SlideShare una empresa de Scribd logo

Seguridad perimetral - Mikrotik Firewall

V
Vanesa Rodríguez Percy

En este documento se describe la configuración de un Firewall en Mikrotik 6.10. Configuraciones y pruebas de funcionamiento.

Ingeniería
1 de 38
Descargar para leer sin conexión
1 ACTIVIDAD No 1 SEGURIDAD PERIMETRAL VANESA RODRIGUEZ PERCY JUAN DAVID TRUJILLO CÉSAR AUGUSTO MORALES FICHA 600088 INSTRUCTOR: ALEXANDER AUGUSTO ALVAREZ SENA SERVICIO NACIONAL DE APRENDIZAJE GESTION REDES DE DATOS MEDELLIN 2015
2 Contenido PROBLEMA A RESOLVER...................................................................................................................... 3 TOPOLOGÍA PLANTEADA..................................................................................................................... 4 ............................................................................................................................................................. 4 INSTALACIÓN DE MIKROTIK ................................................................................................................ 6 CONFIGURACIÓN DE MIKROTIK........................................................................................................ 15 FIREWALL: CONFIGURACIÓN DE REGLAS.......................................................................................... 22 SOLUCIONES FIREWALL PARA WINDOWS......................................................................................... 35 COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA................................................................. 37 CIBERGRAFÍA..................................................................................................................................... 38
3 PROBLEMA A RESOLVER Las actividades para desarrollar estas guías son: 1. Implementar un firewall común en un enrutador cisco 2. Implementar un firewall con DMZ en Linux/BSD/Solaris 3. Implementar un firewall con DMZ en Windows Server Actividad 1: Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados. Generalmente la comunicación desde la LAN es transparente así que el enrutador debe permitir la salida de paquetes desde la LAN. Actividad 2 y 3: Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumirá que existen 3 servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer reglas de acceso que les permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles. También debe recrear el escenario donde un intruso ha logrado penetrar un sistema de la DMZ, ¿qué reglas debería aplicar en el firewall para evitar que el intruso llegue hasta la LAN privada? ESTRATEGIAS Antes de comenzar prepare el escenario requerido para la práctica (hardware, software, manuales, etc.), recuerde segmentar cada una de las zonas de la prueba que quiere realizar. También tenga en cuenta el direccionamiento a usar para que su firewall pueda funcionar adecuadamente. Estrategias Actividad 1: En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su router tenga una IOS que permita hacer filtrado con ACLs, además de esto recuerde que va a requerir por lo menos dos interfaces para trabajar, como recomendación puede usar un router que soporte dos interfaces de red Ethernet. Recuerde que puede usar un simulador como Packet Tracer antes de intentar configurar el router de forma real, esto le evitará muchos problemas. Estrategias Actividad 2 y 3: Para el trabajo con los firewalls en los sistemas operativos tenga en cuenta las siguientes recomendaciones: Intente primero configurar las interfaces de red y aplicar el NAT básico para que garantice que los paquetes pasan de un lado al otro de las interfaces sin problemas.
4 Una vez verifique que puede conectarse de un lado al otro, cree reglas de filtrado básicas entre dos interfaces (no intente con las 3 interfaces al tiempo), primero garantice que puede diferenciar y filtrar el tráfico entre 2 interfaces antes de intentar configurar las 3 tarjetas. El primer firewall que usted diseñe debe ser con la política PASS BY DEFAULT, esto significa que todo lo que no se defina explicita mente será permitido, este tipo de firewall es más permisivo pero le permite aprender los conceptos básicos sin tantas complicaciones. Una vez el firewall PASS BY DEFAULT este configurado y funcionando trate de adaptarlo para que funcione en modo DROP BY DEFAULT, en este modo el firewall no dejará pasar nada a través de sus interfaces que no esté explicita mente permitido. Recuerde que puede usar appliances de firewalls que son más fáciles de configurar puesto que tienen interfaces web sencillas para administrarlos, se recomienda usar estos appliances una vez se hayan adquirido los conceptos básicos de firewalls y se haya experimentado con la configuración de firewalls “a mano”. Actividad 1: Esta actividad se realizó en el aula de clases de forma física o real utilizando un dispositivo de CISCO. TOPOLOGÍA PLANTEADA 172.16.1.0/24 Mikrotik Firewall 172.16.1.20 Windows 7 Pro 10.1.1.0/24 172.16.1.200 10.1.1.200 WAN 192.168.1.200 DMZ - Windows 7 Pro 192.168.1.120 192.168.1.0/24 Internet
5 Actividad 2: El primer paso fue seleccionar el software para realizar la actividad, que para este caso fue Mikrotik, de lo cual a continuación hacemos una pequeña descripción: Mikrotik ls Ltd. conocida internacionalmente como MikroTik, es una compañía letona proveedora de tecnología disruptiva de hardware y software para la creación de redes. Mikrotik RouterOS es un software que funciona como un sistema operativo para convertir un PC o una placa Mikrotik RouterBOARD en un router dedicado. Mikrotik RouterOS es un sistema operativo basado en el kernel de Linux 2.6 usado en el hardware de los Microtik RouterBOARD que es la división de hardware de la marca Mikrotik. Se caracteriza por poseer su propio S.O de fácil configuración. Estos dispositivos poseen la ventaja de tener una relación costo /beneficio muy alta. Configuración RouterOS soporta varios métodos de configuración como son: -Acceso local vía teclado y monitor -Consola serial con una terminal -Acceso vía Telnet y SSH vía una red -Una interfaz gráfica llamada WinBox -Una API para el desarrollo de aplicaciones propias para la configuración. -En caso de no contar con acceso local y existe un problema con las ----direcciones IP, RouterOS soporta una conexión basada en direcciones MAC usando las herramientas customizadas Mac-Telnet y herramientas de Winbox.
6 INSTALACIÓN DE MIKROTIK Descargamos el software de la página oficial de MikroTik. http://www.mikrotik.com/download Una vez realizada la descarga, procedemos a instalarlo en este caso en VMWare.
7
8
9
10 En esta ventana se nos pide que seleccionemos los servicios que deseamos utilizar, cada servicio tiene una especificación y en muchos tutoriales de internet podemos ver que función cumple cada uno, se seleccionan con la tecla de direcciones y seleccionando el servicio deseado con la barra espaciadora. Para iniciar la instalación presionamos la letra “i”
11 Ahora nos pregunta si queremos instalar los servicios seleccionados, presionamos la letra “y” para aceptar y reconfirmamos nuevamente con la letra “y” En esta ventana vemos como se realizan las particiones y el formateo del disco y de igual forma se inicia la instalación de los servicios.
12 Para finalizar la instalación se nos pide reiniciar el sistema para lo cual presionamos la tecla enter. Después de reiniciar la máquina, veremos lo siguiente: Se nos está pidiendo un login, este por defecto es admin, en contraseña la dejamos vacía.
13 Una de las formas de administrar Mikrotik, es remotamente; para realizar esta tarea, vamos a usar una herramienta llamada Win Box. Esta herramienta la podemos descargar desde la página oficial de Mikrotik, así: Accedemos a la página web, a través de esta dirección: http://www.mikrotik.com/download.
14
15 Allí vamos a la sección Useful tools and utilities y seleccionamos la opción Winbox version 3.0rc2 (Esta es la versión disponible hasta el momento, cuando se realizó este tutorial), descargamos este archivo con extensión (.exe). CONFIGURACIÓN DE MIKROTIK 1. Primero procederemos a configurar al menos una interfaz que nos servirá para gestionar de manera gráfica el dispositivo, para este proceso ingresamos al menú Ip/address/print. Desde la Shell de Mikrotik. Este comando nos informará las direcciones que existen actualmente configuradas con direccionamiento IP, como la interfaz ether 1 trae una dirección Ip por defecto, la removemos mediante el comando “remove 0”. Añadimos con el comando add address=IP/mask interface=interfaz la configuración.
16 2. En un PC cliente ejecutamos la aplicación Winbox, propietaria de mikrotik (descarga en la web oficial), en “Conect To” digitamos la dirección IP anteriormente configurada y los parámetros de usuario y contraseña. Luego damos clic en el botón connect. Esta es la pantalla principal de WinBox, en ella vemos lo siguiente: Connect To: En esta línea se coloca la dirección IP del dispositivo al cual queremos conectarnos. Login: Nombre de usuario para administrar Password: Contraseña Las opciones Keep Password y Secure Mode, la primera opción nos indica si queremos guardar nuestro password y la segunda permite entrar en modo seguro a la configuración del Mikrotik, esta opción activa la capa SSL en el modo de transporte. La parte de Note, es para colocar un comentario en donde yo deseo conectarme.
