SlideShare una empresa de Scribd logo

Seguridad perimetral - Mikrotik Firewall

V
Vanesa Rodríguez Percy

En este documento se describe la configuración de un Firewall en Mikrotik 6.10. Configuraciones y pruebas de funcionamiento.

Ingeniería
1 de 38
Descargar para leer sin conexión
1 ACTIVIDAD No 1 SEGURIDAD PERIMETRAL VANESA RODRIGUEZ PERCY JUAN DAVID TRUJILLO CÉSAR AUGUSTO MORALES FICHA 600088 INSTRUCTOR: ALEXANDER AUGUSTO ALVAREZ SENA SERVICIO NACIONAL DE APRENDIZAJE GESTION REDES DE DATOS MEDELLIN 2015
2 Contenido PROBLEMA A RESOLVER...................................................................................................................... 3 TOPOLOGÍA PLANTEADA..................................................................................................................... 4 ............................................................................................................................................................. 4 INSTALACIÓN DE MIKROTIK ................................................................................................................ 6 CONFIGURACIÓN DE MIKROTIK........................................................................................................ 15 FIREWALL: CONFIGURACIÓN DE REGLAS.......................................................................................... 22 SOLUCIONES FIREWALL PARA WINDOWS......................................................................................... 35 COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA................................................................. 37 CIBERGRAFÍA..................................................................................................................................... 38
3 PROBLEMA A RESOLVER Las actividades para desarrollar estas guías son: 1. Implementar un firewall común en un enrutador cisco 2. Implementar un firewall con DMZ en Linux/BSD/Solaris 3. Implementar un firewall con DMZ en Windows Server Actividad 1: Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados. Generalmente la comunicación desde la LAN es transparente así que el enrutador debe permitir la salida de paquetes desde la LAN. Actividad 2 y 3: Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumirá que existen 3 servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer reglas de acceso que les permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles. También debe recrear el escenario donde un intruso ha logrado penetrar un sistema de la DMZ, ¿qué reglas debería aplicar en el firewall para evitar que el intruso llegue hasta la LAN privada? ESTRATEGIAS Antes de comenzar prepare el escenario requerido para la práctica (hardware, software, manuales, etc.), recuerde segmentar cada una de las zonas de la prueba que quiere realizar. También tenga en cuenta el direccionamiento a usar para que su firewall pueda funcionar adecuadamente. Estrategias Actividad 1: En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su router tenga una IOS que permita hacer filtrado con ACLs, además de esto recuerde que va a requerir por lo menos dos interfaces para trabajar, como recomendación puede usar un router que soporte dos interfaces de red Ethernet. Recuerde que puede usar un simulador como Packet Tracer antes de intentar configurar el router de forma real, esto le evitará muchos problemas. Estrategias Actividad 2 y 3: Para el trabajo con los firewalls en los sistemas operativos tenga en cuenta las siguientes recomendaciones: Intente primero configurar las interfaces de red y aplicar el NAT básico para que garantice que los paquetes pasan de un lado al otro de las interfaces sin problemas.
4 Una vez verifique que puede conectarse de un lado al otro, cree reglas de filtrado básicas entre dos interfaces (no intente con las 3 interfaces al tiempo), primero garantice que puede diferenciar y filtrar el tráfico entre 2 interfaces antes de intentar configurar las 3 tarjetas. El primer firewall que usted diseñe debe ser con la política PASS BY DEFAULT, esto significa que todo lo que no se defina explicita mente será permitido, este tipo de firewall es más permisivo pero le permite aprender los conceptos básicos sin tantas complicaciones. Una vez el firewall PASS BY DEFAULT este configurado y funcionando trate de adaptarlo para que funcione en modo DROP BY DEFAULT, en este modo el firewall no dejará pasar nada a través de sus interfaces que no esté explicita mente permitido. Recuerde que puede usar appliances de firewalls que son más fáciles de configurar puesto que tienen interfaces web sencillas para administrarlos, se recomienda usar estos appliances una vez se hayan adquirido los conceptos básicos de firewalls y se haya experimentado con la configuración de firewalls “a mano”. Actividad 1: Esta actividad se realizó en el aula de clases de forma física o real utilizando un dispositivo de CISCO. TOPOLOGÍA PLANTEADA 172.16.1.0/24 Mikrotik Firewall 172.16.1.20 Windows 7 Pro 10.1.1.0/24 172.16.1.200 10.1.1.200 WAN 192.168.1.200 DMZ - Windows 7 Pro 192.168.1.120 192.168.1.0/24 Internet
5 Actividad 2: El primer paso fue seleccionar el software para realizar la actividad, que para este caso fue Mikrotik, de lo cual a continuación hacemos una pequeña descripción: Mikrotik ls Ltd. conocida internacionalmente como MikroTik, es una compañía letona proveedora de tecnología disruptiva de hardware y software para la creación de redes. Mikrotik RouterOS es un software que funciona como un sistema operativo para convertir un PC o una placa Mikrotik RouterBOARD en un router dedicado. Mikrotik RouterOS es un sistema operativo basado en el kernel de Linux 2.6 usado en el hardware de los Microtik RouterBOARD que es la división de hardware de la marca Mikrotik. Se caracteriza por poseer su propio S.O de fácil configuración. Estos dispositivos poseen la ventaja de tener una relación costo /beneficio muy alta. Configuración RouterOS soporta varios métodos de configuración como son: -Acceso local vía teclado y monitor -Consola serial con una terminal -Acceso vía Telnet y SSH vía una red -Una interfaz gráfica llamada WinBox -Una API para el desarrollo de aplicaciones propias para la configuración. -En caso de no contar con acceso local y existe un problema con las ----direcciones IP, RouterOS soporta una conexión basada en direcciones MAC usando las herramientas customizadas Mac-Telnet y herramientas de Winbox.
6 INSTALACIÓN DE MIKROTIK Descargamos el software de la página oficial de MikroTik. http://www.mikrotik.com/download Una vez realizada la descarga, procedemos a instalarlo en este caso en VMWare.
7
8
9
10 En esta ventana se nos pide que seleccionemos los servicios que deseamos utilizar, cada servicio tiene una especificación y en muchos tutoriales de internet podemos ver que función cumple cada uno, se seleccionan con la tecla de direcciones y seleccionando el servicio deseado con la barra espaciadora. Para iniciar la instalación presionamos la letra “i”
11 Ahora nos pregunta si queremos instalar los servicios seleccionados, presionamos la letra “y” para aceptar y reconfirmamos nuevamente con la letra “y” En esta ventana vemos como se realizan las particiones y el formateo del disco y de igual forma se inicia la instalación de los servicios.
12 Para finalizar la instalación se nos pide reiniciar el sistema para lo cual presionamos la tecla enter. Después de reiniciar la máquina, veremos lo siguiente: Se nos está pidiendo un login, este por defecto es admin, en contraseña la dejamos vacía.
13 Una de las formas de administrar Mikrotik, es remotamente; para realizar esta tarea, vamos a usar una herramienta llamada Win Box. Esta herramienta la podemos descargar desde la página oficial de Mikrotik, así: Accedemos a la página web, a través de esta dirección: http://www.mikrotik.com/download.
14
15 Allí vamos a la sección Useful tools and utilities y seleccionamos la opción Winbox version 3.0rc2 (Esta es la versión disponible hasta el momento, cuando se realizó este tutorial), descargamos este archivo con extensión (.exe). CONFIGURACIÓN DE MIKROTIK 1. Primero procederemos a configurar al menos una interfaz que nos servirá para gestionar de manera gráfica el dispositivo, para este proceso ingresamos al menú Ip/address/print. Desde la Shell de Mikrotik. Este comando nos informará las direcciones que existen actualmente configuradas con direccionamiento IP, como la interfaz ether 1 trae una dirección Ip por defecto, la removemos mediante el comando “remove 0”. Añadimos con el comando add address=IP/mask interface=interfaz la configuración.
16 2. En un PC cliente ejecutamos la aplicación Winbox, propietaria de mikrotik (descarga en la web oficial), en “Conect To” digitamos la dirección IP anteriormente configurada y los parámetros de usuario y contraseña. Luego damos clic en el botón connect. Esta es la pantalla principal de WinBox, en ella vemos lo siguiente: Connect To: En esta línea se coloca la dirección IP del dispositivo al cual queremos conectarnos. Login: Nombre de usuario para administrar Password: Contraseña Las opciones Keep Password y Secure Mode, la primera opción nos indica si queremos guardar nuestro password y la segunda permite entrar en modo seguro a la configuración del Mikrotik, esta opción activa la capa SSL en el modo de transporte. La parte de Note, es para colocar un comentario en donde yo deseo conectarme.
