Escolar Documentos
Profissional Documentos
Cultura Documentos
1
Problemática
La empresa de artículos para baño Patito.corp ha crecido de manera importante en sus ventas en
todo México y ha ampliado sus servicios no tan solo a la venta, si no ahora proporciona su
infraestructura para ofrecer correo electrónico a sus clientes y servicio de red privada virtual.
Los servicios que ofrece y requiere son:
• Servidor de correo electrónico con webmail, antispam y antivirus
• Servicio de autenticación centralizada de la red inalámbrica y de los equipos clientes
(los clientes pueden tener el sistema operativo Linux, Windows o MacOS y Android o
IOS en sus móviles).
• Red Privada Virtual.
• Almacenamiento conectado en red.
• Servidor Web
Los servicios deben funcionar 24/7 con un tiempo de retraso no mayor a 3 minutos.
Es necesario software de monitoreo y alerta de todos los servicios.
Los servicios deben correr en contenedores.
Objetivo
Implementar servicios de alta disponibilidad en la nube a través de un servidor de correo
electrónico, servidor de autenticación y servidor web.
2
Solución
Para darle solución a la problemática que ha causado el crecimiento de la empresa patito.corp se
diseñó una topología, la solución se implementó en un servidor XEN con máquinas
virtualizadas con los servicios requeridos por la empresa:
VPN
Correo
o Antispam
o Antivirus
Web seguro
Raid
Monitoreo
En el diseño se colocó la Zona Desmilitarizada incorporando todos los servidores para evitar
problemas que pueden ser ocasionados por puertos abiertos u otras complicaciones.
3
Instalación de servicios
Instalación de postfix
4
Se agregan los dominios necesarios para el servidor de correo
Como se puede ver en la siguiente imagen, se ingresa al dominio del servidor de correo, se
ingresan las credenciales, aquí se muestra que el usuario ha recibido un correo de otro correo.
5
Correo enviado al usuario jesus
6
7
Filtro de Email
La utilización de un sistema de filtros de correo es necesaria para implementar
soluciones antivirus y antispam. Este filtro puede ser complementado con la conexión a un
sistema antivirus como clamav y/o a un sistema antispam, como spamassassin.
El paquete amavisd-new sugiere la instalación de otros paquetes, necesarios para analizar archivos comprimidos,
con el fin de que su contenido sea examinado:
Configuración
La configuración consiste en indicarle al servidor smtp (postfix) para que envíe los e-mails al sistema de filtros y los
vuela a recibir luego de su análisis. Para esto, debe modificar el archivo /etc/postfix/main.cf:
8
Luego, debe configurar el postfix o servicio para que reciba los e-mails filtrados por amavisd-new, lo que se
configura en el archivo /etc/postfix/master.cf:
9
En el webmail, ya manda un mensaje si detecta que un correo contiene spam.
10
ClamAVantivirus
Objetivo
Instalar el paquete antivirus ClamAV. Este puede integrarse posteriormente en sistemas para filtrar e-mails o
archivos.
Para que ClamAV también pueda verificar archivos comprimidos, deben instalarse algunos paquetes para
descomprimir archivos:
aptitude install arc arj bzip2 cabextract lzop nomarch p7zip pax tnef unrar-free unzip zoo
Configuración
La actualización de la base de datos de firmas de virus es descargada de Internet por daemon clamav-freshclam 24
veces al día. Esta frecuencia puede modificarse en el archivo /etc/clamav/freshclam.conf:
/etc/clamav/freshclam.conf
# [...]
Checks 24
# [...]
La distribución Debian ofrece un paquete de archivos de prueba “infectados” con la firma de un virus
falso. clamAV debe ser capaz de identificar correctamente estos archivos en la prueba.
11
Efectuar la prueba:
clamscan /usr/share/clamav-testfiles/
[...]
Scanned directories: 1
Scanned files: 46
Infected files: 44
La lista indica los archivos buscados y la firma del falso “virus” encontrado (ClamAV-Test-File
FOUND). El sumario indica que la firma de virus fue encontrada en los 46 archivos verificados.
12
Amavisd-new
Después de la configuración, en el momento en que el servidor smtp (postfix) reciba un e-mail, va a
enviarlo al sistema de filtros (amavisd-new) que invocará diversos filtros y alterará los encabezados
de acuerdo con los resultados, para devolverlo luego al servidor smtp. Para su instalación se
utilizaron los siguientes comandos:
apt-get install amavisd-new
apt-get install arj cabextract cpio lha lzop nomarch ripole tnef unrar zoo
service postfix restart
Verificación
Al ejecutar netstat -tap nos muestra una lista con el dominio y estado de los servicios.
Comprobar también que postfix pueda recibir de vuelta los mensajes filtrados:
13
Filtro Anti-vírus
Verificación
Para esto, puede simularse el envío de un e-mail con un “virus”, usando como contenido el archivo de pruebas
EICAR:
14
15
16
17
Configuración de página https
Se ejecuta el comando a2enmod ssl
Por último, reiniciar el servicio de apache y verificar que la pagina funcione correctamente.
