+ All Categories
Home > Documents > Completo Zeroshell

Completo Zeroshell

Date post: 02-Aug-2015
Category:

Documents
Upload: israel-gonzalez
View: 1,857 times
Download: 50 times
Download Report this document
Share this document with a friend
Popular Tags:
internet para
usuario para
predeterminada para
elegido para
usuario en
red para nuestra red
una particin en
internet y una contrasea
127
Zeroshell HOWTO The multifunctional OS created by [email protected] www.zeroshell.net How to secure my private network ( Author: [email protected] )
Transcript

Zeroshell HOWTO

The multifunctional OS created by

[email protected] www.zeroshell.net

How to secure my private network ( Author: [email protected] )

Cmo proteger mi red privada: Esta breve gua nos permitir configurar un firewall de red para nuestra red en menos de una hora. Zeroshell garantizar ourprivate red de ataques externos. Nuestra red privada est conectada a Internet a travs de un router.Here xDSL los pasos a seguir: Primera puesta en marcha e inicio de sesin preparar un disco particin donde almacenar nuestras configuraciones de almacenamiento de nuestra configuracin de los adaptadores de red de configuracin de navegacin en Internet Portal Cautivo de activacin de servicio DNS del servicio DHCP rutas estticas a redes remotas a servidores virtuales de Seguridad: control de las polticas por defecto

En Zeroshell podemos encontrar muchas otras caractersticas importantes para las redes ms complejas, lo cual es una solucin escalable para nuestra red.

Primera puesta en marcha e inicio de sesin: Despus de arrancar desde el CD, el sistema es accesible con un navegador en el http seguro: https: / / 192.168.0.75 La aceptacin de la conexin segura se nos pide usuario y contrasea para Entrar:

Utilice los siguientes: Usuario: admin Contrasea: zeroshell Ahora podemos usar la interfaz web para configurar nuestro servidor de seguridad.

Preparacin de una particin en el disco para almacenar nuestras configuraciones: Es tan importante para salvar a nuestros Zeroshell cambios que nos permite guardar en un archivo de configuracin. Se puede almacenar en un particin de un disco duro. No es necesario farmat las particiones existentes, podemos guardar nuestros archivos de configuracin en particiones existentes, tales como: ext3, ReiserFS, ext2 o FAT32. Para mi preferencia, prefiero crear una nueva particin ext3. As que optar por borrar cualquier particin existente en mi disco (todos los datos de este disco se perder). Usando el men SETUP (en el marco de la izquierda) elegir almacenamiento etiqueta (en el marco superior):

Se nos muestra los discos existentes. Seleccionamos las particiones existentes y eliminarlos:

Se nos pide confirmacin para su eliminacin. S Ahora tenemos un disco en blanco sin particiones. Estoy dispuesto a crear una sola particin.

Almacenamiento de nuestra configuracin: Una vez que el disco est listo para ser usado, podemos crear nuestro archivo de configuracin primero. Eligiendo la particin, haga clic derecho sobre la CREAR PP:

Introduzca una descripcin corta para el archivo de configuracin; nombre completo de nuestro sistema, Kerberos y LDAP; elegir una contrasea nueva para el usuario "admin"; direccin IP de la interfaz que se utiliza para configurar el sistema, puerta de enlace predeterminada para las redes de acceso externo (para acceso a Internet). Esta configuracin se utiliza cada vez el sistema se inicia. Podemos optar por crear configuracin diferente de varios los archivos que se active (Activar) para el inicio por defecto del sistema. Con BACKUP botn podemos crear una copia de el archivo de configuracin, seleccione en el PC que estamos utilizando para navegar por la pgina principal Zeroshell administrativa.

Los adaptadores de red de configuracin: Una vez preparado el disco y crea el primer archivo de configuracin podemos configurar la direccin IP del adaptador de red, por el haciendo clic en CONFIGURACIN DE RED etiqueta nad:

Normalmente ETH00 es el adaptador de red interno (interfaz segura del servidor de seguridad) y ETH01 es el externo que comunicarse con router.Using xDSL Aadir botones de IP que puede configurar las direcciones IP estticas para estas interfaces. He elegido para la interfaz interna 192.168.0.75 (ETH00) y 192.168.1.1 para el externo (ETH01), ahora me puse gatewayusing defecto botn DEFAULT GW. Mi puerta de enlace es 192.168.1.254, ahora puedo comprobar las rutas de la esttica en Men del router:

Internet Es es entender que este thopology red es muy escalable por Zeroshell, ahora podemos empezar a crear polticas para nuestra red interna (192.168.0.0/24), o podemos usuario de portal cautivo para crear usuario y contrasea para los usuarios internos que quiere usar el navegador de Internet, podemos crear el servidor virtual para compartir nuestros servicios con las redes externas, etc

Navegacin por Internet: Para que los clientes internos el uso de conexin a Internet, debemos activar Network Address Translation (NAT) para protegerlos. Usando el men router, haga clic en la etiqueta de NAT y ETH00 conjunto que se traduce por ETH01:

Ahora podemos usar la conexin a Internet en nuestros clientes.

La activacin del portal cautivo: Caractersticas Thi til pongamos los usuarios de Internet y una contrasea para la conexin a Internet de filtro externo (). De esta manera, un usuario en de la red interna debe autenticarse contra Zeroshell antes de abrir las conexiones a Internet (para la navegacin web, correo dowload, etc ...) Antes de activar Portal Cautivo debemos crear los usuarios en los usuarios, etiqueta aadir, llenar los campos como a continuacin:

Nombre de usuario contiene el nombre del usuario para la autenticacin. Una vez creados los usuarios, el cautivo, haga clic en el men PORTAL; establecer un marcador en GW, elija Modo ruteado e internos adaptador de Ethernet en proceso de autenticacin que va a suceder (en nuestro ETH00 la IP del cliente es la puerta de entrada Def ault).

.

Activar autenticacin:

Ahora podemos cerrar nuestro navegador y vuelva a abrirlo, nos pedir autenticarse. A continuacin he personalizado mi pgina de autenticacin:

Uso de correst de usuario y contrasea:

podemos ver esta ventana emergente: podemos utilizar los recursos de Internet hasta que esta pgina est abierta. Usted puede personalizar esta pgina con la etiqueta autenticacin con un script HTML:

En tag GATEWAY puedes ver conectados usuarios y usted puede drop 'dobladillo si necesario utilizando botn DISCONNECT:

Servicio DNS: Lneas Inicio xDSL uso externo DNS servidores para resolver nombres Internet. A veces, estos servidores DNS externos se han reducido o no funciona por alguna razn; Zeroshell puede ser tambin un servidor DNS! Es muy fcil de usar: haga clic en DNS a la izquierda .. voz y ACTIVAR bandera:

Hecho! ... Ahora puede configurar su cliente en esta forma (192.168.0.75 es Zeroshell ..):

El servicio DHCP: Zeroshell puede ser tambin un servidor DHCP, de esta manera los clientes de nuestra red interna no necesita direccionamiento de IP esttico

Elija DHCP:

crear nuevas y elegir el interfaz de red donde Zeroshell distribuir las direcciones IP:

y as:

Ahora debemos elegir el rango de direcciones IP disponibles para ser distribuidos:

y guardar. Zeroshell es tambin nuestra puerta de enlace predeterminada y servidor DNS! Nuestra configuracin de red del cliente:

unos segundos y se puede comprobar que:

C: \ Documents and Settings \ Administrador> ipconfig / all Configurazione di IP de Windows Nombre de acogida. . . . . . . . . . . . . . : PIZZA Sufijo DNS primario. . . . . . . : Tipo de nodo. . . . . . . . . : Sconosciuto Abilitato de enrutamiento IP. . . . . . . . . : No Proxy WINS abilitato. . . . . . . . : No Scheda Ethernet rete connessione alla local (LAN): Sufijo DNS specifico per connessione: Descrizione. . . . . . . . . . . . . : 3Com 3C920B-EMB rpido integrado Ethernet Indirizzo fisico. . . . . . . . . . . : 00-26-54-0B-31-CA Abilitato DHCP. . . . . . . . . . . . : S Configurazione automatica abilitata: S Indirizzo IP. . . . . . . . . . . . . : 192.168.0.25 Mscara de subred. . . . . . . . . . . . . : 255.255.255.0 Predefinito Gateway. . . . . . . . . : 192.168.0.75 Servidor DHCP. . . . . . . . . . . . . : 192.168.0.75 Servidor DNS. . . . . . . . . . . . . : 192.168.0.75 Ottenuto Lease. . . . . . . . . . . . : Venerd 20 ottobre 2006 10.41.59 Arrendamiento Scadenza. . . . . . . . . . . : Venerd 20 ottobre 2006 18.41.59

Las rutas estticas a las redes remotas: Si tenemos alguna redes remotas conectadas a travs de un router, podemos establecer rutas estticas. Por ejemplo, si tenemos que llegar a la red remota: 192.168.50.0/24 a travs del router 192.168.0.254, podemos hacer esto usando ROUTER y ADD:

"Metric" es el costo, la prioridad que debe seguir si hay muchas rutas diferentes para la red de un mismo destino.

Podemos activar tambin RIP v2 protocolo. Se utiliza para que los routers ms dinmica existente infromations compartir acerca de redes remotas conocidas.

Servidores Virtuales: Es posible compartir los servicios de red interna con la red externa (Internet). Podemos, por ejemplo, optar por publicar un sitio web. Router mediante, elija SERVIDOR VIRTUAL:

Tenemos que escoger la interfaz, el protocolo y el puerto de escucha para este servicio en el sistema de Zeroshell. Entonces, debemos establecer Dnde est el servicio en nuestra red segura: 192.168.0.100. Es el servidor web de publicacin de nuestra pgina web en el puerto 80 TCP.

Debemos estar seguros de que no ha router xDSL NAT activado. Si NAT est habilitado tenemos que estar seguros de que las solicitudes en el puerto 80 TCP llegar Zeroshell ETH01. Por ejemplo, en mi router 3com he puesto que cada tipo de solicitud de Internet debe llegar a mi Zeroshell interfaz externa:

Seguridad: control de las polticas por defecto Utilizas el cortafuegos podemos comprobar las polticas de red por defecto en nuestro servidor de seguridad. Elija cadena de salida y haga clic en Ver:

Estas son las polticas de salida:

Elige ahora cadena INPUT, y haga clic en Ver, estas son las polticas por defecto de entrada:

Web Proxy transparente con antivirus y chequeo de lista negra de UrlsNOTA: la versin 1.0.beta9 de Zeroshell tiene algunos errores en el mdulo de Proxy, por lo cual se necesita instalar el parche A500.

