Este documento describe cómo implementar una solución de seguridad perimetral utilizando Mikrotik. Se propone una topología de red con tres zonas (Internet, DMZ y LAN) y se instala y configura Mikrotik para establecer reglas de firewall que permitan el tráfico específico entre zonas y bloqueen el tráfico no deseado. Adicionalmente, se discuten estrategias para resolver problemas comunes al configurar firewalls.

1. 1
ACTIVIDAD No 1
SEGURIDAD PERIMETRAL
VANESA RODRIGUEZ PERCY
JUAN DAVID TRUJILLO
CÉSAR AUGUSTO MORALES
FICHA 600088
INSTRUCTOR: ALEXANDER AUGUSTO ALVAREZ
SENA
SERVICIO NACIONAL DE APRENDIZAJE
GESTION REDES DE DATOS
MEDELLIN
2015

2. 2
Contenido
PROBLEMA A RESOLVER...................................................................................................................... 3
TOPOLOGÍA PLANTEADA..................................................................................................................... 4
............................................................................................................................................................. 4
INSTALACIÓN DE MIKROTIK ................................................................................................................ 6
CONFIGURACIÓN DE MIKROTIK........................................................................................................ 15
FIREWALL: CONFIGURACIÓN DE REGLAS.......................................................................................... 22
SOLUCIONES FIREWALL PARA WINDOWS......................................................................................... 35
COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA................................................................. 37
CIBERGRAFÍA..................................................................................................................................... 38

3. 3
PROBLEMA A RESOLVER
Las actividades para desarrollar estas guías son:
1. Implementar un firewall común en un enrutador cisco
2. Implementar un firewall con DMZ en Linux/BSD/Solaris
3. Implementar un firewall con DMZ en Windows Server
Actividad 1:
Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de
acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN
solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los
puertos y servicios deben estar denegados. Generalmente la comunicación desde
la LAN es transparente así que el enrutador debe permitir la salida de paquetes
desde la LAN.
Actividad 2 y 3:
Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumirá que existen 3
servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer
reglas de acceso que les permita a los usuarios de la LAN salir a INTERNET sin
problemas, pero el tráfico que proviene de INTERNET debe ser filtrado
adecuadamente para que solo los servicios en la DMZ sean accesibles. También
debe recrear el escenario donde un intruso ha logrado penetrar un sistema de la
DMZ, ¿qué reglas debería aplicar en el firewall para evitar que el intruso llegue hasta
la LAN privada?
ESTRATEGIAS
Antes de comenzar prepare el escenario requerido para la práctica (hardware,
software, manuales, etc.), recuerde segmentar cada una de las zonas de la prueba
que quiere realizar. También tenga en cuenta el direccionamiento a usar para que
su firewall pueda funcionar adecuadamente.
Estrategias Actividad 1:
En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su
router tenga una IOS que permita hacer filtrado con ACLs, además de esto recuerde
que va a requerir por lo menos dos interfaces para trabajar, como recomendación
puede usar un router que soporte dos interfaces de red Ethernet.
Recuerde que puede usar un simulador como Packet Tracer antes de intentar
configurar el router de forma real, esto le evitará muchos problemas.
Estrategias Actividad 2 y 3:
Para el trabajo con los firewalls en los sistemas operativos tenga en cuenta las
siguientes recomendaciones:
Intente primero configurar las interfaces de red y aplicar el NAT básico para que
garantice que los paquetes pasan de un lado al otro de las interfaces sin problemas.

4. 4
Una vez verifique que puede conectarse de un lado al otro, cree reglas de filtrado
básicas entre dos interfaces (no intente con las 3 interfaces al tiempo), primero
garantice que puede diferenciar y filtrar el tráfico entre 2 interfaces antes de intentar
configurar las 3 tarjetas.
El primer firewall que usted diseñe debe ser con la política PASS BY DEFAULT,
esto significa que todo lo que no se defina explicita mente será permitido, este tipo
de firewall es más permisivo pero le permite aprender los conceptos básicos sin
tantas complicaciones.
Una vez el firewall PASS BY DEFAULT este configurado y funcionando trate de
adaptarlo para que funcione en modo DROP BY DEFAULT, en este modo el firewall
no dejará pasar nada a través de sus interfaces que no esté explicita mente
permitido.
Recuerde que puede usar appliances de firewalls que son más fáciles de configurar
puesto que tienen interfaces web sencillas para administrarlos, se recomienda usar
estos appliances una vez se hayan adquirido los conceptos básicos de firewalls y
se haya experimentado con la configuración de firewalls “a mano”.
Actividad 1: Esta actividad se realizó en el aula de clases de forma física o real
utilizando un dispositivo de CISCO.
TOPOLOGÍA PLANTEADA
172.16.1.0/24
Mikrotik Firewall
172.16.1.20
Windows 7 Pro
10.1.1.0/24
172.16.1.200
10.1.1.200
WAN
192.168.1.200
DMZ - Windows 7 Pro
192.168.1.120
192.168.1.0/24
Internet