17 WinBox hace un barrido por Broadcast, esto permite verificar cuáles son todos los equipos Mikrotik que tengo en mi red. Debo dar clic en la opción Connect. ¿QUÉ ES WIN BOX? WinBox es una simple herramienta de servidor que permite conectarte a otro cliente. Incluye una sofisticada tecnología para realizar estas conexiones basada en el sistema operativo RouterOS. Este software permite a sus usuarios realizar conexiones vía FTP, telnet y SSH. Incluye también una API que permite crear aplicaciones personalizadas para monitorizar y administrar.
18 3. Ahora vamos a dar clic en el menú IP, Address, esto con el fin de configurar las direcciones IP de las demás interfaces.
19 4. Presionamos clic en el símbolo de + y digitamos la IP y la interfaz a la cual será configurada esta dirección, clic en OK. 5. Nos dirigimos al menú IP / Route para agregar la puerta de enlace.
20 6. Damos clic en el símbolo + y donde dice “Gateway” digitamos nuestra puerta de enlace, presionamos clic en OK. 7. Mediante el menú “Tools” / “Ping” podremos validar la conectividad con internet.
21 8. En el menú IP / DNS abrimos la configuración de nuestro DNS, en “Servers” agregamos la IP del mismo y damos clic en OK. 9. Desde el menú Interfaces podemos renombrar las mismas, dando clic en Name, asignando el nombre y dar clic en OK.
22 FIREWALL: CONFIGURACIÓN DE REGLAS Desde el menú IP / Firewall / pestaña Filter rules agregamos 3 reglas (Pues para acceder de la LAN a la DMZ es necesario priorizar dos reglas antes de restringir lo demás). 10.Regla para responder el eco del DMZ para PING. (Esta regla permite comprobar el estado de la comunicación del host, del DMZ con uno o varios equipos remotos de una red a IP por medio del envío de paquetes ICMP de solicitud y de respuesta. Que este host responda a los ping.
23 Protocolo de Mensajes de Control y Error de Internet, ICMP, es de características similares a UDP, pero con un formato mucho más simple, y su utilidad no está en el transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Se debe elegir ICMP en protocol, para verificar la conectividad de la red en el DMZ.
24
25 11. Aceptar los paquetes ACK.
26 12. Bloquear el tráfico que no esté permitido con las reglas anteriores.
27 Esta regla permite bloquear el tráfico desde el DMZ hacia la LAN.
28 Menú IP /Firewall / pestaña NAT 12.Agregamos un nateo de destino para que al preguntarnos por la IP pública, re direccione todo el tráfico al DMZ, en el ejemplo solo por el puerto 80. Chain: dst-nat Dst-Address: 10.1.1.200 (IP pública de Mikrotik). Protocol: tcp Dst-Port: 80 (Puerto destino por el que se va a consultar o ingresar al servicio, del DMZ).
29 Action: dst-nat To Address: 192.168.1.120 (Dirección IP del equipo, de la zona del DMZ). To Ports: 0 -65535
30 13.Salida a internet desde la red LAN Con esta regla, se configura que todo lo que salga por la interfaz de Internet, sea enmascarado. Chain: srcnat Src Address: 172.16.1.0/24 Out. Interface: WAN En Src Address, se puede especificar una dirección IP específica o con el ID de red. Out. Interface: Cuál será la interfaz de salida para el Internet. Action: Masquerade
31 Pruebas P1. Prueba del acceso a DMZ. Para probar el acceso al DMZ, desde el equipo de la red LAN, se ingresa por un navegador de Internet, digitando la IP pública de nuestro Firewall Mikrotik. Previamente en la máquina del DMZ, se activa el IIS(Internet Information Services), este es el servicio Web, el cual será el que accedamos desde Internet. Para activarlo en la máquina del DMZ, la cual tiene Windows 7 Pro; seguimos los siguientes pasos: Panel de control - Programas y características – Activar o desactivar las características de Windows - Allí buscamos la opción Internet Information Services.
32 Ingresamos por el navegador de Internet, digitamos la IP pública del Mikrotik y nos re direcciona al IIS, lo que indica que desde Internet, podemos acceder a un servicio del DMZ.
33 P2. Configuración IP, no accede el PC a internet, No accede a la LAN. Ping a la dirección 172.16.1.20, esta dirección es la de nuestro equipo en la red LAN, el ping nos indica que no hay conectividad desde el DMZ, hasta la red LAN. Se cumple el requerimiento: Desde el DMZ, no se tenga acceso a la LAN.
34 P3. Configuración IP, accede el pc a internet, accede a DMZ. Ping al 192.168.1.120, esta es la dirección del equipo, que se encuentra en la red del DMZ. Hay conectividad desde nuestra LAN hacia el DMZ. Ya que se obtiene respuesta desde este equipo.
35 SOLUCIONES FIREWALL PARA WINDOWS FIREWALL VENTAJAS DESVENTAJAS SOPHOS UTM Velocidad: Utiliza tecnología multinúcleo de Intel, unidades de estado sólido, y escaneado de contenido en memoria acelerado. Potente rápido. Registros e informes: Permite informes detallados, Gráficos de flujo de vista rápida muestran las tendencias de uso y la actividad web Nuestro informe ejecutivo de resumen diario le mantiene informado La posibilidad de anonimato de los informes permite mantener Protección todo en uno: Ofrece lo último en protección mediante next- gen firewall con características que no se pueden conseguir en ningún otro sitio - incluido cifrado móvil, web, de estaciones de trabajo, de correo electrónico y DLP. Sin hardware adicional. Sin costes adicionales. Solo tiene que escoger lo que quiere implantar. 1) Los usuarios están buscando mejoras en el nivel de detalle de la información de SOPHOS Dell Sonic WALL Bloquea las amenazas en la puerta de enlace: Los cortafuegos SonicWALL examinan todo el tráfico entrante y saliente para evitar intrusiones, virus, spyware y cualquier otro tipo de tráfico malintencionado que comprometa la seguridad de la red. Asegura y controle el acceso remoto: Los cortafuegos SonicWALL ofrecen SSL VPN y IPSec VPN, que extienden la prevención de intrusiones y la protección contra malware a los 1) SonicWALL no ofrece un dispositivo virtual por el espacio UTM.
36 empleados móviles y las sucursales, de una forma muy sencilla de administrar Sanea el tráfico inalámbrico: SonicOS incluye un controlador inalámbrico seguro integrado. Junto con los puntos de acceso inalámbricos seguros de Dell SonicWALL SonicPoint, este controlador permite implementar redes de 802.11 a/b/g/n sin problemas, protegidas con la tecnología SonicWALL Clean Wireless™ y SonicWALL Application Intelligence and Control. WatchGuard Seguridad: La inspección de contenido en capa de aplicación reconoce y bloquea las amenazas que los firewalls de paquetes stateful no pueden detectar. La protección de proxy de amplio rango brinda una seguridad robusta en HTTP, HTTPS, FTP, SMTP, POP3, DNS, TCP/UDP. Rápidez y eficiencia: La alta disponibilidad activa/activa con balanceo de carga garantiza un máximo tiempo de funcionamiento de la red. Escalable: Añada poderosas suscripciones de seguridad para bloquear spam, controlar la navegación peligrosa e inapropiada y el uso de aplicaciones peligrosas e inapropiadas, prevenir las intrusiones a la red y detener en la puerta de enlace la entrada de virus, spyware y otro malware. 1) Los usuarios citan deficiencias en la presentación de informes de rendimiento y funcionalidad. 2) Apoyo MSSP para dispositivos WatchGuard está limitada en comparación con los principales competidores.
37 COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA Esta película enseña que en la vida, no hay que permitir que otras personas o circunstancias se conviertan en obstáculos, que a la larga frustren nuestros sueños y metas. Se debe tener claro cuál es el objetivo que se persigue y luchar por ello; no importando la oposición o barreras que encontremos en el camino. Además nos muestra que para cumplir esas metas o sueños, se hace necesario trabajar en equipo, esta es una de las tareas de la vida diaria, que en muchos casos nos garantiza el éxito. La edad tampoco debe ser excusa, para dejar de aprender o para dejar de intentar las cosas, siempre se tiene la oportunidad de aprender nuevos conocimientos y trabajar por grandes metas.
38 CIBERGRAFÍA http://mundoderinux.blogspot.com/2013/07/comparaciones-de-los-mejores-utm- del.html http://www.xnetworks.es/promos/Sophos/Flashnews_ENE/sophos-UTM-six-tips- wpes.pdf https://www.incibe.es/extfrontinteco/img/File/demostrador/catalogo_stic_2010.pdf http://latam.kaspersky.com/sites/default/files/knowledge- center/practical%20business%20endpoint%20security_0.pdf http://www.sonicwall.com/es/es/products/Network-Security.html http://www.watchguard.com/es/wgrd-international/products/ngfw/overview http://www.sophos.com/es-es/products/unified-threat-management/how-to- buy.aspx#start http://winbox.waxoo.com/ http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html

