Administración Avanzada de Servicios

Facultad de Estadística e Informática

Licenciatura en Redes y Servicios de Cómputo

Ricardo Porfirio Rebolledo Calva

Jesús Alberto Luna Gómez

1
 Problemática
La empresa de artículos para baño Patito.corp ha crecido de manera importante en sus ventas en
todo México y ha ampliado sus servicios no tan solo a la venta, si no ahora proporciona su
infraestructura para ofrecer correo electrónico a sus clientes y servicio de red privada virtual.
Los servicios que ofrece y requiere son:
• Servidor de correo electrónico con webmail, antispam y antivirus
• Servicio de autenticación centralizada de la red inalámbrica y de los equipos clientes
(los clientes pueden tener el sistema operativo Linux, Windows o MacOS y Android o
IOS en sus móviles).
• Red Privada Virtual.
• Almacenamiento conectado en red.
• Servidor Web
Los servicios deben funcionar 24/7 con un tiempo de retraso no mayor a 3 minutos.
Es necesario software de monitoreo y alerta de todos los servicios.
Los servicios deben correr en contenedores.

Objetivo
Implementar servicios de alta disponibilidad en la nube a través de un servidor de correo
electrónico, servidor de autenticación y servidor web.

2
 Solución
Para darle solución a la problemática que ha causado el crecimiento de la empresa patito.corp se
diseñó una topología, la solución se implementó en un servidor XEN con máquinas
virtualizadas con los servicios requeridos por la empresa:
 VPN
 Correo
o Antispam
o Antivirus
 Web seguro
 Raid
 Monitoreo
En el diseño se colocó la Zona Desmilitarizada incorporando todos los servidores para evitar
problemas que pueden ser ocasionados por puertos abiertos u otras complicaciones.

3
 Instalación de servicios

Servidor de correo electrónico

Se instalaron las paqueterías necesarias para trabajar con el servidor de correo.

Se agrega la primera línea al archivo /etc./host.conf

Se le asigna el hostname a nuestro servidor, en nuestro caso agregamos el hostname de

mail.patito.corp con los siguientes comandos:
Hostnamectl set-hostname mail.patito.corp
Echo “192.168.0.63” patito.corp mail.patito.corp >> /etc/hosts
Init 6 para reiniciar la maquina
Verificar que el hostname este correctamente

Instalación de postfix

En el archivo de configuración de agregan las últimas líneas

4
Se agregan los dominios necesarios para el servidor de correo

Como se puede ver en la siguiente imagen, se ingresa al dominio del servidor de correo, se
ingresan las credenciales, aquí se muestra que el usuario ha recibido un correo de otro correo.

5
Correo enviado al usuario jesus

Correo recibido del usuario richi

6
7
 Filtro de Email
La utilización de un sistema de filtros de correo es necesaria para implementar
soluciones antivirus y antispam. Este filtro puede ser complementado con la conexión a un
sistema antivirus como clamav y/o a un sistema antispam, como spamassassin.

El paquete amavisd-new sugiere la instalación de otros paquetes, necesarios para analizar archivos comprimidos,
con el fin de que su contenido sea examinado:

Configuración
La configuración consiste en indicarle al servidor smtp (postfix) para que envíe los e-mails al sistema de filtros y los
vuela a recibir luego de su análisis. Para esto, debe modificar el archivo /etc/postfix/main.cf:

8
 Luego, debe configurar el postfix o servicio para que reciba los e-mails filtrados por amavisd-new, lo que se
configura en el archivo /etc/postfix/master.cf:

Reiniciar el servicio SMTP:

9
En el webmail, ya manda un mensaje si detecta que un correo contiene spam.

Se utilizo thunderbird como MUA, para enviar mensajes al servidor de correo.

10
 ClamAVantivirus
Objetivo
Instalar el paquete antivirus ClamAV. Este puede integrarse posteriormente en sistemas para filtrar e-mails o
archivos.

Para que ClamAV también pueda verificar archivos comprimidos, deben instalarse algunos paquetes para
descomprimir archivos:

aptitude install arc arj bzip2 cabextract lzop nomarch p7zip pax tnef unrar-free unzip zoo

Configuración
La actualización de la base de datos de firmas de virus es descargada de Internet por daemon clamav-freshclam 24
veces al día. Esta frecuencia puede modificarse en el archivo /etc/clamav/freshclam.conf:

/etc/clamav/freshclam.conf

# [...]

# Check for new database 24 times a day

Checks 24

# [...]

La distribución Debian ofrece un paquete de archivos de prueba “infectados” con la firma de un virus
falso. clamAV debe ser capaz de identificar correctamente estos archivos en la prueba.

Instalar el paquete de prueba:

aptitude install clamav-testfiles

11
Efectuar la prueba:

clamscan /usr/share/clamav-testfiles/

/usr/share/clamav-testfiles/clam.impl.zip: ClamAV-Test-File FOUND

/usr/share/clamav-testfiles/clam_ISmsi_int.exe: ClamAV-Test-File FOUND

/usr/share/clamav-testfiles/clam.exe.binhex: ClamAV-Test-File FOUND

[...]

