Cómo sustituir Active Directory y reforzar la seguridad e infraestructura en tus despliegues de Voz...
-
Upload
elastix -
Category
Technology
-
view
2.488 -
download
4
description
Transcript of Cómo sustituir Active Directory y reforzar la seguridad e infraestructura en tus despliegues de Voz...
ZENTYAL SERVER 3.2Cómo sustituir Active Directory y reforzar la seguridad e infraestructura en tus despliegues de Voz IP con Zentyal
15 OCTUBRE | CIUDAD DE MÉXICO | MÉXICO
Israel Charles: ● Gerente de tecnología en Sinc.● Desarrollador del sistema OpenFIN● Administrador de sistemas Linux desde 2004,
principalmente implementando servidores de VPNs, PostgreSQL, VNC y Samba
● Experiencia en CentOS, Ubuntu y Zentyal.
S I n c: ● Desarrolla soluciones para intermediaros
financieros mejor conocidos como entidades de ahorro y crédito popular.
● Utilizamos GNU/Linux (Ubuntu) desde el desarrollo hasta la implementación de escritorios y servidores.
● Fuímos el primer Professional Partner de Zentyal en México.
4 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Zentyal
● Servidor Linux para PYMEs que permite gestionar toda la infraestructura TIC
● Interfaz de usuario sencilla y fácil de usar
● Seguro y robusto
● Basado en Ubuntu Server LTS
5 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com
Migrando de Microsoft AD a Zentyal/Samba4
6 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com
¿Por qué migrar parte de la infraestructura a Samba?
7 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
¿Por qué mover parte de los servicios a Samba?
Lo mejor de los dos mundos● Integración de los clásicos servicios
Linux en un AD● Sincronización bidireccional gracias a
Zentyal● Soportado por los partners y por el
fabricante
8 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Antes de empezar – Limitaciones presentes de Samba4
● Solo un dominio por bosque
● Los subdominios no están soportados en este momento
● Nivel funcional del bosque desde 2003 a 2008R2
● Las relaciones de confianza entre bosques y dominios no están soportadas
● No es compatible con MS Exchange
● Si MS Exchange se encuentra instalado, la replicación no funcionará correctamente
9 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com
¿Que tipo de migración estás planeando para tu
infraestructura?
10 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Casos de migraciónControlador adicional
● Windows mantiene los roles FSMO● El principal objetivo es centralizar la autenticación● Soporte de Kerberos para mejorar seguridad y
usabilidad
Migración total, servidores de Windows como adicionales
● Se transfieren los roles FSMO a Zentyal● Podemos mantener servicios exclusivos de
Windows funcionando sin complicaciones
11 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Casos de migración
Migración total, únicamente servidores Zentyal
● Replicación y escalabilidad muy asequible● Los equipos Windows seguirán funcionando sin
necesidad de unirlos nuevamente al dominio o realizar ningún cambio
12 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Controlador Adicional
● La configuración del DNS es extremadamente importante para que funcione la replicación
● Necesitaremos por lo menos una interfaz interna correctamente configurada
● Evitar obtener direcciones por DHCP en el servidor
● Tu dominio local tiene que ser el mismo al que estamos uniendo
● Nos aseguraremos de que todos los clientes y servidores están perfectamente sincronizados, usando NTP
13 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Controlador Adicional - II
● Nos aseguraremos de que el cliente de DNS está apuntando al servidor local de DNS (127.0.0.1)
● Nos aseguraremos de que tenemos conectividad local con el resto de servidores del dominio
● Necesitamos saber el FQDN del servidor al que nos tenemos que unir
● Necesitamos también saber la dirección IP del DNS principal del dominio
● Nunca replicaremos el directorio sobre una red WAN
● Si no hay más remedio, desplegaremos una VPN en primer lugar
14 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Puntos a comprobar después de unirnos al dominio
● La información de LDAP está correctamente sincronizada
● Las GPOs se han sincronizado correctamente
● Los sistemas de escritorio siguen funcionando sin ninguna perturbación en sus funciones
● Se han transferido los registros DNS
● Podemos unir nuevos equipos al dominio y, una vez unidos, reciben y ejecutan los GPO correctamente
● Incluso sin acceso al controlador principal, dado que las GPO se han replicado
15 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com
Migración Total
16 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Transferring FSMO Roles
● Zentyal puede volverse el controlador principal si transferimos los 5 roles FSMO
● Zentyal dispone de un script que localiza el servidor que posee el rol y solicita la transferencia
● Una vez migrado, deberíamos poder apagar los controladores adicionales y todo seguirá funcionando igual
● Exceptuando cuestiones de escalabilidad y conectividad de red
● Es posible comprobar quien es el dueño de uno de los FSMO desde cualquier controlador del dominio
17 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com
Reforzando la seguridad e infraestructura de la red en
despliegues VoIP
18 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Contexto
● Zentyal cuenta con diferentes perfiles de funcionalidad: Infraestructura, Gateway & UTM, Oficina, Comunicaciones.
