Implementación de un Servidor/Firewall GNU/Linux en un entorno escolar (página 2)
Esta barrera (el Firewall o cortafuegos) monitoriza la red observando los contenidos e información que desea ver el usuario y según reglas que el administrador de la red pone en practica, filtra el contenido dando como resultado el bloqueo de páginas que generan un mal ambiente y sólo permitiendo las educativas o las que aportan conocimiento y saber al alumno. De igual forma, páginas pornográficas y de contenidos ilegales son bloqueadas; esto evita futuros problemas legales que este tipo de contenido puede traer.
Con la nueva implementación del bachillerato internacional, los alumnos tendrán más que nunca acceso a la información (dentro del colegio). El saber calificar y seleccionar esta información no es fácil, y tener una primera barrera que impide desde el principio el acceso a contenido indebido es un gran punto a favor, ayudando a los alumnos a conocer y aprender.
Como punto adicional a favor, se logra una mejor seguridad en la red local del colegio, al igual que se impide que usuarios no autorizados realicen fechorías en la red. Esto beneficia a la institución, porque lo protege contra amenazas informáticas y brinda control sobre los usuarios, y todo esto de una forma muy económica y legal.
Así, mi misión y visión con este trabajo es mostrar y enseñar de una forma muy económica como enfrentar este problema.
El tema que maneja este trabajo es la seguridad y la protección de la información en un entorno escolar, donde el problema es el de proteger a los usuarios, tanto alumnos como empleados, del contenido al cual acceden, siendo este ilegal o indebido.
Como solución, planteo la implementación de un Servidor/Firewall GNU/Linux en el entorno escolar de una forma muy económica para así lograr resolver el problema desde el lado informático.
El propósito de este trabajo consiste en la implementación de un Servidor/Firewall GNU/Linux en un entorno escolar para filtrar el contenido al cual acceden los usuarios.
Implementar un servidor GNU/Linux de forma muy económica en un entorno escolar.
Filtrar el contenido al cual los usuarios acceden.
Brindar seguridad a la red local.
Impedir la ejecución de código malicioso en la red por usuarios malintencionados de Internet o internos.
Ayudar al colegio con su labor educativa.
Aprender y enseñar qué es el software libre, más específicamente el sistema operativo GNU/Linux.
Aprender sobre redes informáticas.
Persona que por medio de ingeniería inversa realiza: seriales, keygens, cracks, y viola la seguridad de un sistema informático con beneficio propio.
"Licencia del ClarkConnect 4.2. "Terms of Service" [en línea]. http://www.ClarkConnect.com/about/tos_pcn.php
N. del A.: Esta es una traducción hecha por mí del párrafo en inglés.
Un equipo al que se le pueda dedicar totalmente la tarea de Servidor/Firewall.
Una conexión a Internet, preferiblemente Banda Ancha (mínimo 512 kbps) o ADSL20.
Una red de área local (LAN), en este caso no importa el tamaño aunque entre más terminales se encuentren conectadas a la red se debe considerar instalar más servidores a lo largo de LAN según su topología.
Es opcional, pero es bueno tener en cuenta donde se ubicará el Servidor/Firewall, se recomienda tenerlo cerca del punto de acceso a Internet para poderlo conectar directamente al módem de Internet.
¿Qué alternativa posee un balance entre necesidades y costos de implantación y mantenimiento?
¿Cuán fiable es cada solución?
-Tab ? para movernos entre los elementos
-La barra espaciadora (space bar) para seleccionar y
-F12 para continuar en la siguiente ventana
Interfaz (capa de usuario) de un programa accesible desde un navegador. De esta forma se pueden manejar programas, por ejemplo un servidor, a través de una red.
El superusuario o root es aquel que administra un sistema UNIX o Linux.
Seleccionar Panel de Control desde el menú de Inicio.
Hacer clic en Conexiones de Red desde el Panel de Control.
Escoger la conexión de la red LAN.
Clic en Propiedades.
Seleccionar Protocolo de Internet (TCP/IP) con un doble clic.
Se selecciona Usar la siguiente dirección de IP y escribimos lo siguiente:
Dirección de IP: 192.168.1.10 (los últimos dígitos puede ser
Mascara de Subred: 255.255.255.0 .
Puerta de enlace: 192.168.1.254 , esta es la dirección de IP
Cita de: http://bc.inter.edu/facultad/lcardona/InfGen/WINS&DNS.htm
Seleccionar un computador con el hardware necesario para la instalación de un Servidor/Firewall GNU/Linux, documentar todo este proceso al igual que la posterior configuración del servidor una vez instalado y su implementación en una red escolar. Para ello se explica paso a paso, de forma detallada, las instrucciones para realizar lo antes mencionado, adicionalmente es complementado con imágenes de los pasos a seguir para una mejor orientación y ayuda al lector.
Este tema tiene que ver poco con este trabajo escrito, ya que se pretende minimizar al máximo los gastos de presupuesto sin reducir la calidad del trabajo.
Los gastos del servidor son básicamente los de la instalación, ya que después de su implementación los únicos gastos son: los del administrador de la red y la energía eléctrica que consume el servidor y sus componentes (módem de Internet, encaminador (router) y conmutador (switch) ).
Durante la instalación puede ser necesario la adquisición de 3 metros de cable UTP categoría 5 con sus respectivos conectores RJ45, por el cual pasará la información del servidor a la red. En promedio el metro de cable cuesta $1,000.00 o $1,500.00, dando un total (promedio) de $4,000.00, con el cable ponchado.
Adicionalmente, la compra de una UPS7, por aproximadamente $170,000.00, para el control del flujo de la energía eléctrica, le brindará mas estabilidad y fiabilidad al servidor, al igual que evitará el deterioro causado por las fallas eléctricas.
Valor total en pesos colombianos ($) | |
UPS | $170,000.00 |
Cable UTP Cat. 5 ponchado | $4,000.00 |
TOTAL | $174,000.00 |
Tabla 2 – Cronograma de actividades
Mes 1 (11/08) | -Elección del tema de trabajo: servidor GNU/Linux | ||||
Mes 2 (12/08) | –Selección de la distribución de GNU/Linux "ClarkConnect 4.2" –Investigación sobre servidores y Firewall | ||||
Mes 3 (1/08) | -Continuación de investigación -Adquisición por medio de préstamo de un servidor para laboratorios -Instalación y configuración del Linux en el servidor -Comienzo de pruebas de concepto y análisis de fiabilidad -Realización de imágenes de la instalación | ||||
Mes 4 (2/08) | -Comienzo de producción de trabajo escrito -Continuación de pruebas con el servidor -Realización de imágenes de post-instalación y configuración del servidor | ||||
Mes 5 (3/08) | -Entrega del primer informe de trabajo -Entrega del anteproyecto (14/03/08) -Continuación de pruebas: comenzar a filtrar | ||||
contenido | |||||
Mes 6 (04/08) | -Entrega de proyecto (30/04/08) -Continuación de pruebas: servidor de correo, Firewall, bloqueo de puertos. -Continuación redacción de trabajo | ||||
Mes 7 (05/08) | -Finalización del manual de configuración -Continuación del trabajo escrito -Comienza fase final de pruebas | ||||
Mes 8 (06/08) | -Continuación del trabajo escrito -Finaliza manual -Comienzo fase de implementación -Finalización del laboratorio | ||||
Mes 9 (07/08) | -Revisión del trabajo escritorio -Corrección de errores -Completar lo restante al trabajo escrito | ||||
Mes 10 (08/08) | -Entrega de borrador final (25/08/08) | ||||
Mes 11 (09/08) | -Entrega definitiva del trabajo escrito y práctico (08/09/08) -Sustentación del trabajo escrito | ||||
El tema central que se tratará es la implementación de un Servidor/Firewall (o cortafuegos) en un entorno escolar. Con esta medida se logrará un mayor control del contenido que los alumnos visitan y comparten en Internet como: pornografía, violencia o alusión al consumo de drogas, música y videos con contenido protegido por derechos de autor, archivos infectados con Malware8, entre otros. Esta protección para el menor de edad es exigida por la constitución en "el artículo 44, la Ley 679 de 2001, la Ley 765 de 2002, el Código del Menor Decreto 2737 de 1989, Decreto 1524 de 2002, Decreto 1421 de 1993 en su artículo 12, numeral 1°, donde el artículo 44 de la Constitución Nacional dice que los niños 'Serán protegidos contra toda forma de abandono, violencia física o moral, secuestro, venta, abuso sexual, explotación infantil, explotación laboral económica y trabajos riesgosos. Gozarán también de los demás derechos consagrados en la Constitución, en las leyes y en los tratados internacionales ratificados por Colombia.' Que la Ley 765 de 2002, 'Por medio de la cual se aprueba el Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de Niños, la Prostitución Infantil y la Utilización de los Niños en la pornografía', adoptado en Nueva York, el veinticinco (25) de mayo de dos mil (2.000).