El propsito de este documento es describir la creacin de un Proxy Web con un chequeo de antivirus de pginas Web y las listas negras y blancas. El documento se divide en las siguientes secciones: Por qu usar un Proxy Web con un chequeo de antivirus? Modo de Proxy transparente Configuracin y activacin del servicio de Proxy o Registro de acceso y privacy o Antivirus de verificacin de las imgenes o La actualizacin automtica de las firmas ClamAV Pgina Web de listas negras y listas blancas Pruebas de Proxy y funcin antivirus

Por qu usar un Proxy Web con un chequeo de antivirus?Las pginas Web son cada vez ms los medios mas frecuentes por los que los gusanos y los virus se propagan en la Internet. Ya sea intencionalmente o porque son vulnerables y por lo tanto modificables sin el conocimiento de los autores legtimos, las paginas Web a veces tienen referencias de cdigo ejecutable que puede infectar las computadoras de los usuarios. Adems, la situacin ha empeorado desde que una serie de vulnerabilidades en el sistema de visualizacin de las imgenes ha permitido a los virus portarse dentro de

archivos JPEG. ltimamente, el creciente uso de los applets de Java est aumentando el nmero de virus multiplataforma que se propagan a travs de HTTP y su funcionamiento es independiente de la plataforma (PC, ordenador de bolsillo, telfono mvil) o del sistema operativo en que trabajan. La mejor solucin para este tipo de problema es proporcionar a todos los dispositivos cliente que se conectan a Internet con un buen programa antivirus con proteccin en tiempo real, comprobando todos los archivos de entrada. Sin embargo, esto puede no ser suficiente por dos razones: ningn programa antivirus, incluso los que s tienen firma de mecanismos de actualizacin, puede proporcionar una garanta del 100% contra todos los virus; la verificacin en tiempo real del contenido entrante es bastante pesada en trminos de clculo y en particular en los dispositivos cuyo funcionamiento no es demasiado bueno, puede ralentizar el sistema hasta el punto de hacer que los usuarios deshabiliten la proteccin en tiempo real del antivirus. Por estas razones, el chequeo de virus se realiza cada vez mas en capas superiores, antes que virus potenciales puedan llegar los usuarios. En otras palabras, los sistemas centralizados de antivirus se utilizan en los servidores que ofrecen un servicio en particular. El ejemplo ms extendido es el de los servidores de correo electrnico, que tienen un sistema que analiza los mensajes entrantes y salientes a travs de SMTP y analizan los archivos adjuntos en busca de virus. En este caso, la aplicacin de verificacin de antivirus en una puerta de enlace SMTP es muy natural, ya que los correos electrnicos estn obligados a pasar por ella, antes de llegar al buzn del usuario. Para el servicio HTTP, esto no es tan insignificante, ya que un cliente potencial de Internet se puede conectar directamente a cualquiera de los servidores Web disponibles en Internet. La solucin a este problema consiste en la introduccin de un nivel de aplicacin de puerta de enlace a la red local para recoger las peticiones HTTP de clientes y los remitir a los servidores Web pertinentes. Este aplicacin de puerta de enlace se denomina Proxy Web y ya que es capaz de interpretar el protocolo HTTP, no slo filtra sobre la base de las URL sino que tambin puede controlar el contenido transportado (HTML, JavaScript, Java Applet, imgenes,...) y los explora en busca de virus. Una de las

funciones ms comunes de los Proxy hasta el momento han sido las cachs Web, es decir, archivos almacenados de las pginas Web que ya han sido visitadas, con el fin de acelerar la visualizacin de las mismas URL para las solicitudes posteriores. El objetivo de esto es tambin reducir el consumo de ancho de banda en Internet y uno de los ms conocidos Proxy, capaz de realizar funciones de Web Cache es Squid, distribuido con licencia Open Source. Zeroshell no se integra con Squid, ya que no recoge las pginas Web. La tarea de un programa de antivirus centrada en la red y el filtrado de contenidos, utilizando las listas negras de URL, es manejado por HAVP como sistema de representacin y ClamAV como antivirus. Ambos se distribuyen bajo licencia GPL.

Modo de Proxy transparenteUno de los mayores problemas cuando se utiliza un servidor Proxy es la de la configuracin de todos los navegadores Web para usarlo. Por tanto, es necesario especificar su direccin IP o nombre de Host y el puerto TCP en el que responde (por lo general el puerto 8080). Esto podra ser una carga en el caso de redes de rea local con numerosos usuarios, pero peor an, no se podra garantizar que los usuarios no eliminen esta configuracin para obtener acceso directo a la Web, evitando as la verificacin de antivirus, el registro de acceso y listas negras. Para resolver este problema, Zeroshell utiliza el modo de Proxy transparente que implica automticamente la captura de las solicitudes de cliente en el puerto TCP 80. Obviamente, para Zeroshell poder captar estas peticiones Web, debe ser configurado como un Gateway de la red, de modo que el trfico de Internet de los cliente pase a travs de ella. Zeroshell automticamente captura las peticiones HTTP si se trata de un nivel 2 de puerta de enlace (puente entre Ethernet, WiFi o la interfaz VPN) o de la capa 3 de puerta de enlace (enrutador). Sin embargo, es importante especificar las interfaces de red IP o subredes a las que las solicitudes deben ser redirigidas. Esto se hace mediante la adicin de las llamadas HTTP Capturing Rules (Reglas de Capturas de HTTP), como se muestra en la siguiente figura:

Figure 1 Configuracin de las reglas de capturas Http.

En el ejemplo de la figura, se recogen las peticiones HTTP de ETH00 y las interfaces de red ETH03. Quedan excluidas de estas peticiones las dirigidas a los servidores Web que pertenecen a la subred 172.16.0.0/16 IP y los de los clientes con la direccin IP 192.168.0.1. Puede haber varias razones por las que es necesario excluir la intervencin del Proxy transparente en algunos clientes y otros servidores Web. Por ejemplo, un servidor Web puede restringir el acceso slo a los clientes con una direccin IP determinada en su ACL. En este caso, si las solicitudes de Proxy capturado en el servidor anterior, se llegara a travs de su IP y esto le impedir el acceso. Por otra parte, no sera posible autorizar la direccin IP del Proxy en las ACL del servidor Web, ya que esto significara que permite el acceso indiscriminado a todos los clientes mediante el Proxy. Es claro, entonces, que la nica solucin es evitar la captura de las solicitudes por el Proxy transparente.

Por ltimo, tenga en cuenta que las reglas de IPTABLES para redirigir hacia el servicio de Proxy (8080 TCP) se sitan en niveles inferiores de los que intervienen en el Captive Portal. Gracias a esto, el Captive Portal y el Proxy transparente pueden ser activados de manera simultnea en la misma interfaz de red.

Configuracin y activacin del servicio de ProxyComo se ilustra en la figura siguiente, la configuracin de Proxy con el servicio de verificacin de antivirus es muy simple. Despus de configurar el cuadro de Zeroshell para actuar como un router y despus configurarlo en los clientes como la puerta de enlace predeterminada, o configurarlo como un puente, e interponerla en un punto de la LAN donde el trafico fluye hacia y desde Internet, simplemente habilite la bandera [Enabled] para que el Proxy puede empezar a trabajar. Como se menciona en el prrafo anterior, las peticiones Web que en realidad son interceptadas y sometidas a la representacin son especificadas a travs de la configuracin de [HTTP Capturing Rules].

Figure 2 Configuracin Proxy de las interfaces Web.

Tenga en cuenta que la puesta en marcha del servicio de Proxy es muy lenta en comparacin con otros servicios, y en un hardware que no es muy rpido puede tardar hasta 30-40 segundos. Esto se debe a la necesidad de las bibliotecas de antivirus ClamAV de cargarse y descifrar un gran nmero de firmas de virus en su memoria. Para evitar el bloqueo de la interfaz de configuracin Web y puesta en marcha de las secuencias de comandos para los intervalos de tiempo, el servicio se inicia de forma asincrnica. Por lo tanto, cuando el Proxy est activado o configurado de nuevo, el tem correspondiente a estado (Status) no se muestra como Activo (verde) de inmediato, pero pasa primero por el estado inicial (naranja) que muestra que el servicio est cargando las firmas. Para saber cundo comienza realmente la ejecucin del Proxy, haga clic en [Administrar] para volver a cargar la pgina de configuracin, o simplemente haga clic en [Registros del

Proxy] para ver el mensaje de inicio del havp daemon. Durante el perodo de arranque del demonio havp, las reglas de IPTABLES para la captura de peticiones HTTP son retiradas temporalmente, permitiendo el trfico de Internet fluya con regularidad, pero sin que se analice en busca de virus. Algunos elementos de configuracin se analizan con ms detalle en los prrafos siguientes.

Registro de acceso y privacyPara ser una aplicacin Gateway capaz de interpretar las peticiones HTTP, con el fin de que funcione correctamente, un Proxy Web descifra las URL visitadas por los usuarios. De forma predeterminada, Zeroshell no enva esta informacin a los registros del sistema, que, si se asocia con la direccin IP de los clientes que solicitan las pginas Web, puede ayudar a determinar el contenido visitado de los usuarios. Sin embargo, el registro de esta informacin puede ser activado mediante la modificacin del tem [Registro de acceso] (Access Logging) a partir de "Only URL containing Virus" a "Any Access". De esta manera, todas las URL visitadas se registran en el registro de asociados con la direccin IP del cliente. Es necesario, antes de habilitar esta opcin, consultar la legislacin local en su pas para verificar que el registro de las direcciones URL visitadas no est en contra de las leyes de privacidad nacional. Adems, es importante tener en cuenta que, tal como permite el NAT en un router de acceso a Internet, cada solicitud de cliente externo es hecha por el propio router, en las misma manera en que las peticiones pasan a travs de un Proxy aparecen con la direccin IP del el servidor Proxy. Esto puede causar dificultades en el rastreo de la identidad de un usuario que ha llevado a cabo acciones ilcitas en servidores remotos. Una posible solucin a este problema, que es menos invasiva en trminos de privacidad, es activar el registro de la conexin de seguimiento (desde la interfaz Web Zeroshell [Firewall] [Connection Tracking]). De esta manera, cualquier conexin TCP / UDP se registran en los registros que muestra la direccin IP de origen, puerto de origen, IP de destino y puerto de destino. Por lo tanto, no ser posible rastrear el contenido de la actividad del

usuario, pero quedar un rastro de las conexiones realizadas. Una vez ms, en este caso es necesario consultar la legislacin local antes de habilitar el seguimiento de la conexin.

Antivirus de verificacin de las imgenesDurante mucho tiempo se pens que un archivo que contiene una imagen JPEG o GIF no puede contener un virus, porque esta simplemente compuesto de datos formateados en un formato preestablecido, interpretables por el sistema de visin del sistema operativo. Sin embargo, recientemente algunos componentes de la imagen de representacin han demostrado que son vulnerables si no son actualizados con parches. Una imagen de construccin adecuada podra crear un desbordamiento de bfer y ejecutar cdigo arbitrario en el sistema. Es fcil comprender la gravedad de esta, dado que el contenido de la mayora de hipertexto de la WWW es en forma de imagen. El Proxy HAVP configurado en Zeroshell, por defecto escanea las imgenes utilizando el programa antivirus ClamAV. Sin embargo, en un hardware lento, la digitalizacin de las imgenes podra retrasar la apertura de pginas Web con muchas imgenes. En este caso es posible deshabilitar la opcin de escaneo de archivos que contienen imgenes, estableciendo las imgenes de cheques [(jpg, gif, png)] de "Enabled" a "Disabled"

La actualizacin automtica de las firmas ClamAVLa velocidad con que los virus nuevos se colocan en la Internet y se identifica, significa que las firmas antivirus se incrementan y se modifican con frecuencia. La base de datos de ClamAV no es la excepcin, que, gracias al demonio freshclam, puede ser actualizada en lnea a intervalos regulares. Zeroshell freshclam configura de forma predeterminada para comprobar la base de datos de la firma 12 veces al da. Este intervalo se puede ajustar con el parmetro [Nmero de controles por da] (Number of Checks per Day), desde un mnimo de 1 a un mximo de 48 chequeos por da. Tambin es importante establecer el [Pas del Espejo] (Country of the Mirror) de manera correcta, a travs del cual freshclam elige el sitio ms cercano desde el que descargar las firmas de virus. Tenga en cuenta, sin embargo, que la actualizacin peridica es una operacin rpida, que no genera mucho trfico, ya que se utiliza un sistema de actualizacin diferencial.