● Se manejan al rededor de 40 módulos integrados
● Sin embargo... Zentyal ha dejado de proveer VoIP desde su versión 3.2.
19 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Contexto
● Se recomienda desplegar dentro de nuestra infraestructura otra solución dedicada específicamente a este ámbito.
● La solución VoIP recomendada desde Zentyal es: Elastix
20 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com
Firewall
21 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Intuitivo pero muy potente● Fácil de entender y mantener
● Seguro por defecto
● Utiliza el subsistema Netfilter integrado en el kernel
● Redireccionamiento de puertos de entrada (DNAT)
22 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Intuitivo pero muy potente● Diferentes secciones para diferentes
flujos de tráfico
● Abstracciones
● Objetos● Servicios
● Integrado con registros y eventos
23 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com
Moldeado de tráficoQoS
24 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Calidad en el servicioLimitar y garantizar los diferentes flujos de tráfico es muy importante para servicios sensibles a la latencia como la VoIP
25 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Calidad en el servicio
● Es importante limitar las tasas de servicios que consumen un ancho de banda considerable, para que los servicios importantes no se vean interrumpidos
26 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com
Multigateway
27 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Configuración multi-gateway
● Para un despliegue de nivel empresarial, a menudo, un solo acceso a Internet no es es suficiente:● Tolerancia a fallos● Ancho de banda extra● Enrutamiento específico para ciertos
protocolos
28 of 33Octubre 2013 ELASTIX WORLD 2013 www.zentyal.com
VPN / Interconexión de oficinas
29 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Contexto
● Si deseas exponer servicios a Internet, es necesario tener seguridad a niveles estrictos.
● Algunos de estos servicios pueden estar destinados solamente a uso interno
● Internet es un lugar peligroso, pero puedes crear redes privadas virtuales que interconecten varias oficinas.
30 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Ventajas
● Seguridad
● Usando tus propios certificados digitales y tu CA, el túnel es asegurado y autenticado en ambos extremos.
● Puedes utilizar protocolos planos sobre el túnel, la seguridad se otorga a nivel de transporte
● Abstracción: se puede vincular a todos los sitios en una red interna global.
31 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Diferentes piezas
● Gracias a su integración con Samba/Kerberos Zentyal ofrece un reemplazo nativo de Microsoft Active Directory que está despertando un gran interés.
● El módulo de OpenChange nos permite a su vez reemplazar Microsoft Exchange
32 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
¡Dos soluciones que pueden complementarse muy bien!
● Excelente servicio de VoIP con una distro dedicada a este aspecto: Elastix
● Integración con todo el ecosistema de Microsoft Windows/AD gracias a Zentyal/Samba4
● De hecho...
● Zentyal y Elastix están estudiando la integración tecnológica
33 of 33Octubre 15 ELASTIX WORLD 2013 www.zentyal.com
Israel Charles,
Gerente de Tecnología
www.sinc.com.mxwww.zentyal.com
¿Preguntas?