Que el Congreso de la República expidió la Ley 679 de 2001, 'Por medio de la cual se expide el estatuto para prevenir y contrarrestar la explotación, la pornografía y el turismo sexual con menores, en desarrollo del artículo 44 de la Constitución.' Que el Decreto 1355 de 1970 establece las medidas correctivas aplicables en el territorio nacional.
Que el Código del Menor Decreto 2737 de 1989, en su artículo 325, 'Prohibió la venta, préstamo o alquiler a menores de edad de cualquier tipo de material pornográfico. ' Que el Presidente de la República expido el Decreto 1524 de 2002, 'Por el cual reglamenta el artículo 5º de la Ley 679 de 2001', donde se establecen las medidas técnicas y administrativas destinadas a prevenir el acceso a menores de edad en cualquier modalidad de información pornográfica contenida en Internet o en las distintas clases de redes informáticas a las cuales tenga acceso mediante redes globales de información."9
De estas leyes se acuerda que:
"PRIMERO: Todas las Instituciones Educativas Públicas y Privadas, bibliotecas y los establecimientos que mediante computadores tengan acceso a la red de Internet, instalarán los dispositivos tecnológicos para restringir el acceso a material pornográfico nocivo, que afecte el desarrollo integral de los niños, niñas y jóvenes menores de dieciocho (18) años.
SEGUNDO: Las instituciones y establecimientos relacionados en el artículo anterior, contaran a partir de la vigencia del presente acuerdo con un aviso preventivo ubicado en un lugar visible al usuario, en el cual se consignará la restricción de acceso a páginas Web con contenido pornográfico; así mismo, adecuarán en un plazo no mayor a seis meses, software o programas que garanticen a los menores de dieciocho (18) años el uso de Internet con restricciones a páginas de pornografía.
TERCERO. Las instituciones y establecimientos relacionados en este acuerdo, designarán como responsable o encargado de la operación de los computadores a una persona mayor de edad." Para mayor información visitar la siguiente página Web:
http://www.dragonjar.org/normassobreelfuncionamientode losestablecimientosqueprestanelserviciodeInterneten bogotadc.xhtml
¿Qué es GNU/Linux?
Comencemos adentrándonos en el entorno del SO GNU/Linux. Pero primero: ¿Qué es GNU/Linux? La respuesta para esta pregunta puede ser tanto corta como larga según sea el caso, para éste optemos por una mediana: GNU/Linux representa libertad en cuanto a software, representa una filosofía, un modo de vida.
GNU10 a finales de los ochenta y principio de los noventa fue un sistema operativo que se estaba creando a partir de una licencia para software libre (poder compartir, regalar, modificar, y crear a base de), pero le faltaba el corazón del mismo: el núcleo (kernel de ahora en adelante), es lo que facilita a los programas del computador poder acceder al hardware, comunicarse con él para poder trabajar en algo tan simple como guardar un documento en el disco duro. En 1991 Linus Torvalds "finalizó" su proyecto, de crear un kernel semejante al del SO UNIX11 y lo liberó con una licencia libre. Fue en este momento cuando los desarrolladores de GNU adoptaron el kernel de Linus y lo juntaron con su sistema operativo. Aquí nace GNU/Linux. Hoy en día muchas distribuciones (distros) y variantes de este SO existen y conviven en la Internet, de donde las podemos descargar, instalar, probar, modificar, etc.
Para este proyecto de implementar un Servidor/Firewall en una máquina designada, he escogido una distro libre y gratuita que me ayuda a gestionar este proceso. La distribución "ClarkConnect 4.2 Community" está enfocada a ser el Servidor/Firewall de una red, protegiéndola de accesos no deseados, Malware y otras amenazas que hacen que una red pueda sucumbir o los datos de los usuarios se puedan perder o sean amenazados. Además de esto "ClarkConnect" puede denegar y permitir lo que los usuarios pueden hacer en una LAN12 y en la Internet; por ejemplo: permitir que los usuarios sólo puedan navegar por páginas legales y permitidas por la institución y denegar el acceso a la red a programas para descargas ilegales (p2p13) tales como Ares y eMule; si se desea restringir aun más el uso de la red sólo para propósitos educativos se pueden bloquear programas de mensajería instantánea (en inglés IM, de Instant messaging) como MSN Messenger, Yahoo M. e ICQ.
CAPÍTULO 3.
¿Qué es un firewall o cortafuegos?
Un Firewall funciona como un embudo por el que pasan los datos que circulan por una LAN, manteniendo en control a los usuarios restringidos o malintencionados tales como hackers, crackers14, vándalos y espías.
Un Firewall también sirve para alertar al Administrador de un posible ataque o fuga de seguridad, por medio de correos electrónicos, mensajes de texto por celular o un mensaje por un Beeper las cuales son las maneras más frecuentes de dar alarma.
Todo esto brinda la oportunidad de actuar a tiempo para poder terminar, cerrar o aislar el posible ataque, fuga o problema, y de ser necesario apagar y reiniciar toda la red. Como parte de la gestión de seguridad en la red, después de este tipo de eventos es recomendable realizar un informe y encontrar las causas del suceso para así poder hallar una solución y evitar que pueda suceder de nuevo ante las "narices del administrador".
Adicionalmente, el Firewall brinda una mayor seguridad en la red interna de la institución, protegiéndola contra amenazas informáticas y proporcionando control al administrador de la red para supervisar la actividad de los usuarios en ésta y así evitar que ellos, por ejemplo realicen descargas ilegales hacia o desde el Internet. Esta protección brinda seguridad a la institución para evitar problemas legales por infracción a los derechos de autor u otros.
"Una cadena es tan fuerte como el más débil de sus eslabones." proverbio popular Estos son los puntos a favor para la implementación de un Firewall en una red que no posee protección:
Uno beneficio clave de un Firewall es la simplificación del trabajo para el Administrador de la red, ya que permite gestionar un solo equipo, el Firewall, y así proteger al resto sin modificar los cientos de posibles computadores que existen en la red, evitando que se reduzca su tiempo.