17 WinBox hace un barrido por Broadcast, esto permite verificar cuáles son todos los equipos Mikrotik que tengo en mi red. Debo dar clic en la opción Connect. ¿QUÉ ES WIN BOX? WinBox es una simple herramienta de servidor que permite conectarte a otro cliente. Incluye una sofisticada tecnología para realizar estas conexiones basada en el sistema operativo RouterOS. Este software permite a sus usuarios realizar conexiones vía FTP, telnet y SSH. Incluye también una API que permite crear aplicaciones personalizadas para monitorizar y administrar.
18 3. Ahora vamos a dar clic en el menú IP, Address, esto con el fin de configurar las direcciones IP de las demás interfaces.
19 4. Presionamos clic en el símbolo de + y digitamos la IP y la interfaz a la cual será configurada esta dirección, clic en OK. 5. Nos dirigimos al menú IP / Route para agregar la puerta de enlace.
20 6. Damos clic en el símbolo + y donde dice “Gateway” digitamos nuestra puerta de enlace, presionamos clic en OK. 7. Mediante el menú “Tools” / “Ping” podremos validar la conectividad con internet.
21 8. En el menú IP / DNS abrimos la configuración de nuestro DNS, en “Servers” agregamos la IP del mismo y damos clic en OK. 9. Desde el menú Interfaces podemos renombrar las mismas, dando clic en Name, asignando el nombre y dar clic en OK.
22 FIREWALL: CONFIGURACIÓN DE REGLAS Desde el menú IP / Firewall / pestaña Filter rules agregamos 3 reglas (Pues para acceder de la LAN a la DMZ es necesario priorizar dos reglas antes de restringir lo demás). 10.Regla para responder el eco del DMZ para PING. (Esta regla permite comprobar el estado de la comunicación del host, del DMZ con uno o varios equipos remotos de una red a IP por medio del envío de paquetes ICMP de solicitud y de respuesta. Que este host responda a los ping.
23 Protocolo de Mensajes de Control y Error de Internet, ICMP, es de características similares a UDP, pero con un formato mucho más simple, y su utilidad no está en el transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Se debe elegir ICMP en protocol, para verificar la conectividad de la red en el DMZ.
24
25 11. Aceptar los paquetes ACK.
26 12. Bloquear el tráfico que no esté permitido con las reglas anteriores.
27 Esta regla permite bloquear el tráfico desde el DMZ hacia la LAN.
28 Menú IP /Firewall / pestaña NAT 12.Agregamos un nateo de destino para que al preguntarnos por la IP pública, re direccione todo el tráfico al DMZ, en el ejemplo solo por el puerto 80. Chain: dst-nat Dst-Address: 10.1.1.200 (IP pública de Mikrotik). Protocol: tcp Dst-Port: 80 (Puerto destino por el que se va a consultar o ingresar al servicio, del DMZ).
29 Action: dst-nat To Address: 192.168.1.120 (Dirección IP del equipo, de la zona del DMZ). To Ports: 0 -65535
30 13.Salida a internet desde la red LAN Con esta regla, se configura que todo lo que salga por la interfaz de Internet, sea enmascarado. Chain: srcnat Src Address: 172.16.1.0/24 Out. Interface: WAN En Src Address, se puede especificar una dirección IP específica o con el ID de red. Out. Interface: Cuál será la interfaz de salida para el Internet. Action: Masquerade
31 Pruebas P1. Prueba del acceso a DMZ. Para probar el acceso al DMZ, desde el equipo de la red LAN, se ingresa por un navegador de Internet, digitando la IP pública de nuestro Firewall Mikrotik. Previamente en la máquina del DMZ, se activa el IIS(Internet Information Services), este es el servicio Web, el cual será el que accedamos desde Internet. Para activarlo en la máquina del DMZ, la cual tiene Windows 7 Pro; seguimos los siguientes pasos: Panel de control - Programas y características – Activar o desactivar las características de Windows - Allí buscamos la opción Internet Information Services.
32 Ingresamos por el navegador de Internet, digitamos la IP pública del Mikrotik y nos re direcciona al IIS, lo que indica que desde Internet, podemos acceder a un servicio del DMZ.
33 P2. Configuración IP, no accede el PC a internet, No accede a la LAN. Ping a la dirección 172.16.1.20, esta dirección es la de nuestro equipo en la red LAN, el ping nos indica que no hay conectividad desde el DMZ, hasta la red LAN. Se cumple el requerimiento: Desde el DMZ, no se tenga acceso a la LAN.
34 P3. Configuración IP, accede el pc a internet, accede a DMZ. Ping al 192.168.1.120, esta es la dirección del equipo, que se encuentra en la red del DMZ. Hay conectividad desde nuestra LAN hacia el DMZ. Ya que se obtiene respuesta desde este equipo.
35 SOLUCIONES FIREWALL PARA WINDOWS FIREWALL VENTAJAS DESVENTAJAS SOPHOS UTM Velocidad: Utiliza tecnología multinúcleo de Intel, unidades de estado sólido, y escaneado de contenido en memoria acelerado. Potente rápido. Registros e informes: Permite informes detallados, Gráficos de flujo de vista rápida muestran las tendencias de uso y la actividad web Nuestro informe ejecutivo de resumen diario le mantiene informado La posibilidad de anonimato de los informes permite mantener Protección todo en uno: Ofrece lo último en protección mediante next- gen firewall con características que no se pueden conseguir en ningún otro sitio - incluido cifrado móvil, web, de estaciones de trabajo, de correo electrónico y DLP. Sin hardware adicional. Sin costes adicionales. Solo tiene que escoger lo que quiere implantar. 1) Los usuarios están buscando mejoras en el nivel de detalle de la información de SOPHOS Dell Sonic WALL Bloquea las amenazas en la puerta de enlace: Los cortafuegos SonicWALL examinan todo el tráfico entrante y saliente para evitar intrusiones, virus, spyware y cualquier otro tipo de tráfico malintencionado que comprometa la seguridad de la red. Asegura y controle el acceso remoto: Los cortafuegos SonicWALL ofrecen SSL VPN y IPSec VPN, que extienden la prevención de intrusiones y la protección contra malware a los 1) SonicWALL no ofrece un dispositivo virtual por el espacio UTM.
36 empleados móviles y las sucursales, de una forma muy sencilla de administrar Sanea el tráfico inalámbrico: SonicOS incluye un controlador inalámbrico seguro integrado. Junto con los puntos de acceso inalámbricos seguros de Dell SonicWALL SonicPoint, este controlador permite implementar redes de 802.11 a/b/g/n sin problemas, protegidas con la tecnología SonicWALL Clean Wireless™ y SonicWALL Application Intelligence and Control. WatchGuard Seguridad: La inspección de contenido en capa de aplicación reconoce y bloquea las amenazas que los firewalls de paquetes stateful no pueden detectar. La protección de proxy de amplio rango brinda una seguridad robusta en HTTP, HTTPS, FTP, SMTP, POP3, DNS, TCP/UDP. Rápidez y eficiencia: La alta disponibilidad activa/activa con balanceo de carga garantiza un máximo tiempo de funcionamiento de la red. Escalable: Añada poderosas suscripciones de seguridad para bloquear spam, controlar la navegación peligrosa e inapropiada y el uso de aplicaciones peligrosas e inapropiadas, prevenir las intrusiones a la red y detener en la puerta de enlace la entrada de virus, spyware y otro malware. 1) Los usuarios citan deficiencias en la presentación de informes de rendimiento y funcionalidad. 2) Apoyo MSSP para dispositivos WatchGuard está limitada en comparación con los principales competidores.
37 COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA Esta película enseña que en la vida, no hay que permitir que otras personas o circunstancias se conviertan en obstáculos, que a la larga frustren nuestros sueños y metas. Se debe tener claro cuál es el objetivo que se persigue y luchar por ello; no importando la oposición o barreras que encontremos en el camino. Además nos muestra que para cumplir esas metas o sueños, se hace necesario trabajar en equipo, esta es una de las tareas de la vida diaria, que en muchos casos nos garantiza el éxito. La edad tampoco debe ser excusa, para dejar de aprender o para dejar de intentar las cosas, siempre se tiene la oportunidad de aprender nuevos conocimientos y trabajar por grandes metas.
38 CIBERGRAFÍA http://mundoderinux.blogspot.com/2013/07/comparaciones-de-los-mejores-utm- del.html http://www.xnetworks.es/promos/Sophos/Flashnews_ENE/sophos-UTM-six-tips- wpes.pdf https://www.incibe.es/extfrontinteco/img/File/demostrador/catalogo_stic_2010.pdf http://latam.kaspersky.com/sites/default/files/knowledge- center/practical%20business%20endpoint%20security_0.pdf http://www.sonicwall.com/es/es/products/Network-Security.html http://www.watchguard.com/es/wgrd-international/products/ngfw/overview http://www.sophos.com/es-es/products/unified-threat-management/how-to- buy.aspx#start http://winbox.waxoo.com/ http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html