Recomendados

Cisco vlsm con enrutamiento_estatico
Cisco vlsm con enrutamiento_estaticoCisco vlsm con enrutamiento_estatico
Cisco vlsm con enrutamiento_estatico
isaac martinez
 
Firewalls
FirewallsFirewalls
Firewalls
Eugenia Nuñez
 
Integración GNS3 - VirtualBox - Wireshark
Integración GNS3 - VirtualBox - WiresharkIntegración GNS3 - VirtualBox - Wireshark
Integración GNS3 - VirtualBox - Wireshark
cyberleon95
 
Reto resuelto 7.5.2 PacketTracer
Reto resuelto 7.5.2 PacketTracerReto resuelto 7.5.2 PacketTracer
Reto resuelto 7.5.2 PacketTracer
mictla
 
Configuracion De Eigrp Y Loopback
Configuracion De Eigrp Y LoopbackConfiguracion De Eigrp Y Loopback
Configuracion De Eigrp Y Loopback
César Nuñez
 
IPv6 on Mikrotik
IPv6 on MikrotikIPv6 on Mikrotik
IPv6 on Mikrotik
Achmad Mardiansyah
 
Reverse Engineering Malware - A Practical Guide
Reverse Engineering Malware - A Practical GuideReverse Engineering Malware - A Practical Guide
Reverse Engineering Malware - A Practical Guide
intertelinvestigations
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
Lily Diéguez
 

Recomendados

Cisco vlsm con enrutamiento_estatico
Cisco vlsm con enrutamiento_estaticoCisco vlsm con enrutamiento_estatico
Cisco vlsm con enrutamiento_estatico
isaac martinez
 