Así se pueden examinar a fondo los archivos de log15 y conocer las páginas a las que se han ingresado, qué procesos o programas han entrado a Internet, y saber qué usuario ha hecho qué. Es muy útil porque para aplicar sanciones se tienen pruebas sólidas de lo sucedido. Cabe aclarar que si uno de los usuarios está empeñado en acceder a la red privada de la institución o quiere filtrar información este lo puede lograr si se empeña en hacerlo. La misión de un Firewall es hacer más dura esta labor, más no imposible, porque no se puede; la seguridad total no existe. Por más segura que pueda ser una red siempre habrá un eslabón débil en esta cadena: el factor humano. A una persona se le puede engañar para que revele contraseñas, ayude a descubrir agujeros de seguridad o reemplace al atacante. Esto puede ocurrir de diversas formas, pero un Firewall ayuda a prevenir la mayoría de estas: filtrando el SPAM16, denegando el acceso a la red a programas no permitidos y vigilando lo que el usuario lee en la Web. Un Firewall no puede hacer todo esto por sí solo, para ello necesita la ayuda de otro de los componentes que conforman la red: la estación de trabajo que comúnmente se usa con Windows®.
Es común encontrarse con estaciones que no están correctamente configuradas y que pueden permitir la fuga de información, la ejecución de un programa no permitido, o una infección de Malware.
Para ello se sugiere aplicar estos consejos publicados en el blog www.dragonjar.us por 4v4t4r: mirar anexo.
En "Beneficios de un Firewall en Internet" mencionan que "un Firewall de Internet es el punto perfecto para auditar o registrar el uso del Internet. Esto permite al administrador de red justificar el gasto que implica la conexión al Internet, localizando con precisión los cuellos de botella potenciales del ancho de banda"17.
CAPÍTULO 4.
Pasos a seguir para la instalación del gnu/linux clarkconnect 4.2 community en un servidor
Para instalar exitosamente se recomienda seguir estos pasos en el orden en que se encuentran. Si se desea cambiar algunas opciones, las cuales no están descritas en los pasos a seguir o no se necesitan emplear para el Servidor/Firewall en el entorno escolar, el usuario tiene completa libertad para hacerlo.
El sistema operativo GNU/Linux ClarkConnect 4.2 no tiene ninguna garantía según fragmento de los "Términos de Uso" del ClarkConnect en http://www.ClarkConnect.com/about/tos_pcn.php :
"No Warranties. Provider does not guarantee that Service will be provided without interruption.
Provider does not guarantee quality or timeliness of Service, and will not be held liable for any losses in the event of a Service failure. PROVIDER MAKES NO WARRANTIES, EXPRESS OR IMPLIED, INCLUDING WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE IN CONNECTION WITH THIS AGREEMENT"18.
"Sin garantías19. El proveedor no garantiza que el Servicio se preste sin interrupción. El proveedor no garantiza la calidad ni la puntualidad del Servicio, y no se hará responsable por cualquier pérdida en caso de incumplimiento de Servicios. EL PROVEEDOR NO SE HACE DE NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUYENDO GARANTÍAS DE COMERCIALIZACIÓN U OPTIMIZACIÓN PARA UN PROPÓSITO EN PARTICULAR EN RELACIÓN CON ESTE ACUERDO." Pero esto no representa ningún problema al fin y al cabo. Este tipo de garantías se refieren a los casos en los cuales por ejemplo: una instalación fallida o un error en un disco duro produzcan una pérdida de información a la entidad que posee el servidor; y ésta luego demande a la organización que produce el SO por daños y/o perjuicios.
En general, por no decir todo el software libre no tiene garantías de ningún tipo para el usuario final, pero este siempre puede contar con los foros de ayuda o líneas de atención al cliente (este tipo de líneas telefónicas sí tienen costo), los cuales ayudan a solucionar todos los problemas con respecto al software y hardware.
La comunidad de software libre es muy unida y colaborativa y no
discriminan por la falta de conocimientos o ignorancia. Así que este tipo de soporte técnico es de mucha utilidad para el usuario final, porque el software libre da la posibilidad de transmitir conocimientos a cualquiera y estos conocimientos son los que ayudan a solucionar los problemas o dudas y esto se esparce por todo el Internet sin costo alguno.
Qué se necesita para poder instalar un GNU/Linux ClarkConnect 4.2:
Community.
20 Siglas de Asymmetric Digital Subscriber Line
Los requerimientos de sistema son las características que el hardware debe tener como mínimo según la finalidad y el tipo de uso del Servidor/ Firewall.
Nota: el servidor ClarkConnect no necesita teclado ni monitor después de su instalación y configuración.
Tabla 3 – Requerimientos mínimos
Hardware Base | |||
Procesador/ CPU | Hasta cuatro procesadores – Pentium®, Celeron®, AMD Athlon® | ||
Memoria RAM | Como mínimo se recomienda 512 MB | ||
Disco duro | Como mínimo se recomienda 1 GB de almacenamiento | ||
Unidad óptica/ CD-ROM | Se requiere únicamente para la instalación | ||
Tarjeta video | Cualquier tarjeta de video | ||
Unidad de Floppy | No es requerida | ||
Tarjeta de sonido | No es requerida | ||
Periféricos | |||
Mouse | No es requerido | ||
Monitor y teclado | Sólo requerido para la instalación | ||
Red | |||
Conexión a Internet (Broadband) | Ethernet, banda ancha , DSL o conexión wireless | ||
Tarjetas (adaptadores) de red | PCI, ISA o PCMCIA Wireles | ||
Directrices de hardware:
Estas son guías para estimar que tipo de hardware se requiere para el sistema. Es necesario tener en cuenta que el hardware requerido depende de cómo se use el software. Por ejemplo, un uso continuo del filtro de contenido necesita más poder de cómputo que un sistema que corre un simple Firewall.
Tabla 4 – Directrices de hardware
RAM y CPU | <5 usuarios | 5-10 usuarios | 10-50 usuarios | 50-200 usuarios |
Procesador/ CPU | 500 MHz | 1 GHz | 2 GHz | 3 GHz |
Memoria RAM | 512 MB | 1 GB | 1.5 GB | 2 GB |
Disco duro | ||||
Disco duro | La instalación y logs requieren 1 GB, almacenamiento adicional depende del usuario. | |||
Estos requerimientos arriba mostrados son sólo guías para el usuario y son los recomendados por ClarkConnect (Point Clark Networks). El usuario final es el qué decide que tipo de sistema prefiere disponer.
Llegó el momento de afrontar el proyecto informático y escoger el hardware que se ejecutará en los equipos, hay muchas cosas que se deben tener en cuenta para esto, como por ejemplo: el procesador y la memoria, dos de los recursos mas críticos en un servidor. Las posibilidades en la selección del hardware son prácticamente infinitas, el resultado de esto es la complejidad que se presenta para entender las implicaciones que representa seleccionar una alternativa de otra.
Este tipo de preguntas son las que juntas ayudan a tomar la decisión final en la selección del hardware.
Se debe entender la informática como un medio, no un fin; se buscan soluciones prácticas, adaptables, funcionales y que no presenten problemas al mejor costo.
De ahí parten las mejores virtudes del open source: simple, adaptable, fiable y de bajo costo.
A continuación presento dos opciones en hardware para la instalación del Servidor/Firewall.
Esta primera opción consta de un equipo de marca Hewlett-Packard (HP) diseñado para emplearse como servidor, lo cual es una ventaja en cuestión de desempeño. Es un equipo nuevo donde se le instalaría el "ClarkConnect 4.2" para su función como Servidor/Firewall.
Adicionalmente se incluye una tarjeta de red de 10/100/1000, la cual es necesaria para el funcionamiento del Firewall, ésta tiene un precio de US$ 12,00.
Tabla 5 – Componentes servidor opción 1
HP ML110 G4 | ||
Procesador/CPU | Intel® DUAL CORE 925 (3,0 GHz, 2MB caché 800 MHZ FSB) | |
Memoria RAM | 2 GB. PC2-5300 ECC (DDR2-667Mhz), máximo 8 GB | |
Disco duro | 1x160GB SATA | |
Unidad óptica/ CD-ROM | Incluida | |
Tarjeta video | Incluida, genérica | |
Controlador de red | Embedded (integrado) NC320i 10/100/1000 | |
Valor: US$ 1.040,00*.