Recomendados

Actividad Topologías VoIP
Actividad Topologías VoIPActividad Topologías VoIP
Actividad Topologías VoIP
cyberleon95
 
2. Configuración OSPF
2. Configuración OSPF2. Configuración OSPF
2. Configuración OSPF
David Narváez
 
Comandos ccna (2)
Comandos ccna (2)Comandos ccna (2)
Comandos ccna (2)
JavierLopez547
 
Cours routage inter-vlan
Cours routage inter-vlanCours routage inter-vlan
Cours routage inter-vlan
EL AMRI El Hassan
 
Libro cisco ios
Libro cisco iosLibro cisco ios
Libro cisco ios
Gabriel Andrés Riquelme Pérez
 
Informe lab 5 router bgp final
Informe lab 5 router bgp finalInforme lab 5 router bgp final
Informe lab 5 router bgp final
Helenio Corvacho
 
Taller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPTaller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIP
cyberleon95
 
Redes de área local
Redes de área local Redes de área local
Redes de área local
aidaeiris
 

Recomendados

Actividad Topologías VoIP
Actividad Topologías VoIPActividad Topologías VoIP
Actividad Topologías VoIP
cyberleon95
 
2. Configuración OSPF
2. Configuración OSPF2. Configuración OSPF
2. Configuración OSPF
David Narváez
 
Comandos ccna (2)
Comandos ccna (2)Comandos ccna (2)
Comandos ccna (2)
JavierLopez547
 
Cours routage inter-vlan
Cours routage inter-vlanCours routage inter-vlan
Cours routage inter-vlan
EL AMRI El Hassan
 
