Post on 03-Feb-2016
description
Historia
Mikrotikls Ltd., conocida internacionalmente como MikroTik, es una compañía
letona vendedora de equipo informático y de redes. Vende principalmente
productos de comunicación inalámbrica como routerboards o routers, también
conocidos por el software que lo controla llamado RouterOS.
La compañía fue fundada en el 1995, aprovechando el emergente mercado de la
tecnología inalámbrica. El principal producto de Mikrotik es el sistema operativo
conocido como Mikrotik RouterOS basados en Linux.
Permite a los usuarios convertir un ordenador personal PC en un router, lo que
permite funciones comúnmente utilizadas para el enrutamiento y la conexión de
redes:
Características:
Poderoso control QoS Filtrado de Trafico P2P Alta disponibilidad con VRRP
Firewall Dinámico.
Configuración Avanzada de RedesLAN BERTERO - VALENTINI Túneles Red
Inalámbrica de alta velocidad 802.11a/b/g con WEP/WPA
Access Points virtuales HotSpot Para acceso Plug-and-Play
IMPLEMENTACION DE FIREWALL
Para la configuración inicial del mikrotik configuramos una dirección IP, un usuario
y un password.
A la interfaz de administración accederemos en modo grafico mediante WinBox
Configuramos las zonas o interfaces con el direccionamiento para cada una.
En el ítem IP>addresses, agregamos a cada una de las interfaces la dirección IP y
mascara
TOPOLOGIA FISICA
Para una mejor administración u orden en la configuración podemos renombrar
cada una de las interfaces configuradas en el ítem INTERFACES
Luego de la creación de las interfaces y sus respectivos direccionamientos
estableceremos la ruta estática para poder acceder a la red externa (Internet) en el
caso de mikrotik por tratarse de interfaces directamente conectadas el
enrutamiento se realiza de forma automática.
CREACIÓN DE LA REGLA NAT.
En que consiste NAT?
La traducción de direcciones de red (NAT) proporciona un método para traducir las
direcciones de protocolo de Internet versión 4 (IPv4) de los equipos de una red a
direcciones IPv4 de equipos de una red distinta. Un enrutador IP habilitado para
NAT implementado en el punto en que una red privada, por ejemplo una red
corporativa, se encuentra con una pública, como Internet, permite a los equipos de
la red privada obtener acceso a los equipos de la red pública gracias a este
servicio de traducción.
https://technet.microsoft.com/es-es/library/cc753373(v=ws.10).aspx
Para la configuración del NAT nos dirigimos al ítem IP>firewall>nat, en nuestro
caso configuraremos que la cadena de origen será la dirección de red
172.16.1.0/24 y la interface de salida out. Interface es la WAN y la acción será
masquerade.
“Masquerade & src-nat
El primer chain para NATing es "srcnat". Es usado para aplicar acciones a los
datos salientes del router.
Al igual que los filtros de firewall, las reglas NAT rules tiene algunas propiedades y
acciones
La primera y más básica regla de NAT, Es solo usar la acción "masquerade".
Masquerade reemplaza la dirección IP origen en paquetes por otra determinada
(ejemplo una privada a publica) para facilitar el enrutamiento.
Por lo general, la dirección IP de origen de los paquetes que van a la Internet será
reemplazado por la dirección de la interfaz externa (WAN)”
“mis_primeros_pasos_en%20mikrotik_webinar-1.pdf”
La acción "src-nat“permite realizar cambios en dirección IP y puerto origen de los
paquetes a unos especificados por el administrador de la red
https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja
&uact=8&ved=0CDUQFjAD&url=http%3A%2F%2Fwww.abcxperts.com%2Findex.p
hp%2Fwebinar-
videos%3Ftask%3Dcallelement%26format%3Draw%26item_id%3D15%26element
%3Dc9811b55-f97b-4413-95e8-
2eb7a3efb0bc%26method%3Ddownload&ei=fpXrVLSQLILhggS7voPQDg&usg=A
FQjCNHdoKl8gfd6DrppMJm0KD6YEoUW1A&bvm=bv.86475890,d.eXY
PRUEBA DE CONFIGURACION NAT INTERNET- LAN
Se realiza ping desde la maquina LAN hacia INTERNET y responde
correctamente
Igualmente se realiza un tracert para conocer la ruta y saltos de la petición.
El siguiente paso es configurar reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados y reglas de acceso que le permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles. TOPOLOGÍA LÓGICA REQUERIDA Desde INTERNET Hacia la DMZ está filtrado Hacia la LAN está prohibido Desde la LAN Hacia la DMZ está autorizado Hacia internet está autorizado Desde la DMZ Hacia la LAN está prohibido Hacia internet está filtrado Según lo anterior el firewall debe ser configurado de la siguiente forma Desde DMZ hacia LAN: Denegar Todo
Desde Internet hacia DMZ: Aceptar TCP 80 solo a la dirección de destino 192.168.1.254 (Web Pública) Desde LAN hacia la (DMZ o Internet): Aceptar TCP 80 y 443 (HTTP y HTTPS) Regla para tráfico desde internet hacia la LAN para los protocolos FTP, HTTP, SMTP. Como primera medida configuramos una regla general que bloquee todo el tráfico hacia las interfaces, esto nos permitirá tener un control de la reglas que iremos configurando de forma específica de acurdo a lo que debemos permitir en nuestro firewall. Para configurar las reglas nos dirigimos a la ruta IP>FIREWALL>FILTER RULES Primer regla: denegar todo el tráfico entre interfaces: La sentencia es: [admin@MikroTik] > ip firewall filter add protocol=icmp action=accept chain=input comment="DENIEGO ICMP" [admin@MikroTik] > log print firewall,info PING DENEGADO input: in:ether1 out:(none), src-mac 00:21:70:fd:e3:25, proto ICMP
El siguiente paso es configurar las reglas permisivas
Configurar reglas de acceso en el firewall que permitan el paso de tráfico desde
INTERNET hacia la LAN solo para 3 protocolos y 5 puertos.
La regla seria de esta forma: Todo tráfico que venga desde internet, y que valla
hacia la dirección 172.16.1.0 en el puerto TCP 80, traducir su dirección de destino
por la 192.168.1.4 en el puerto 80”
Realizar acción
La siguiente regla debe ser que tráfico que proviene de INTERNET debe ser
filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles
CONFIGURACIÓN DE REGLA
Un equipo que este en internet, y valla a acceder a la DMZ, no puede llegar al
equipo 10.0.0.2, porque de no debería saber que una red privada, entonces se
dirige a la ip 192.168.1.4 (IP del firewall en internet) y este sabe, que una petición,
a determinado puerto, debe llevarla al equipo 10.0.1.2, es decir, debe traducir la
dirección de destino (dstnat)
Para la verificación de la regla se configura un servidor web (red DMZ) y se
accede via web a ella desde internet.
CIBERGRAFIA
http://www.frsn.utn.edu.ar/tecnicas3/problemas/Configuracion%20avanzada%20de
%20redes.pdf
http://www.adslzone.net/postt351181.html
http://www.mikroways.net/2009/07/24/administracion-del-firewall-en-mikrotik/
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
https://www.mikrotik.com/documentation/manual_2.4/IP/Firewall.html