Firewalls
FirewallsFirewalls
Firewalls
Eugenia Nuñez
 
Integración GNS3 - VirtualBox - Wireshark
Integración GNS3 - VirtualBox - WiresharkIntegración GNS3 - VirtualBox - Wireshark
Integración GNS3 - VirtualBox - Wireshark
cyberleon95
 
Reto resuelto 7.5.2 PacketTracer
Reto resuelto 7.5.2 PacketTracerReto resuelto 7.5.2 PacketTracer
Reto resuelto 7.5.2 PacketTracer
mictla
 
Configuracion De Eigrp Y Loopback
Configuracion De Eigrp Y LoopbackConfiguracion De Eigrp Y Loopback
Configuracion De Eigrp Y Loopback
César Nuñez
 
IPv6 on Mikrotik
IPv6 on MikrotikIPv6 on Mikrotik
IPv6 on Mikrotik
Achmad Mardiansyah
 
Reverse Engineering Malware - A Practical Guide
Reverse Engineering Malware - A Practical GuideReverse Engineering Malware - A Practical Guide
Reverse Engineering Malware - A Practical Guide
intertelinvestigations
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
Lily Diéguez
 
Wireless hacking
Wireless hackingWireless hacking
Wireless hacking
arushi bhatnagar
 
Simulacion en Packet Tracer
Simulacion en Packet TracerSimulacion en Packet Tracer
Simulacion en Packet Tracer
Fernando Alvarado
 
FortiGate Firewall HOW-TO - DMZ
FortiGate Firewall HOW-TO - DMZFortiGate Firewall HOW-TO - DMZ
FortiGate Firewall HOW-TO - DMZ
IPMAX s.r.l.
 
Stuxnet worm
Stuxnet wormStuxnet worm
Stuxnet worm
sommerville-videos
 
Informe en cisco de configuracion de servidores jose daniel
Informe en cisco de configuracion de servidores jose danielInforme en cisco de configuracion de servidores jose daniel
Informe en cisco de configuracion de servidores jose daniel
José Daniel Castañeda Arias
 
Criptografía y esteganografía
Criptografía y esteganografíaCriptografía y esteganografía
Criptografía y esteganografía
Jhonatan Arias
 
Cisco Router and Switch Security Hardening Guide
Cisco Router and Switch Security Hardening GuideCisco Router and Switch Security Hardening Guide
Cisco Router and Switch Security Hardening Guide
Harris Andrea
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Anthony Torres Bastidas
 
PROYECTO DE REDES - TEC. VPN
PROYECTO DE REDES - TEC. VPNPROYECTO DE REDES - TEC. VPN
PROYECTO DE REDES - TEC. VPN
Victor Ramos Mercedes
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoS
Secpro - Security Professionals
 
CCNA 2 Routing and Switching v5.0 Chapter 4
CCNA 2 Routing and Switching v5.0 Chapter 4CCNA 2 Routing and Switching v5.0 Chapter 4
CCNA 2 Routing and Switching v5.0 Chapter 4
Nil Menon
 
Manual De Instalacion De Asterisk
Manual De Instalacion De AsteriskManual De Instalacion De Asterisk
Manual De Instalacion De Asterisk
Cesar Pineda
 
ISE-802.1X-MAB
ISE-802.1X-MABISE-802.1X-MAB
ISE-802.1X-MAB
Emerson Barros Rivas
 
Arp spoofing
Arp spoofingArp spoofing
Arp spoofing
Luthfi Widyanto
 
Stuxnet
StuxnetStuxnet
Stuxnet
Shishir Aryal
 
Cisco Routers
Cisco RoutersCisco Routers
Cisco Routers
Shoaib Iqbal
 
Conceptos y Protocolos de Enrutamiento (Capitulo 2)
Conceptos y Protocolos de Enrutamiento (Capitulo 2)Conceptos y Protocolos de Enrutamiento (Capitulo 2)
Conceptos y Protocolos de Enrutamiento (Capitulo 2)
Cristiān Villegās
 
CCNA Quick Notes
CCNA Quick NotesCCNA Quick Notes
CCNA Quick Notes
Eng. Emad Al-Atoum
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Supra Networks
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativas
vverdu
 
Manual cisco (1)
Manual cisco (1)Manual cisco (1)
Manual cisco (1)
Victor Zapata
 
Taller firewall
Taller firewallTaller firewall
Taller firewall
Juan Rodríguez
 

Más contenido relacionado

La actualidad más candente

Conceptos y Protocolos de Enrutamiento (Capitulo 2)
Conceptos y Protocolos de Enrutamiento (Capitulo 2)Conceptos y Protocolos de Enrutamiento (Capitulo 2)
Conceptos y Protocolos de Enrutamiento (Capitulo 2)
Cristiān Villegās
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativas
vverdu
 

La actualidad más candente (20)

Wireless hacking
Wireless hackingWireless hacking
Wireless hacking
 
Simulacion en Packet Tracer
Simulacion en Packet TracerSimulacion en Packet Tracer
Simulacion en Packet Tracer
 
FortiGate Firewall HOW-TO - DMZ
FortiGate Firewall HOW-TO - DMZFortiGate Firewall HOW-TO - DMZ
FortiGate Firewall HOW-TO - DMZ
 
Stuxnet worm
Stuxnet wormStuxnet worm
Stuxnet worm
 
Informe en cisco de configuracion de servidores jose daniel
Informe en cisco de configuracion de servidores jose danielInforme en cisco de configuracion de servidores jose daniel
Informe en cisco de configuracion de servidores jose daniel
 
Criptografía y esteganografía
Criptografía y esteganografíaCriptografía y esteganografía
Criptografía y esteganografía
 
Cisco Router and Switch Security Hardening Guide
Cisco Router and Switch Security Hardening GuideCisco Router and Switch Security Hardening Guide
Cisco Router and Switch Security Hardening Guide
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
 
PROYECTO DE REDES - TEC. VPN
PROYECTO DE REDES - TEC. VPNPROYECTO DE REDES - TEC. VPN
PROYECTO DE REDES - TEC. VPN
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoS
 
CCNA 2 Routing and Switching v5.0 Chapter 4
CCNA 2 Routing and Switching v5.0 Chapter 4CCNA 2 Routing and Switching v5.0 Chapter 4
CCNA 2 Routing and Switching v5.0 Chapter 4
 
Manual De Instalacion De Asterisk
Manual De Instalacion De AsteriskManual De Instalacion De Asterisk
Manual De Instalacion De Asterisk
 