Libro cisco ios
Libro cisco iosLibro cisco ios
Libro cisco ios
Gabriel Andrés Riquelme Pérez
 
Informe lab 5 router bgp final
Informe lab 5 router bgp finalInforme lab 5 router bgp final
Informe lab 5 router bgp final
Helenio Corvacho
 
Taller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPTaller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIP
cyberleon95
 
Redes de área local
Redes de área local Redes de área local
Redes de área local
aidaeiris
 
Chapter 8 .vlan.pdf
Chapter 8 .vlan.pdfChapter 8 .vlan.pdf
Chapter 8 .vlan.pdf
manojkumar595505
 
Dynamic routing
Dynamic routingDynamic routing
Dynamic routing
ajeela mushtaq
 
André tesa
André tesaAndré tesa
André tesa
André Correia
 
Asa packet-flow-00
Asa packet-flow-00Asa packet-flow-00
Asa packet-flow-00
vinaydewangan11
 
Cableado Estructurado V 0
Cableado Estructurado V 0Cableado Estructurado V 0
Cableado Estructurado V 0
JULIO
 
Taller enrutamiento estatico
Taller enrutamiento estaticoTaller enrutamiento estatico
Taller enrutamiento estatico
cyberleon95
 
CCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdf
CCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdfCCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdf
CCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdf
poojaswami31
 
GNS3 instalación, configuración, ipv4, ipv6
GNS3 instalación, configuración, ipv4, ipv6GNS3 instalación, configuración, ipv4, ipv6
GNS3 instalación, configuración, ipv4, ipv6
Alex Vasquez
 
Planteamiento de instalacion de Red
Planteamiento de instalacion de RedPlanteamiento de instalacion de Red
Planteamiento de instalacion de Red
Brandon Hernández
 
Dispositivos de interconexión de redes
Dispositivos de interconexión de redesDispositivos de interconexión de redes
Dispositivos de interconexión de redes
Cristobal Aldana
 
10 protocolos de enrutamiento
10 protocolos de enrutamiento10 protocolos de enrutamiento
10 protocolos de enrutamiento
Jorge Isai Alvarez
 
Enrutamiento estatico sena
Enrutamiento estatico senaEnrutamiento estatico sena
Enrutamiento estatico sena
YinaGarzon
 
Ams operations
Ams operationsAms operations
Ams operations
Wahyu Nasution
 
Introducción a SDN & NFV - LACNIC26-LACNOG16
Introducción a SDN & NFV - LACNIC26-LACNOG16Introducción a SDN & NFV - LACNIC26-LACNOG16
Introducción a SDN & NFV - LACNIC26-LACNOG16
Gianpietro Lavado
 
1. Conceptos OSPF
1. Conceptos OSPF1. Conceptos OSPF
1. Conceptos OSPF
David Narváez
 
MikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port KnockingMikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port Knocking
Akbar Azwir, MM, PMP, PMI-SP, PSM I, CISSP
 
Cisco switch commands cheat sheet
Cisco switch commands cheat sheetCisco switch commands cheat sheet
Cisco switch commands cheat sheet
3Anetwork com
 
Hub o concentrador
Hub o concentradorHub o concentrador
Hub o concentrador
ejrendonp01
 
Example for configuring local attack defense
Example for configuring local attack defenseExample for configuring local attack defense
Example for configuring local attack defense
Huanetwork
 
Cableado estructurado
Cableado estructuradoCableado estructurado
Cableado estructurado
EmiliusMB
 
Manual cisco (1)
Manual cisco (1)Manual cisco (1)
Manual cisco (1)
Victor Zapata
 
Taller firewall
Taller firewallTaller firewall
Taller firewall
Juan Rodríguez
 

Más contenido relacionado

La actualidad más candente

Cableado Estructurado V 0
Cableado Estructurado V 0Cableado Estructurado V 0
Cableado Estructurado V 0
JULIO
 
Taller enrutamiento estatico
Taller enrutamiento estaticoTaller enrutamiento estatico
Taller enrutamiento estatico
cyberleon95
 
CCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdf
CCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdfCCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdf
CCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdf
poojaswami31
 
Dispositivos de interconexión de redes
Dispositivos de interconexión de redesDispositivos de interconexión de redes
Dispositivos de interconexión de redes
Cristobal Aldana
 
Enrutamiento estatico sena
Enrutamiento estatico senaEnrutamiento estatico sena
Enrutamiento estatico sena
YinaGarzon
 
Hub o concentrador
Hub o concentradorHub o concentrador
Hub o concentrador
ejrendonp01
 

La actualidad más candente (20)

Chapter 8 .vlan.pdf
Chapter 8 .vlan.pdfChapter 8 .vlan.pdf
Chapter 8 .vlan.pdf
 
Dynamic routing
Dynamic routingDynamic routing
Dynamic routing
 
André tesa
André tesaAndré tesa
André tesa
 
Asa packet-flow-00
Asa packet-flow-00Asa packet-flow-00
Asa packet-flow-00
 
Cableado Estructurado V 0
Cableado Estructurado V 0Cableado Estructurado V 0
Cableado Estructurado V 0
 
Taller enrutamiento estatico
Taller enrutamiento estaticoTaller enrutamiento estatico
Taller enrutamiento estatico
 
CCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdf
CCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdfCCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdf
CCNA-LAB-GUIDE-V3_LAST-ADDITION (4).pdf
 
GNS3 instalación, configuración, ipv4, ipv6
GNS3 instalación, configuración, ipv4, ipv6GNS3 instalación, configuración, ipv4, ipv6
GNS3 instalación, configuración, ipv4, ipv6
 
Planteamiento de instalacion de Red
Planteamiento de instalacion de RedPlanteamiento de instalacion de Red
Planteamiento de instalacion de Red
 
Dispositivos de interconexión de redes
Dispositivos de interconexión de redesDispositivos de interconexión de redes
Dispositivos de interconexión de redes
 
10 protocolos de enrutamiento
10 protocolos de enrutamiento10 protocolos de enrutamiento
10 protocolos de enrutamiento
 
Enrutamiento estatico sena
Enrutamiento estatico senaEnrutamiento estatico sena
Enrutamiento estatico sena
 
Ams operations
Ams operationsAms operations
Ams operations
 
Introducción a SDN & NFV - LACNIC26-LACNOG16
Introducción a SDN & NFV - LACNIC26-LACNOG16Introducción a SDN & NFV - LACNIC26-LACNOG16
Introducción a SDN & NFV - LACNIC26-LACNOG16
 