5. 5
Actividad 2: El primer paso fue seleccionar el software para realizar la actividad,
que para este caso fue Mikrotik, de lo cual a continuación hacemos una pequeña
descripción:
Mikrotik ls Ltd. conocida internacionalmente como MikroTik, es una compañía
letona proveedora de tecnología disruptiva de hardware y software para la creación
de redes. Mikrotik RouterOS es un software que funciona como un sistema
operativo para convertir un PC o una placa Mikrotik RouterBOARD en un router
dedicado.
Mikrotik RouterOS es un sistema operativo basado en el kernel de Linux 2.6 usado
en el hardware de los Microtik RouterBOARD que es la división de hardware de la
marca Mikrotik. Se caracteriza por poseer su propio S.O de fácil configuración. Estos
dispositivos poseen la ventaja de tener una relación costo /beneficio muy alta.
Configuración
RouterOS soporta varios métodos de configuración como son:
-Acceso local vía teclado y monitor
-Consola serial con una terminal
-Acceso vía Telnet y SSH vía una red
-Una interfaz gráfica llamada WinBox
-Una API para el desarrollo de aplicaciones propias para la configuración.
-En caso de no contar con acceso local y existe un problema con las ----direcciones
IP, RouterOS soporta una conexión basada en direcciones MAC usando las
herramientas customizadas Mac-Telnet y herramientas de Winbox.

6. 6
INSTALACIÓN DE MIKROTIK
Descargamos el software de la página oficial de MikroTik.
http://www.mikrotik.com/download
Una vez realizada la descarga, procedemos a instalarlo en este caso en VMWare.

7. 7

8. 8

9. 9

10. 10
En esta ventana se nos pide que seleccionemos los servicios que deseamos
utilizar, cada servicio tiene una especificación y en muchos tutoriales de internet
podemos ver que función cumple cada uno, se seleccionan con la tecla de
direcciones y seleccionando el servicio deseado con la barra espaciadora.
Para iniciar la instalación presionamos la letra “i”

11. 11
Ahora nos pregunta si queremos instalar los servicios seleccionados, presionamos
la letra “y” para aceptar y reconfirmamos nuevamente con la letra “y”
En esta ventana vemos como se realizan las particiones y el formateo del disco y
de igual forma se inicia la instalación de los servicios.

12. 12
Para finalizar la instalación se nos pide reiniciar el sistema para lo cual
presionamos la tecla enter.
Después de reiniciar la máquina, veremos lo siguiente:
Se nos está pidiendo un login, este por defecto es admin, en contraseña la
dejamos vacía.

13. 13
Una de las formas de administrar Mikrotik, es remotamente; para realizar esta tarea,
vamos a usar una herramienta llamada Win Box. Esta herramienta la podemos
descargar desde la página oficial de Mikrotik, así:
Accedemos a la página web, a través de esta dirección:
http://www.mikrotik.com/download.

14. 14

15. 15
Allí vamos a la sección Useful tools and utilities y seleccionamos la opción Winbox
version 3.0rc2 (Esta es la versión disponible hasta el momento, cuando se realizó
este tutorial), descargamos este archivo con extensión (.exe).
CONFIGURACIÓN DE MIKROTIK
1. Primero procederemos a configurar al menos una interfaz que nos servirá para
gestionar de manera gráfica el dispositivo, para este proceso ingresamos al
menú Ip/address/print. Desde la Shell de Mikrotik.
Este comando nos informará las direcciones que existen actualmente configuradas
con direccionamiento IP, como la interfaz ether 1 trae una dirección Ip por defecto,
la removemos mediante el comando “remove 0”.
Añadimos con el comando add address=IP/mask interface=interfaz la configuración.

16. 16
2. En un PC cliente ejecutamos la aplicación Winbox, propietaria de mikrotik
(descarga en la web oficial), en “Conect To” digitamos la dirección IP anteriormente
configurada y los parámetros de usuario y contraseña. Luego damos clic en el botón
connect.
Esta es la pantalla principal de WinBox, en ella vemos lo siguiente:
Connect To: En esta línea se coloca la dirección IP del dispositivo al cual
queremos conectarnos.
Login: Nombre de usuario para administrar
Password: Contraseña
Las opciones Keep Password y Secure Mode, la primera opción nos indica si
queremos guardar nuestro password y la segunda permite entrar en modo seguro
a la configuración del Mikrotik, esta opción activa la capa SSL en el modo de
transporte.
La parte de Note, es para colocar un comentario en donde yo deseo conectarme.