Pgina Web de listas negras y listas blancasA menudo es necesario bloquear una serie de sitios Web, ya que su contenido no se considera adecuado para los usuarios del servicio Web. Un ejemplo son los materiales slo para adultos, que no debe mostrarse en las computadoras en la que los nios tienen acceso. Una solucin muy eficaz para este problema es forzando a los clientes Web acceder a Internet a travs de un Proxy, que, a travs de programas de filtrado de contenido, tales como DansGuardian, examina el contenido de las pginas HTML de bloqueo que se cree que pertenece a una categora no deseada. Los mecanismos de estos filtros pueden ser comparados con los de los sistemas de antispamming. Lamentablemente, sin embargo, no est claro si el permiso de liberacin DansGuardian es compatible para la integracin en un sistema como el Zeroshell y, por tanto, no se utilizan para evitar el riesgo de violacin de la licencia. Por el momento, la nica manera de bloquear o permitir la visualizacin de pginas Web es la lista negra y lista blanca de pginas Web como se muestra en la figura.

Figure 3 Configuracin de las lista negras en el Proxy Web.

Las listas negras y listas blancas consisten en una secuencia de Urls dispuestas en lneas distintas. Cada lnea puede corresponder a varias pginas Web cuando se utiliza el carcter *. Para bloquear el sitio http://www.example.com se sita www.example.com/ * en la lista negra, mientras que una lnea como www.example.com, sin el *, slo bloquear la pgina principal de ese sitio. La lista blanca tiene prioridad sobre la lista negra. En otras palabras, si una pgina Web corresponde a un elemento de la lista negra y, al mismo tiempo, se encuentra en la lista blanca, se permite el acceso a la pgina. Adems, tenga en cuenta que el propsito de la lista blanca no es slo permitir el acceso a pginas que de otro modo estara prohibido por la lista negra, sino tambin para comprobar la derivacin de antivirus. Por favor tome nota de esto. Si el administrador de la LAN quiere adoptar la poltica de proporcionar acceso a un

nmero limitado de sitios, s / se puede especificar el * / * Lnea en la lista negra, lo que impedir el acceso a todas las pginas, excepto los incluidos en la lista blanca.

Pruebas de Proxy y funcin antivirusExisten bsicamente dos razones por las que el Proxy no funcione correctamente. En primer lugar, es necesario asegurar que el cuadro de Zeroshell est configurado como un enrutador o un puente, y tambin que el trfico hacia y desde Internet pasa a travs de este. En segundo lugar, usted debe estar seguro de la correcta configuracin de la [HTTP Capturing Rules], que determinan que las solicitudes HTTP son en realidad redirigido hacia el proceso de Proxy (havp escucha en 127.0.0.1:8080). En particular, si la captura de peticiones http se impone en una interfaz de red que forma parte de un puente, tiene que estar seguro de que al menos una direccin IP ha sido definida en el segundo. La forma ms sencilla de comprobar si el Proxy funciona correctamente es habilitar temporalmente el registro de todos los accesos y mostrar el registro del Proxy, previa solicitud de las pginas Web de un cliente. Una vez seguro de que el Proxy Web captura las solicitudes como se espera, verifique que el software de antivirus ClamAV este funcionando correctamente. Para ello, debe comprobar por primera vez en los registros freshclam que las firmas se actualizan regularmente. Luego, vaya a la URL http://www.eicar.org/anti_virus_test_file.htm para comprobar si el EICAR-AV-Test virus de prueba (que se dice ser inocente por los autores) es capturado y bloqueado. Por ltimo, tenga en cuenta que el Proxy no puede servir a las peticiones HTTPS (HTTP encriptada con SSL / TLS), dado que al no tener la clave privada del servidor Web, no se puede descifrar el contenido y la URL de esta peticin es encapsulada en los tneles de cifrado.

1:1 NAT in ZeroShellRequirementsThe version of ZeroShell used for writing this document is Release 1.0.beta11. This document does not describe installing ZeroShell, it is assumed that the user already has a configured, secured, tested, and working installation of ZeroShell.

OverviewThis document will walk through configuring ZeroShell as a router with 1:1 NAT for servers inside the Local Area Network (LAN) and Many:1 NAT/Masquerading for all other clients on the LAN. The LAN servers will be connected to ETH02, the other LAN clients will be connected to ETH00, and the Wide Area Network (WAN) will be connected to ETH01. Note that there is no restriction that the servers have to be on a separate interface; they could be connected with the other LAN clients on ETH00 just as easily.

This example assumes that multiple public IP addresses are available on the WAN. One IP address will be used by ZeroShell and the Many:1 NAT for regular clients on the LAN. The rest of the IP addresses will also be used by ZeroShell, but translated for the 1:1 NAT for the servers. The servers are configured with private IP addresses. In this example, the public IP addresses are assigned from the 216.0.0.129 network with a subnet mask of 255.255.255.240. The default gateway to the Internet is located at IP address 216.0.0.129. The LAN clients will use private addresses from 192.168.0.1 onward. The servers will use private addresses from 192.168.1.1 onward.

Network SetupLog into the ZeroShell web interface, and click "Setup" under "System" from the menu on the left. Then, click the "Network" tab. ETH00 will be used for our LAN clients, and ZeroShell will have an IP address of 192.168.0.1. To configure this, click the "Add IP" button and fill in "192.168.0.1" for the IP and "255.255.255.0" for the Netmask.

ETH01 will be used for the WAN connection. ZeroShell's "Primary" IP will be 216.0.0.130 with mask 255.255.255.240. For 1:1 NAT, we'll use the IP addresses from 216.0.0.135 through 216.0.0.137. Add the IP addresses the same way as before. ETH02 will be used for the servers. In order for route traffic to/from this interface, ZeroShell must be configured with an IP on this subnet. Add the IP address "192.168.1.1" with subnet mask 255.255.255.0 here. When finished, the Network Setup should looks similar to the following:

The final network setup step is to configure the Default Gateway by clicking the "GATEWAY" button at the top and entering the WAN router's IP address of 216.0.0.129.

1:1 NAT SetupUnder the Setup menu under "System", click the "Startup/Cron" tab. Then select the "NAT and Virtual Servers" script. For 1:1 NAT to work properly, we must add two rules by using the Linux "iptables" command. The first set of rules will translate inbound connections from the WAN to the private IP addresses of the servers before sending the packets for routing. The second set of rules will translate the outbound traffic from the private IP addresses of the servers back to their respective public WAN IP addresses. Failure to add the second set of rules will cause ZeroShell to send all outbound traffic from the "primary" public IP address of 216.0.0.130 later when Many:1 NAT is configured. For this example, we will translate the IP addresses according to the following table: Public (WAN) IP Private (LAN) IP 216.0.0.135 216.0.0.136 192.168.1.35 192.168.1.36

216.0.0.137 192.168.1.37 To do this, input the following into the script: # Translate incoming connections to the private server addresses iptables -t nat -I PREROUTING 1 -d 216.0.0.135 -i ETH01 -j DNAT --todestination 192.168.1.35

iptables -t destination iptables -t destination

nat -I PREROUTING 1 -d 216.0.0.136 -i ETH01 -j DNAT --to192.168.1.36 nat -I PREROUTING 1 -d 216.0.0.137 -i ETH01 -j DNAT --to192.168.1.37 from the private server addresses -s 192.168.1.35 -o ETH01 -j SNAT --to-s 192.168.1.36 -o ETH01 -j SNAT --to-s 192.168.1.37 -o ETH01 -j SNAT --to-

# Translate outgoing connections iptables -t nat -I POSTROUTING 1 source 216.0.0.135 iptables -t nat -I POSTROUTING 1 source 216.0.0.136 iptables -t nat -I POSTROUTING 1 source 216.0.0.137

When finished, click the "Test" button to ensure no errors were made. Then select the box to enable the script and then click "Save" to close the script editor. Note that the -I (Insert) option was used rather than -A (Add) to insert the rule at the beginning of the table. This is necessary since this script is run after ZeroShell has configured its own rules. Failure to insert these rules at the beginning of the table would result in ZeroShell's own masquerading rules to take precedence over the 1:1 NAT configuration.

Many:1 NAT SetupUnder the "NETWORK" section on the left menu, click "Router". Click on the "NAT" tab to open up the Network Address Translation window. This window is used to configure which network interfaces will have all outgoing traffic NAT'ed/masqueraded. In this example, select "ETH01" from the available interfaces and click ">>>" to add it to the NAT Enabled Interfaces. Then click the Save button.

Firewall SetupNow that the network address translation and router is configured, the firewall should be configured to help secure the network. The Firewall rules in ZeroShell can be very advanced, so only a simple configuration is shown here. Note that this sample configuration has not been production tested to ensure proper security. Also note that making errors on the firewall rules could result in being locked out of the ZeroShell web interface.

First, we want to configure access to the ZeroShell router itself to only be allowed from the LAN. Under "SECURITY", click "Firewall". Select the "INPUT" chain. Click "Add" and set the Input to "ETH00", changing nothing else, and click Confirm. This rule will permit all traffic from the ETH00 LAN to anywhere on the box. Next, click "Add" and set the Input to "ETH02" and click Confirm. This rule permits all traffic from the server LAN on ETH02 to anywhere on the box. For the last rule, click "Add", and check only "ESTABLISHED" and "RELATED" under "Connection State", then click Confirm. This rule will permit response traffic from established connections to the box to wherever they originated. Click "Save" to make the new input active, then change its policy from "ACCEPT" to "DROP" so the rules actually take affect. The INPUT rules should now look like the following:

Now, we want to configure ZeroShell's "Forwarding" firewall rules. This is where you will protect your servers and LAN clients from the public network. Select the "FORWARD" Chain to show its firewall rules. Here, we will set up simple rules to permit all outgoing traffic originating from the LAN to the Internet (WAN), and open up a few ports on our 1:1 NAT'ed servers to be accessible from the Internet. Traffic between the two LAN ports (ETH00 and ETH01) will be unrestricted. Click "Add" and set the Input to "ETH00", then click Confirm. This allows unrestricted traffic from the LAN to anywhere the ZeroShell box can route (WAN and Server LAN). Click "Add" again and set the Input to "ETH02", then click Confirm. This allows unrestricted traffic from the server's LAN to anywhere (WAN and Server LAN). Click "Add" again and check the boxes for "ESTABLISHED,RELATED" under "Connection State". This will permit two-way communication for established connections initiated by the previous two rules. Now, we want to open up some ports for our 1:1 NAT'ed servers so they can be accessed from the Internet. The follow table shows which ports need opened up for this example: Public IP Private IP Protocol Port 216.0.0.135 216.0.0.136 216.0.0.137 192.168.1.35 TCP 192.168.1.36 TCP 192.168.1.37 UDP 80 22 123

(all) (all) ICMP (ping) Click "Add", set Input to "ETH01", Destination IP to "192.168.1.35", Protocol Matching to "TCP", and Dest. Port to "80". Click Confirm. Click "Add", set Input to "ETH01", Destination IP to "192.168.1.36", Protocol Matching to "TCP", and Dest. Port to "22". Click Confirm. Click "Add", set Input to "ETH01", Destination IP to "192.168.1.37", Protocol Matching to "UDP", and Dest. Port to "123". Click Confirm. Click "Add", set Input to "ETH01", Destination IP to "192.168.1.35-192.168.1.37", Protocol Matching to "ICMP", and ICMP Type to "echo-request (ping)". Click Confirm.