ISE-802.1X-MAB
ISE-802.1X-MABISE-802.1X-MAB
ISE-802.1X-MAB
 
Arp spoofing
Arp spoofingArp spoofing
Arp spoofing
 
Stuxnet
StuxnetStuxnet
Stuxnet
 
Cisco Routers
Cisco RoutersCisco Routers
Cisco Routers
 
Conceptos y Protocolos de Enrutamiento (Capitulo 2)
Conceptos y Protocolos de Enrutamiento (Capitulo 2)Conceptos y Protocolos de Enrutamiento (Capitulo 2)
Conceptos y Protocolos de Enrutamiento (Capitulo 2)
 
CCNA Quick Notes
CCNA Quick NotesCCNA Quick Notes
CCNA Quick Notes
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativas
 

Similar a Seguridad perimetral - Mikrotik Firewall

Smtp 2950
Smtp 2950Smtp 2950
Smtp 2950
1 2d
 
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
Bruno Trenado
 
Manual final nagios
Manual final nagiosManual final nagios
Manual final nagios
rpm-alerts
 
Instalacionnuevos
InstalacionnuevosInstalacionnuevos
Instalacionnuevos
JIE MA ZHOU
 
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercacheConfiguración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Marco Arias
 
Networkmagic
NetworkmagicNetworkmagic
Networkmagic
yeli_skat
 
Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2
Andres Ldño
 
Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2
Andres Ldño
 

Similar a Seguridad perimetral - Mikrotik Firewall (20)

Manual cisco (1)
Manual cisco (1)Manual cisco (1)
Manual cisco (1)
 
Taller firewall
Taller firewallTaller firewall
Taller firewall
 
Administración de switches
Administración de switchesAdministración de switches
Administración de switches
 
Smtp 2950
Smtp 2950Smtp 2950
Smtp 2950
 
Web 2.0
Web 2.0Web 2.0
Web 2.0
 
Reporte final
Reporte finalReporte final
Reporte final
 
Manual Endian
Manual EndianManual Endian
Manual Endian
 
Firewall de windows
Firewall de windowsFirewall de windows
Firewall de windows
 
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
 
Manual final nagios
Manual final nagiosManual final nagios
Manual final nagios
 
Proyecto 7
Proyecto 7Proyecto 7
Proyecto 7
 
Instalacionnuevos
InstalacionnuevosInstalacionnuevos
Instalacionnuevos
 
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercacheConfiguración de mikro tik para thundercache
Configuración de mikro tik para thundercache
 
Networkmagic
NetworkmagicNetworkmagic
Networkmagic
 
Laboratorio de Maquinas Virtuales
Laboratorio de Maquinas VirtualesLaboratorio de Maquinas Virtuales
Laboratorio de Maquinas Virtuales
 
Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2
 
Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2
 
Manual de packet tracer 7.3 2020
Manual de packet tracer 7.3 2020Manual de packet tracer 7.3 2020
Manual de packet tracer 7.3 2020
 
Manual de packet tracer
Manual de packet tracerManual de packet tracer
Manual de packet tracer
 
Network magic
Network magicNetwork magic
Network magic
 

Más de Vanesa Rodríguez Percy

Más de Vanesa Rodríguez Percy (13)

VPN cliente - servidor con Windows Server 2012
VPN cliente - servidor con Windows Server 2012VPN cliente - servidor con Windows Server 2012
VPN cliente - servidor con Windows Server 2012
 
Vpn cliente - servidor con Mikrotik 6.10
Vpn cliente - servidor con Mikrotik 6.10Vpn cliente - servidor con Mikrotik 6.10
Vpn cliente - servidor con Mikrotik 6.10
 
VPN Sitio a Sitio - Packet Tracer 6.2
VPN Sitio a Sitio - Packet Tracer 6.2VPN Sitio a Sitio - Packet Tracer 6.2
VPN Sitio a Sitio - Packet Tracer 6.2
 
Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510
 
Servidor FTP en CentOS 6.5
Servidor FTP en CentOS 6.5Servidor FTP en CentOS 6.5
Servidor FTP en CentOS 6.5
 
Servidor DHCP en Centos 6.5
Servidor DHCP en Centos 6.5Servidor DHCP en Centos 6.5
Servidor DHCP en Centos 6.5
 
Servidor de correo en Zentyal 3.5
Servidor de correo en Zentyal 3.5Servidor de correo en Zentyal 3.5
Servidor de correo en Zentyal 3.5
 
WDS - Servicios de Implementación de Windows
WDS - Servicios de Implementación de Windows WDS - Servicios de Implementación de Windows
WDS - Servicios de Implementación de Windows
 
Servidor de actualizaciones en Windows - WSUS
Servidor de actualizaciones en Windows - WSUSServidor de actualizaciones en Windows - WSUS
Servidor de actualizaciones en Windows - WSUS
 
Paso a paso zenoss 2.5
Paso a paso zenoss 2.5Paso a paso zenoss 2.5
Paso a paso zenoss 2.5
 
Plataforma de monitoreo Hyperic HQ
Plataforma de monitoreo Hyperic HQPlataforma de monitoreo Hyperic HQ
Plataforma de monitoreo Hyperic HQ
 
Servicio de directorio en Centos 6.5
Servicio de directorio en Centos 6.5Servicio de directorio en Centos 6.5
Servicio de directorio en Centos 6.5
 
Servidor de correo Exchange 2010 sobre Windows Server 2012
Servidor de correo Exchange 2010 sobre Windows Server 2012Servidor de correo Exchange 2010 sobre Windows Server 2012
Servidor de correo Exchange 2010 sobre Windows Server 2012
 

Último

Tipos de Valvulas para uso industrial y comercial
Tipos de Valvulas para uso industrial y comercialTipos de Valvulas para uso industrial y comercial
Tipos de Valvulas para uso industrial y comercial
macsal12345
 
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNATINSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
evercoyla
 
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
refrielectriccarlyz
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
gustavoiashalom
 
INFORME de pregrado ingenieria de vias.pdf
INFORME de pregrado ingenieria de vias.pdfINFORME de pregrado ingenieria de vias.pdf
INFORME de pregrado ingenieria de vias.pdf
octaviosalazar18
 

Último (20)

PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTOPRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
 
Tipos de Valvulas para uso industrial y comercial
Tipos de Valvulas para uso industrial y comercialTipos de Valvulas para uso industrial y comercial
Tipos de Valvulas para uso industrial y comercial
 
libro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operacioneslibro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operaciones
 