17. 17
WinBox hace un barrido por Broadcast, esto permite verificar cuáles son todos los
equipos Mikrotik que tengo en mi red. Debo dar clic en la opción Connect.
¿QUÉ ES WIN BOX?
WinBox es una simple herramienta de servidor que permite conectarte a otro cliente.
Incluye una sofisticada tecnología para realizar estas conexiones basada en el
sistema operativo RouterOS. Este software permite a sus usuarios realizar
conexiones vía FTP, telnet y SSH.
Incluye también una API que permite crear aplicaciones personalizadas para
monitorizar y administrar.

18. 18
3. Ahora vamos a dar clic en el menú IP, Address, esto con el fin de configurar las
direcciones IP de las demás interfaces.

19. 19
4. Presionamos clic en el símbolo de + y digitamos la IP y la interfaz a la cual será
configurada esta dirección, clic en OK.
5. Nos dirigimos al menú IP / Route para agregar la puerta de enlace.

20. 20
6. Damos clic en el símbolo + y donde dice “Gateway” digitamos nuestra puerta de
enlace, presionamos clic en OK.
7. Mediante el menú “Tools” / “Ping” podremos validar la conectividad con internet.

21. 21
8. En el menú IP / DNS abrimos la configuración de nuestro DNS, en “Servers”
agregamos la IP del mismo y damos clic en OK.
9. Desde el menú Interfaces podemos renombrar las mismas, dando clic en Name,
asignando el nombre y dar clic en OK.

22. 22
FIREWALL: CONFIGURACIÓN DE REGLAS
Desde el menú IP / Firewall / pestaña Filter rules agregamos 3 reglas (Pues para
acceder de la LAN a la DMZ es necesario priorizar dos reglas antes de restringir lo
demás).
10.Regla para responder el eco del DMZ para PING. (Esta regla permite comprobar
el estado de la comunicación del host, del DMZ con uno o varios equipos remotos
de una red a IP por medio del envío de paquetes ICMP de solicitud y de
respuesta. Que este host responda a los ping.

23. 23
Protocolo de Mensajes de Control y Error de Internet, ICMP, es de características
similares a UDP, pero con un formato mucho más simple, y su utilidad no está en el
transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar
su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido,
si es un paquete de eco o respuesta, etc.
Se debe elegir ICMP en protocol, para verificar la conectividad de la red en el DMZ.

24. 24

25. 25
11. Aceptar los paquetes ACK.

26. 26
12. Bloquear el tráfico que no esté permitido con las reglas anteriores.

27. 27
Esta regla permite bloquear el tráfico desde el DMZ hacia la LAN.

28. 28
Menú IP /Firewall / pestaña NAT
12.Agregamos un nateo de destino para que al preguntarnos por la IP pública, re
direccione todo el tráfico al DMZ, en el ejemplo solo por el puerto 80.
Chain: dst-nat
Dst-Address: 10.1.1.200 (IP pública de Mikrotik).
Protocol: tcp
Dst-Port: 80 (Puerto destino por el que se va a consultar o ingresar al servicio,
del DMZ).

29. 29
Action: dst-nat
To Address: 192.168.1.120 (Dirección IP del equipo, de la zona del DMZ).
To Ports: 0 -65535

30. 30
13.Salida a internet desde la red LAN
Con esta regla, se configura que todo lo que salga por la interfaz de Internet, sea
enmascarado.
Chain: srcnat
Src Address: 172.16.1.0/24
Out. Interface: WAN
En Src Address, se puede especificar una dirección IP específica o con el ID de red.
Out. Interface: Cuál será la interfaz de salida para el Internet.
Action: Masquerade

31. 31
Pruebas
P1. Prueba del acceso a DMZ.
Para probar el acceso al DMZ, desde el equipo de la red LAN, se ingresa por un
navegador de Internet, digitando la IP pública de nuestro Firewall Mikrotik.
Previamente en la máquina del DMZ, se activa el IIS(Internet Information Services),
este es el servicio Web, el cual será el que accedamos desde Internet.
Para activarlo en la máquina del DMZ, la cual tiene Windows 7 Pro; seguimos los
siguientes pasos: Panel de control - Programas y características – Activar o
desactivar las características de Windows - Allí buscamos la opción Internet
Information Services.

32. 32
Ingresamos por el navegador de Internet, digitamos la IP pública del Mikrotik y
nos re direcciona al IIS, lo que indica que desde Internet, podemos acceder a un
servicio del DMZ.

33. 33
P2. Configuración IP, no accede el PC a internet, No accede a la LAN.
Ping a la dirección 172.16.1.20, esta dirección es la de nuestro equipo en la red LAN, el ping
nos indica que no hay conectividad desde el DMZ, hasta la red LAN.
Se cumple el requerimiento: Desde el DMZ, no se tenga acceso a la LAN.