Now, click "Save" to make the new rules active, and change the Policy to "DROP" so the rules actually take affect. The FORWARD rules should now look like the following:

Finishing UpConfigure the servers connected to ETH02 with appropriate IP addresses and set their Default Gateway to ZeroShell's IP Address of "192.168.1.1". Do the same with the LAN clients on ETH00, except their Default Gateway is "192.168.0.1". Or, configure ZeroShell's DHCP servers to do the same (instructions for this is beyond the scope of this document). Now, click on the Reboot link to restart ZeroShell to ensure everything still works after restarting. Test both incoming connections and outgoing connections to your servers to ensure the 1:1 NAT is working properly. Confirm that the Port Forwarding and Source NAT table looks correct following by clicking "Router", "NAT", then "View":

Punto de acceso inalmbrico con mltiples SSID y VLANEl propsito de este documento es describir la implementacin de un Punto de Acceso WiFi utilizando Zeroshell en un sistema con una tarjeta de red WiFi con un chipset Atheros. El documento se subdivide en las siguientes secciones: Por qu implementar un punto de acceso inalmbrico con los mdulos del kernel de Linux de el proyecto MadWifi? Administrar interfaces inalmbricas y mltiples SSID con el WiFi-Manager Mapa de la LAN inalmbrica en la red VLAN con etiquetas tags Ample la conexin inalmbrica geogrficamente a travs de OpenVPN

Por qu implementar un punto de acceso inalmbrico con los mdulos del kernel de Linux de el proyecto MadWifi?Gracias a la utilizacin de los mdulos MadWifi por el ncleo de Linux, es posible implementar un punto de acceso inalmbrico con un ordenador personal o un dispositivo integrado que tenga una tarjeta de red WiFi (PCI o MiniPCI) con un chipset Atheros. Esta funcin est disponible desde la versin 1.0.beta8 de Zeroshell, que introduce el soporte WiFi en cualquier AP (Access Point) o en modo STA (en el cual un Zeroshell router/bridge se puede asociar como un cliente en una LAN inalmbrica). La opcin de utilizar los controladores Madwifi, combinados con el uso de wpa_supplicant y paquetes hostapd, se debe a su capacidad para desempear las funciones de un Punto de Acceso con caractersticas avanzadas, por ejemplo: Autenticacin de acceso y cifrado del trfico inalmbrico a travs de WPA/WPA2 (RSN). Este es soportado tambin en modo WPA-PSK, en el que el cliente, a fin de estar asociado a un SSID, debe conocer el Pre-Shared Key, o el modo WPA-EAP, tambin conocido como WPA Enterprise, en el que un usuario puede llegar a ser autenticado con nombre de usuario y contrasea o un certificado digital X.509 validado por un servidor RADIUS. Tanto el algoritmo de cifrado TKIP y el mas seguro CCMP, basado en AES, son soportados; Modo de administracin de mltiples SSID (tambin llamado Virtual SSID), gracias al cual es posible crear hasta 4 puntos de acceso virtual independientes para cada tarjeta de red WiFi en el sistema. Es evidente que los SSID virtuales pertenecientes a la misma tarjeta de red WiFi compartiran el canal de radio que utilizan, y por lo tanto el ancho de banda disponible. Adems, para cada SSID virtual es posible establecer un sistema de autenticacin y esquema de cifrado independiente (texto sin formato, WPA-PSK, WPA Enterprise o WEP a 128 bits). De los cuatro posibles SSID tambin se puede trabajar en modo administrado y asociado a una WLAN como un cliente. Por ejemplo, esto es til para ampliar el alcance de la red inalmbrica mediante la aplicacin de autorepetidores que trabajan en WDS (Wireless Distribution System), pero no necesitan estar conectadas entre s por medio de una red cableada.

Compatibilidad con los canales de la red en la banda de 5GHz (802.11a) y la banda de 2,4 GHz (802.11by 802.11g). En particular, en caso de que el modo 802.11g sea seleccionado, la compatibilidad est garantizada para los clientes ms antiguos que slo tienen 802.11b. Zeroshell identifica a cada SSID virtual como si se tratara de una interfaz Ethernet (ETHnn). Esto permite que operen en las redes Wi-Fi, utilizando una interfaz web, as como las interfaces de cable. En otras palabras, en el SSID es posible: Agregar direcciones IP, enrutamiento esttico y tambin permite que el protocolo RIP V2 adquiera y propague las rutas dinmicas; Aplicar clases de calidad de servicio para hacer trffic shaping mediante la asignacin de diferentes niveles de prioridad, ancho de banda el mximo y garantizado a los diferentes tipos de trfico (VoIP, P2P, SSH, HTTP, ...); Hacer de puente con las interfaces Ethernet, VLAN 802.1Q, VPN de LAN a LAN y otros SSID. En particular, la posibilidad de hacer un puente o enlace de capa 2 con un SSID virtual que funciona como un cliente con la calidad de un punto de acceso, permitiendo que funcione el llamado repetidor WiFi (o WDS) que extiende el rea de cobertura de la WLAN; Activar los servicios, incluido el DHCP, portal cautivo y aplicar filtros de trfico por medio del firewall. Aplicacin de bonding, que es aadir dos o ms interfaces de tal manera que se aumente el ancho de banda (balanceo de carga) y fiabilidad (tolerancia a fallos). Naturalmente, para tener enlaces inalmbricos, es necesario que los SSID virtuales que los componen pertenezcan a diferentes interfaces WiFi con el fin de equilibrar el trfico en los diferentes canales de radio.

Administrar interfaces inalmbricas y mltiples SSID con el WiFi-ManagerAunque mediante la interfaz web Zeroshell (vase figura) es posible administrar las interfaces de red que representan los SSID, las operaciones para la creacin y gestin de estos ltimos respecto a los parmetros inalmbricos como el canal a utilizar, la potencia de transmisin en dBm y el cifrado, todos son Gestionado por un script que es llamado por el comando de shell wifi-gerente por medio de una conexin serial RS232 o VGA por consola o mediante una sesin SSH remota. A continuacin puedes ver el men principal del WiFi-Manager:root@gw-adsl root> wifi-manager [wifi0] Chipset AR5413 802.11abg NIC (rev 01) -- If -- Mode -- SSID --------------------------- Hide -- Security >> ETH02 AP WLAN with Captive Portal no Plaintext ETH03 AP WLAN with Pre-Shared Key no WPA-PSK ETH04 AP WLAN with 802.1x Radius Auth. no WPA-EAP ETH05 AP WLAN with WEP no WEP128 [wifi1] Chipset AR5413 802.11abg NIC (rev 01) -- If -- Mode -- SSID --------------------------- Hide -- Security ETH06 STA wrap-psk no WPA-PSK COMMANDS

>>

New SSID Delete SSID Std/Channel/Tx-Power List Stations Restarting Devices

Modify SSID Show Information Channel Scanning Quit

Como puede ver, este sistema se ilustra con un PC ALIX 2C2 Embebido con 2 interfaces WiFi con el chipset Atheros AR5413 802.11abg, capaz de operar tanto en 802.11bg como en 802.11a. En la interfaz inalmbrica wifi0 con 4 puntos de acceso virtuales que comparten la misma frecuencia de radio, se definen cada uno con su propia autenticacin y esquema de cifrado. La interfaz ETH02 corresponde a la WLAN con el SSID "WLAN with Portal Cautivo". Sin cifrado (texto plano) se define para este SSID, pero la autenticacin es sucesivamente delegada al portal cautivo; La interfaz ETH03 corresponde a la WLAN con el SSID "with Pre-Shared Key" con proteccin WPA-PSK, donde se puede acceder conociendo la clave compartida definida durante la creacin del SSID. Este modo de proteccin, que sustituye a WEP, es muy vulnerables a la captura de un nmero determinado de paquetes, se considera suficientemente seguro si se utiliza una clave previamente compartida con el tamao y complejidad adecuada. Naturalmente, como con WEP, el administrador debe comunicar este nmero a todos los usuarios que podrn acceder a la red inalmbrica, y se debe cambiar peridicamente. Esto es factible en configuraciones pequeas, como el servicio domstico o la configuracin SOHO, pero se vuelve muy complicada cuando el nmero de puntos de acceso de usuarios crece; La interfaz ETH04 se refiere al punto de acceso virtual con SSID "WLAN with Radius 802.1x Auth." donde un esquema de encriptacin WPA-EAP ha sido configurado. Este tipo de mtodo de proteccin es la ms segura y flexible, y por lo tanto se utiliza en configuraciones grandes y por eso que WPA-EAP es tambin conocida como WPA Enterprise. Su flexibilidad se debe al hecho de que las claves de cifrado no son generadas por el administrador, pero si de forma automtica por un servicio de RADIUS mediante 802.1x, que autentica al usuario mediante un nombre de usuario y una contrasea (con PEAP with MSCHAPv2 o EAP-TTLS) o por medio de un certificado digital X.509 (with EAP-TLS). Durante la configuracin del SSID con WPA-EAP, se puede optar por utilizar el servidor local Zeroshell RADIUS o hacer una referencia a un servidor RADIUS externo. En el primer caso no es necesario configurar ningn secreto compartido, mientras que en el segundo caso utilizando un RADIUS externo es necesario especificarlo. WEP de 128-bits se define en la ltima interfaz. Es necesaria debido a la existencia de antiguos clientes que no son compatibles con WPA/WPA2, WEP en lo posible debe evitarse dado el bajo nivel de proteccin que garantiza. En el wifi1 una nica interfaz es definida en modo cliente. Esta interfaz se conecta a la red inalmbrica con SSID llamada "WRAP-PSK", protegida por una clave precompartida. Tenga en cuenta que con una tarjeta Wi-Fi puede tener un mximo de un SSID que acte como un cliente. Los otros SSID deben corresponder a los puntos de acceso virtuales. Por otra parte, dado que todos los SSID pertenecen a la tarjeta WiFi y

comparten el mismo canal, ste coincidir con el canal de radio de las WLAN externas. Esto inevitablemente significa compartir el ancho de banda. Teniendo en cuenta la simplicidad del WiFi-Manager, es intil describir ahora cada comando, ya que su uso debe ser muy intuitivo. El anuncio slo es con respecto al "Std/Channel/Tx-Power" voz que se activa con la tecla C del men. Con esto es posible aplicar la norma (802.11a, 802.11by 802.11g y despus con las nuevas versiones del controlador de Madwifi, tambin para 802.11n, todava en proyecto), la disposicin del canal de radio de alta frecuencia para la norma elegida y una potencia de transmisin expresada en dBm o mW. En particular, es necesario establecer este ltimo parmetro con cuidado para evitar pasar por el lmite de potencia permitido por la ley donde se encuentran. Como ya se ha insinuado, una vez que los SSID se crean y configuran con el wifimanager, si stas corresponden a los centros de Acceso Virtual o conexiones de cliente, aparecen en todos y para todos, como Ethernet (ETHnn) las interfaces que pueden ser manipulados a travs de la interfaz web Zeroshell . En el ejemplo ilustrado en la figura siguiente, las cuatro interfaces inalmbricas Multi SSID y la interfaz de cable ETH00 son enlazadas en un BRIDGE00 nico de la interfaz. (ETH00, ETH02, ETH03, ETH04, ETH05)

Interfaz de configuracin. Haga clic en la imagen para ampliarla.