1. Conceptos OSPF
1. Conceptos OSPF1. Conceptos OSPF
1. Conceptos OSPF
 
MikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port KnockingMikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port Knocking
 
Cisco switch commands cheat sheet
Cisco switch commands cheat sheetCisco switch commands cheat sheet
Cisco switch commands cheat sheet
 
Hub o concentrador
Hub o concentradorHub o concentrador
Hub o concentrador
 
Example for configuring local attack defense
Example for configuring local attack defenseExample for configuring local attack defense
Example for configuring local attack defense
 
Cableado estructurado
Cableado estructuradoCableado estructurado
Cableado estructurado
 

Similar a Seguridad perimetral - Mikrotik Firewall

Smtp 2950
Smtp 2950Smtp 2950
Smtp 2950
1 2d
 
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
Bruno Trenado
 
Manual final nagios
Manual final nagiosManual final nagios
Manual final nagios
rpm-alerts
 
Instalacionnuevos
InstalacionnuevosInstalacionnuevos
Instalacionnuevos
JIE MA ZHOU
 
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercacheConfiguración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Marco Arias
 
Networkmagic
NetworkmagicNetworkmagic
Networkmagic
yeli_skat
 
Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2
Andres Ldño
 
Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2
Andres Ldño
 

Similar a Seguridad perimetral - Mikrotik Firewall (20)

Manual cisco (1)
Manual cisco (1)Manual cisco (1)
Manual cisco (1)
 
Taller firewall
Taller firewallTaller firewall
Taller firewall
 
Administración de switches
Administración de switchesAdministración de switches
Administración de switches
 
Smtp 2950
Smtp 2950Smtp 2950
Smtp 2950
 
Web 2.0
Web 2.0Web 2.0
Web 2.0
 
Reporte final
Reporte finalReporte final
Reporte final
 
Manual Endian
Manual EndianManual Endian
Manual Endian
 
Firewall de windows
Firewall de windowsFirewall de windows
Firewall de windows
 
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
ACTUALIZA LOS RECURSOS DE LA RED LAN CON BASE A LAS CONDICIONES Y REQUERIMIEN...
 
Manual final nagios
Manual final nagiosManual final nagios
Manual final nagios
 
Proyecto 7
Proyecto 7Proyecto 7
Proyecto 7
 
Instalacionnuevos
InstalacionnuevosInstalacionnuevos
Instalacionnuevos
 
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercacheConfiguración de mikro tik para thundercache
Configuración de mikro tik para thundercache
 
Networkmagic
NetworkmagicNetworkmagic
Networkmagic
 
Laboratorio de Maquinas Virtuales
Laboratorio de Maquinas VirtualesLaboratorio de Maquinas Virtuales
Laboratorio de Maquinas Virtuales
 
Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2
 
Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2Implementacion de opmanager 10 en windows server 2008 r2
Implementacion de opmanager 10 en windows server 2008 r2
 
Manual de packet tracer 7.3 2020
Manual de packet tracer 7.3 2020Manual de packet tracer 7.3 2020
Manual de packet tracer 7.3 2020
 
Manual de packet tracer
Manual de packet tracerManual de packet tracer
Manual de packet tracer
 
Network magic
Network magicNetwork magic
Network magic
 

Más de Vanesa Rodríguez Percy

Más de Vanesa Rodríguez Percy (13)

VPN cliente - servidor con Windows Server 2012
VPN cliente - servidor con Windows Server 2012VPN cliente - servidor con Windows Server 2012
VPN cliente - servidor con Windows Server 2012
 
Vpn cliente - servidor con Mikrotik 6.10
Vpn cliente - servidor con Mikrotik 6.10Vpn cliente - servidor con Mikrotik 6.10
Vpn cliente - servidor con Mikrotik 6.10
 
VPN Sitio a Sitio - Packet Tracer 6.2
VPN Sitio a Sitio - Packet Tracer 6.2VPN Sitio a Sitio - Packet Tracer 6.2
VPN Sitio a Sitio - Packet Tracer 6.2
 
Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510
 
Servidor FTP en CentOS 6.5
Servidor FTP en CentOS 6.5Servidor FTP en CentOS 6.5
Servidor FTP en CentOS 6.5
 
Servidor DHCP en Centos 6.5
Servidor DHCP en Centos 6.5Servidor DHCP en Centos 6.5
Servidor DHCP en Centos 6.5
 
Servidor de correo en Zentyal 3.5
Servidor de correo en Zentyal 3.5Servidor de correo en Zentyal 3.5
Servidor de correo en Zentyal 3.5
 
WDS - Servicios de Implementación de Windows
WDS - Servicios de Implementación de Windows WDS - Servicios de Implementación de Windows
WDS - Servicios de Implementación de Windows
 
Servidor de actualizaciones en Windows - WSUS
Servidor de actualizaciones en Windows - WSUSServidor de actualizaciones en Windows - WSUS
Servidor de actualizaciones en Windows - WSUS
 
Paso a paso zenoss 2.5
Paso a paso zenoss 2.5Paso a paso zenoss 2.5
Paso a paso zenoss 2.5
 
Plataforma de monitoreo Hyperic HQ
Plataforma de monitoreo Hyperic HQPlataforma de monitoreo Hyperic HQ
Plataforma de monitoreo Hyperic HQ
 
Servicio de directorio en Centos 6.5
Servicio de directorio en Centos 6.5Servicio de directorio en Centos 6.5
Servicio de directorio en Centos 6.5
 
Servidor de correo Exchange 2010 sobre Windows Server 2012
Servidor de correo Exchange 2010 sobre Windows Server 2012Servidor de correo Exchange 2010 sobre Windows Server 2012
Servidor de correo Exchange 2010 sobre Windows Server 2012
 

Último

SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
EdwinC23
 

Último (20)

ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGUROATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
 
entropia y neguentropia en la teoria general de sistemas
entropia y neguentropia en la teoria general de sistemasentropia y neguentropia en la teoria general de sistemas
entropia y neguentropia en la teoria general de sistemas
 
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTAPORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
 
Cereales tecnología de los alimentos. Cereales
Cereales tecnología de los alimentos. CerealesCereales tecnología de los alimentos. Cereales
Cereales tecnología de los alimentos. Cereales
 
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
 
ESPECIFICACIONES TECNICAS COMPLEJO DEPORTIVO
ESPECIFICACIONES TECNICAS COMPLEJO DEPORTIVOESPECIFICACIONES TECNICAS COMPLEJO DEPORTIVO
ESPECIFICACIONES TECNICAS COMPLEJO DEPORTIVO
 