*El valor es aproximado y puede variar en cualquier momento. Este valor proviene de la cotización realizada el 19 de marzo de 2008 en "Sistema Binario Ltda." ubicado en la dirección: Diagonal 43 B 5 A 13 Oficina 207, Patio Bonito, Medellín.
En esta segunda opción, el Servidor/Firewall es un equipo que la institución posee, al cual no se le tiene uso en la actualidad. Es un equipo de escritorio que puede tomar el papel de servidor. Sus ventajas son el tamaño pequeño que posee y el precio: ninguno**; igualmente este equipo puede correr sin dificultad el ClarkConnect 4.2.
Tabla 6 – Componentes servidor opción 2
PC de escritorio | ||
Procesador/CPU | Intel® | |
Memoria RAM | 256 MB , máximo 512 MB | |
Disco duro | Falta | |
Unidad óptica/CD- ROM | Falta | |
Tarjeta video | Incluida, genérica | |
Controlador de red | 1. Incluido 10/100 2. D-Link 10/100 | |
Valor: ninguno** Se sugiere aumentar al máximo la memoria RAM para aumentar así la capacidad del servidor.
**El equipo en sí no tiene ningún costo, los costos adicionales los traen un disco duro y la unidad óptica/CD-ROM que le faltan.
4.4 COMPATIBILIDAD
Normalmente Linux tiene un buen soporte para el hardware y entre este mas popular sea mejor soporte tendrá. Para evitar futuros problemas con el hardware, este debe ser seleccionado para que sea preferiblemente 100% compatible con Linux. Escoger un vendedor de servidores como HP es un punto a tener en cuenta, ya que ellos venden algunos de sus servidores con Red Hat Enterprise Linux21 pre-instalado y es una gran ventaja porque el hardware soportado por Red Hat Linux es el soportado por el ClarkConnect. Para consultas sobre hardware compatible se puede mirar la Red Hat Compatibility Guide en https://hardware.redhat.com/hwcert/index.cgi.
Por otro lado, ClarkConnect no tiene dificultad al conectarse a Internet en Colombia.
En esta sección veremos cómo se realiza la instalación del ClarkConnect
4.2 paso a paso.
Es necesario poder arrancar ("bootear22") el servidor por CD-ROM. Si esta opción no esta habilitada, en las opciones de la BIOS23 se debe modificar el orden de arranque de las unidades para que la unidad de CD-ROM sea la primera seguida del disco duro primario.
Para ello se prende el equipo, durante el encendido este muestra la pantalla de la BIOS, la cual nos brinda algunas opciones, una de estas se llama Setup o similar, también es posible que aparezca indicación del estilo "pres DEL to enter setup". Normalmente se ingresa a esta sección presionando la tecla F2, Esc o Supr. Este mensaje solo aparece por poco tiempo, por ello se sugiere presionar repetidamente la tecla para ingresar al menú de la BIOS.
Dentro del menú de la BIOS, buscamos una sección llamada Boot o Advanced BIOS Features, para llegar allí empleamos los cursores y la tecla Enter. Dentro se debe buscar un sub-menú parecido a Boot Sequence o First Boot Device. Nos paramos en el sub-menú y lo organizamos de forma tal que el primer dispositivo de arranque ("booteo") sea la unidad óptica/CD-ROM. Para ello se usa las teclas +/ o Av. Pag.Pag. / Reg. Pag. . Una vez realizados los cambios estos se deben guardar, para ello presionamos Esc o buscamos un menú similar a Exit y presionamos en la opción Exit and Saving Changes. Después de esto el equipo debe reiniciar y podremos iniciar con CD-ROM sin problemas.
Nota: Al terminar la instalación todo el contenido que hubiera en el disco duro habrá sido borrado y una recuperación de estos datos es poco probable.
[Imagen 1]
Después de encender el servidor e introducir el CD de instalación aparecerá la pantalla de bienvenida. Aquí nos pide introducir Linux para instalar o rescue para recuperar una instalación fallida del servidor. En nuestro caso nos interesa instalar el ClarkConnect, así que escribimos Linux y presionamos Enter.
[Imagen 2]
Esto nos lleva a una ventana donde se descarga el sistema base del CD-ROM a la memoria RAM. Estos datos no son relevantes para nosotros en este momento. No tenemos que hacer más que esperar a que cargue y comience el asistente de instalación (installation wizard).
[Imagen 6]
Cuando termine nos preguntará el idioma que queremos utilizar durante la instalación. Pero primero es necesario tener en cuenta con qué teclas se maneja el instalador. En la parte inferior de la pantalla se puede ver una línea azul con las teclas y su descripción:
Adicionalmente las teclas de movimiento o cursores ???? nos permiten desplazarnos por una lista y sus contenidos, finalmente la tecla Enter selecciona nuestra elección.
[Imagen 8]
Volviendo a la instalación nos desplazamos hasta Spanish, presionamos Tab y luego Enter. Esta opción es para escoger el idioma de preferencia durante la instalación y el uso del servidor a través de la interfaz Web24.
Es recomendable dejar el lenguaje en inglés, ya que, sólo una pequeña porción del asistente, de instalación al igual que la interfaz
Web, se encuentran traducidos al español. Esto ayuda a evitar confusiones con los idiomas.
[Imagen 10]
Seleccionamos el tipo de teclado que tenemos, por ejemplo 'us' para el americano y 'es' para el español.
En la siguiente pantalla nos piden escoger el método de instalación. Como hemos descargado la versión completa de la instalación, y ésta se encuentra en el CD, nos paramos en la primera opción y la escogemos.
Deseamos instalar así que seleccionamos Install.
Nos advierten que si continuamos borraremos todo el contenido del disco duro, y nos piden confirmarlo, para ello escribir nuevamente la palabra Linux.
Seleccionando el modo en que se comportará el servidor depende de lo que queramos hacer en él. El Standalone mode crea un servidor en una LAN detrás de un Firewall existente, el servidor entonces tendrá prácticamente todas sus funciones a excepción del Firewall, por ejemplo: podrá ser un servidor de archivos. La otra opción Gateway mode es la que nos interesa, ya que podemos contar con todo los módulos y posibilidades que nos trae el ClarkConnect 4.2 y lo mas importante: filtrará el contenido y nos protegerá la LAN.
Llegamos a la sección donde debemos seleccionar qué tipo de conexión a Internet tenemos. Dado que el Colegio tiene una conexión tipo PPPoE25 (Point-to-Point Protocol over Ethernet o Protocolo Punto a Punto sobre Ethernet), seleccionamos esta.
En la siguiente pantalla configuramos las opciones de conexión para el protocolo PPPoE. Aquí escribimos el nombre de usuario y debajo la contraseña; si es necesario, también escribir el nombre o la dirección de IP del servidor DNS26 primario.
Terminando de configurar la parte de la red, escogemos qué dirección IP27 tendrá nuestro servidor en el dominio. Lo usual son direcciones de este estilo:
192.168.1.254 o 192.168.50.100 Para los dos últimos números se puede escoger cualquier número en el rango del 0 al 255.
Pasamos a la siguiente ventana y nos encontramos con la opción de elegir el hostname (nombre del host), que es el nombre que adopta una máquina, por ejemplo un servidor, para ser identificado más fácilmente en una red. Así el administrador de la red no tiene que memorizarse siempre la dirección IP de los servidores. Por comodidad se sugiere ClarkConnect pero puede ser cualquier otro. Ahora, el dominio es un nombre al cual se le asocian un número de computadores en una red. En este caso el dominio es colegioalemanmedellin.edu.co .