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
 
ESPECIFICACIONES TECNICAS COMPLEJO DEPORTIVO
ESPECIFICACIONES TECNICAS COMPLEJO DEPORTIVOESPECIFICACIONES TECNICAS COMPLEJO DEPORTIVO
ESPECIFICACIONES TECNICAS COMPLEJO DEPORTIVO
 
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNATINSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
 
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
 
Presentacion de la ganaderia en la región
Presentacion de la ganaderia en la regiónPresentacion de la ganaderia en la región
Presentacion de la ganaderia en la región
 
Matrices Matemáticos universitario pptx
Matrices Matemáticos universitario pptxMatrices Matemáticos universitario pptx
Matrices Matemáticos universitario pptx
 
Sistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión internaSistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión interna
 
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJODIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
 
TAIICHI OHNO, historia, obras, reconocimientos
TAIICHI OHNO, historia, obras, reconocimientosTAIICHI OHNO, historia, obras, reconocimientos
TAIICHI OHNO, historia, obras, reconocimientos
 
Mecatronica Automotriz .pdf
Mecatronica Automotriz .pdfMecatronica Automotriz .pdf
Mecatronica Automotriz .pdf
 
Sistemas de Ecuaciones no lineales-1.pptx
Sistemas de Ecuaciones no lineales-1.pptxSistemas de Ecuaciones no lineales-1.pptx
Sistemas de Ecuaciones no lineales-1.pptx
 
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptTippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
 
Video sustentación GA2- 240201528-AA3-EV01.pptx
Video sustentación GA2- 240201528-AA3-EV01.pptxVideo sustentación GA2- 240201528-AA3-EV01.pptx
Video sustentación GA2- 240201528-AA3-EV01.pptx
 
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEstadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
 
INFORME de pregrado ingenieria de vias.pdf
INFORME de pregrado ingenieria de vias.pdfINFORME de pregrado ingenieria de vias.pdf
INFORME de pregrado ingenieria de vias.pdf
 
FUNCION DE ESTADO EN LA TERMODINAMICA.pdf
FUNCION DE ESTADO EN LA TERMODINAMICA.pdfFUNCION DE ESTADO EN LA TERMODINAMICA.pdf
FUNCION DE ESTADO EN LA TERMODINAMICA.pdf
 