422382393-Curso-de-Tableros-Electricos.pptx
422382393-Curso-de-Tableros-Electricos.pptx422382393-Curso-de-Tableros-Electricos.pptx
422382393-Curso-de-Tableros-Electricos.pptx
 
GUIA DE SEGURIDAD PARA VENTILACION DE MINAS-POSITIVA.pdf
GUIA DE SEGURIDAD PARA VENTILACION DE MINAS-POSITIVA.pdfGUIA DE SEGURIDAD PARA VENTILACION DE MINAS-POSITIVA.pdf
GUIA DE SEGURIDAD PARA VENTILACION DE MINAS-POSITIVA.pdf
 
Arquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo LimacheArquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo Limache
 
TAIICHI OHNO, historia, obras, reconocimientos
TAIICHI OHNO, historia, obras, reconocimientosTAIICHI OHNO, historia, obras, reconocimientos
TAIICHI OHNO, historia, obras, reconocimientos
 
1. Equipos Primarios de una Subestaciones electricas
1. Equipos Primarios de una Subestaciones electricas1. Equipos Primarios de una Subestaciones electricas
1. Equipos Primarios de una Subestaciones electricas
 
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdfTRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
 
Video sustentación GA2- 240201528-AA3-EV01.pptx
Video sustentación GA2- 240201528-AA3-EV01.pptxVideo sustentación GA2- 240201528-AA3-EV01.pptx
Video sustentación GA2- 240201528-AA3-EV01.pptx
 
Presentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potablePresentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potable
 
5. MATERIALES petreos para concreto.pdf.
5. MATERIALES petreos para concreto.pdf.5. MATERIALES petreos para concreto.pdf.
5. MATERIALES petreos para concreto.pdf.
 
G4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptx
G4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptxG4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptx
G4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptx
 
libro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operacioneslibro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operaciones
 
2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica
 
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJODIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
 
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEstadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
 