Haciendo esto, todas las 4 redes WLAN, independientemente de su modo de acceso (WPA-PSK, WPA-EAP, Portal Cautivo o WEP), comparten la misma capa 2 de la LAN que es accesible a travs de la interfaz Ethernet ETH00. El hecho de compartir el nivel

de enlace de datos para varios componentes del SSID el cual hace posible utilizar el servidor LAN DHCP (si existe) o slo se necesitara activar una subred con DHCP solo conectado a la interfaz del puente. Obviamente, como el firewall y la calidad de servicio tambin actan en las interfaces de puente, es posible aplicar un acceso independiente y reglas de trffic shaping para cada SSID. Por ejemplo, fuera posible para beneficiar a los usuarios que accedan a travs de la WPA Enterprise con respecto a aquellos que utilizan el portal cautivo, ya que hemos visto que el trfico de esta ltima no est cifrado.

Mapa de la LAN inalmbrica en la red VLAN con etiquetas tagsSi las LAN virtuales se definen en los switches LAN en el sensado de sus puertos son lgicamente reagrupados para que aparezcan como pertenecientes a diferentes (virtual) switches, la comunicacin entre estos switches es posible por medio de puertos de trunk o trunking. Estos puertos se caracterizan por pertenecer simultneamente a ms de una VLAN, los paquetes a travs de ellos deben ser identificados mediante marcas (o VIDs) que identifican la fuente/destino de la VLAN. Uno de los protocolos de trunking ms utilizado es el definido en el estndar IEEE 802.1Q, que tiene una etiqueta de 12-bits con un intervalo de valores vlidos desde 1 hasta 4094. Lo que es ms se define el concepto de los nativos de VLAN, que es la VLAN cuyos paquetes van a travs del trunk por defecto sin etiquetar las tramas Ethernet. VLAN nativas tambin se asignan a tareas de gestin. La difusin de esta norma ha permitido a la interoperabilidad entre diferentes marcas de dispositivos de red y modelos, incluso en las redes LAN virtuales estn presentes. En particular, la funcin de mapeo de las redes VLAN en el que la LAN se subdivide en diferentes SSID inalmbrico se est volviendo ms generalizada. Esto permite la homogeneidad en la asignacin de direcciones IP de subred entre las VLANs que comprende la LAN y el SSID que constituyen la WLAN. Gracias al apoyo de Zeroshell de VLAN 802.1Q, la gestin de mltiples SSID para un nico punto de acceso y la posibilidad de salvar las interfaces que representan a la VLAN con los representantes de los SSID, esto es ahora posible y econmico, sin tener que utilizar un (fsico) punto de acceso para cada LAN virtual que se alcanzara a travs de la red inalmbrica. Por ejemplo, supongamos que una organizacin tiene su LAN subdividida en 2 VLANs: Una VLAN para permitir el acceso a los hosts de servicios y los de escritorio del personal permanente de la organizacin. Esta VLAN, en la que no hay restricciones definidas por el firewall respecto a los recursos de la red interna, tiene un VID 1220 (VLAN ID) y debe ser accesible a travs de SSID inalmbrico a travs de un llamado "Trusted Network". El acceso a este WLAN se debe permitir slo a los poseedores de una tarjeta inteligente o eToken con un certificado personal X.509, esto a travs de WPA-EAP con RADIUS activado para poder responder a EAP-TLS; Una VLAN para permitir que los clientes con computadores porttiles accedan a Internet pero con algunas reglas de firewall que limitan el acceso a los recursos de la red interna. Tal VLAN, cuyo VID se ha establecido como 2350, tambin a travs de cifrado inalmbrico con un SSID llamado "guest". Aunque el trfico viaja sin codificar, en esta WLAN, la autenticacin se solicita al acceso desde el

portal cautivo donde se concede el acceso a travs de un nombre de usuario y contrasea temporal dado a los invitados. La decisin de utilizar el portal cautivo para esta VLAN est motivada por la simplicidad de acceso que no limita a los huspedes a tener configurar su equipo WiFi para solicitar el acceso a Internet. Esta ltima operacin no siempre es inmediata y soportada en todos los sistemas operativos, mientras que el portal cautivo provee acceso independientemente del tipo de sistema, siempre que tenga un navegador web.

Como se ilustra a continuacin, dos SSID virtuales se crean a travs de la wifi-manager: "Trusted Network" corresponde a la interfaz Ethernet ETH02 y con WPA Enterprise activa, "guest" corresponde a ETH03. A pesar de que el hardware que est utilizando tiene 2 tarjetas de red WiFi (wifi0 y wifi1), se decidi crear dos SSID en wifi0. Esto ahorrara un canal de radio, que es un recurso muy valioso cuando se utiliza 802.11b / g, ya que slo hay tres canales sin solapamiento de frecuencias (1,6 y 11).root@multi-AP root> wifi-manager [wifi0] Chipset AR5413 802.11abg NIC (rev 01) -- If -- Mode -- SSID --------------------------- Hide -- Security >> ETH02 AP Trusted Network no WPA-EAP ETH03 AP Guest Network no Plaintext [wifi1] Chipset AR5413 802.11abg NIC (rev 01) -- If -- Mode -- SSID --------------------------- Hide -- Security COMMANDS New SSID Delete SSID Std/Channel/Tx-Power List Stations Restarting Devices >>

Modify SSID Show Information Channel Scanning Quit

Ahora, supongamos que la interfaz Ethernet ETH00 est conectada a un switche en un puerto de trunking a travs del cual las dos VLANs se cuentan con etiquetas 1220 y 2350, adems de las VLAN nativas: con el botn [Crear VLAN] aadimos la mencionada LAN virtual . Una vez hecho esto, creamos dos puentes presionando [Hacer BRIDGE]: BRIDGE00 debe conectar ETH00.1220 (VLAN 1220) con ETH02 (SSID "Trusted Network") en la capa 2, mientras que BRIDGE01 debe conectar ETH00.2350 (VLAN 2350) con ETH03 (SSID "guest"). Todo esto se ilustra en la figura siguiente:

SSID y VLAN bridging. Haga clic en la imagen para ampliarla.

Usted puede notar que no es estrictamente necesario asignar una direccin IP a los dos puentes, mientras que la interfaz ETH00 que corresponde a la VLAN nativa, se le asigna la direccin IP 192.168.0.75, conectndola para que ejecute las opciones de gestin de Zeroshell. En este caso, para completar esta tarea es suficiente activar el portal cautivo en la sesin [Portal Cautivo] -> [Gateway] en interfaz ETH03 (SSID "guest") en el modo Bridge.

Ample la conexin inalmbrica geogrficamente a travs de OpenVPNZeroshell utiliza OpenVPN con dispositivos Tap (Ethernet virtual) como una solucion VPN sitio a sitio. Esto ofrece ventajas a travs de protocolos como IPSec en el sentido de que permite conectar sitios de la organizacin que estn geogrficamente distantes usando la capa 2. De hecho, desde la interfaz Tap (Zeroshell la llama VPNnn) es muy similar a la interfaz Ethernet (ETHnn), la VPN puede ser puenteada con este ltimo y tambin con el SSID inalmbrico. Por lo tanto, ya que no hay procesos de enrutamiento entre la LAN y la WLAN ya sean locales o remotos conectados a travs de la VPN, la misma subred IP se puede utilizar en todas partes. Por lo tanto, no slo un nico servidor DHCP puede ser utilizado para distribuir la misma direccin IP a cada cliente independientemente del lugar y tipo de conexin (cableada o inalmbrica), pero como los protocolos de NetBIOS utilizados para compartir recursos como impresoras de

windows y carpetas puede operar sin tener que utilizar un servidor WINS con el fin de descubrir los recursos de red, ya que el trfico de difusin se propaga de manera uniforme en la LAN y WLAN (local y remota). Siempre gracias a la similitud de las VPN hechas con OpenVPN y las conexiones Ethernet reales, es posible generalizar el ejemplo anterior mediante el transporte de 802.1Q VLAN en sitios remotos, as ampliar su aplicacin va inalmbrica puenteando las interfaces que representan a la VLAN transportadas por la VPN (en el ejemplo anterior son VPN00.1220 y VPN00.2350) con SSID "Trusted Network" y "guest".

HOWTO: ZeroShell WPA Enterprise por Paul TaylorZeroShell se puede descargar en: http://www.zeroshell.net/eng/ Para mi instalacin, he creado una mquina virtual con VMware con 128 MB de RAM y un 0.1 GB de disco duro (102 MB). Despus de arrancar VM, configura su tarjeta de red local a una direccin IP en la red 192.168.0.X, como 192.168.0.99 y ves a http://192.168.0.75 en tu navegador. Inicia sesin como administrador con la contrasea de zeroshell

Instalacin de la base de datos ZeroShell:Nota: Si ya tienes una base de datos ZeroShell, pase a la seccin Crear un nuevo CA. Despus de entrar, seleccione la pestaa storage:

En esta pantalla, selecciona el disco duro. En esta imagen, es "Model: VMware, VMware Virtual S (SDA)". Esta es una unidad SCSI virtual. Nota: Los dos discos IDE real y virtual tendr (HDA) en el extremo.

Una vez seleccionada, aparece este menu en la parte superior

Seleccione "New partition" y obtendr este pop-up:

Introduce un nombre y pulsa Create partition. Cuando se hace, la pantalla se actualiza. Ahora, seleccione "sda1" y obtendrs esta pantalla:

Selecciona Create DB. Recibiras otro pop-up. Rellena en la descripcin, nombre de host, Realm, LDAP Base, una nueva contrasea de administrador. Direccin / Mscara de red para esta instalacin Zeroshell, y pon tu puerta de enlace predeterminada.

Por ltimo, pulsa Crear. En la siguiente pantalla, selecciona la base de datos recin creada y, a continuacin pulsa el botn Activar.

Pulsa el botn Activate en este pop-up, a continuacin, escribe "S" cuando aparezca el mensaje "Est seguro?" Su Zeroshell se reiniciar con la configuracin de red nueva. Nota: En este momento, si est utilizando VMware, tendr que modificar su mquina virtual a travs de la BIOS para arrancar desde el CD-ROM antes que el disco duro, De lo contrario se colgara en el inicio, tratando de arrancar desde el disco duro virtual. Crear un nuevo CA: Despus de unos minutos el arranque estara completado. Ves a la pgina HTTPS a travs de la nueva direccin IP que has seleccionado e inicia sesin como administrador con tu nueva contrasea. Despus de haberte identificado, selecciona el boton CA X509 en el lado izquierdo de la interfaz web.

Selecciona "Setup" en la barra de pestaas.

Aqu, puedes definir tu propia CA. Ten en cuenta que estn prohibidos algunos caracteres, pero la interfaz no te permite saber lo que sali mal. En cambio, los tems vuelven a los valores predeterminados. Aqu estn mis selecciones:

Despus de entrar en la configuracin, pulsa "Generate", y luego en Ok en el mensaje "are you sure". Cuando se actualiza asegrate de que todos los campos son correctos. Crear usuarios A continuacin, ves al tema de usuarios en el panel izquierdo de la interfaz web.

Registra un nuevo usuario, pulsando la tecla tabulador los campos, Home Directory, y la descripcin se rellenan automaticamente. En la parte inferior, escribe la contrasea de los usuarios y verificalo antes de pulsar "submit".

