Despliegue de servicios basados en código abierto en el sector empresarial del

territorio.

Autores: M. Sc. Eduardo Miranda Hidalgo Ing. Michel Ávila Rosales

DESOFT Holguín DESOFT Holguín
eduardo.miranda@desoft.cu michel.avila@desoft.cu

Ing. Yunier A. Pérez Tamayo Ing. Leosdani Batista Batista

DESOFT Holguín DESOFT Holguín
yunier.perez@desoft.cu leosdani.batista@desoft.cu

Ing. José M. Cabrera Gutierrez

DESOFT Holguín
jose.cabrera@desoft.cu

Temática: El desarrollo de aplicaciones y la provisión de servicios basados en Código Abierto

RESUMEN

En las empresas del territorio ha sido marcado el uso de software propietario para configurar la
mayoría de los servicios que son necesarios para la actividad diaria de las misma en
correspondencia a su infraestructura de red; el uso de herramientas de código abierto era muy
limitado, muchas veces por desconocimiento o porque la configuración de algunos servicios en
código abierto era muy engorrosa y más difícil que si se usaban herramientas propietarias.
Comunidades de tecnología de código libre han desarrollado herramientas que facilitan el trabajo de
configuración y administración de muchos servicios de red como son los casos de samba4 como
controlador de dominio al estilo de Windows Server 2003 o superior, Zimbra como servidor de correo
con las mismas funcionalidades que un Microsoft Exchange y Proxmox como herramienta de
virtualización. Para el tema de la ciberseguridad han surgido un grupo de herramientas de gestión
unificada de amenazas conocida por sus siglas en ingles UTM, donde se destaca la distribución
Pfsense basada en FreeBSD que ofrece varias funciones de seguridad. El equipo en Administración
de Redes de la Empresa de Aplicaciones Informática (DESOFT) se trazó como objetivo desplegar
estas nuevas tecnologías en varias empresas del territorio a través de asesorías, cursos de
capacitación y soporte técnico, donde se ha logrado tener un gran número de ellas migradas a esa
plataforma y capacitado a su personal, manteniendo para su sostenibilidad en el tiempo un servicio
de soporte que permite actualizar nuevos cambios o solucionar problemas puntuales.

Palabras claves: correo, dominio, proxmox, samba4, zimbra, pfsense

INTRODUCCIÓN

GNU/Linux® es un poderoso y sumamente versátil sistema operativo con licencia libre y que
implementa el estándar POSIX (acrónimo de Portable Operating System Interface, que se traduce
como Interfaz de Sistema Operativo Portable). Fue creado en 1991 por Linus Torvalds, siendo
entonces un estudiante de la Universidad de Helsinski, Finlandia. En 1992, el núcleo Linux fue
combinado con el sistema GNU. El Sistema Operativo formado por esta combinación se conoce
como GNU/Linux.

Con la popularidad de GNU/Linux en aumento, algunos programadores crearon distribuciones de los

sistemas operativos mediante la adición de sus propios programas y mejoras a los ya existentes,
estos son los casos de Debian y UBUNTU, en el caso de UBUNTU es un derivado surgido a partir del
código fuente de Debian. En la actualidad ambas distribuciones gozan de buena popularidad y
generalización, dentro y fuera de nuestro país.

Iniciado por Andrew Tridgell, durante sus estudios de doctorado, Samba ha evolucionado en los
últimos 20 años a partir de un prototipo apenas funcional, usado para la comunicación entre un
cliente DOS Pathworks y un servidor Sun, mantenido por un equipo de más de 30 desarrolladores
internacionales. Samba 2.2 y, en particular, Samba 3.0 creció para incluir la capacidad de ser un
controlador de dominio compatible NT4, una funcionalidad que permite incluso a Samba 'hacerse
cargo' de una red de Windows existente.

El proyecto Samba4 reescribió el código de Samba 3 con el objetivo que tuviera las mismas
funcionalidades de Windows Server 2003 y ello incluyó una versión nueva de las librerías DCE-RPC
(Remote Procedure Call). El resultado de este desarrollo fue la creación de una infraestructura
compatible con el Directorio Activo y la posibilidad de unir clientes XP o superior a un dominio con
Samba4.

Unos de los servicios con versiones libres que han evolucionado mucho durante estos últimos años
es el servidor de correo Zimbra, el cual hace uso de proyectos de código abierto existentes como
Postfix, MySQL, OpenLDAP y Lucene. Cuenta con una interfaz de programación de aplicaciones
basada en SOAP para toda su funcionalidad y actúa como servidor IMAP y POP3 de correo
electrónico. El cliente web Zimbra es una interfaz de colaboración y administración completa creada
empleando el Toolkit Zimbra. Soporta correos electrónicos y calendarios a través de una interfaz web
basada en AJAX. Incluye capacidades de búsqueda avanzada, calendario compartido y relaciones de
fechas.