18
En esta ventana nos muestra que nuestro servidor esta certificado por la empresa patito.
19
20
Monitoreo
Cliente
Del lado del cliente, la instalación consiste en instalar el paquete cliente y algunos extras:
Servidor
Del lado del servidor es necesaria la instalación del paquete munin:
Cliente
La configuración del sistema cliente consiste en añadir la dirección del servidor, a la lista de
direcciones que pueden establecer conexión con el cliente. La dirección debe añadirse en el
formato de expreso regular. En nuestro caso, como el cliente y el servidor es lo mismo, es
suficiente añadir la dirección 127.0.0.1. Esta configuración debe efectuarse en el archivo
/etc/munin/munin-node.conf:
El nombre del sistema cliente también puede ser configurado en este fichero:
21
El servicio cliente debe ser reiniciado:
Servidor
En el servidor deben añadirse a la configuración las direcciones de los clientes a contactar, lo que
puede hacerse en el archivo /etc/munin/munin.conf
En caso de que existan más clientes, sólo se requiere añadir los nombres respectivos y sus
direcciones en bloques semejantes a los del listado.
22
También debe definirse un rango de direcciones IP, a partir de las cuales se pueda acceder a la
interfaz web munin: la opción Allow from 192.168.1.0/24 sólo permite el acceso a partir de la
red interna. En caso de que se pretenda acceder desde cualquier dirección, se debe
especificar Allow from All.
Seguridad
Debido a que munin ofrece mucha información acerca de las características del sistema, su nivel
de acceso debe ser restringido. El servidor httpd apache2 puede proteger un directorio, dando
acceso sólo a los usuarios debidamente autenticados y autorizados. Como se pretende el máximo
de seguridad, la autenticación se realizará mediante el método de autenticación “Digest” del
apache2, que transmite los datos de forma segura.
23
La opción -c crea un archivo de nuevo. Para añadir otro usuario, esta opción debe ser omitida.
24
Se envio un mensaje
25
RAID
Identificar los dispositivos los dispositivos de almacenamiento
Para comenzar, encuentre los identificadores para los discos en bruto que va a utilizar:
Crea el ARRAY
Para crear una matriz RAID 1 con estos componentes, páselos al comando mdadm --create.
Deberá especificar el nombre del dispositivo que desea crear (/ dev / md0 en nuestro caso), el
nivel de RAID y la cantidad de dispositivos:
26
La herramienta mdadm comenzará a reflejar las unidades. Esto puede tomar un tiempo para
completarse, pero la matriz puede usarse durante este tiempo. Puede controlar el progreso de la
creación de reflejos verificando el archivo / proc / mdstat:
27
Crear y Montar el Sistema de Archivos
A continuación, cree un sistema de archivos en la matriz:
28
Guarde el diseño del array
Para asegurarnos de que la matriz se reensambla automáticamente al arrancar, tendremos que
ajustar el archivo /etc/mdadm/mdadm.conf. Puede escanear automáticamente la matriz activa y
anexar el archivo escribiendo:
Después, puede actualizar el initramfs o el sistema de archivos RAM inicial, para que la matriz
esté disponible durante el proceso inicial de inicio.
Agregue las nuevas opciones de montaje del sistema de archivos al archivo / etc / fstab para el
montaje automático en el arranque:
29
Servidor VPN
Instalar:
Mas abajo des comentar las líneas en caso de que vengan comentadas y debe quedar así:
# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
30
#DESCOMENTAR ESTA LINEA DE ABAJO DIEGO
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
#CIFRADO DE NUESTRA CONEXION DE 128 bits, des comentarla DIEGO
require-mppe-128
# }}}
DESCOMENTAR Y AGREGAR EL DNS DE GOOGLE POR EJEMPLO PARA QUE SE PUEDA CONECTAR A INTERNET:
Guardamos y salimos
A continuación, os listamos los puertos para los protocolos más conocidos y utilizados:
OpenVPN -> El puerto por defecto es el 1194 UDP, aunque podemos configurarlo y cambiarlo en el
servidor.
PPTP -> El puerto 1723 en TCP.
L2TP -> El puerto 1701 en TCP.
IPSEC -> Además, el puerto 500 y 4500 en UDP.
Pruebas de estrés
Con el comando ad -r -n “número de peticiones” -c “número de peticiones concurrentes” “servidor de mail”
podemos hacer peticiones al servidor de mail, en la siguiente imagen hicimos una prueba de 1000 peticiones
con 200 concurrentes.
33
Esta captura se realizó cuando se generaron las peticiones al servidor.
En esta grafica se realizaron peticiones al servidor, como se puede ver al final de la gráfica se ve un notable
aumento del tráfico.
34
35