Suponiendo que has rellenado bien todos los campos obligatorios, debes obtener una pantalla que muestra el certificado. Sigue aadiendo hasta que tengas todos sus usuarios.

Configurando RADIUSA continuacin, haz click en la pestaa RADIUS en el men de navegacin de la izquierda.

Selecciona "acces point" en la barra de navegacin de la parte superior. Para aadir un punto de acceso debes poner la direccin IP con un 32 /, con una buena clave secreta. NOTA: La clave secreta no pueden ser mas de 32 caracteres! Radius no se iniciar con una clave secreta mas larga en la version actual de Zeroshell.

Despus de configurar ZeroShell, debes reiniciar a travs del enlace en la parte superior de la pantalla.

Configurando su Punto de Acceso:Esta seccin vara segn el AP que tengais. Bsicamente, tienes que activar la seguridad de RADIUS, seleccionar la WPA adecuada, y configurarlo en el la direccion IP de Zeroshell. Tambien debes configurar tu punto de acceso. En este caso, estoy usando DD-WRT en un Linksys WRT54G, pero debera funcionar bien con el firmware original de Linksys. En mi caso,lo he establecido para RADIUS WPA2 modo mixto, lo que significa que puede tener ambos clientes WPA y WPA2.

Configurando un cliente Mac OS XPara configurar el cliente con Mac OS 10.4,debes iniciar la tarjeta inalambrica.

Pulsa el boton 802.1X

En el men desplegable de configuracin, selecciona "Editar Configuraciones". En este caso, poner una descripcin, aadir un nombre de usuario y la contrasea que has introducido anteriormente, seleccione el SSID de tu red inalmbrica, y desactiva todas las opciones de autentificacin, excepto "PEAP". Por ltimo, pulsa el botn Aceptar, como se muestra a continuacin.

A continuacin, selecciona "ZeroShell" en el men desplegable y conectate. Deberias ver esto:

Pulsa show certificate

Marca la casilla "Confiar siempre en estos certificados" y pulsa Continuar.

Se te solicitar la contrasea de tu Mac OS. Esto es para que el certificado se aada como un certificado de confianza para las siguientes conexiones. Se debe pasar pasar a un estado de Conectado, as:

Ver en el Status "conectado a travs de PEAP". De vuelta en ZeroShell, si pulsas "show request" en pantalla del radius, puede ver los logs de registro ZeroShell. Nota: Si no ves los logs debes reiniciar zeroshell, reiniciar el servidor Radius, aunque esto ultimo no probado. Esta es la pantalla de show request:

la de o lo he

Y la pantalla de 802.1X:

Configurando un cliente en Windows XP:Primero exporta tu CA de ZeroShell. Para ello, ve la pantalla de radius en ZeroShell y pulsa el boton trusted CA. Esto generara un pop-up:

A continuacin, seleccione el CA y pulsa el botn Exportar. El navegador se descargara un archivo llamado "TrustedCA.pem". Copia este archivo a un USB para poder usarlo en Windows. Ahora, en Windows, pulse Inicio, Ejecutar, y escribe MMC y pulsa aceptar, en la nueva ventana pulsa archivo, y agregar o quitar complemento, despus haz click en Agregar y seleccione Certificados. En la siguiente pantalla, seleccione "administracion de equipos" y "Equipo local". A continuacin pulsa Aceptar. Debes tener una pantalla similar a esta:

Expandir la raz trusted root certification, y haz click en Certificados, Ahora, importa el archivo de certificado que exportaste desde ZeroShell. A continuacin, ves a la pestaa de Redes inalmbricas en las propiedades de la tarjeta inalmbrica:

Haz click en el botn Propiedades de la red en cuestin. Para autentificacin de red, seleccione WPA, y para cifrado de datos seleccione, TKIP:

Pulsa la pestaa Autentificacin, marca la casilla "Enable IEEE 802.1x ", y selecciona PEAP para su tipo de EAP. Asegrese de las otras dos casillas de verificacin estn sin marcar:

Selecciona Propiedades. Selecciona la casilla de verificacin para su CA raz. En mi caso, es AddressPlus CA. Asimismo, define el mtodo de autenticacin de MSCHAP.

Pulsa el botn Configurar para MSCHAP y asegurate que la casilla "Usar automticamente mi nombre de inicio de sesin y contrasea de Windows" est sin marcar. La primera vez que trates de conectar, te pedira un nombre de usuario y contrasea. Introduce el nombre de usuario y la contrasea que aadiste en Zeroshell para este equipo. Debes de autentificarte con xito.

Grficos de trfico y estadsticas usando MRTGLa presentacin de grficos estadsticos para evaluar el uso del ancho de banda a Internet se considera una caracterstica opcional de un router; sin embargo, es importante saber esta informacin para entender si en el acceso a Internet hay ineficiencias debido a la pobre distribucin de ancho de banda entre los tipos de trficos (VoIP, Web, P2P, FTP,...) que compiten en la utilizacin de la conexin a Internet. Muchos de los enrutadores utilizan SNMP (Simple Network Management Protocol) para exportar el valor de los contadores de trfico entrante y saliente para cada una de las interfaces de red. Usando software tales como MRTG (Multi Router Traffic Grapher) posibilitan que en repetidas ocasiones, y en intervalos de tiempos regulares, se ejecuten consultas SNMP hacia estos routers y guarden los contadores de trfico. Una vez hecho esto, MRTG permite el anlisis grfico, a travs de un navegador, de la progresin del trfico entrante y saliente de las interfaces del router.

Figure 1 Ejemplo de un grafico MRTG relacionado con la clasificacin del trafico para WWW.

Zeroshell no sigue esta estrategia de exportacin mediante SNMP (ver nota *), sino que integra directamente dentro de MRTG para permitir el anlisis de los parmetros que van ms all de los obtenidos utilizando SNMP. En virtud de ello, los siguientes parmetros pueden ser analizados directamente desde la interfaz Web Zeroshell:

Sistema de carga Nmero de conexiones activas (TCP / UDP) desde y hacia Internet; Interfaz de trfico entrante y saliente, ya sea una tarjeta Ethernet, una red VLAN 802.1Q, una VPN, un puente, un vnculo, una conexin PPPoE (ADSL por ejemplo) o una conexin mvil de 3G (UMTS, por ejemplo / HSDPA); Trfico clasificados por la modulacin del trfico en una clase determinada QoS (VoIP, HTTP, peer to peer, ...) en relacin con el trfico general de la interfaz de salida;

Balance del trfico de Internet en varias puertas de enlace WAN (Balanceo de carga y conmutacin por error) en comparacin con el total de trfico desde y hacia Internet.

El resto del documento se subdivide en las siguientes secciones: Promedio del Sistema de carga Conexiones TCP / UDP activas Trfico entrante y saliente de una interfaz de red Grficos de Trfico sub-divididos por clases QoS Distribucin del trfico en las puertas de enlaces de Internet en equilibrio de carga Activacin de MRTG en Zeroshell o Claves de activacin

Promedio del Sistema de cargaLa informacin estadstica sobre la carga media no cubre directamente el trfico de una red, sin embargo es til para comprender si los recursos de hardware del router (el procesador en particular) son un cuello de botella para la LAN y ralentiza las conexiones independientes de la banda disponible en el acceso a enlaces a la Internet. Para ver el grafico de carga del sistema haga clic en el enlace [Grficos] en el marco de la parte superior derecha. Aparecer una ventana como la que se muestra a continuacin.

Figure 2 Grfico relacionado con la carga del sistema.

La carga promedio es calculada cada 5 minutos multiplicados por 100 se toma en consideracin. El porcentaje de uso del sistema (que figura en parntesis) tiene en cuenta el nmero de CPU del router. En otras palabras, vamos a asumir una carga de 100 en un sistema con 2 procesadores, el porcentaje de utilizacin que indica es de 50%. Por lo tanto, el umbral crtico para que el router pueda ser sospechoso de ser un cuello de botella es de 200 igual a 100% de uso. Los factores que contribuyen principalmente al uso de la CPU en orden creciente son: \ las reglas del firewall, la clasificacin QoS y el equilibrio de carga manual las reglas del firewall y QoS que utilizan los filtros de capa 7 para ejecutar el DPI, cuando muchas conexiones estn presentes. Tenga en cuenta que los filtros de L7 inspeccionan el contenido de los paquetes slo en cuanto se establece una conexin, mientras que el resto se identifican mediante el seguimiento de conexiones (Connection Tracking). Esto pone de manifiesto que los filtros de nivel de aplicacin no cargan el sistema basndose en la banda utilizada, sino sobre la base del nmero de nuevos TCP / UDP abiertos.

Escribir el resultado del seguimiento de conexiones (Connection Tracking) en los registros. Hacer un seguimiento de las conexiones TCP / UDP no es una funcionalidad muy derrochadora en trminos de CPU. Sin embargo, puede ser si el sistema est configurado para registrar las conexiones (IP de origen, puerto de origen, de destino IP, puerto de destino) en los registros. Captive Portal activos en una LAN con muchos clientes activos, pero an no autenticados. A menudo, la presencia de gusanos u otros programas que utilizan el protocolo TCP en puertos 80 y 443 para otras solicitudes de HTTP/HTTPS pueden empeorar la situacin. El uso del HTTP Proxy transparente con antivirus (ClamAV) o un filtro de contenido Web (DansGuardian). De hecho, tener que examinar el contenido de las pginas Web inevitablemente sobrecarga la CPU. En tales casos, es necesario tambin garantizar una cantidad de memoria RAM suficiente para evitar el intercambio de discos.

Conexiones TCP / UDP activasLa progresin del nmero de conexiones activas es un buen ndice para monitorear la actividad de la red. Por ejemplo, un elevado nmero de conexiones podra significar el intercambio de archivos utilizando tcnicas de P2P.

Figure 3 - Grfico relacionado con el nmero de conexiones activas.

Recuerde que Zeroshell es diferente desde determinados enrutadores que se olvidan de las conexiones TCP en un perodo corto de tiempo de espera; esto se debe a que est configurado para realizar un seguimiento de las conexiones que no intercambian trfico incluso durante largos periodos de tiempo (por ejemplo, sesiones interactivas de SSH en reposo para das). Por un lado, esto es una ventaja; por el otro, donde las conexiones no estn correctamente cerradas, puede provocar que las conexiones que no han estado activas por un tiempo sean salvadas. Si desea establecer un tiempo de espera para las conexiones TCP, establezca el parmetro /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established al nmero de segundos que una conexin se considera expirada, despus de la inactividad, y por lo tanto cancelada por las tablas de seguimiento de conexiones (Connection Tracking).

Trfico entrante y saliente de una interfaz de redEl uso tradicional del MRTG es permitir el seguimiento del trfico de las interfaces de red de un router, tanto de flujo arriba como abajo. El mismo grfico sigue el trfico entrante en VERDE, mientras que el trfico saliente en AZUL.

Figure 4 Grfico relacin entre trafico entrante y saliente de una interfaz de red.

Los porcentajes se refieren, en lo posible, a la banda mxima que la interfaz puede soportar. Zeroshell permite al grfico de trfico obtener datos en descarga/subida de los tipos de interfaces siguientes: Ethernet, VPN, PPPoE y 3G. Lo mismo puede decirse de las combinaciones de interfaz como los lazos y los puentes y para la VLAN 802.1q. Adems, si Zeroshell se utiliza como una conexin Wi-Fi Access Point con SSID mltiple, es posible obtener el grfico del trfico para cada SSID.