La virtualización es, precisamente, una de las vías con las que podemos reducir el consumo
eléctrico de nuestro centro de datos, maximizar el uso de la infraestructura y reducir costes de
operación. PROXMOX Virtual Environment es una plataforma de virtualización, basada en sistemas
de código abierto, disponible bajo licencia GPLv2, para la implementación de máquinas virtuales
utilizando los entornos LXC y KVM. LXC es una tecnología de virtualización, basada en el núcleo de
Linux, que permite, a un servidor físico, ejecutar múltiples instancias de sistemas operativos aislados,
es decir, máquinas virtuales con una asignación dinámica de los recursos (memoria, procesador,
etc.). Por el contrario, KVM, Kernel-based Virtual Machine es una tecnología de virtualización
completa con Linux en procesadores x86 que permite ejecutar e instalar imágenes ISO y en las que
la máquina virtual tiene su propio hardware virtualizado.

La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es un término de

seguridad de la información que se refiere a una sola solución de seguridad, y por lo general un único
producto de seguridad, que ofrece varias funciones de seguridad en un solo punto en la red, integrar
múltiples funciones de seguridad en un único dispositivo cubriendo las exigencias básicas de
protección integral. pfsense es una distribución personalizada de FreeBSD adaptado para su uso
como herramienta UTM. Se caracteriza por ser de código abierto, puede ser instalado en una gran
variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración.

En el entorno empresarial cubano, ya se ha venido trabajando en la introducción paulatina de

software libre pero de manera general enfocado en la seguridad de las redes, por lo que su uso
estaba centrado en gateway (pasarelas), firewall y proxy; en un muy pocos casos para servidores
web (apache) o ftp. Por lo que es muy común que los demás servicios de la red se hayan mantenido
en software propietario, como son los casos del directorio activo (dominio), DNS y DHCP internos
que se han mantenido con la plataforma Windows 2003 server durante muchos años. El servicio de
correo electrónico muy común en nuestras empresas también se gestionaba con herramientas
propietarias de uso muy generalizado, el Mdameon, aunque se podía encontrar en algunas empresas
el Microsoft Exchange.

Esta resistencia al cambio se debía fundamentalmente a que los similares a estos servicios en Linux
eran bastante complejos de configurar en relación a las herramientas propietarias, la mayoría con
asistentes y consolas administrativas con entornos gráficos, mientras que en Linux todo el trabajo era
a nivel de consola, comandos del sistemas y ficheros de configuración, además existía la limitante de
no tener disponibles los repositorios de la distribución Linux a usar actualizados.

Esa situación ha tenido un cambio muy sustancial en los últimos años, las comunidades de software
libre han desarrollado nuevas herramientas con el objetivo de que la administración de los principales
servicios en Linux tenga entornos amigables a los administradores de redes.

El problema que nos enfrentamos era convencer a los informáticos o administradores de redes de las
empresas a migrar la gran mayoría de los servicios de sus redes a software libre. Para ello la
solución fue la provisión de servicios de código abierto que abarcara la mayoría de las tecnologías
enumeradas anteriormente, mediante un esquema de servicios orientados al cliente final, utilizando
asesorías o consultorías, cursos de capacitación y soporte técnico especializado en una gran
variedad de empresas del territorio.

MATERIALES Y MÉTODOS

1- Distribuciones GNU/Linux (Sistema Operativo)

 Debian GNU/Linux 64 bit (desde la versión 7 Jessie, hasta estar usando en la actualidad la
última versión estable 10 Buster )
 Ubuntu 64 bit (desde la versión 12.04 Trusty, hasta estar usando en la actualidad la última
versión estable 18.04 Bionic)
 Proxmox Virtual Environment (desde la versión 3.4 basada en Debian 7 hasta estar usando
en la actualidad la última versión estable 6.0-7 basada en Debian 10).

 Open Source Security pfSense. (desde la versión 2.2.4 hasta estar usando en la actualidad la
última versión estable 2.4.4).

Comenzamos con las versiones estables liberadas en su momento y a medida que las comunidades
de desarrollo de las mismas han liberado nuevas versiones hemos ido actualizando por las versiones
nuevas.