/usr/share/clamav-testfiles/clam.tnef: ClamAV-Test-File FOUND

/usr/share/clamav-testfiles/clam.ole.doc: ClamAV-Test-File FOUND

/usr/share/clamav-testfiles/clam.exe.mbox.uu: ClamAV-Test-File FOUND

----------- SCAN SUMMARY -----------

Known viruses: 858610

Engine version: 0.96.5

Scanned directories: 1

Scanned files: 46

Infected files: 44

Data scanned: 12.47 MB

Data read: 6.21 MB (ratio 2.01:1)

Time: 6.616 sec (0 m 6 s)

La lista indica los archivos buscados y la firma del falso “virus” encontrado (ClamAV-Test-File
FOUND). El sumario indica que la firma de virus fue encontrada en los 46 archivos verificados.

12
 Amavisd-new
Después de la configuración, en el momento en que el servidor smtp (postfix) reciba un e-mail, va a
enviarlo al sistema de filtros (amavisd-new) que invocará diversos filtros y alterará los encabezados
de acuerdo con los resultados, para devolverlo luego al servidor smtp. Para su instalación se
utilizaron los siguientes comandos:
apt-get install amavisd-new
apt-get install arj cabextract cpio lha lzop nomarch ripole tnef unrar zoo
service postfix restart

Verificación
Al ejecutar netstat -tap nos muestra una lista con el dominio y estado de los servicios.

Comprobar que amavisd-new acepte conexiones:

Comprobar también que postfix pueda recibir de vuelta los mensajes filtrados:

13
 Filtro Anti-vírus

Debemos activar el filtro anti-virus en el archivo /etc/amavis/conf.d/15-content_filter_mode:

Verificación
Para esto, puede simularse el envío de un e-mail con un “virus”, usando como contenido el archivo de pruebas
EICAR:

14
15
16
17
 Configuración de página https
Se ejecuta el comando a2enmod ssl

Se deberá generar una llave con el comando:

Openssl genrsa -des3 -out server.key 2048
Se deberá indicar los certificados dentro de fichero /etc/apache2/sites-available/default-ssl.conf

Por último, reiniciar el servicio de apache y verificar que la pagina funcione correctamente.

18
En esta ventana nos muestra que nuestro servidor esta certificado por la empresa patito.

19
20
 Monitoreo
Cliente
Del lado del cliente, la instalación consiste en instalar el paquete cliente y algunos extras:

Servidor
Del lado del servidor es necesaria la instalación del paquete munin:

Cliente
La configuración del sistema cliente consiste en añadir la dirección del servidor, a la lista de
direcciones que pueden establecer conexión con el cliente. La dirección debe añadirse en el
formato de expreso regular. En nuestro caso, como el cliente y el servidor es lo mismo, es
suficiente añadir la dirección 127.0.0.1. Esta configuración debe efectuarse en el archivo
/etc/munin/munin-node.conf:

El nombre del sistema cliente también puede ser configurado en este fichero:

21
El servicio cliente debe ser reiniciado:

Servidor
En el servidor deben añadirse a la configuración las direcciones de los clientes a contactar, lo que
puede hacerse en el archivo /etc/munin/munin.conf

En caso de que existan más clientes, sólo se requiere añadir los nombres respectivos y sus
direcciones en bloques semejantes a los del listado.

22
También debe definirse un rango de direcciones IP, a partir de las cuales se pueda acceder a la
interfaz web munin: la opción Allow from 192.168.1.0/24 sólo permite el acceso a partir de la
red interna. En caso de que se pretenda acceder desde cualquier dirección, se debe
especificar Allow from All.

Esta configuración se almacena en el archivo /etc/apache2/conf.d/munin:

Seguridad
Debido a que munin ofrece mucha información acerca de las características del sistema, su nivel
de acceso debe ser restringido. El servidor httpd apache2 puede proteger un directorio, dando
acceso sólo a los usuarios debidamente autenticados y autorizados. Como se pretende el máximo
de seguridad, la autenticación se realizará mediante el método de autenticación “Digest” del
apache2, que transmite los datos de forma segura.

La configuración se realiza en dos etapas. En primer lugar, debe crearse el archivo de

autorizaciones para el recurso Munin en el servidor apache2, con los usuarios y sus respectivas
contraseñas:

23
La opción -c crea un archivo de nuevo. Para añadir otro usuario, esta opción debe ser omitida.

En segundo lugar, modificamos la configuración de apache2 para exigir un usuario y contraseña

válidos, para acceder al directorio /munin. Esto puede hacerse en el archivo
/etc/apache2/conf.d/munin:

El módulo de autenticación auth_digest debe estar activo.

Reiniciar el servidor apache2.

24
 Se envio un mensaje

Y ya monitoreo la actividad, para fines de demostración solo se envió un mensaje.