Grficos de Trfico sub-divididos por clases QoSSi el trfico est activo en la configuracin de una interfaz de red, es posible mostrar el grfico sobre el trfico de salida clasificado por tipo de trfico. El diagrama del trfico total de salida de la interfaz se muestra en AZUL, mientras que el trfico clasificado en la categora correspondiente QoS en VERDE.

Figure 5 Grfico relacin de trfico por QoS categoras

El color AMBAR representa el porcentaje de uso de QoS en comparacin con el trfico total de la interfaz. Por lo tanto, la figura arriba muestra fcilmente que la VoIP saliente, trfico de interfaz ETH03, es en promedio el 4% del trfico total, con picos del 33%.

Distribucin del trfico en las puertas de enlaces de Internet en equilibrio de cargaGracias a Balancer Net, Zeroshell puede distribuir el trfico de acceso a Internet a travs de mltiples conexiones WAN que puede ser xDSL, 3G u otra. El equilibrio puede ser automtico, con Round-Robin ponderado o manual con reglas (similares a las de Firewall y clasificador QoS) que obligan a determinados tipos de trfico a utilizar una puerta de enlace determinada. Para el balanceo de carga automtico, es til consultar el grfico de distribucin del trfico para comprender si las puertas de enlaces se utilizan en proporcin al ancho de banda mximo disponible para ellos. Si por el contrario el peso de la puerta de enlace puede ser modificado. Este parmetro es, de hecho, directamente proporcional a la probabilidad de que la conexin es enrutada en ese enlace.

Figure 6 Grfico relacin de la distribucin del trfico en una puerta de enlace de Internet.

VERDE indica el trfico entrante y saliente por la puerta de enlace elegida, mientras que el AZUL indica el trfico total de Internet. La relacin porcentual entre el trfico en el enlace elegido y el trfico en general es en mostrado con el color AMBAR.

Activacin de MRTG en ZeroshellMRTG puede ser configurado en Zeroshell desde la versin 1.0.beta11 o posteriores, como una actualizacin externa (C110). En versiones posteriores, MRTG se incluir directamente en la distribucin y por lo tanto no requieren la instalacin manual como una actualizacin. En la versin 1.0.beta11, MRTG se instalarn escribiendo los siguientes comandos utiliza un cable VGA/SERIAL consola o conexin SSH: cd /Database wget http://www.zeroshell.net/listing/C110-MRTG-Statistics-beta11-v2.tar.bz2 tar xvfj C110-MRTG-Statistics-beta11-v2.tar.bz2 cd C110 ./install.sh

Despus de haber instalado el software, el botn/enlace [Grficos] aparecer. Utilice esta opcin para acceder al formulario Web de gestin de MRTG. La forma ms fcil de llegar al enlace [Grficos] es la que aparece en el cuadro en la parte superior derecha de presentacin de reportes de la informacin del sistema. Si este vnculo no est disponible inmediatamente despus de la instalacin, pulse [Actualizar] en este marco.

Claves de activacinA diferencia de las otras funcionalidades Zeroshell, algunos de los grficos estadsticos slo se generan si se activa mediante una clave de activacin. Los siguientes grficos no requieren de desbloqueo: Sistema de carga Nmero de conexiones activas Trafico entrante / saliente de VPN, puente, lazos PPPoE y UMTS / HSDPA Clases QoS conectados a VPN, puente, lazos PPPoE y UMTS / HSDPA

Mientras que los grficos a continuacin requieren ser desbloqueos utilizando una clave de activacin: Trafico entrante / saliente en Ethernet / Wireless y 802.1Q e interfaces VLAN Clases QoS conectados a interfaces Ethernet / Wireless Balance de Carga para conexiones a Internet

Las claves de activacin dependen de la direccin MAC de las tarjetas de red. Cada tarjeta de red presente en el sistema requiere una clave de activacin diferente para obtener el grfico correspondiente. Sin embargo, mediante la activacin de la grfica para una interfaz Ethernet, se puede usar la misma clave para activar automticamente el grfico relativo a la VLAN y las clases de QoS. Si mltiples SSID se definen en la misma conexin Wi-Fi de la tarjeta de red, basta con activar el grfico correspondiente a una sola SSID y los otros grficos relacionados con otro SSID automticamente se desbloquearan. Como se ha mencionado antes, las claves de activacin dependen exclusivamente de la MAC de las interfaces Ethernet /Wireless y, en consecuencia, si Zeroshell est instalado en el mismo hardware o simplemente cuando un nuevo perfil de configuracin es creado, entonces las claves de activacin ya obtenidas pueden ser reutilizadas con xito. Las claves de activacin se genera en base a los cdigos de funcin comunicados a travs de e-mail (ver http://www.zeroshell.net/eng/activation) y pueden ser comunicados varios cdigos de funcin en la misma peticin. Se necesita de una contribucin al desarrollo de Zeroshell para obtener las claves de activacin. En la actualidad pueden ser contribuciones como: Creacin de un documento en formato HTML o PDF en un aspecto de la configuracin de Zeroshell. Tambin puede ser una simple descripcin de su experiencia con Zeroshell. El autor del documento debe ser especificado y,

posiblemente, (opcional) su e-mail de referencia para permitir un contacto de los lectores. Todas las actualizaciones para el documento debe ser hecha por el autor de alojamiento en un espacio Web con acceso de edicin. El URL del documento estar vinculado en la seccin de documentacin. Una donacin modesta a travs de PayPal. Los ingresos sern utilizados para la compra de hardware con fines de testeo y/o para cubrir los gastos de gestin.

La produccin de la documentacin es, sin duda la contribucin ms positive, pues esperamos realmente apoyar a aquellos que desean configurar y utilizar Zeroshell. La donacin a travs de Paypal slo debe ser seleccionado cuando no tienes el tiempo para el proyecto o la oportunidad de aportar a la documentacin. Tambin tenga en cuenta que el mecanismo de clave de activacin no influye en el paquete MRTG cuyo cdigo fuente se compila como disponible en su sitio oficial. La activacin se refiere a un lugar externo plug-in, escrito especficamente para Zeroshell, por la que MRTG se configura para recopilar datos estadsticos. Nota: (*) Si en lugar de utilizar el paquete MRTG integrado prefiere exportar los contadores de trfico a travs de SNMP y el uso de un paquete de control externo, instale el paquete net-snmp compilados para Zeroshell.

CONFIGURACION DE SERVIDOR NTP Y LOGS EN ZEROSHELL1. USAR ZEROSHELL COMO SERVIDOR NTP (NETWOORK TIME PROTOCOL): CONCEPTO: (Tomado de Wikipedia): Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de los sistemas informticos a travs de ruteo de paquetes en redes con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123. PARA QUE ME SIRVE: Usando esta funcionalidad del ZEROSHELL, puedo mantener sincronizados los relojes de los equipos Ubiquiti: Nanostation, Rocket, Bullet, NanoBridge, etc. Y para que me servira tener sincronizados los Relojes de los Ubiquiti? En la siguiente parte veremos que los equipos ubiquiti pueden enviar informacin de LOG al servidor de Zeroshell con el fin de saber por ejemplo, en que momento se conect cualquier cliente o cuando de desconect, etc. Y para ello es imprescindible que los equipos tengan sincronizada la hora y la fecha. COMO ACTIVAR EL SERVIDOR DE TIEMPO (NTP) EN EL ZEROSHELL: En la Barra Izquierda del Zeroshell hacemos Clic en SETUP y Luego en TIME (En la barra superior horizontal). Al hacerlo nos muestra la ventana de la Figura 1. Seleccionamos la Time Zone, segn nuestra ubicacin, en mi caso America/Caracas y hacemos clic en el Botn SAVE. Activamos los Checkpoint Client y Server y hacemos clic en el Botn SAVE correspondiente. Hacemos clic en Close.. Con esto ya habremos activado el Servidor y Cliente de NTP. Con ello nuestro Zeroshell ya puede enviar la hora y fecha a los equipos ubiquiti, as como sincronizar la hora y fecha del computador de uno de los servidores que se muestran en la lista en Parent Servers Figura 1. Activacin del Servidor de NTP

1. 2. 3. 4.

3 paso

2 paso

COMO CONFIGURAR EL EQUIPO UBIQUITI PARA QUE TOME LA HORA DEL SERVIDOR ZEROSHELL. En mi caso: 1) El servidor Zeroshell en la tarjeta de red a travs de la cual conecto el equipo ubiquiti, tiene la direccin IP 192.168.2.1. 2) El equipo Ubiquiti tiene la direccin IP 192.168.2.8. Entonces: 1) En el explorador de Windows, Mozilla, Crhome, Opera o cualquier otro navegador en la barra de direcciones escribo la IP del Equipo Ubiquiti: http://192.168.2.8 2) Escribo el nombre del usuario y contrasea asignados al equipo. 3) Hago clic en la pestaa SERVICES: 4) Me ubico en el apartado NTP CLIENT y activo el Checkmark Enable NTP Client. Y en la casilla de abajo escribo la direccin IP del servidor de Zeroshell segn se muestra en la Figura 2. 5) Hacemos clic en Change y luego en Apply. 6) Unos instantes despus podemos ver en la Pestaa MAIN, como la fecha y hora del equipo se ha actualizado. Ver Figura 3. Figura 2. Activacin del Cliente NTP del equipo Ubiquiti.

Figura 3. Fecha y Hora Actualizados en Equipo Ubiquiti Nanostation M5

2. USAR ZEROSHELL COMO SERVIDOR DE LOGS DE EQUIPOS UBIQUITI QUE SON LOS LOGS: Volviendo a Wikipedia: La palabra log es un trmino anglosajn, equivalente a la palabra bitcora en lengua castellana. Sin embargo, se utiliza en los pases de habla hispana como un anglicismo derivado de las traducciones del ingls en la jerga informtica. Del mismo trmino tambin proviene la palabra blog, que es la contraccin de "web log". Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los profesionales en seguridad informtica es usado para registrar datos o informacin sobre quin, qu, cundo, dnde y por qu (who, what, when, where y why) un evento ocurre para un dispositivo en particular o aplicacin. La mayora de los logs son almacenados o desplegados en el formato estndar, el cual es un conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma cada log generado por un dispositivo en particular puede ser ledo y desplegado en otro diferente. PARA QUE ME SIRVE: Bueno, observando los LOGs, en mi caso lo he usado para: 1) Saber a que hora se conect o desconect un Cliente de un Access Point 2) Saber cuando fue la ltima vez que un equipo Ubiquiti en modo Access Point o Cliente tuvo conexin con otro equipo, esto en caso de equipos remotos que no sabemos si estn activos o se daaron, hurtaron o simplemente se quedaron sin suministro elctrico. COMO CONFIGURAR ZEROSHELL PARA QUE ACEPTE LOS LOGS DE LOS EQUIPOS UBIQUITI (Y CUALQUIER OTRO EQUIPO): 1. Hacemos clic en SETUP y luego en LOGs para activar el LOG MANAGER SETUP. Ver Figura 4. 2. Activamos el Checkpoint Accept Remote Logs. 3. Si deseamos a su vez que Zeroshell envie Logs a otro servidor de Logs, activamos el Checkpoint Send Logs to remote Syslog y al lado colocamos la direccin IP del otro servidor de Logs. 4. Opcionalmente podemos activar los Chekpoints: Compress the oldest logs para que zeroshell comprima la informacin recibida de los logs que ya es antigua y tambin podemos activar Delete the oldest log para que el servidor borre los logs mas antiguos. 5. Hacemos clic en el Boton SAVE para grabar y CLOSE para cerrar esa ventana. Con ello ya tenemos activado el Servidor de Logs de Zeroshell.