2- Tecnologías Open Source

 La suite de colaboración Zimbra, servidor de correo con servicios antivirus, antispam y filtros
integrados. Comenzando al inicio con la versión 8.0.9 y actualmente estamos utilizando la
8.8.15.
 Samba4, funciona como controlador de dominio y directorio activo con todas las
funcionalidades de un Windows Server 2003 o superior, integrado con los servicios de
Kerberos, DHCP y DNS. Comenzando al inicio con la versión 4.0 y actualmente estamos
utilizando la última versión estable 4.10.8

 Iredmail es otra solución Open Source como servidor de correo como alternativa a empresas
que el hardware no soportara el Zimbra. Última versión estable 0.9.9.
3- Otros servicios, incluidos en los repositorios de las distribuciones

 Squid , para el control de la navegación

 vsftp, servidor ftp para la transferencias de ficheros
 openfire, servidor para la mensajería instantánea (jabber)
 Apache, servidor web
 Posfix, MTA de correo utilizado en algunos casos como relay

4- Esquemas de seguridad

Redes DMZ : la sigla DMZ proviene de las palabras inglesas “Demilitarized Zone”, que en español
significan “Zona desmilitarizada” y corresponde a una red segura y aislada del resto. El acceso a
esta red es restringido y limitado exclusivamente a los servicios a los que los usuarios pueden
acceder.

Dentro de la zona desmilitarizada se incluyeron todos aquellos servicios, máquinas, dispositivos etc,
que consideramos críticos para las entidades y que debíamos tener bajo un especial control.

5- Forma de Trabajo para el despliegue estas tecnologías

 Asesorías

Ofrecemos un servicio de asesoría especializada que le permite a las empresas del territorio que
nuestros especialistas trabajen de conjunto con los informáticos de su entidad y realicen todo el
trabajo de migración in situ, aprovechando así el KNOW HOW adquirido por el equipo de DESOFT y
este pueda ser trasmitido los informáticos de la entidad.

30
25
25

20 18

15
12
11
10
10 8 Empresas
5 5
5

0
2012 2013 2014 2015 2016 2017 2018 2019
Años

Figura 1 Total de Empresas migradas por años.

En la figura 1, se muestra la cantidad de empresas que se fueron sumando a este proceso de
migración, observándose una tendencia en ir creciendo en el número de empresas por años,
destacándose por un mayor numero de empresas el año 2017 como se observa en la anterior figura.
Esto ha sido posible por el apoyo dado a los informáticos de cada una de esas empresas por su
directivos, y la posibilidad de que muchas de ellas hayan adquirido hardware con las prestaciones
mínimas necesarias para el proceso de migración, y algunas con un nivel de solvencia más elevado o
por prioridades del país han adquirido servidores profesionales de gama media de las marcas DELL,
HP o Inspur que es el servidor profesional que actualmente comercializa COPEXTEL.

 Cursos de Capacitación:

Se diseñó un curso especializado, donde se incluye una variedad de temáticas y servicios en

GNU/Linux, con el objetivo de ir socializando todos estos conocimientos en la comunidad de
informáticos del territorio y así motivar el interés por comenzar a migrar los principales servicios de
sus empresas. De esta forma en los últimos 7 años hemos capacitado alrededor de 220 especialistas
en informática pertenecientes a diferentes empresas del territorio como se puede observar en la
figura 2.

70 66

60

50
43 42
40 38

30

20 Alumnos
13 12
10 6

0
2012 2013 2014 2015 2016 2017 2018
Años
Figura 2 Alumnos que cursaron el curso de Administración de Redes
en plataforma GNU/Linux por años.

Aquí cabe destacar que la baja en alumnos en el los dos últimos años es debido a que la gran
mayoría de los administradores de redes o informáticos de las entidades del territorio se capacitaron
durante los años 2014 - 2016 y además DESOFT Holguín no ha podido realizar una inversión en
nuevas computadoras personales para las aulas de los cursos que permitieran un salto cualitativo en
cursos más especializados y pudieran ser más atractivos para el personal calificado del entorno
empresarial.
 • Soporte:

Una vez concluido el proceso de migración, dichas empresas no pierden el vínculo con nuestro
equipo, sino que de mutuo acuerdo se contrata un servicio de soporte, que durante un año ellos
tendrán disponible un especialista para que los atienda para resolver cualquier contingencia que
pueda surgir y para mantener las actualizaciones necesarias para mejorar los servicios desplegados
o resolver fallas de seguridad. También se han sumados otras empresas que ya contaban con
servicios migrados pero que tenían interés en la actualización de los mismos.

En la figura 3 se muestra la tendencia también creciente de muchas empresas del territorio por
establecer este tipo de relación o mantenerla, pues es un servicio que anualmente se vuelve a
renovar.

70

60

50

40

30

20

10

0
2012 2013 2014 2015 2016 2017 2018 2019

Nuevas Renovaron el Servicio

Figura 3 Total de empresas por años que se incorporan o mantienen el servicio de soporte.

6- Herramientas para la administración de los servicios migrados

 Herramientas de administración remota del servidor para Windows que permiten a los
administradores administrar roles y características instaladas en samba4 desde un equipo
remoto que ejecute Windows 7 o superior.

 En el caso del Proxmox, pFsense y el Zimbra tiene interfaz web integrada y fácil de usar por
lo que desde cualquier pc de la red se puede administrar, independientemente del sistema
operativo que tenga.
  WinScp integrado con el Putty, son dos herramientas que permiten desde pc en sistema
operativo windows interactuar con los servidores en linux tanto para copiar ficheros desde una
plataforma a la otra como para ejecutar comandos en los servidores a través de consolas
remotas facilitadas por el Putty.