34. 34
P3. Configuración IP, accede el pc a internet, accede a DMZ.
Ping al 192.168.1.120, esta es la dirección del equipo, que se encuentra en la
red del DMZ. Hay conectividad desde nuestra LAN hacia el DMZ. Ya que se
obtiene respuesta desde este equipo.

35. 35
SOLUCIONES FIREWALL PARA WINDOWS
FIREWALL VENTAJAS DESVENTAJAS
SOPHOS UTM
Velocidad: Utiliza tecnología
multinúcleo de Intel, unidades de
estado sólido, y escaneado de
contenido en memoria acelerado.
Potente rápido.
Registros e informes: Permite
informes detallados, Gráficos de flujo
de vista rápida muestran las
tendencias de uso y la actividad web
Nuestro informe ejecutivo de
resumen diario le mantiene
informado
La posibilidad de anonimato de los
informes permite mantener
Protección todo en uno: Ofrece lo
último en protección mediante next-
gen firewall con características que no
se pueden conseguir en ningún otro
sitio - incluido cifrado móvil, web, de
estaciones de trabajo, de correo
electrónico y DLP. Sin hardware
adicional. Sin costes adicionales. Solo
tiene que escoger lo que quiere
implantar.
1) Los usuarios están
buscando mejoras en el
nivel de detalle de la
información de SOPHOS
Dell Sonic WALL
Bloquea las amenazas en la puerta de
enlace: Los cortafuegos SonicWALL
examinan todo el tráfico entrante y
saliente para evitar intrusiones, virus,
spyware y cualquier otro tipo de
tráfico malintencionado que
comprometa la seguridad de la red.
Asegura y controle el acceso remoto:
Los cortafuegos SonicWALL ofrecen
SSL VPN y IPSec VPN, que extienden la
prevención de intrusiones y la
protección contra malware a los
1) SonicWALL no ofrece
un dispositivo virtual
por el espacio UTM.

36. 36
empleados móviles y las sucursales,
de una forma muy sencilla de
administrar Sanea el tráfico
inalámbrico: SonicOS incluye un
controlador inalámbrico seguro
integrado. Junto con los puntos de
acceso inalámbricos seguros de Dell
SonicWALL SonicPoint, este
controlador permite implementar
redes de 802.11 a/b/g/n sin
problemas, protegidas con la
tecnología SonicWALL Clean
Wireless™ y SonicWALL Application
Intelligence and Control.
WatchGuard
Seguridad: La inspección de contenido
en capa de aplicación reconoce y
bloquea las amenazas que los
firewalls de paquetes stateful no
pueden detectar. La protección de
proxy de amplio rango brinda una
seguridad robusta en HTTP, HTTPS,
FTP, SMTP, POP3, DNS, TCP/UDP.
Rápidez y eficiencia: La alta
disponibilidad activa/activa con
balanceo de carga garantiza un
máximo tiempo de
funcionamiento de la red.
Escalable:
Añada poderosas suscripciones de
seguridad para bloquear spam,
controlar la navegación
peligrosa e inapropiada y el uso de
aplicaciones peligrosas e
inapropiadas, prevenir las intrusiones
a
la red y detener en la puerta de
enlace la entrada de virus, spyware y
otro malware.
1) Los usuarios citan
deficiencias en la
presentación de
informes de
rendimiento y
funcionalidad.
2) Apoyo MSSP para
dispositivos
WatchGuard está
limitada en
comparación con los
principales
competidores.

37. 37
COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA
Esta película enseña que en la vida, no hay que permitir que otras personas o
circunstancias se conviertan en obstáculos, que a la larga frustren nuestros sueños
y metas. Se debe tener claro cuál es el objetivo que se persigue y luchar por ello;
no importando la oposición o barreras que encontremos en el camino.
Además nos muestra que para cumplir esas metas o sueños, se hace necesario
trabajar en equipo, esta es una de las tareas de la vida diaria, que en muchos casos
nos garantiza el éxito.
La edad tampoco debe ser excusa, para dejar de aprender o para dejar de intentar
las cosas, siempre se tiene la oportunidad de aprender nuevos conocimientos y
trabajar por grandes metas.

38. 38
CIBERGRAFÍA
http://mundoderinux.blogspot.com/2013/07/comparaciones-de-los-mejores-utm-
del.html
http://www.xnetworks.es/promos/Sophos/Flashnews_ENE/sophos-UTM-six-tips-
wpes.pdf
https://www.incibe.es/extfrontinteco/img/File/demostrador/catalogo_stic_2010.pdf
http://latam.kaspersky.com/sites/default/files/knowledge-
center/practical%20business%20endpoint%20security_0.pdf
http://www.sonicwall.com/es/es/products/Network-Security.html
http://www.watchguard.com/es/wgrd-international/products/ngfw/overview
http://www.sophos.com/es-es/products/unified-threat-management/how-to-
buy.aspx#start
http://winbox.waxoo.com/
http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html