25
 RAID
Identificar los dispositivos los dispositivos de almacenamiento
Para comenzar, encuentre los identificadores para los discos en bruto que va a utilizar:

Crea el ARRAY
Para crear una matriz RAID 1 con estos componentes, páselos al comando mdadm --create.
Deberá especificar el nombre del dispositivo que desea crear (/ dev / md0 en nuestro caso), el
nivel de RAID y la cantidad de dispositivos:

26
La herramienta mdadm comenzará a reflejar las unidades. Esto puede tomar un tiempo para
completarse, pero la matriz puede usarse durante este tiempo. Puede controlar el progreso de la
creación de reflejos verificando el archivo / proc / mdstat:

27
 Crear y Montar el Sistema de Archivos
A continuación, cree un sistema de archivos en la matriz:

Cree un punto de montaje para adjuntar el nuevo sistema de archivos:

Puede montar el sistema de archivos escribiendo:

Compruebe si el nuevo espacio está disponible escribiendo:

28
 Guarde el diseño del array
Para asegurarnos de que la matriz se reensambla automáticamente al arrancar, tendremos que
ajustar el archivo /etc/mdadm/mdadm.conf. Puede escanear automáticamente la matriz activa y
anexar el archivo escribiendo:

Después, puede actualizar el initramfs o el sistema de archivos RAM inicial, para que la matriz
esté disponible durante el proceso inicial de inicio.

Agregue las nuevas opciones de montaje del sistema de archivos al archivo / etc / fstab para el
montaje automático en el arranque:

Su matriz RAID 1 ahora debería ensamblarse y montarse automáticamente en cada arranque.

29
 Servidor VPN
Instalar:

 $ sudo apt-get install pptpd

Ir al archivo de configuración:

 sudo nano /etc/pptpd.conf

Configurar las siguientes líneas descimentándolas y asignando de acuerdo con la configuración:

#IP DEL SERVIDOR

localip 148.226.80.39

#IP QUE ASIGNARA A LOS CLIENTES DE LA VPN

remoteip 192.168.1.234-238,192.168.0.245
Cambiaremos el nombre de nuestro servidor de VPN:

 sudo nano /etc/ppp/pptpd-options

# Name of the local system for authentication purposes

# (must match the second field in /etc/ppp/chap-secrets entries)

#NOMBRE DE NUESTRA VPN

name DIEGOVPN

Mas abajo des comentar las líneas en caso de que vengan comentadas y debe quedar así:

# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
30
#DESCOMENTAR ESTA LINEA DE ABAJO DIEGO
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
#CIFRADO DE NUESTRA CONEXION DE 128 bits, des comentarla DIEGO
require-mppe-128
# }}}

DESCOMENTAR Y AGREGAR EL DNS DE GOOGLE POR EJEMPLO PARA QUE SE PUEDA CONECTAR A INTERNET:

# If pppd is acting as a server for Microsoft Windows clients, this

# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients. The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
# Attention! This information may not be taken into account by a Windows
# client. See KB311218 in Microsoft's knowledge base for more information.
#DESCOMENTARLAS Y ANOTAR LOS DNS DIEGO
ms-dns 8.8.8.8
ms-dns 8.8.8.8

Guardamos y salimos

Configuraremos a los usuarios y contraseñas:

 sudo nano /etc/ppp/chap-secrets

# Secrets for authentication using CHAP

31
#ES importante separar con un tab cada uno de los parámetros
# client server secret IP addresses
jesusvpn JANNA pepito *
“CONFIGURACION DE IPTABLES”

 sudo nano /etc/sysctl.conf

# Uncomment the next line to enable TCP/IP SYN cookies

# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4

#DESCOMENTADO PARA LA VPN DIEGO
net.ipv4.ip_forward=1

Editar el archivo siguiente:

 sudo nano /etc/rc.local

# By default, this script does nothing.

#EXCEPCIONES DE LAS IP TABLES PARA LA VPN COMENTAR SI NO SE UTILIZA

iptables -t nat - A POSTROUTING -s 148.226.80.39/24 -o wlan0 -j MASQUERADE

Para checar el servicio:

32
  cd /etc/init.d
 sudo service pptpd status -----> checar el estado del servicio
 sudo service pptpd restart -------> reiniciar el servicio
 sudo service pptpd stop -----------> parar el servicio

A continuación, os listamos los puertos para los protocolos más conocidos y utilizados:

 OpenVPN -> El puerto por defecto es el 1194 UDP, aunque podemos configurarlo y cambiarlo en el
servidor.
 PPTP -> El puerto 1723 en TCP.
 L2TP -> El puerto 1701 en TCP.
 IPSEC -> Además, el puerto 500 y 4500 en UDP.

Pruebas de estrés
Con el comando ad -r -n “número de peticiones” -c “número de peticiones concurrentes” “servidor de mail”
podemos hacer peticiones al servidor de mail, en la siguiente imagen hicimos una prueba de 1000 peticiones
con 200 concurrentes.

33
 Esta captura se realizó cuando se generaron las peticiones al servidor.

En esta grafica se realizaron peticiones al servidor, como se puede ver al final de la gráfica se ve un notable
aumento del tráfico.

34
35