Seleccionar una zona horaria con la ciudad más cercana. Si presionamos 'a' podemos buscar mas fácilmente la zona de América/Bogotá.
[Imagen 25]
Ahora, continuando con la siguiente pantalla, el manual nos pide ingresar una contraseña para el Superusuario28 (root) en el servidor. Es mejor aceptar la sugerencia que nos hacen de usar números, caracteres especiales (ej. : !@#$%&) y letras en mayúsculas y minúsculas mezcladas entre sí. ¡Y evitar olvidar la contraseña, ya que sin ella nos quedamos sin poder acceder al servidor! Si somos conscientes de la importancia de la seguridad de la información, recomiendo tener una contraseña de 14 caracteres del tipo arriba descrito. De esta forma garantizamos que en los próximos años nadie entre al servidor por fuerza bruta. Podemos disfrazar una frase sencilla con el código de
arriba y obtener algo así:
>estaesmicontraseña > eSTAeSmIcONTRASENA > 3$T43$m1c0NTR4$3N4 [Imagen 27]
Llegamos ahora a la sección mas critica de la instalación, si hacemos algo mal aquí, podemos hacer muchos daños. "Particionar" un disco es dividir en varias secciones este mismo, es una forma barata y práctica de tener varios discos duros en un computador, por así decirlo. Esto es importante en un sistema de archivos Linux ya que en las diferentes particiones principales irán las diferentes jerarquías, archivos y datos. El esquema principal de un sistema Linux en ClarkConnect se conforma de tres particiones: la raíz /, la / var y la swap. (Mirar tabla de 'Ejemplo de la jerarquía del sistema de archivos en Linux').
Este esquema se construye cuando se escoge el "particionado" predefinido. En cambio si se quiere realizar un "particionado" diferente para modificar el tamaño, el tipo y el formato de las particiones, también es posible. Explicar cómo realizar este proceso para partir el disco no es fácil y no menos extenso, por ello, explicaré mas adelante cómo hacerlo. En general, las particiones por defecto son suficientes para la mayoría de los usuarios, así que no habrá problemas si seleccionamos esta opción. Para instalar todo el sistema operativo con los módulos necesarios, un disco duro con un mínimo de 4 GB de espacio es suficiente*; pero si se desea guardar mas archivos de log e información sobre los usuarios y actividades del servidor es mejor un disco duro de 20 GB como mínimo. El sistema operativo base y los módulos ocupan cerca de 2 GB, el espacio restante es para la Swap y la partición /var donde se guardan los logs.
Continuando con la instalación llegamos a la sección donde escogemos los módulos29 a instalar. Los módulos que no seleccionemos aquí podrán instalarse posteriormente a través de la interfaz Web o por línea de comando.
A continuación explicaré brevemente cada módulo:
–DHCP30 and Caching DNS Servers: servidor DHCP para proveer a clientes en una red de direcciones IP asignadas en un rango por el administrador de la red, esto elimina la necesidad de configurar manualmente cada nuevo cliente en la red.
–Intrusion Detection and Prevention: como su nombre lo dice, módulo para detectar y prevenir intrusos en la red. El software es capaz de detectar y reportar tráfico inusual en la red incluyendo intentos de hacking, Malware y escaneo de puertos. El otro software, bloquea a supuestos atacantes del sistema, posee una base de datos actualizada con más de 2000 reglas.
–Bandwidth Manager: el módulo controla el ancho de banda que pasa a través del Servidor/Firewall. Este módulo se usa para darle prioridad a un tráfico especial entrante y saliente de la red, como por ejemplo: las llamadas por voz-IP.
Adicionalmente, se puede limitar el uso del ancho de banda para determinados rangos de IP en la red, puertos y rangos de puertos.
–Web Proxy Server: servidor Proxy31 y de caché, con la habilidad de ayudar en el manejo de ancho de banda y ayuda a registrar la actividad de los usuarios.
–Content Filter Server: módulo para filtrar el contenido Web, funciona bloqueando las páginas Web inapropiadas para el usuario final, el software puede bloquear también páginas como Hotmail para aumentar así la productividad de los usuarios. Para bloquear el contenido utiliza una variedad de métodos como comparación de frases, filtrado de URL32,
entre otros.
–VPN33 – PPTP Server: servidor VPN privado para conectarse remotamente a escritorios Windows® de forma segura.
–VPN – IPSec Server: servidor VPN privado para conectar una LAN con otra LAN a través de la interfaz Web.
–Mail – SMTP34 Server and Gateway: módulo para administrar un servidor de correo electrónico propio. Posee control de SPAM y de virus.
–Mail – POP35 and IMAP36 Server: este módulo da la posibilidad para que los clientes descarguen sus correos electrónicos por POP o IMAP a sus máquinas.
–Mail – Antivirus Server: el software escanea los correos electrónicos que pasan por el servidor en busca de virus y otras amenazas.
–Mail – Antispam Server: el software antispam funciona en conjunto con el servidor de correo, este identifica el SPAM usando diferentes algoritmos, ademas ClarkConnect incluye listas grises y negras adicionales, las cuales son muy útiles para detectar SPAM.
–Webmail: software que permite a usuarios sin cliente de correo revisar su correo desde cualquier computador conectado a Internet.
–Flexshare File Manager: es un módulo flexible y seguro diseñado como una herramienta de colaboración que integra cuatro de los métodos más comunes para comunicarse e intercambiar archivos: Web (HTTP37/HTTPS)38,FTP (FTP/FTPS)39, File Shares (Samba40) e E-mail (SMTP/ MIME/SMIME).
–Web Server: servidor Web Apache para publicar páginas Web.
–FTP Server: servidor FTP para compartir archivos de forma sencilla.
–File Server (Samba): Sistema para compartir archivos y otros recursos entre Windows® y Linux. Ejemplo: en el servidor, en una carpeta, los usuarios guardan archivos para compartir, accesibles desde un explorador desde un ambiente Windows®. También se pueden compartir impresoras.
–File Server Antivirus: módulo que escanea los archivos en el servidor en busca de virus.
–Backup for Server and LAN: software capaz de crear, administrar y recobrar copias de seguridad en los computadores de una LAN en una variedad de SO. Tiene soporte para diversos dispositivos de almacenamiento.
–Print Server: módulo para el servidor de impresoras, para que los usuarios puedan imprimir a través de la red.
–Database Server: software de base de datos MySQL41 "administrable" desde una interfaz Web.
Para el Servidor/Firewall necesitaremos los módulos de DHCP, Bandwidth Manager, Web Proxy Server y Content Filter Server; si se desea tener protección para la detección y prevención de ataques informáticos en la red del servidor, es necesario instalar el segundo módulo. Para seleccionar nos movemos con los cursores y presionamos la barra espaciadora.
Este software seleccionado es el necesario para ejecutar la tarea de Servidor/Firewall en el entorno escolar; si se desean otras posibilidades para realizar con el servidor, como por ejemplo compartir archivos, sólo basta con seleccionar el módulo correspondiente. Los módulos restantes pueden seleccionarse de igual forma para instalarse; estos no afectan el Servidor/Firewall en su funcionamiento a excepción de hacerlo más lento durante el arranque y apagado del sistema. Continuamos presionando Enter sobre OK y llegamos a otra pantalla con más módulos a instalar. Realizamos el mismo proceso anterior.
[Imagen 31]
¡Felicitaciones! Acabamos de finalizar la etapa de configuración para la instalación. Ahora aparece una advertencia y suponiendo que estamos seguros en lo que vamos a hacer presionamos Done.
En esta etapa comienza a correr el instalador del ClarkConnect.
Si seleccionamos antes realizar el "particionado" manual, aparecerá una pantalla donde nos preguntará cómo "particionar" el disco (¡mirar la sección siguiente!).