Seguridad perimetral - Mikrotik Firewall

  • 1. 1 ACTIVIDAD No 1 SEGURIDAD PERIMETRAL VANESA RODRIGUEZ PERCY JUAN DAVID TRUJILLO CÉSAR AUGUSTO MORALES FICHA 600088 INSTRUCTOR: ALEXANDER AUGUSTO ALVAREZ SENA SERVICIO NACIONAL DE APRENDIZAJE GESTION REDES DE DATOS MEDELLIN 2015
  • 2. 2 Contenido PROBLEMA A RESOLVER...................................................................................................................... 3 TOPOLOGÍA PLANTEADA..................................................................................................................... 4 ............................................................................................................................................................. 4 INSTALACIÓN DE MIKROTIK ................................................................................................................ 6 CONFIGURACIÓN DE MIKROTIK........................................................................................................ 15 FIREWALL: CONFIGURACIÓN DE REGLAS.......................................................................................... 22 SOLUCIONES FIREWALL PARA WINDOWS......................................................................................... 35 COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA................................................................. 37 CIBERGRAFÍA..................................................................................................................................... 38
  • 3. 3 PROBLEMA A RESOLVER Las actividades para desarrollar estas guías son: 1. Implementar un firewall común en un enrutador cisco 2. Implementar un firewall con DMZ en Linux/BSD/Solaris 3. Implementar un firewall con DMZ en Windows Server Actividad 1: Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados. Generalmente la comunicación desde la LAN es transparente así que el enrutador debe permitir la salida de paquetes desde la LAN. Actividad 2 y 3: Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumirá que existen 3 servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer reglas de acceso que les permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles. También debe recrear el escenario donde un intruso ha logrado penetrar un sistema de la DMZ, ¿qué reglas debería aplicar en el firewall para evitar que el intruso llegue hasta la LAN privada? ESTRATEGIAS Antes de comenzar prepare el escenario requerido para la práctica (hardware, software, manuales, etc.), recuerde segmentar cada una de las zonas de la prueba que quiere realizar. También tenga en cuenta el direccionamiento a usar para que su firewall pueda funcionar adecuadamente. Estrategias Actividad 1: En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su router tenga una IOS que permita hacer filtrado con ACLs, además de esto recuerde que va a requerir por lo menos dos interfaces para trabajar, como recomendación puede usar un router que soporte dos interfaces de red Ethernet. Recuerde que puede usar un simulador como Packet Tracer antes de intentar configurar el router de forma real, esto le evitará muchos problemas. Estrategias Actividad 2 y 3: Para el trabajo con los firewalls en los sistemas operativos tenga en cuenta las siguientes recomendaciones: Intente primero configurar las interfaces de red y aplicar el NAT básico para que garantice que los paquetes pasan de un lado al otro de las interfaces sin problemas.
  • 4. 4 Una vez verifique que puede conectarse de un lado al otro, cree reglas de filtrado básicas entre dos interfaces (no intente con las 3 interfaces al tiempo), primero garantice que puede diferenciar y filtrar el tráfico entre 2 interfaces antes de intentar configurar las 3 tarjetas. El primer firewall que usted diseñe debe ser con la política PASS BY DEFAULT, esto significa que todo lo que no se defina explicita mente será permitido, este tipo de firewall es más permisivo pero le permite aprender los conceptos básicos sin tantas complicaciones. Una vez el firewall PASS BY DEFAULT este configurado y funcionando trate de adaptarlo para que funcione en modo DROP BY DEFAULT, en este modo el firewall no dejará pasar nada a través de sus interfaces que no esté explicita mente permitido. Recuerde que puede usar appliances de firewalls que son más fáciles de configurar puesto que tienen interfaces web sencillas para administrarlos, se recomienda usar estos appliances una vez se hayan adquirido los conceptos básicos de firewalls y se haya experimentado con la configuración de firewalls “a mano”. Actividad 1: Esta actividad se realizó en el aula de clases de forma física o real utilizando un dispositivo de CISCO. TOPOLOGÍA PLANTEADA 172.16.1.0/24 Mikrotik Firewall 172.16.1.20 Windows 7 Pro 10.1.1.0/24 172.16.1.200 10.1.1.200 WAN 192.168.1.200 DMZ - Windows 7 Pro 192.168.1.120 192.168.1.0/24 Internet
  • 5. 5 Actividad 2: El primer paso fue seleccionar el software para realizar la actividad, que para este caso fue Mikrotik, de lo cual a continuación hacemos una pequeña descripción: Mikrotik ls Ltd. conocida internacionalmente como MikroTik, es una compañía letona proveedora de tecnología disruptiva de hardware y software para la creación de redes. Mikrotik RouterOS es un software que funciona como un sistema operativo para convertir un PC o una placa Mikrotik RouterBOARD en un router dedicado. Mikrotik RouterOS es un sistema operativo basado en el kernel de Linux 2.6 usado en el hardware de los Microtik RouterBOARD que es la división de hardware de la marca Mikrotik. Se caracteriza por poseer su propio S.O de fácil configuración. Estos dispositivos poseen la ventaja de tener una relación costo /beneficio muy alta. Configuración RouterOS soporta varios métodos de configuración como son: -Acceso local vía teclado y monitor -Consola serial con una terminal -Acceso vía Telnet y SSH vía una red -Una interfaz gráfica llamada WinBox -Una API para el desarrollo de aplicaciones propias para la configuración. -En caso de no contar con acceso local y existe un problema con las ----direcciones IP, RouterOS soporta una conexión basada en direcciones MAC usando las herramientas customizadas Mac-Telnet y herramientas de Winbox.
  • 6. 6 INSTALACIÓN DE MIKROTIK Descargamos el software de la página oficial de MikroTik. http://www.mikrotik.com/download Una vez realizada la descarga, procedemos a instalarlo en este caso en VMWare.
  • 7. 7
  • 8. 8
  • 9. 9
  • 10. 10 En esta ventana se nos pide que seleccionemos los servicios que deseamos utilizar, cada servicio tiene una especificación y en muchos tutoriales de internet podemos ver que función cumple cada uno, se seleccionan con la tecla de direcciones y seleccionando el servicio deseado con la barra espaciadora. Para iniciar la instalación presionamos la letra “i”
  • 11. 11 Ahora nos pregunta si queremos instalar los servicios seleccionados, presionamos la letra “y” para aceptar y reconfirmamos nuevamente con la letra “y” En esta ventana vemos como se realizan las particiones y el formateo del disco y de igual forma se inicia la instalación de los servicios.
  • 12. 12 Para finalizar la instalación se nos pide reiniciar el sistema para lo cual presionamos la tecla enter. Después de reiniciar la máquina, veremos lo siguiente: Se nos está pidiendo un login, este por defecto es admin, en contraseña la dejamos vacía.
  • 13. 13 Una de las formas de administrar Mikrotik, es remotamente; para realizar esta tarea, vamos a usar una herramienta llamada Win Box. Esta herramienta la podemos descargar desde la página oficial de Mikrotik, así: Accedemos a la página web, a través de esta dirección: http://www.mikrotik.com/download.
  • 14. 14
  • 15. 15 Allí vamos a la sección Useful tools and utilities y seleccionamos la opción Winbox version 3.0rc2 (Esta es la versión disponible hasta el momento, cuando se realizó este tutorial), descargamos este archivo con extensión (.exe). CONFIGURACIÓN DE MIKROTIK 1. Primero procederemos a configurar al menos una interfaz que nos servirá para gestionar de manera gráfica el dispositivo, para este proceso ingresamos al menú Ip/address/print. Desde la Shell de Mikrotik. Este comando nos informará las direcciones que existen actualmente configuradas con direccionamiento IP, como la interfaz ether 1 trae una dirección Ip por defecto, la removemos mediante el comando “remove 0”. Añadimos con el comando add address=IP/mask interface=interfaz la configuración.