Figura 4. Activacin del Servidor de Logs de Zeroshell.

COMO CONFIGURAR EL EQUIPO UBIQUITI PARA QUE ENVIE LOS LOGS AL SERVIDOR ZEROSHELL En mi caso: 1) El servidor Zeroshell en la tarjeta de red a travs de la cual conecto el equipo ubiquiti, tiene la direccin IP 192.168.2.1. 2) El equipo Ubiquiti tiene la direccin IP 192.168.2.8. Entonces: 1) En el explorador de Windows, Mozilla, Crhome, Opera o cualquier otro navegador en la barra de direcciones tipeo la IP del Equipo Ubiquiti: http://192.168.2.8 2) Escribo el nombre del usuario y contrasea asignados al equipo. 3) Hago clic en la pestaa SERVICES: 4) Me ubico en el apartado SYSTEM LOG y activo los dos Checkmark que se encuentran debajo: Enable Log y Enable Remote Log. Luego en la casilla de abajo (Remote Log IP Address) escribo la direccin IP del servidor de Zeroshell segn se muestra en la Figura 5 y debajo en Remote Log Port escribo el Numero del Puerto Configurado en el Zeroshell, en este caso lo dejamos quietico en 514. 5) Hacemos clic en Change y luego en Apply. Con eso ya habremos activado el Equipo Ubiquiti para que envie los LOGs al servidor de Zeroshell. Figura 5. Activacin del Equipo Ubiquiti para que envie Logs al servidor Zeroshell.

COMO VISUALIZAR LOS LOGS (BITACORAS) EN ZEROSHELL 1. En la barra izquierda del Zeroshell hacemos clic en la opcin Logs 2. Nos aparece la ventana Log Viewer que se muestra en la Figura 6. All seleccionamos la direccin IP del Equipo ubiquiti que nos interese ver sus logs y la Fecha. 3. En caso que el Log sea muy largo o que solo se requiera filtrar cierto tipo de informacin como una direccin MAC u otro, entonces hacemos clic en el recuadro Filter y escribimos el dato que queremos filtrar, luego hacemos clic en el botn Refresh. 4. En la ventana de abajo vemos la Hora y el Evento Ocurrido. Figura 6. Ventana Visualizador de Logs. del

Gua Elaborada por Juan Lugo el da 19/11/2010. Las ventanas que se muestran corresponden a: ZEROSHELL RELEASE 1.0.BETA 13 y UBIQUITI NANOSTATION M5 Todas las marca mencionadas son propiedad de sus respectivos dueos. http://www.zeroshell.net, http://www.ubnt.com, http://www.es.wikipedia.org Cualquier Informacin relacionada al tema, observaciones y comentarios hacerlos a: [email protected].

Personalizando un Certificado CA en Zeroshell.Escrito por: Joker

Personalizando un Certificado CA en Zeroshell.Un poco de Cultura. Qu es un CA x.509?

Osmosis Inc

Un Certificado Digital es el equivalente electrnico a un Documento de Identidad. Permite identificarnos, firmar y cifrar electrnicamente documentos y mensajes. El Certificado Digital garantiza:

La integridad de los datos transmitidos Su procedencia La deteccin de cualquier manipulacin que hayan podido sufrir

En otras palabras el CA es un documento electrnico el cual permite identificarnos ante el servidor zeroshell para entablar comunicacin privada y segura a travs de la red. Para que usa Zeroshell los CA? Lo usa para entablar conexiones seguras SSL, para sincronizar datos va VPN, para expedir un certificado para la configuracin de RADIUS SERVER, entre otros muchos usos. Por qu crear mi propio CA y no Usar el Default? Si solo vamos a usar Zeroshell para probarlo y ver las diferentes funciones que tiene no es necesario crear un CA personalizado ya que bastara con el que por default crea zeroshell, pero si deseamos realizar una implementacin de zeroshell en un ambiente productivo o real que mejor que tener nuestros propios certificados que muestren informacin sobre quienes somos realmente. (Esto no le quita el crdito a zeroshell solo hablo de identificarnos nosotros mismos ante nuestra implementacin).

Bueno despus de estas 3 preguntas fundamentales para comenzar aqu vamos.

Personalizando un Certificado CA en Zeroshell.Ingresamos a la interface grfica de Zeroshell a travs de la direccin ip o dominio en el que zeroshell fue previamente configurado: Nota: si estamos trabajando en el profile default de Zeroshell la ip es 192.168.0.75, aunque recomiendo crear nuestro propio perfil.

Osmosis Inc

Como podrn ver en el primer inicio nos dira que la conexin no esta verificada en pocas palabras el certificado no es valido para las politicas de nuestro navegador, el movito no es que sea daino o falso nuestro certificado si no que el validador de mozilla de acuerdo a sus politicas de Certificados ha leido a nuestra identidad Emisora de Certificados como no valida pero eso no significa que estamos en problemas o que no va a funcionar, basta con hacer click en Entiendo los riesgos Y aadir una excepcin haciendo clic sobre la leyenda Aadir Excepcin.

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Al hacer clic en Aadir Excepcin nos aparece una pantalla semejante a esta vamos a revisar unos cuantos datos haciendo clic sobre el botn Ver

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Bien este es nuestro certificado digital el cual fue emitido por zeroshell al entablar una conexin segura SSL , en el podemos apreciar informacin importante y relevante tal es el caso quien lo emiti, y para quien lo emiti, as como la huella digital o firma del certificado, podrn ver que por default aparece que lo emite zeroshell Example CA, repito si a nosotros solo nos interesa probar zeroshell no tiene ningn caso hacer este tutorial en cambio si vamos a implementar zeroshell para el ambiente en produccin o ambiente real y queremos que nuestro Certificado Digital aparezca que fue emitido por nuestra implementacin (institucin, escuela, hospital), debemos personalizarlo , Cmo hacerlo?, aqu comenzamos.

Personalizando un Certificado CA en Zeroshell.Una vez que hemos agregado la excepcin de certificado y hecho login in previamente en la interface web de zeroshell Ir al men Security >> X.509 CA

Osmosis Inc

Acto seguido nos dirigimos a la opcin o pestaa con la etiqueta: Setup

Una vez que hemos ingresado a Setup podremos ver un form de la siguiente manera:

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Personalizamos cada uno de los campos del formulario con la informacin que deseamos:

Por ejemplo yo quiero que mi nombre comn sea Magnolias Inc. Entonces Borro los datos actuales e introduzco mi dato. El Key Size: lo dejamos por ahora en default o el valor de 1024 bits. Validity (Days): se refiere a la cantidad de das en que nuestro Certificado ser valido. Country Name: Para nuestro caso que estamos en Mxico es MX el valor. Satate or Province: Aqu podemos agregar un dato ms sobre en que estado nos encontramos o simplemente dejarlo en blanco. Locality: La localidad actual. Organization: Organizacin a la que pertenecemos o institucin. Organization Unit: Departamento para el cual estamos expidiendo el Certificado Email Address: Aqu va el mail de contacto o del administrador de la red generalmente.De acuerdo a nuestro Ejemplo tendriamos algo asi:

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Paso siguinte es hacer clic sobre el botn con la leyenda Generate

Nos mostrara una advertencia que nos dice: PRECAUCIN: Si continuas con esta operaciones se perderan todos los Certificados y Llaves Privadas ya creadas (Incluyendo HOST y Certificados de Usuarios Tambien), y el certificado de Autoridad sera reiniciado. An asi deseas continuar?

Hacemos clic sobre el botn Aceptar Ahora nos haciendo clic en la pestaa con la leyenda List entramos a la lista para regenerar algunos certificados:

Una vez que estamos en el listado de certificados hacemos clic sobre el botn Create para generar el nuevo certificado al usuario Admin

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Seleccionamos el usuario al que deseamos crearle su nuevo certificado, que para nuestro caso es admin, y hacemos clic sobre el botn Create.

Si todo es correcto debemos de ver una pantalla similar a esta.

Personalizando un Certificado CA en Zeroshell.Si observamos nuevamente la lista de Certificados podremos ver que ahora ya tambin aparece el certificado para el usario admin con estatdo OK y valido. Lo que significa que hemos logrado con xito la personalizacin de nuestro certificado.

Osmosis Inc

Comprobando que el certificado ahora emite nuestra informacin: Para este test puede ingresar desde otra maquina de la lan conectad a zeroshell y observar los datos del certificado:

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Ahora si tenemos nuestro certificado personalizado con nuestros propios datos.

Cualquier duda o comentario?... [email protected] Amor y Cario a mis padres.

Cmo instalar Zeroshell en un pendrive usando WindowsPor Eric Long Esta gua cubre la grabacion de la imagen CompactFlash/IDE/USB/SATA a un pendrive USB. Este procedimiento fue realizado en Windows 7 y en Windows XP SP3. 1. Descarga e instala la ltima versin de Physdiskwrite (http://m0n0.ch/wall/physdiskwrite.php) 2. Descarga la imagen de Zeroshell CompactFlash/IDE/USB/SATA 3. Extrae el archivo de imagen .img del archivo del gzip 4. Conecta a tu ordenador el pendrive usb en el cual deseas instalar zeroshell. 5. CRUCIAL: Usando el administrador de discos o otro software elimina todas las posibles particiones que contenga dejando solo una. Antes de eliminar particiones en el disco 1.

Despues de eliminar las particiones en el disco 1:

6. En windows xp haz click en ejecutar y teclea cmd. Si no encuentra el cuadro ejecutar teclee cmd en el cuadro de busqueda y aparecera. Haz click en cmd.exe y selecciona ejecutar como administrador y a


Recommended
ZeroShell WPA Enterprise

ZeroShell WPA Enterprise

Documents

Menu completo

Menu completo

Documents

Using ZeroShell as a NetBalancer, QoS server & Captive Portal.

Using ZeroShell as a NetBalancer, QoS server & Captive Portal.

Documents

Financiera completo

Financiera completo

Art & Photos

Qb16 completo

Qb16 completo

Documents

Arban Completo

Arban Completo

Documents

Iam Completo

Iam Completo

Documents

B1 completo

B1 completo

Documents

Realizzazione di un HotSpot su rete Fastweb con ZeroShell su

Realizzazione di un HotSpot su rete Fastweb con ZeroShell su

Documents

Dao Completo

Dao Completo

Documents

Otro Manual Zeroshell

Otro Manual Zeroshell

Documents

Alea3 completo

Alea3 completo

Documents

RestaurantEstiloFrances (Completo)

RestaurantEstiloFrances (Completo)

Documents

Tepsi Completo

Tepsi Completo

Documents

Twinie completo

Twinie completo

Travel

My Experience with Zeroshell · 2011. 12. 28. · Author: Martin Chamambo Email Address:chamambom@gmail.com Our Experience with Zeroshell The following Document explains our experience

My Experience with Zeroshell · 2011. 12. 28. · Author: Martin Chamambo Email Address:[email protected] Our Experience with Zeroshell The following Document explains our experience

Documents

Habitos Completo

Habitos Completo

Documents

HomeWork Completo

HomeWork Completo

Documents