De lo contrario, comenzará con la instalación sin preguntar nada más. Después de unos segundos nos muestra qué operaciones realiza.
Recomiendo esta opción, ya que "particionar" un disco duro puede ser riesgoso y debe realizarse sólo por usuarios con los conocimientos específicos. Además, el "particionado" automático nos ahorra tiempo.
4.5.2 "PARTICIONANDO" MANUALMENTE EL DISCO DURO Y CONFIGURACIÓN DEL GESTOR DE ARRANQUE
En esta sección hablaré y mostraré cómo "particionar" el disco duro manualmente.
¡ADVERTENCIA! ¡Lo que aparece a continuación no se recomienda para usuarios novatos, nadie es responsable por lo que suceda a continuación con su disco duro, a excepción de usted! Ahora bien, después de la pantalla, cuando preguntaban la contraseña para el servidor, continuaba la del "particionado" y allí se decidía si realizar el "particionado" manual o el por defecto. Si estás aquí, es porque elegiste el manual, ¿no?
Bien, después de terminar de configurar la instalación nos preguntan en la sección 'Configuración de la partición de disco', qué opción queremos llevar a cabo. Allí presionaremos sobre Disk Druid que nos ayudará a partir el disco como lo queremos.
Si aparece un aviso sobre la tabla de particiones dañada, hacer caso omiso y presionar sí.
Llegamos a una ventana que nos muestra el dispositivo /dev/hda42 (así se llama mi disco duro, pero pueden existir otras denominaciones como /dev/sda) y su espacio libre; ese es el disco duro. Si existen otros discos duros en el servidor, aquí mismo aparecerán.
Seleccionamos Free Space y presionamos New o la tecla F2. Aquí [Imagen 36]
En la imagen se puede visualizar que he modificado las opciones, para hacer esto nos movemos con Tab y los cursores. Lo primero que realizaremos es la partición raíz o /, esta es la raíz del sistema de archivos de Linux.
[Imagen 37]
En punto de montaje escribimos dónde se colgará la partición en el sistema de archivos. Seleccionamos Tipo de sistema de archivos ext343, el cual es sistema de archivos mas usado para Linux porque brinda estabilidad, seguridad y velocidad. Pasamos al tamaño, este se debe especificar en MegaBytes (MB), 1024 MB equivalen a un 1 GigaByte. Para la partición raíz / se necesitan mínimo 2 GB, pero recomiendo un tamaño entre 5 y 10 GB. Las otras opciones no son de mucha importancia a excepción de la última para nuestro caso. Presionamos Aceptar y terminamos de definir la primera partición.
¡ATENCIÓN! ¡Si se desea realizar una partición /boot para hospedar el gestor de arranque, esta debe ser preferiblemente la primera partición para así evitar futuras confusiones! Esta partición no necesita más de 120 MB de espacio libre y debe ser primaria.
Tabla 7 – Ejemplo de la jerarquía (estructura) del sistema de archivos en Linux
/ | La raíz, de aquí cuelgan las carpetas principales | ||||||
/bin | Contiene los archivos ejecutables principales y fundamentales del SO | ||||||
/boot | Contiene al gestor de arranque | ||||||
/dev | Alberga los puntos de entrada para los periféricos | ||||||
/etc | Contiene los comandos y archivos que el Superusuario (root) más necesita | ||||||
/ home | Carpeta donde se encuentran los directorios de cada usuario | ||||||
/lib | Archivos, librerías y directorios fundamentales para el inicio del sistema | ||||||
/mnt | Punto de montaje de las particiones temporales (CD- ROM, disquete, USB-DISK) | ||||||
/opt | Almacena los paquetes de las aplicaciones suplementarias | ||||||
/proc | Pseudo sistema de archivos que funciona como interfaz para el kernel | ||||||
/root | Carpeta del Superusuario | ||||||
/sbin | Contiene binarios fundamentales | ||||||
/tmp | Aquí se guardan los archivos temporales | ||||||
/usr | Alberga todo una jerarquía secundaria con los archivos y carpetas más usados por los usuarios | ||||||
/var | Contiene datos variables, como por ejemplo logs del sistema | ||||||
Ahora continuamos con la segunda partición /var. De igual forma que la anterior, se define esta partición; lo único que cambia es el tamaño. Se recomienda que sea de entre 35% y 50% del espacio total disponible.
[Imagen 38]
Volvemos a la tabla de particiones y observamos que aún tenemos un espacio libre. Éste será para la Swap, que es la memoria de intercambio. Aquí se guardan los datos y los programas que el kernel no necesita por el momento para así ahorrar espacio en la memoria RAM que es más rápida a comparación de la Swap. ¡Esta memoria de intercambio debe tener el doble de la memoria RAM disponible pero con un máximo de 2 GB! [Imagen 39]
Seleccionamos el espacio libre disponible y presionamos Nuevo. Esta vez no escribiremos ningún punto de montaje, en vez de eso bajaremos al tipo de sistema de archivos y buscamos swap. E igualmente como las anteriores le definimos el espacio que ocupará en el disco duro.
[Imagen 40]
[Imagen 41]
Este tipo de "particionado" es el común para este servidor pero no el obligatorio.
Si sabemos que muchos usuarios compartirán archivos y datos, es mejor definir la partición /home, adicionalmente a las anteriores; esta debe tener por lo menos 10 GB de espacio libre.
Visualizamos por última vez la tabla de particiones para buscar posibles errores o problemas en el tamaño o jerarquía. Si nos encontramos conformes con ésta, presionamos Aceptar.
A continuación nos pregunta el instalador si queremos instalar un gestor de arranque que por defecto es GRUB. Lo seleccionamos y continuamos.
[Imagen 42]
Esta sección para la configuración del gestor de arranque no se usa comúnmente ya que los servidores donde se ejecuta el ClarkConnect son compatibles con Linux. Así que le hacemos caso omiso y seguimos adelante.
[Imagen 43]
¡IMPORTANTE! Una contraseña para el GRUB evita que usuarios sin autorización ingresen al servidor físicamente y modifiquen algo. Un usuario avanzado sabe que si escribe single al final de la línea que inicia el kernel, éste no pedirá la contraseña de root para ingresar al SO y le permitirá modificar ésta sin problemas. Una falla de seguridad que es mejor evitar. [Imagen 44]
Si poseemos un solo SO en la máquina no nos tenemos que preocupar en esta sección, sigamos con Aceptar.
[Imagen 45]
A continuación tenemos qué seleccionar en que partición queremos instalar el GRUB. Si no creamos una partición /boot, seleccionamos /dev/hda (siendo hda el disco duro donde se encuentra el ClarkConnect), de lo contrario escogemos la partición que creamos para el /boot.
[Imagen 46]
¡Hemos finalizado con la configuración para el instalador! Sólo basta esperar mientras se instala y carga todos los archivos necesarios para el Servidor/Firewall.
[Imagen 47]
[Imagen 51]
Minutos después de comenzar con la instalación, nos muestra un último mensaje. Ahora que la instalación está completa procedemos a retirar el CD-ROM y a reiniciar el computador (presionando Enter).
CAPITULO 5
Post-instalación
Acabamos de instalar el ClarkConnect 4.2 en el sistema y hemos reiniciado, en la primera fase del inicio observamos una pantalla, el GRUB, si presionamos cualquier tecla vemos las dos opciones que podemos usar para arrancar el Linux. Si se especificó una contraseña para el GRUB durante la instalación cualquier modificación que se desee realizar en esta fase requerirá autenticación.
Continuando con el inicio del sistema a continuación se muestra en pantalla como el servidor inicia los servicios y programas para su funcionamiento. Si se le pone atención a las líneas de texto se pueden encontrar datos útiles, como por ejemplo: en qué estado se encuentra el hardware y si la red ha subido correctamente.