  • 16. 16 2. En un PC cliente ejecutamos la aplicación Winbox, propietaria de mikrotik (descarga en la web oficial), en “Conect To” digitamos la dirección IP anteriormente configurada y los parámetros de usuario y contraseña. Luego damos clic en el botón connect. Esta es la pantalla principal de WinBox, en ella vemos lo siguiente: Connect To: En esta línea se coloca la dirección IP del dispositivo al cual queremos conectarnos. Login: Nombre de usuario para administrar Password: Contraseña Las opciones Keep Password y Secure Mode, la primera opción nos indica si queremos guardar nuestro password y la segunda permite entrar en modo seguro a la configuración del Mikrotik, esta opción activa la capa SSL en el modo de transporte. La parte de Note, es para colocar un comentario en donde yo deseo conectarme.
  • 17. 17 WinBox hace un barrido por Broadcast, esto permite verificar cuáles son todos los equipos Mikrotik que tengo en mi red. Debo dar clic en la opción Connect. ¿QUÉ ES WIN BOX? WinBox es una simple herramienta de servidor que permite conectarte a otro cliente. Incluye una sofisticada tecnología para realizar estas conexiones basada en el sistema operativo RouterOS. Este software permite a sus usuarios realizar conexiones vía FTP, telnet y SSH. Incluye también una API que permite crear aplicaciones personalizadas para monitorizar y administrar.
  • 18. 18 3. Ahora vamos a dar clic en el menú IP, Address, esto con el fin de configurar las direcciones IP de las demás interfaces.
  • 19. 19 4. Presionamos clic en el símbolo de + y digitamos la IP y la interfaz a la cual será configurada esta dirección, clic en OK. 5. Nos dirigimos al menú IP / Route para agregar la puerta de enlace.
  • 20. 20 6. Damos clic en el símbolo + y donde dice “Gateway” digitamos nuestra puerta de enlace, presionamos clic en OK. 7. Mediante el menú “Tools” / “Ping” podremos validar la conectividad con internet.
  • 21. 21 8. En el menú IP / DNS abrimos la configuración de nuestro DNS, en “Servers” agregamos la IP del mismo y damos clic en OK. 9. Desde el menú Interfaces podemos renombrar las mismas, dando clic en Name, asignando el nombre y dar clic en OK.
  • 22. 22 FIREWALL: CONFIGURACIÓN DE REGLAS Desde el menú IP / Firewall / pestaña Filter rules agregamos 3 reglas (Pues para acceder de la LAN a la DMZ es necesario priorizar dos reglas antes de restringir lo demás). 10.Regla para responder el eco del DMZ para PING. (Esta regla permite comprobar el estado de la comunicación del host, del DMZ con uno o varios equipos remotos de una red a IP por medio del envío de paquetes ICMP de solicitud y de respuesta. Que este host responda a los ping.
  • 23. 23 Protocolo de Mensajes de Control y Error de Internet, ICMP, es de características similares a UDP, pero con un formato mucho más simple, y su utilidad no está en el transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Se debe elegir ICMP en protocol, para verificar la conectividad de la red en el DMZ.
  • 24. 24
  • 25. 25 11. Aceptar los paquetes ACK.
  • 26. 26 12. Bloquear el tráfico que no esté permitido con las reglas anteriores.
  • 27. 27 Esta regla permite bloquear el tráfico desde el DMZ hacia la LAN.
  • 28. 28 Menú IP /Firewall / pestaña NAT 12.Agregamos un nateo de destino para que al preguntarnos por la IP pública, re direccione todo el tráfico al DMZ, en el ejemplo solo por el puerto 80. Chain: dst-nat Dst-Address: 10.1.1.200 (IP pública de Mikrotik). Protocol: tcp Dst-Port: 80 (Puerto destino por el que se va a consultar o ingresar al servicio, del DMZ).
  • 29. 29 Action: dst-nat To Address: 192.168.1.120 (Dirección IP del equipo, de la zona del DMZ). To Ports: 0 -65535
  • 30. 30 13.Salida a internet desde la red LAN Con esta regla, se configura que todo lo que salga por la interfaz de Internet, sea enmascarado. Chain: srcnat Src Address: 172.16.1.0/24 Out. Interface: WAN En Src Address, se puede especificar una dirección IP específica o con el ID de red. Out. Interface: Cuál será la interfaz de salida para el Internet. Action: Masquerade
  • 31. 31 Pruebas P1. Prueba del acceso a DMZ. Para probar el acceso al DMZ, desde el equipo de la red LAN, se ingresa por un navegador de Internet, digitando la IP pública de nuestro Firewall Mikrotik. Previamente en la máquina del DMZ, se activa el IIS(Internet Information Services), este es el servicio Web, el cual será el que accedamos desde Internet. Para activarlo en la máquina del DMZ, la cual tiene Windows 7 Pro; seguimos los siguientes pasos: Panel de control - Programas y características – Activar o desactivar las características de Windows - Allí buscamos la opción Internet Information Services.
  • 32. 32 Ingresamos por el navegador de Internet, digitamos la IP pública del Mikrotik y nos re direcciona al IIS, lo que indica que desde Internet, podemos acceder a un servicio del DMZ.
  • 33. 33 P2. Configuración IP, no accede el PC a internet, No accede a la LAN. Ping a la dirección 172.16.1.20, esta dirección es la de nuestro equipo en la red LAN, el ping nos indica que no hay conectividad desde el DMZ, hasta la red LAN. Se cumple el requerimiento: Desde el DMZ, no se tenga acceso a la LAN.
  • 34. 34 P3. Configuración IP, accede el pc a internet, accede a DMZ. Ping al 192.168.1.120, esta es la dirección del equipo, que se encuentra en la red del DMZ. Hay conectividad desde nuestra LAN hacia el DMZ. Ya que se obtiene respuesta desde este equipo.
  • 35. 35 SOLUCIONES FIREWALL PARA WINDOWS FIREWALL VENTAJAS DESVENTAJAS SOPHOS UTM Velocidad: Utiliza tecnología multinúcleo de Intel, unidades de estado sólido, y escaneado de contenido en memoria acelerado. Potente rápido. Registros e informes: Permite informes detallados, Gráficos de flujo de vista rápida muestran las tendencias de uso y la actividad web Nuestro informe ejecutivo de resumen diario le mantiene informado La posibilidad de anonimato de los informes permite mantener Protección todo en uno: Ofrece lo último en protección mediante next- gen firewall con características que no se pueden conseguir en ningún otro sitio - incluido cifrado móvil, web, de estaciones de trabajo, de correo electrónico y DLP. Sin hardware adicional. Sin costes adicionales. Solo tiene que escoger lo que quiere implantar. 1) Los usuarios están buscando mejoras en el nivel de detalle de la información de SOPHOS Dell Sonic WALL Bloquea las amenazas en la puerta de enlace: Los cortafuegos SonicWALL examinan todo el tráfico entrante y saliente para evitar intrusiones, virus, spyware y cualquier otro tipo de tráfico malintencionado que comprometa la seguridad de la red. Asegura y controle el acceso remoto: Los cortafuegos SonicWALL ofrecen SSL VPN y IPSec VPN, que extienden la prevención de intrusiones y la protección contra malware a los 1) SonicWALL no ofrece un dispositivo virtual por el espacio UTM.
  • 36. 36 empleados móviles y las sucursales, de una forma muy sencilla de administrar Sanea el tráfico inalámbrico: SonicOS incluye un controlador inalámbrico seguro integrado. Junto con los puntos de acceso inalámbricos seguros de Dell SonicWALL SonicPoint, este controlador permite implementar redes de 802.11 a/b/g/n sin problemas, protegidas con la tecnología SonicWALL Clean Wireless™ y SonicWALL Application Intelligence and Control. WatchGuard Seguridad: La inspección de contenido en capa de aplicación reconoce y bloquea las amenazas que los firewalls de paquetes stateful no pueden detectar. La protección de proxy de amplio rango brinda una seguridad robusta en HTTP, HTTPS, FTP, SMTP, POP3, DNS, TCP/UDP. Rápidez y eficiencia: La alta disponibilidad activa/activa con balanceo de carga garantiza un máximo tiempo de funcionamiento de la red. Escalable: Añada poderosas suscripciones de seguridad para bloquear spam, controlar la navegación peligrosa e inapropiada y el uso de aplicaciones peligrosas e inapropiadas, prevenir las intrusiones a la red y detener en la puerta de enlace la entrada de virus, spyware y otro malware. 1) Los usuarios citan deficiencias en la presentación de informes de rendimiento y funcionalidad. 2) Apoyo MSSP para dispositivos WatchGuard está limitada en comparación con los principales competidores.
  • 37. 37 COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA Esta película enseña que en la vida, no hay que permitir que otras personas o circunstancias se conviertan en obstáculos, que a la larga frustren nuestros sueños y metas. Se debe tener claro cuál es el objetivo que se persigue y luchar por ello; no importando la oposición o barreras que encontremos en el camino. Además nos muestra que para cumplir esas metas o sueños, se hace necesario trabajar en equipo, esta es una de las tareas de la vida diaria, que en muchos casos nos garantiza el éxito. La edad tampoco debe ser excusa, para dejar de aprender o para dejar de intentar las cosas, siempre se tiene la oportunidad de aprender nuevos conocimientos y trabajar por grandes metas.