Toda esta labor realizada en su mayoría de forma autodidacta por los miembros del equipo para
hacerse con el KNOW HOW de cada una de ellas y a su vez poder brindar el servicio con la
profesionalidad y calidad requerida, permitió además de trabajar por la soberanía tecnológica del país
que la Empresa de Aplicaciones Informática (DESOFT Holguín) contara con un nuevo servicio que
aportara a los planes productivos de la empresa como se observa en la figura 4.

550000

500000

450000

400000

350000
Ventas

300000
Plan
250000
Real
200000

150000

100000
2014 2015 2016 2017 2018 2019
Años

Figura 4 Producción del Surtido Servicios Especializado

DESOFT Holguin (2014-2019)

Actualmente estamos trabajando en ampliar esta gama de servicios de código abierto como por
ejemplos de servicios orientados a la nube como el NextCloud, o servicios para el monitoreo de las
redes informáticas y los servicios en explotación en las entidades como pueden ser los casos de
NAGIOS o Zabbix.

Todo este trabajo nos ha posibilitado crear un esquema de despliegue de servicios, basado en código
abierto, adaptados a las condiciones de disponibilidad de hardware de las empresas del territorio e ir
avanzando en el trabajo de migración a estándares libres. En la figura 5 podemos resumir como
queda dicho esquema de trabajo que hemos desarrollado durante estos años en el sector
empresarial y presupuestado del territorio.
CONCLUSIONES

 Es viable la migración a software libre en los principales servicios de red en el sector

empresarial del territorio.

 Samba4 es una opción estable y de bajo consumo de hardware para ser utilizada como
controlador de dominio en nuestras empresas.

 Todos los servicios desplegados se integran satisfactoriamente con el Samba4 permitiendo

una única credencial segura para todos los usuarios en la red.

 Proxmox altamente recomendable para los que quieran virtualizar su centro de datos a coste
cero.

 Zimbra es una opción para sustituir el Mdameon o el Microsoft Exchange como servidores de
correo.
REFERENCIAS

Active Directory Integrated Squid Proxy (2017, 12 de Septiembre). Obtenido de

http://wiki.bitbinary.com/index.php/Active_Directory_Integrated_Squid_Proxy

En 4 minutos: Conexión de 2 oficinas con OpenVPN y pfSense (2016, 16 de Mayo). Obtenido de

http://ng-4.blogspot.com/2013/05/en-4-minutos-conexion-de-2-oficinas-con.html?q=pfsense

https://pve.proxmox.com/wiki/Category:HOWTO (2019)

Instalador y Repositorio de Zimbra Nacional Ubuntu 16.04 (2019, 16 de Enero). Obtenido de https://
www.sysadminsdecuba.com/2019/01/instalador-y-repositorio-de-zimbra-nacional-ubuntu-16-
04/

Intergración de squid-kerberos con Samba4 como ADDC (2019, 27 de Octubre). Obtenido de

https://www.sysadminsdecuba.com/2019/10/intergracion-de-squid-kerberos-con-samba4-
como-addc/

Joining a Samba DC to an Existing Active Directory (2019, 26 de Abril). Obtenido de

https://wiki.samba.org

Openfire: Configuraciones Básicas y Plugins (2018, 9 de Agosto). Obtenido de

https://www.sysadminsdecuba.com/2018/08/openfire-configuraciones-basicas-y-plugins/

PFSense – Setting Up OpenVPN on PFSense 2.4 (2018, 26 de Junio). Obtenido de

https://chrislazari.com/pfsense-setting-up-openvpn-on-pfsense-2-4/

pfSense Documentation (2019). Obtenido de https://docs.netgate.com/pfsense/en/latest/

Setting up Samba as an Active Directory Domain Controller (2019, 26 de Abril). Obtenido de https://
wiki.samba.org

TIPS- Buenas prácticas al instalar un Proxmox (2017, 24 de Noviembre). Obtenido de

https://www.sysadminsdecuba.com/2017/11/tips-buenas-practicas-al-instalar-un-proxmox/

Zimbra autenticación con AD (Samba4) de forma segura (SSL/TLS) (2019, 22 de Febrero). Obtenido
de https://www.sysadminsdecuba.com/2019/02/zimbra-autenticacion-con-ad-samba4-de-forma-
segura-ssl-tls/

Zimbra: Instalando Zimbra 8.8.6 sobre Ubuntu 16.04 LTS (2018, 24 de Junio). Obtenido de
https://www.jorgedelacruz.es/2018/01/24/zimbra-instalando-zimbra-8-8-6-sobre-ubuntu-16-04-
lts/