Seguridad perimetral - Mikrotik Firewall

  • 1. 1 ACTIVIDAD No 1 SEGURIDAD PERIMETRAL VANESA RODRIGUEZ PERCY JUAN DAVID TRUJILLO CÉSAR AUGUSTO MORALES FICHA 600088 INSTRUCTOR: ALEXANDER AUGUSTO ALVAREZ SENA SERVICIO NACIONAL DE APRENDIZAJE GESTION REDES DE DATOS MEDELLIN 2015
  • 2. 2 Contenido PROBLEMA A RESOLVER...................................................................................................................... 3 TOPOLOGÍA PLANTEADA..................................................................................................................... 4 ............................................................................................................................................................. 4 INSTALACIÓN DE MIKROTIK ................................................................................................................ 6 CONFIGURACIÓN DE MIKROTIK........................................................................................................ 15 FIREWALL: CONFIGURACIÓN DE REGLAS.......................................................................................... 22 SOLUCIONES FIREWALL PARA WINDOWS......................................................................................... 35 COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA................................................................. 37 CIBERGRAFÍA..................................................................................................................................... 38
  • 3. 3 PROBLEMA A RESOLVER Las actividades para desarrollar estas guías son: 1. Implementar un firewall común en un enrutador cisco 2. Implementar un firewall con DMZ en Linux/BSD/Solaris 3. Implementar un firewall con DMZ en Windows Server Actividad 1: Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados. Generalmente la comunicación desde la LAN es transparente así que el enrutador debe permitir la salida de paquetes desde la LAN. Actividad 2 y 3: Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumirá que existen 3 servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer reglas de acceso que les permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles. También debe recrear el escenario donde un intruso ha logrado penetrar un sistema de la DMZ, ¿qué reglas debería aplicar en el firewall para evitar que el intruso llegue hasta la LAN privada? ESTRATEGIAS Antes de comenzar prepare el escenario requerido para la práctica (hardware, software, manuales, etc.), recuerde segmentar cada una de las zonas de la prueba que quiere realizar. También tenga en cuenta el direccionamiento a usar para que su firewall pueda funcionar adecuadamente. Estrategias Actividad 1: En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su router tenga una IOS que permita hacer filtrado con ACLs, además de esto recuerde que va a requerir por lo menos dos interfaces para trabajar, como recomendación puede usar un router que soporte dos interfaces de red Ethernet. Recuerde que puede usar un simulador como Packet Tracer antes de intentar configurar el router de forma real, esto le evitará muchos problemas. Estrategias Actividad 2 y 3: Para el trabajo con los firewalls en los sistemas operativos tenga en cuenta las siguientes recomendaciones: Intente primero configurar las interfaces de red y aplicar el NAT básico para que garantice que los paquetes pasan de un lado al otro de las interfaces sin problemas.
  • 4. 4 Una vez verifique que puede conectarse de un lado al otro, cree reglas de filtrado básicas entre dos interfaces (no intente con las 3 interfaces al tiempo), primero garantice que puede diferenciar y filtrar el tráfico entre 2 interfaces antes de intentar configurar las 3 tarjetas. El primer firewall que usted diseñe debe ser con la política PASS BY DEFAULT, esto significa que todo lo que no se defina explicita mente será permitido, este tipo de firewall es más permisivo pero le permite aprender los conceptos básicos sin tantas complicaciones. Una vez el firewall PASS BY DEFAULT este configurado y funcionando trate de adaptarlo para que funcione en modo DROP BY DEFAULT, en este modo el firewall no dejará pasar nada a través de sus interfaces que no esté explicita mente permitido. Recuerde que puede usar appliances de firewalls que son más fáciles de configurar puesto que tienen interfaces web sencillas para administrarlos, se recomienda usar estos appliances una vez se hayan adquirido los conceptos básicos de firewalls y se haya experimentado con la configuración de firewalls “a mano”. Actividad 1: Esta actividad se realizó en el aula de clases de forma física o real utilizando un dispositivo de CISCO. TOPOLOGÍA PLANTEADA 172.16.1.0/24 Mikrotik Firewall 172.16.1.20 Windows 7 Pro 10.1.1.0/24 172.16.1.200 10.1.1.200 WAN 192.168.1.200 DMZ - Windows 7 Pro 192.168.1.120 192.168.1.0/24 Internet
  • 5. 5 Actividad 2: El primer paso fue seleccionar el software para realizar la actividad, que para este caso fue Mikrotik, de lo cual a continuación hacemos una pequeña descripción: Mikrotik ls Ltd. conocida internacionalmente como MikroTik, es una compañía letona proveedora de tecnología disruptiva de hardware y software para la creación de redes. Mikrotik RouterOS es un software que funciona como un sistema operativo para convertir un PC o una placa Mikrotik RouterBOARD en un router dedicado. Mikrotik RouterOS es un sistema operativo basado en el kernel de Linux 2.6 usado en el hardware de los Microtik RouterBOARD que es la división de hardware de la marca Mikrotik. Se caracteriza por poseer su propio S.O de fácil configuración. Estos dispositivos poseen la ventaja de tener una relación costo /beneficio muy alta. Configuración RouterOS soporta varios métodos de configuración como son: -Acceso local vía teclado y monitor -Consola serial con una terminal -Acceso vía Telnet y SSH vía una red -Una interfaz gráfica llamada WinBox -Una API para el desarrollo de aplicaciones propias para la configuración. -En caso de no contar con acceso local y existe un problema con las ----direcciones IP, RouterOS soporta una conexión basada en direcciones MAC usando las herramientas customizadas Mac-Telnet y herramientas de Winbox.
  • 6. 6 INSTALACIÓN DE MIKROTIK Descargamos el software de la página oficial de MikroTik. http://www.mikrotik.com/download Una vez realizada la descarga, procedemos a instalarlo en este caso en VMWare.
  • 7. 7
  • 8. 8
  • 9. 9
  • 10. 10 En esta ventana se nos pide que seleccionemos los servicios que deseamos utilizar, cada servicio tiene una especificación y en muchos tutoriales de internet podemos ver que función cumple cada uno, se seleccionan con la tecla de direcciones y seleccionando el servicio deseado con la barra espaciadora. Para iniciar la instalación presionamos la letra “i”
  • 11. 11 Ahora nos pregunta si queremos instalar los servicios seleccionados, presionamos la letra “y” para aceptar y reconfirmamos nuevamente con la letra “y” En esta ventana vemos como se realizan las particiones y el formateo del disco y de igual forma se inicia la instalación de los servicios.
  • 12. 12 Para finalizar la instalación se nos pide reiniciar el sistema para lo cual presionamos la tecla enter. Después de reiniciar la máquina, veremos lo siguiente: Se nos está pidiendo un login, este por defecto es admin, en contraseña la dejamos vacía.
  • 13. 13 Una de las formas de administrar Mikrotik, es remotamente; para realizar esta tarea, vamos a usar una herramienta llamada Win Box. Esta herramienta la podemos descargar desde la página oficial de Mikrotik, así: Accedemos a la página web, a través de esta dirección: http://www.mikrotik.com/download.
  • 14. 14
  • 15. 15 Allí vamos a la sección Useful tools and utilities y seleccionamos la opción Winbox version 3.0rc2 (Esta es la versión disponible hasta el momento, cuando se realizó este tutorial), descargamos este archivo con extensión (.exe). CONFIGURACIÓN DE MIKROTIK 1. Primero procederemos a configurar al menos una interfaz que nos servirá para gestionar de manera gráfica el dispositivo, para este proceso ingresamos al menú Ip/address/print. Desde la Shell de Mikrotik. Este comando nos informará las direcciones que existen actualmente configuradas con direccionamiento IP, como la interfaz ether 1 trae una dirección Ip por defecto, la removemos mediante el comando “remove 0”. Añadimos con el comando add address=IP/mask interface=interfaz la configuración.
