquesta plana posarem al usuari admin o al usuari admin atès que ambdos tenen tots els privilegis sobre la bases de dades joomladb La capa FTP de Joomla és molt útil per importar mòduls, components, plantilles, cal però tenir un servidor FTP i un usuari per habilitar-la, nosaltres ja vam crear el Servidor DMZ : Joomla 73/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  74. 74. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi servidor a la DMZ, en aquest mateix equip, per tant no hi ha cap problema per habilitar-la. Ara ens demanarà uns paramètres generals d'aquest joomla com son el nom de lloc i les dades de l'administrador del lloc; és interessant instal·la les dades d'exemple atès que t'omplen el lloc i resulta més fàcil entendre com funciona la gestió interna. Ja està instal·lat, cal però eliminar el directori /var/www/installation amb: rm -R /var/www/installation Servidor DMZ : Joomla 74/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  75. 75. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Ara que ja tenim el nostre Joomla creat i operatiu, podem fer login com administrador i començar a configurar-lo al nostre gust. Servidor DMZ : Joomla 75/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  76. 76. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual de configuració Una de les seves grans característiques és la possibilitat d'importar mòduls ja creats que ens serviran per personalitzar la nostra web. Per administrar el lloc web ens dirigirem a la url: http://127.0.0.1/joomla/administrator http://cicles.es.no-iop.org/joomla//administrator Per accedir al lloc web anirem a: http://127.0.0.1/joomla/ http://cicles.es.no-iop.org/joomla/ Per poder accedir des de fora hem obert el port 80 al router i hem re-dirigit el tràfic a IPCOP Servidor DMZ : Joomla 76/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  77. 77. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Nosaltres hem aprofitat el domini ciclesies.no-ip.org per crear el nostre lloc web el qual conté la típica plana d'accés i d'enregistrament al lloc, instal·lada per defecte: Servidor DMZ : Joomla 77/229 Abans del Login Després del Login Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  78. 78. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Servidor DMZ : Joomla 78/229 Hem vinculat el RSS que hem volgut al nostre lloc fent servir un modul que incorpora anomenat mod_slick_rss Hem importat per mitjà de la capa FTP un mòdul de calendari que és pot vincular a Google Calendar per a la pàgina principal de lloc web Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  79. 79. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi S'ha afegit un gestor d'incidencies,anomenat Issue-Manager, només per als usuaris registrats, Aquest és comunica amb la part de gestor situada a la plana del administrador de Joomla Servidor DMZ : Joomla 79/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  80. 80. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Segons el perfil d'usuari es podran escriure articles, tant si ets autor com editor L'administrador crea les seccions i categories in els usuaris poden escriure els articles. Servidor DMZ : Joomla 80/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  81. 81. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi L'aparença del lloc l'hem gestionat per mitjà d'una plantilla i modificant el codi html i el css per adaptar-la a les nostres necessitats. La pàgina principal té aquest aspecte Servidor DMZ : Joomla 81/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  82. 82. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi En quant a configuració podrem en qualsevol moment consultar-la en el gestor de configuració, i veure tant la gestió d'usuaris Com les dades de configuració interna Tipus d'Usuaris i Permisos d'Accés Es poden dividir en dues categories principals: – Invitats, usuaris que navegant troben el lloc web. Depenen de com esta configurat el lloc, podran navegar lliurement pel contingut o tenir restriccions d'accés. – Usuaris Registrats, amb nom d'usuari i contrasenya, els hi permet accedir a la part restringida del lloc. Servidor DMZ : Joomla 82/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  83. 83. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Els Usuaris Registrats es divideixen en 2 grups: – Usuaris del Lloc (Front-end), posseeixen privilegis depenent del nivell que son: Usuari Accessos i Permisos Registrat No pot crear, editar o publicar contingut en un lloc Joomla!. Pot enviar nous Enllaços Web per a ser publicats i pot tenir accés a continguts restringits per a invitats. Autor Poden crear el seu propi contingut, especificar aspectes de com es presentara el contingut e indicar la data en la que es tindria que publicar el material. Editor Tenen les possibilitats del autor, i a més la capacitat de editar el contingut dels seus propis articles i de qualsevol altre Autor. Supervisor Poden executar totes les tasques dels Autors, Editors, i a més tenen la capacitat de publicar un article. – Usuaris del Administrador (Back-end), tenen més privilegis que els anteriors i també varien per nivell: Usuari Accés i Permisos Mànager Tenen els permisos d'un Supervisor però amb accés al panel d'administració del Back-end. En aquest panel tenen accés a tots els controls associats al contingut, però no tenen capacitat per a canviar les plantilles, o afegir o eliminar extensions de Joomla!. Tampoc poden afegir usuaris o alterar els perfils d'usuaris existents. Administrador A més de totes les activitats relacionades amb el contingut que pot executar un Mànager, poden afegir o eliminar extensions al lloc web, canviar plantilles o alterar el disseny de les pàgines, i fins i tot alterar els perfils d'usuari a un nivell igual o inferior al seu. No poden editar perfils de Súper-Administrador o canviar certes característiques globals del lloc web. De fet ni veuran als usuaris de tipus Súper-Administrador. Súper-Administrador Tenen el mateix poder que un “root” en un sistema tradicional Linux i disposen de possibilitats il·limitades per a executar totes les funcions administratives de Joomla!. Nomes ells tenen la capacitat de crear nous usuaris amb els permisos de Súper-Administrador o assignar permís a usuaris ja existents. L'únic usuari que existeix després d'una instal·lació de Joomla! Es el Súper-Administrador. Aquesta es la compta “admin” creada durant el proces d'instal·lació. Referències: http://ayudajoomla.com/joomla/tutoriales/248-instalar-joomla-en-linux-ubuntu- con-lamp.html Servidor DMZ : Joomla 83/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  84. 84. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual d'instal·lació Servidor Correu POSTFIX a la DMZ Presentació El servidor de correu és un dels serveis més útils dintre d'una empresa atès que és una eina de comunicació ràpida, eficient i econòmica. Es compon de tres parts el MTA (Mail Transfer Agent), el MDA (Mail Delivery Agent) i el MUA (Mail User Agent). El primer, MTA, és l'encarregat d'enviar el correu des d'ell mateix cap a un altre MTA, fent servir el protocol SMTP (port 25,465 segur), es per això que també els anomenem servidors SMTP o servidor de correu sortint, alguns exemples són Postfix, Sendmail i Exim El protocol SMTP es regula de la següent manera: • Accepta missatges entrants i comprova les adreces d'aquest • Si son adreces locals, és a dir ell és el destí, emmagatzema el missatge per la posterior recuperació • Si no és una adreça local estableix una connexió punt a punt amb un altre servidor smpt i li envia el missatge, així fins que arribi al destí, és a dir que l'adreça del missatge es correspongui al domini local del servidor El segon, MDA, és la part del servidor que s'encarrega de rebre i d'emmagatzemar els missatges així com de redirigir-los a les bústies dels usuaris. També se'ls anomena servidors de correu entrant. Utilitza el protocol POP3 (port 110,995 segur) o IMAP (port143, 993 segur). Els MUA's més coneguts són el Courier, Cyrus i Dovecot. La diferència entre POP3 i IMAP radica en aquests aspectes: • POP3 permet llegir el missatges encara que no estiguem connectats a la xarxa ja que descarrega els missatges a la màquina local, alliberant així espai de la bústia del servidor (s'eliminen) • POP3 necessita un client de correu instal·lat localment per poder accedir a la bústia, escriure missatges... • IMAP no descarrega a la maquina local els missatges sinó només les capçaleres, la visualització dels missatges es fa de forma remota, llavors el correu sempre està a la mateixa bústia del usuari per tant es pot consultar des de diverses màquines, no és imprescindible un client de correu local. • Amb l'IMAP el correu es guarda fins que l'usuari l'elimini, no quan es descarreguen les capçaleres d'aquest El tercer, el MUA , és el frontend de l'usuari, la part que funciona com un client atès que permet a l'usuari escriure i llegir els missatges, molt sovint són webs com poden ser rouncube, webmail, gmail...però també hi ha interfícies locals com ara thunderbird, evolution o Outlook per als clients Windows Servidor DMZ: Postfix 84/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  85. 85. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Així doncs uns servidor de correu funciona de la següent manera: 1. El client de correu, MUA, envia el missatge escrit per l'usuari al servidor MTA més proper 2. Els servidor SMTP, rep el missatge, comprova l'adreça de destí i si no es correspon a una de les seves destinacions, establirà una connexió punt a punt amb un altre servidor smtp i reexpedirà el missatge (hi hauran consultes dns per resoldre el servidor smtp adient) 3. El punt 2 finalitza quan el missatge arriba al servidor smtp de la zona, aquest com tots, rebrà el missatge, corroborarà que l'adreça forma part de les seves destinacions i el reexpedirà al MDA 4. El MDA rebrà el missatge, mirarà a quin usuari correspon aquella adreça de destí i col·locarà el missatge a la cua de la bústia d'aquell usuari 5. Finalment, el client MUA del usuari destinatari accedirà a la Bustia i mostrarà per pantalla (frontend) el missatge rebut, aquest permetrà fer les operacions bàsiques: respondre, esborrar, classificar.. Postfix és el que anomenen un MTA (Mail Transfer agent), molt configurable i estable, que permet l'autenticació d'usuaris amb seguretat (sasl,tls), la implantació d'antivirus, antispam, filtres de correu (AmavisNew, Spamassasin, ClamAv..) Servidor DMZ: Postfix 85/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  86. 86. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Objectiu L'objectiu és crear el servidor de correu per al nostre domini, aquest estarà format per dos servidors smpt un a la DMZ i un altre a la LAN, en aquesta secció s'explicarà la instal·lació i configuració del servidor situat a la DMZ. Les funcions que ha de complir aquest servidor són: • Ha de permetre el enviar correu a l'exterior, per això serà necessari fer la reexpedició de correu cap un altre servidor smpt situat al nùbol, concretament el servidor smtp de gmail, caldrà obrir el port 25 (smpt) del encaminador de la xarxa. • Ha de rebre el correu de l'exterior i reexpedir-lo al servidor smpt situat a la LAN, cal fer una regla d'encaminament al router i al IPCOP atès que estem a la DMZ • Recordem que estem darrere del firewall ip cop, per tant serà necessari fer un dmz pinhole per permetre la comunicació des de la DMZ cap a la LAN • El filtratge de correu és realitza al ipcop i a la LAN, aquest servidor no incorpora spamassasin, ni clamav, ni amavisnew. Requeriments ➢ Programari: Sistema Operatiu Debian Squeeze Postfix libsasl2 libsasl2-modules ➢ Maquinari: El requerits per al sistema operatiu Procediment: Les dades del nostre servidor smtp de la DMZ són: ◦ Hostname : srvmail ◦ Domini: dmzcicles.ies ◦ IP: 172.16.0.8 Servidor DMZ: Postfix 86/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  87. 87. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi El primer que hem de fer és obrir un terminal i escriure apt-get install postfix Com podem veure la instal·lació de postfix és incompatible amb el MTA instal·lat per defecte al sistema operatiu, Exim es desinstal·larà. També podem observar que en suggereix un conjunt de paquets interessants com son postfix-ldap o postfix-mysql, paquets que utilitzarem més endavant per autenticar usuaris. Servidor DMZ: Postfix 87/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  88. 88. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi S'ens obrirà l'assistent de configuració, i ens preguntarà quin tipus de servidor de correu volem muntar, nosaltres escollirem “Internet con smarthost” atès que volem fer servir el servidor smpt de gmail com a intermediari per enviar el nostre correu sortint. Un smarthost és un tipus de servidor reenviador (relay mail) que permet fer de pont entre dos servidors smtp, agafant el correu sortint de la nostra màquina i re- enviant-lo al smtp final, cal però que la nostra màquina tingui credencials vàlides al smarthost i configuri la autenticació per SMTP-AUTH i/o POP Servidor DMZ: Postfix 88/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  89. 89. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Ens pregunta pel nombre de domini de la màquina, FQDN. Ara li hem d'especificar qui serà el nostre smarthost, escriurem [smtp.gmail.com]:587 ja que aquest és el servidor smtp de gmail que treballa pel port 587 Val a dir que aquest assistent el podem tornar a invocar amb més opcions Servidor DMZ: Postfix 89/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  90. 90. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi executant dpkg-reconfigure o bé podem anar directament al fitxer de configuració i realitzar allà els canvis, que és el que nosaltres farem. Per connectar amb els servidor smtp de gmail cal fer-ho per autenticació segura és per aquest motiu que instal·larem els mòduls de sasl: apt-get install libsasl2- modules libsasl2-2 Nosaltres ja el teníem instal·lat. Altrament, la comunicació amb gmail es basa en certificats autenticats , així doncs, serà necessari generar-ne un o bé instal·lar ca-certificates per extreure el certificat que necessitem apt-get install ca-certificate Els certificats que farem servir es troben a /etc/ssl/certs/ • Thawte_Premium_Server_CA.pem • Equifax_Secure_CA.pem Servidor DMZ: Postfix 90/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  91. 91. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Manual de configuració Els dos fitxers principals de configuració del postfix són main.cf i master.cf, aquests es troben a /etc/postfix. Començarem exportant els certificats necessaris del servidor de gmail amb aquestes comandes: cat /etc/ssl/certs/Thawte_Premium_Server_CA.pem | tee -a /etc/postfix/cacert.pem cat /etc/ssl/certs/Equifax_ _Secure_CA.pem | tee -a /etc/postfix/cacert.pem De fet, amb només l'últim ens bastaria però no arriscarem i exportarem ambdós. Hem de crear uns quant arxius, el primer serà el fitxer necessari pel smarthost. El nom d'aquest fitxer serà /etc/postfix/sasl_password i tindrà aquest contingut: [smtp.gmail.com]:587 cicles.ies@gmail.com:cicles_super3 Com es pot veure el que estem fent es assignar unes credencials vàlides per al nostre servidor smtp.gmail.com, on cicles.ies@gmail.com es correspon a una adreça real de gmail i cicles_super3 és la paraula de pas; evidentment haurem de protegir aquest fitxer amb els permisos adients per tal què ningú pugui llegir el seu contingut. chmod 400 /etc/postfix/sasl/sasl_passwd Un altre fitxer que crearem serà la taula transport, aquest fitxer l'utilitzarà postfix per fer el reenviament al servidor smpt que es correspongui a un determinat domini. El nom d'aquest fitxer serà /etc/postfix/transport i el seu contingut serà: gmail.com smtp:[smtp.gmail.com]:587 cicles.ies relay:[mandrivapdc.cicles.ies] ciclesies.no-ip.org relay:[mandrivapdc.cicles.ies] Els comptes de correu del servidor smtp de la LAN són del domini ciclesies.no- ip.org, ja s'explicarà com és crea un domini no-ip quan tractem el servidor de la LAN, gràcies al fitxer transport, postfix sap on ha de reenviar el missatge mirant el domini al qual pertany l'adreça de destí. Si no s'especifica el port s'agafa el port per defecte 25. El fitxer aliases serveix per mapejar al usuaris existents al servidor, nosaltres no volem tenir als usuaris en la DMZ sinó que els tindrem a la LAN i farem que aquest servidor mapeji als usuaris remotament per mitjà d'un fitxer anomenat /etc/postfix/ldap-aliases.cf el qual contindrà la consulta a ldap: server_host = 10.0.0.11 search_base = ou=People,dc=cicles,dc=ies query_filter = (&(objectClass=mailAccount)(mailalias=%s)(mailenable=OK)) result_attribute = mail version = 3 Servidor DMZ: Postfix 91/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  92. 92. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi La IP del Server_Host és la que es correspon al servidor ldap situat a la LAN, la consulta ens retorna l'adreça de mail dels usuaris donats d'alta al servidor de correu de la LAN, si ens parem a llegir-la s'entén prou bé el que fa. Hem de tenir en compte que el paràmetre alias_map no pot quedar buit, si no fem la consulta a ldap podem fer que apunti al fitxer /etc/aliases el qual conté els usuaris dels sistema. Un cop creats tots els fitxers, cal però, transformar-los a un format que postfix pugui entendre, cal que xifrem els fitxers que són propis del sistema, en el nostre cas transports i sasl_passwd, això ho farem amb la comanda postmap des d'un terminal. postmap /etc/postfix/sasl/sasl_passwd postmap /etc/postfix/transport Cada cop que es modifiqui un fitxer serà necessari executar la comanda postamp sobre el fitxer. Obrim amb qualsevol editor el fitxer main.cf ubicat a /etc/postfix, i afegim els paràmetres necessaris, els ressaltarem en blau per què es vegin els canvis: • Autenticació amb gmail, amb els paràmetres smtp_sasl* • Xarxes a les quals s'ha de reenviar el correu ,paràmetre mynetworks • Forçarem el reenviament cap al servidor situat a la LAN, el qual s'anomena mandrivapdc.cicles.ies • Afegirem els dominis de la LAN a la variable mynetworks • Vincles als fitxers alias i transport # See /usr/share/postfix/main.cf.dist for a commented, more complete version # Debian specific: Specifying a file name will cause the first # line of that file to be used as the name. The Debian default # is /etc/mailname. #myorigin = /etc/mailname smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no # appending .domain is the MUA's job. #No afegim .domini a les adreces i així evitem ésser font d'spam append_dot_mydomain = no # Uncomment the next line to generate "delayed mail" warnings #delay_warning_time = 4h readme_directory = no #si l'habilitem ens creara la documentació de postfix al directori Servidor DMZ: Postfix 92/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  93. 93. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for # information on enabling SSL in the smtp client. myhostname = srvmail alias_maps = hash:/etc/aliases # el contingut d'aquest fitxer és el fqdn d'aquesta màquina #alias_database = hash:/etc/aliases #Comentem aquesta linea perque hem definit el alias_maps amb ldap myorigin = /etc/mailname # el nom de la variable es prou clar, indica des d'on surt el missate, és a dir quin servidor smpt som mydestination = srvmail.dmzcicles.ies, srvmail, localhost.localdomain, localhost, ciclesies.no- ip.org, mandrivapdc.cicles.ies, mandrivapdc # A mydestination cal declarar els dominis sobre els qual tenim accés, per tal de fer arribar el correu i no reenviar-lo cap enfora relayhost = [smtp.gmail.com]:587 #definició del smarthost apuntant a gmail mynetworks = 172.16.0.0/16 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 10.0.0.0/8 #indiquem a quines xarxes tenim accés per reenviar el correu, és similar al mydestinations però a nivell de ip #mailbox_command = procmail -a "$EXTENSION" #comentem o esborrem la linea de mailbox_command mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all #autenticació GMAIL smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl/sasl_passwd #és important que verifiquem que el fitxer l'hem creat en aquesta ruta, aquest fitxer ha estat xifrat amb postmap smtp_sasl_security_options = noanonymous smtp_tls_CAfile = /etc/postfix/cacert.pem #és important que verifiquem que el fitxer l'hem creat en aquesta ruta smtp_use_tls=yes #Reenviament cap a la lan relay_domain = mandrivapdc.cicles.ies luser_relay = catchall #luser_relay li indica a postfix que ha de fer en cas de que el usuari no existeixi en el sistema, ni en cap base de dades, per defecte el comportament es rebutjar el missatge però amb catchall l'emmagatzema local_recipient_maps = #cadena buida vol dir que tot el tràfic que arribi es reenvia segons la taula transport #vincle als fitxers del sistema i ldap transport_maps = hash:/etc/postfix/transport #és important que verifiquem que el fitxer l'hem creat en aquesta ruta, aquest fitxer ha estat xifrat amb postmap alias_maps = ldap:/etc/postfix/ldap-aliases.cf Servidor DMZ: Postfix 93/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  94. 94. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi La comanda postconf -n ens mostrarà com queda el nostre fitxer, per què els canvis s'apliquin cal reiniciar el servei amb /etc/init.d/postfix restart o bé, si el servei ja estava en execució podem només recarregar amb /etc/init.d/postfix reload. Si la sintaxis no és correcta ens mostrarà un missatge d'error. Reiniciem el servei i provem d'enviar un missatge de correu al exterior. Servidor DMZ: Postfix 94/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  95. 95. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi Els fitxers de log es troben a /var/log/mail.err, /var/log/mail.warn, /var/log/mail.log i /var/log/mail.info Podem veure que no hi ha res al fitxer d'errors ni de warning. Al fitxer mail.log podem veure com s'ha realitzat la operació Encara que a la darrera línia posi removed, no ens hem d'espantar això vol dir que s'ha eliminat de la cua de missatges perquè s'ha enviat correctament, anem a comprovar-ho a la bústia de destí. Podem veure que el mail ha estat enviat des de la adreça de gmail declarada al fitxer /etc/postfix/sasl_passwd, és a dir cicles.ies@gmail.com, el servidor smtp que Servidor DMZ: Postfix 95/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia
  96. 96. CFGS ASI Curs: 2010-2011 Crèdit de Síntesi l'envia i el firma també és el servidor de gmail Podríem intentar solucionar aquest mapeig amb la creació d'alguns fitxers que serveixen per canviar les capçaleres dels missatges, no ens ha donat temps per aprofundir en aquest aspecte però si esteu interessats podeu cercar informació sobre el fitxer “generic”, “canonical_map”, “relay_sender_transport”. Per exemple el fitxer “generic” per al usuaris del sistema contindrà això: root@srvmail.dmzcicles.ies cicles.ies@gmail.com user@srvmail.dmzcicles.ies cicles.ies@gmail.com Altrament es pot configurar gmail per a que envii els correus com si fos una altre usuari, per fer-ho farem login a gmail amb el compte cicles.ies@gmail.com i vincularem una adreça del nostre servidor smpt Malauradament només ens permet afegir una adreça. Servidor DMZ: Postfix 96/229 Títol: FreeTelecom Autors/es: Antonio Alcalá, Alberto Jara i Silvia Gracia

×