Dependiendo de la cantidad de módulos instalados en el servidor este tomará más, o menos tiempo en iniciar el sistema, cuando esto ocurra aparecerá un fondo negro junto con una pequeña ventana roja donde se pregunta por la contraseña del administrador del sistema (root). No es obligatorio ingresar al servidor por este camino, para usar una consola sólo se necesita presionar las teclas Alt + Fx, donde x es la consola número x del 2 al 6.
Al escribir correctamente la contraseña ingresamos al sistema y nos muestra un menú con seis opciones. Escogeremos la opción que más convenga, en nuestro caso la consola gráfica (presionar F2) nos puede ser muy útil y fácil de usar.
[Imagen 60]
Cuando termine de cargar escribimos Alt + F7 y esto nos lleva a la consola gráfica donde podemos revisar si la configuración de la red es la correcta o iniciar el servidor DHCP. Si no hay problemas la configuración primaria de la red se debe ver algo así:
eth0 External Ethernet Static IP PÚBLICA eth1 LAN Ethernet Static IP SERVIDOR De no ser así presionamos los iconos en forma de flechas a la izquierda del nombre de las interfaces de red (eth0 – eth1) podemos configurar éstas como se requiera para su funcionamiento. La interfaz de la LAN es la más importante después de la instalación, ya que a través de ella ingresamos a la interfaz Web para configurar al servidor.
Configurar las interfaces correctamente nos permitirá ingresar más fácil a Internet y a nuestra LAN. Ahora para configurar podemos elegir hacerlo desde la consola gráfica o bien ingresando a la pantalla inicial (Alt+F1) para editar la información en modo de texto.
Comenzamos seleccionando la primera interfaz eth0, con este nombre se designa a la primera tarjeta de red44. A continuación debemos seleccionar su rol en la red, esto es el papel que la interfaz desempeñará en la red como: interfaz externa, la cuál se conecta directamente al Internet; interfaz para LAN, esta es la que se conecta a la red interna de la institución; Hot LAN, este rol se usa para conectar la interfaz a redes locales (LAN) donde se sabe que existen máquinas en las que no se confía (de su contenido), y se selecciona para redes inalámbricas ya que normalmente en estas cualquier computador se puede conectar; lo que finalmente se pretende con este rol es mantener a las máquinas confiables separadas de las que no lo son. El rol DMZ se usa habitualmente para ubicar servidores en un segmento separado de la red local y así aumentar la seguridad.
El tercer paso consta de escoger de qué tipo es la conexión, Ethernet, Wireless y DSL/PPPoE, las dos ultimas se usan para conexiones que necesiten autenticación de algún tipo. Continuamos con el protocolo que manejará la interfaz: dinámico, para conexiones a Internet a través de un módem o cuando se conecta a otro servidor que sirva DHCP; estática cuando se le quiere designar al servidor una IP fija, tanto para la LAN como para Internet.
Finalmente escribimos la dirección de IP, la máscara de red, la puerta de enlace y los servidores DNS, si escogimos el protocolo estático de lo contrario terminamos la configuración de red de las interfaces.
De ahora en adelante para administrar el servidor se necesita un computador conectado a la red local, en nuestro caso la: 192.168.1.0 .
Para configurar un computador con Windows XP® para pertenecer a esta LAN es necesario seguir estos pasos:
cualquier número dentro del rango del 1-253).
del servidor.
[Imagen 63]
[Imagen 64]
A continuación le damos clic a reparar en la conexión.
Si se activó la opción del DHCP en el servidor, se deben seguir los pasos anteriores, pero en vez de escoger la opción del paso 6 se escoge automático en ambas secciones. Realizado esto se abre una consola (en ejecutar escribir: cmd.exe) y se digita ipconfig /renew y esto actualizará la IP de la máquina por una que provee el servidor en el rango especificado.
Abrimos un navegador y escribimos https://192.168.1.254:81 y presionamos Enter. Ésta es la dirección para ingresar a la interfaz Web del servidor ClarkConnect.
Lo que hacemos al escribir la dirección de esa manera es decirle al navegador que deseamos realizar una conexión segura si con el servidor con la dirección 192.168.1.254 y por el puerto 81. (Los servidores Web comunes usan el puerto 80 como estándar para comunicarse, pero para evitar confusiones y problemas de seguridad, en el ClarkConnect el servicio de la interfaz Web se encuentra en el puerto 81).
[Imagen 67]
[Imagen 68]
Durante la conexión el navegador pregunta si se desea conectar al servidor en cuestión, aceptamos y continuamos hasta que nos pregunten por el usuario y la contraseña. En usuario escribimos root y la contraseña correspondiente.
[Imagen 69]
[Imagen 70]
Se recomienda evitar escoger la casilla para recordar la contraseña por cuestiones de seguridad.
A continuación comienza a cargar la página inicial de la interfaz Web del servidor, donde nos muestra brevemente algunos datos sobre el servidor y la red donde se encuentra.
Al ingresar a la interfaz Web de configuración (en adelante Webconfig) se muestra un "tablero" (Dashboard) con algunos de los datos más importantes y relevantes del servidor, como la configuración del idioma, la hora y el estado y las características de las interfaces de red. Adicionalmente, si se tiene instalado el módulo de prevención de intrusos muestra una lista con las últimas detecciones.
[Imagen 71]
Nota: es recomendable mantener el idioma de preferencia en inglés, ya que de esta forma se tendrá una idea más clara de las opciones que nos brinda el ClarkConnect.
Para este momento las interfaces de red ya deben estar correctamente configuradas, pero puede que sean necesarios algunos ajustes o correcciones, en este apartado examinaremos eso.
[Imagen 72]
Nos vamos a la pestaña Network y seleccionamos IP Settings. Esto nos lleva a una página que nos permite modificar la configuración de la red. Vemos una menú desplegable para escoger el modo como queremos que funcione nuestro ClarkConnect. Como nuestra finalidad es que el servidor funcione como Firewall y como Proxy para la red, seleccionamos Gateway Mode; de lo contrario las dos opciones restantes son similares. Como su nombre lo dice le dan la condición al servidor de prestar servicios en una red o Internet, pero sin tener la función de "ruteador" de red o de Proxy. En hostname aparece el nombre que le dimos a la máquina junto con la red a la que pertenece, por ejemplo:
clarkconnect.lan óó ccsrv.colegioalemanmedellin.edu.co Éste se puede cambiar de ser necesario a un nombre mas descriptivo, corto y sencillo, pero manteniendo su forma de escritura: nombre_de_la_máquina.dominio (clarkconnect.lan). Para hacer efectivo algún cambio realizado se necesita pulsar el botón Update.
¡Esto mismo se debe realizar cuando se modifique alguna opción en el Webconfig!, de lo contrario no se realizarán los cambios.
Seguimos bajando y vemos la lista de los servidores DNS a los que consulta nuestro servidor para las peticiones Web externas, estos son los mismos que se configuraron en la interfaz de red externa en los apartados 5.1 y 5.2. Si es necesario a través de la consola se pueden modificar manualmente estos DNS, esto puede ser muy conveniente para diferentes usos. Para realizar esto, ingresamos en una consola bien sea local o remotamente, ¡si de desea hacerlo remotamente leer el apartado 5.3.5 previamente!, y ejecutamos la siguiente orden como superusuario:
nano /etc/resolv.conf Lo que se hace con este comando es modificar el archivo resolv.conf, el cual guarda las direcciones de los DNS, ubicado en /etc con el programa de edición de texto nano. Nano es un programa sencillo pero útil; nos movemos con los cursores a la línea que deseamos modificar y borramos o escribimos lo que necesitemos.