  • 16. 16 2. En un PC cliente ejecutamos la aplicación Winbox, propietaria de mikrotik (descarga en la web oficial), en “Conect To” digitamos la dirección IP anteriormente configurada y los parámetros de usuario y contraseña. Luego damos clic en el botón connect. Esta es la pantalla principal de WinBox, en ella vemos lo siguiente: Connect To: En esta línea se coloca la dirección IP del dispositivo al cual queremos conectarnos. Login: Nombre de usuario para administrar Password: Contraseña Las opciones Keep Password y Secure Mode, la primera opción nos indica si queremos guardar nuestro password y la segunda permite entrar en modo seguro a la configuración del Mikrotik, esta opción activa la capa SSL en el modo de transporte. La parte de Note, es para colocar un comentario en donde yo deseo conectarme.
  • 17. 17 WinBox hace un barrido por Broadcast, esto permite verificar cuáles son todos los equipos Mikrotik que tengo en mi red. Debo dar clic en la opción Connect. ¿QUÉ ES WIN BOX? WinBox es una simple herramienta de servidor que permite conectarte a otro cliente. Incluye una sofisticada tecnología para realizar estas conexiones basada en el sistema operativo RouterOS. Este software permite a sus usuarios realizar conexiones vía FTP, telnet y SSH. Incluye también una API que permite crear aplicaciones personalizadas para monitorizar y administrar.
  • 18. 18 3. Ahora vamos a dar clic en el menú IP, Address, esto con el fin de configurar las direcciones IP de las demás interfaces.
  • 19. 19 4. Presionamos clic en el símbolo de + y digitamos la IP y la interfaz a la cual será configurada esta dirección, clic en OK. 5. Nos dirigimos al menú IP / Route para agregar la puerta de enlace.
  • 20. 20 6. Damos clic en el símbolo + y donde dice “Gateway” digitamos nuestra puerta de enlace, presionamos clic en OK. 7. Mediante el menú “Tools” / “Ping” podremos validar la conectividad con internet.
  • 21. 21 8. En el menú IP / DNS abrimos la configuración de nuestro DNS, en “Servers” agregamos la IP del mismo y damos clic en OK. 9. Desde el menú Interfaces podemos renombrar las mismas, dando clic en Name, asignando el nombre y dar clic en OK.
  • 22. 22 FIREWALL: CONFIGURACIÓN DE REGLAS Desde el menú IP / Firewall / pestaña Filter rules agregamos 3 reglas (Pues para acceder de la LAN a la DMZ es necesario priorizar dos reglas antes de restringir lo demás). 10.Regla para responder el eco del DMZ para PING. (Esta regla permite comprobar el estado de la comunicación del host, del DMZ con uno o varios equipos remotos de una red a IP por medio del envío de paquetes ICMP de solicitud y de respuesta. Que este host responda a los ping.
  • 23. 23 Protocolo de Mensajes de Control y Error de Internet, ICMP, es de características similares a UDP, pero con un formato mucho más simple, y su utilidad no está en el transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Se debe elegir ICMP en protocol, para verificar la conectividad de la red en el DMZ.
  • 24. 24
  • 25. 25 11. Aceptar los paquetes ACK.
  • 26. 26 12. Bloquear el tráfico que no esté permitido con las reglas anteriores.
  • 27. 27 Esta regla permite bloquear el tráfico desde el DMZ hacia la LAN.
  • 28. 28 Menú IP /Firewall / pestaña NAT 12.Agregamos un nateo de destino para que al preguntarnos por la IP pública, re direccione todo el tráfico al DMZ, en el ejemplo solo por el puerto 80. Chain: dst-nat Dst-Address: 10.1.1.200 (IP pública de Mikrotik). Protocol: tcp Dst-Port: 80 (Puerto destino por el que se va a consultar o ingresar al servicio, del DMZ).
  • 29. 29 Action: dst-nat To Address: 192.168.1.120 (Dirección IP del equipo, de la zona del DMZ). To Ports: 0 -65535
  • 30. 30 13.Salida a internet desde la red LAN Con esta regla, se configura que todo lo que salga por la interfaz de Internet, sea enmascarado. Chain: srcnat Src Address: 172.16.1.0/24 Out. Interface: WAN En Src Address, se puede especificar una dirección IP específica o con el ID de red. Out. Interface: Cuál será la interfaz de salida para el Internet. Action: Masquerade
  • 31. 31 Pruebas P1. Prueba del acceso a DMZ. Para probar el acceso al DMZ, desde el equipo de la red LAN, se ingresa por un navegador de Internet, digitando la IP pública de nuestro Firewall Mikrotik. Previamente en la máquina del DMZ, se activa el IIS(Internet Information Services), este es el servicio Web, el cual será el que accedamos desde Internet. Para activarlo en la máquina del DMZ, la cual tiene Windows 7 Pro; seguimos los siguientes pasos: Panel de control - Programas y características – Activar o desactivar las características de Windows - Allí buscamos la opción Internet Information Services.
  • 32. 32 Ingresamos por el navegador de Internet, digitamos la IP pública del Mikrotik y nos re direcciona al IIS, lo que indica que desde Internet, podemos acceder a un servicio del DMZ.
  • 33. 33 P2. Configuración IP, no accede el PC a internet, No accede a la LAN. Ping a la dirección 172.16.1.20, esta dirección es la de nuestro equipo en la red LAN, el ping nos indica que no hay conectividad desde el DMZ, hasta la red LAN. Se cumple el requerimiento: Desde el DMZ, no se tenga acceso a la LAN.
  • 34. 34 P3. Configuración IP, accede el pc a internet, accede a DMZ. Ping al 192.168.1.120, esta es la dirección del equipo, que se encuentra en la red del DMZ. Hay conectividad desde nuestra LAN hacia el DMZ. Ya que se obtiene respuesta desde este equipo.
  • 35. 35 SOLUCIONES FIREWALL PARA WINDOWS FIREWALL VENTAJAS DESVENTAJAS SOPHOS UTM Velocidad: Utiliza tecnología multinúcleo de Intel, unidades de estado sólido, y escaneado de contenido en memoria acelerado. Potente rápido. Registros e informes: Permite informes detallados, Gráficos de flujo de vista rápida muestran las tendencias de uso y la actividad web Nuestro informe ejecutivo de resumen diario le mantiene informado La posibilidad de anonimato de los informes permite mantener Protección todo en uno: Ofrece lo último en protección mediante next- gen firewall con características que no se pueden conseguir en ningún otro sitio - incluido cifrado móvil, web, de estaciones de trabajo, de correo electrónico y DLP. Sin hardware adicional. Sin costes adicionales. Solo tiene que escoger lo que quiere implantar. 1) Los usuarios están buscando mejoras en el nivel de detalle de la información de SOPHOS Dell Sonic WALL Bloquea las amenazas en la puerta de enlace: Los cortafuegos SonicWALL examinan todo el tráfico entrante y saliente para evitar intrusiones, virus, spyware y cualquier otro tipo de tráfico malintencionado que comprometa la seguridad de la red. Asegura y controle el acceso remoto: Los cortafuegos SonicWALL ofrecen SSL VPN y IPSec VPN, que extienden la prevención de intrusiones y la protección contra malware a los 1) SonicWALL no ofrece un dispositivo virtual por el espacio UTM.
  • 36. 36 empleados móviles y las sucursales, de una forma muy sencilla de administrar Sanea el tráfico inalámbrico: SonicOS incluye un controlador inalámbrico seguro integrado. Junto con los puntos de acceso inalámbricos seguros de Dell SonicWALL SonicPoint, este controlador permite implementar redes de 802.11 a/b/g/n sin problemas, protegidas con la tecnología SonicWALL Clean Wireless™ y SonicWALL Application Intelligence and Control. WatchGuard Seguridad: La inspección de contenido en capa de aplicación reconoce y bloquea las amenazas que los firewalls de paquetes stateful no pueden detectar. La protección de proxy de amplio rango brinda una seguridad robusta en HTTP, HTTPS, FTP, SMTP, POP3, DNS, TCP/UDP. Rápidez y eficiencia: La alta disponibilidad activa/activa con balanceo de carga garantiza un máximo tiempo de funcionamiento de la red. Escalable: Añada poderosas suscripciones de seguridad para bloquear spam, controlar la navegación peligrosa e inapropiada y el uso de aplicaciones peligrosas e inapropiadas, prevenir las intrusiones a la red y detener en la puerta de enlace la entrada de virus, spyware y otro malware. 1) Los usuarios citan deficiencias en la presentación de informes de rendimiento y funcionalidad. 2) Apoyo MSSP para dispositivos WatchGuard está limitada en comparación con los principales competidores.
  • 37. 37 COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA Esta película enseña que en la vida, no hay que permitir que otras personas o circunstancias se conviertan en obstáculos, que a la larga frustren nuestros sueños y metas. Se debe tener claro cuál es el objetivo que se persigue y luchar por ello; no importando la oposición o barreras que encontremos en el camino. Además nos muestra que para cumplir esas metas o sueños, se hace necesario trabajar en equipo, esta es una de las tareas de la vida diaria, que en muchos casos nos garantiza el éxito. La edad tampoco debe ser excusa, para dejar de aprender o para dejar de intentar las cosas, siempre se tiene la oportunidad de aprender nuevos conocimientos y trabajar por grandes metas.