El archivo de texto se ve algo así:
search dominio.com nameserver 192.168.0.250 nameserver 192.168.0.251 Para modificarlo se necesita simplemente cambiar la dirección de IP del servidor DNS. Yo recomiendo en vez de borrar, comentar la línea para que no sea tomada en cuenta y luego escribir los servidores que deseamos. El símbolo # se usa al inicio de una línea para comentarla, así que el contenido de la línea, sin importar el que sea, será ignorado.
El archivo final quedaría algo así:
#search dominio.com línea comentada #nameserver 192.168.0.250 línea comentada nameserver 192.168.0.251 nameserver 192.168.0.252 #nuevo servidor DNS En la sección inferior de la consola se muestran las opciones y acciones que se pueden realizar con las combinaciones de teclas, por ejemplo salir: si se realizó algún tipo de cambio en el archivo cuando tecleemos Ctrl + x, el programa preguntará si se desean guardar los cambios realizados, nuevamente Nano nos muestra qué podemos hacer en este caso; como deseamos guardar los cambios y salir del programa presionamos 'y' (seguido de la tecla Enter); de lo contrario se presiona 'n'.
Más abajo de la sección donde se muestran los servidores DNS, se ve la misma tabla con las interfaces que se muestran en el Dashboard, sólo que en este caso podemos modificar la configuración de las interfaces, casi de igual forma como se hace en los apartados 5.1 y 5.2.
[Imagen 73]
Por el momento no nos interesa hacer conexiones de tipo VPN a otras redes así que podemos continuar con otro aspecto importante en la configuración de una red LAN, el DHCP. Para ir a la página del DHCP podemos seleccionarla de la columna de la izquierda, o bien como se llego a la de Network por las pestañas.
En la sección Configure Global DHCP Settings, se modifican las configuraciones globales de este servicio. Para encenderlo le cambiamos el Status a Enabled. La segunda opción se llama Authoritative y si está habilitada el servidor aceptará todas las peticiones DHCP que lleguen a la red, aunque en ella existan otros dispositivos que puedan servir DHCP. En Domain Name aparece el dominio de la red al cual pertenece nuestro ClarkConnect, por ejemplo:
lan ejemplo.com
[Imagen 78]
En la siguiente sección se configura una subred, a la cual está asociada una tarjeta de red. Por ejemplo: la interfaz eth1 se encuentra en la red 192.168.1.0 . Esto significa que a esta red es a la que le podemos brindar el servicio DHCP. Si se desea tener en más de una red este servicio, se requiere por cada red adicional una interfaz más. Presionamos en Add y nos lleva a una ventana donde podemos configurar las opciones que deseamos que tenga el DHCP. Para comenzar seleccionamos el tiempo que el servidor le presta a cada dispositivo una dirección de IP. Bajamos un poco y especificamos el Gateway, este es el dispositivo, en este caso el servidor ClarkConnect, por el cual salen las conexiones a Internet, en este campo, como en los siguientes se escriben direcciones de IP. Continuando, llegamos a los rangos en los cuales el servidor repartirá las direcciones, se especifica el rango más bajo y más alto dentro de la red de la interfaz. Seguidamente los servidores DNS, aquí se especifican las máquinas (servidores) a los cuales deben llegar las peticiones DNS para navegar en Internet o en la red local. Si se tiene en la red un servidor DNS se debe especificar su dirección de IP aquí mismo, de lo contrario se escribe dirección del servidor ClarkConnect que da la salida a Internet. Finalmente, la dirección del servidor WINS, este servidor se encarga de mantener una "base de datos de direcciones IP y nombres de ordenador que se actualiza dinámicamente según cambian las direcciones IP45" para asociar un nombre a una dirección de IP. Este servidor existe dentro de grandes redes donde coexisten muchos servidores o máquinas con nombres específicos a los cuales es necesario acceder continuamente para diferentes tareas, como almacenamiento de archivos, en estos casos es muy difícil e incomodo memorizarse todas las direcciones de IP de cada máquina, una máquina que sirva WINS es la solución a esto.
El esquema final de las características del DHCP se vería así:
Interface eth1 Network 192.168.1.0 Lease Time 12 Hours Gateway IP Range (low) 192.168.1.2 IP Range (high) 192.168.1.130 DNS Address #1 192.168.1.254 DNS Address #2 [vacío] DNS Address #3 [vacío] WINS Server Address [vacío] En la sección que continúa, Dynamic Lease se puede conocer qué máquina (a través de su dirección MAC y su nombre de red) está asociada a qué IP. Y si se prefiere, esta asociación se puede volver estática, esto significa que no importa cuantas veces una máquina asociada se conecte a la red, siempre tendrá la misma dirección de IP. Esto puede ser útil para saber qué máquina tiene cierta IP, pero a gran escala puede ser muy difícil de mantener. Adicionalmente, se pueden añadir máquinas manualmente, especificando una dirección de IP que no esté en uso y una dirección MAC única.
[Imagen 79]
Para garantizar que el servidor pueda usar el ancho de banda que necesita según el caso, nos dirigimos a la sección Bandwidth. Aquí, por medio de sencillos parámetros, se reserva un ancho de banda para una máquina o un conjunto de ellas. En Nickname se escribe un nombre o apodo que la nueva regla tendrá, seguido de una dirección de IP o un rango de éstas, para el rango se escribe:
192.168.1.100: 192.168.1.150 Seguido se especifican un número o un rango de puertos, si no se especifica nada en estos cuadros de texto a todos los puertos se aplicará esta regla. Priority proporciona una forma para priorizar el tráfico de la red. Al tráfico con mayor prioridad se le dará preferencia sobre el tráfico de menor prioridad. Existen siete niveles de prioridad, 1 – 7, donde uno es el de más alta prioridad. Por defecto el tráfico que no tenga una regla de ancho de banda se le asignará la prioridad más baja. Finalmente, se selecciona cuánto ancho de banda de subida (upload) y de bajada (download) se desea reservar para la nueva regla. Si se deja en blanco alguno de los dos, el ancho de banda de subida o bajada será ilimitado46, pero sólo se puede realizar en uno de los campos, si se dejan los dos en blanco la regla será inválida.
Las opciones que no se vieron o trabajaron en este capítulo serán vistas mas adelante cuando se llegue a una configuración mas avanzada del Firewall. Ahora que se terminó de configurar la red, podemos continuar con el siguiente apartado.
El servidor tiene un servicio de Proxy que se usa para que varios clientes puedan conectarse a la red a través de una única conexión física a Internet. Éste puede permitir, denegar o filtrar el contenido y el uso del Internet en la red, es decir, como un cuello de botella por donde pasan todas las conexiones al exterior. Pero adicionalmente el Proxy, llamado Squid, realiza un caché47 de las páginas que se visitan para así aumentar la velocidad con que se navega en Internet, evitando cargar directamente del Internet siempre el mismo contenido; Squid almacena el contenido en un espacio asignado del disco duro, para que cuando los usuarios lo requieran simplemente sea transmitido en la red local, evitando usar parte del ancho de banda de la conexión a Internet.
[Imagen 80]
En la sección superior de la página se puede ver una breve descripción del servicio, es muy útil leerlo para informarse mejor de lo que realiza. Más abajo, nos encontramos con una pequeña pero importante sección que nos muestra el estado actual del servicio y el estado durante el inicio del sistema. Running (corriendo) y Stopped (detenido) son los estados en los que se encuentra y se pueden modificar con el botón al lado derecho. De igual forma funciona el otro estado del servicio durante el inicio, lo único que cambia es el modo Automático o Manual. Este método para saber el estado de los servicios corriendo en el servidor, se usa para la mayoría del software, módulos y servicios instalados en el servidor, es simple e intuitivo.
[Imagen 81]
 Página anterior | Volver al principio del trabajo | Página siguiente  |