Mikrotik Seguridad Perimetro Con Firewall

12
Historia Mikrotikls Ltd., conocida internacionalmente como MikroTik, es una compañía letona vendedora de equipo informático y de redes. Vende principalmente productos de comunicación inalámbrica como routerboards o routers, también conocidos por el software que lo controla llamado RouterOS. La compañía fue fundada en el 1995, aprovechando el emergente mercado de la tecnología inalámbrica. El principal producto de Mikrotik es el sistema operativo conocido como Mikrotik RouterOS basados en Linux. Permite a los usuarios convertir un ordenador personal PC en un router, lo que permite funciones comúnmente utilizadas para el enrutamiento y la conexión de redes: Características: Poderoso control QoS Filtrado de Trafico P2P Alta disponibilidad con VRRP Firewall Dinámico. Configuración Avanzada de RedesLAN BERTERO - VALENTINI Túneles Red Inalámbrica de alta velocidad 802.11a/b/g con WEP/WPA Access Points virtuales HotSpot Para acceso Plug-and-Play

description

Mikrotik-Seguridad-Firewall

Transcript of Mikrotik Seguridad Perimetro Con Firewall

Page 1: Mikrotik Seguridad Perimetro Con Firewall

Historia

Mikrotikls Ltd., conocida internacionalmente como MikroTik, es una compañía

letona vendedora de equipo informático y de redes. Vende principalmente

productos de comunicación inalámbrica como routerboards o routers, también

conocidos por el software que lo controla llamado RouterOS.

La compañía fue fundada en el 1995, aprovechando el emergente mercado de la

tecnología inalámbrica. El principal producto de Mikrotik es el sistema operativo

conocido como Mikrotik RouterOS basados en Linux.

Permite a los usuarios convertir un ordenador personal PC en un router, lo que

permite funciones comúnmente utilizadas para el enrutamiento y la conexión de

redes:

Características:

Poderoso control QoS Filtrado de Trafico P2P Alta disponibilidad con VRRP

Firewall Dinámico.

Configuración Avanzada de RedesLAN BERTERO - VALENTINI Túneles Red

Inalámbrica de alta velocidad 802.11a/b/g con WEP/WPA

Access Points virtuales HotSpot Para acceso Plug-and-Play

Page 2: Mikrotik Seguridad Perimetro Con Firewall

IMPLEMENTACION DE FIREWALL

Para la configuración inicial del mikrotik configuramos una dirección IP, un usuario

y un password.

A la interfaz de administración accederemos en modo grafico mediante WinBox

Configuramos las zonas o interfaces con el direccionamiento para cada una.

En el ítem IP>addresses, agregamos a cada una de las interfaces la dirección IP y

mascara

Page 3: Mikrotik Seguridad Perimetro Con Firewall

TOPOLOGIA FISICA

Para una mejor administración u orden en la configuración podemos renombrar

cada una de las interfaces configuradas en el ítem INTERFACES

Page 4: Mikrotik Seguridad Perimetro Con Firewall

Luego de la creación de las interfaces y sus respectivos direccionamientos

estableceremos la ruta estática para poder acceder a la red externa (Internet) en el

caso de mikrotik por tratarse de interfaces directamente conectadas el

enrutamiento se realiza de forma automática.

Page 5: Mikrotik Seguridad Perimetro Con Firewall

CREACIÓN DE LA REGLA NAT.

En que consiste NAT?

La traducción de direcciones de red (NAT) proporciona un método para traducir las

direcciones de protocolo de Internet versión 4 (IPv4) de los equipos de una red a

direcciones IPv4 de equipos de una red distinta. Un enrutador IP habilitado para

NAT implementado en el punto en que una red privada, por ejemplo una red

corporativa, se encuentra con una pública, como Internet, permite a los equipos de

la red privada obtener acceso a los equipos de la red pública gracias a este

servicio de traducción.

https://technet.microsoft.com/es-es/library/cc753373(v=ws.10).aspx

Para la configuración del NAT nos dirigimos al ítem IP>firewall>nat, en nuestro

caso configuraremos que la cadena de origen será la dirección de red

172.16.1.0/24 y la interface de salida out. Interface es la WAN y la acción será

masquerade.

“Masquerade & src-nat

El primer chain para NATing es "srcnat". Es usado para aplicar acciones a los

datos salientes del router.

Al igual que los filtros de firewall, las reglas NAT rules tiene algunas propiedades y

acciones

La primera y más básica regla de NAT, Es solo usar la acción "masquerade".

Page 6: Mikrotik Seguridad Perimetro Con Firewall

Masquerade reemplaza la dirección IP origen en paquetes por otra determinada

(ejemplo una privada a publica) para facilitar el enrutamiento.

Por lo general, la dirección IP de origen de los paquetes que van a la Internet será

reemplazado por la dirección de la interfaz externa (WAN)”

“mis_primeros_pasos_en%20mikrotik_webinar-1.pdf”

La acción "src-nat“permite realizar cambios en dirección IP y puerto origen de los

paquetes a unos especificados por el administrador de la red

https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja

&uact=8&ved=0CDUQFjAD&url=http%3A%2F%2Fwww.abcxperts.com%2Findex.p

hp%2Fwebinar-

videos%3Ftask%3Dcallelement%26format%3Draw%26item_id%3D15%26element

%3Dc9811b55-f97b-4413-95e8-

2eb7a3efb0bc%26method%3Ddownload&ei=fpXrVLSQLILhggS7voPQDg&usg=A

FQjCNHdoKl8gfd6DrppMJm0KD6YEoUW1A&bvm=bv.86475890,d.eXY

Page 7: Mikrotik Seguridad Perimetro Con Firewall

PRUEBA DE CONFIGURACION NAT INTERNET- LAN

Se realiza ping desde la maquina LAN hacia INTERNET y responde

correctamente

Page 8: Mikrotik Seguridad Perimetro Con Firewall

Igualmente se realiza un tracert para conocer la ruta y saltos de la petición.

El siguiente paso es configurar reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados y reglas de acceso que le permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles. TOPOLOGÍA LÓGICA REQUERIDA Desde INTERNET Hacia la DMZ está filtrado Hacia la LAN está prohibido Desde la LAN Hacia la DMZ está autorizado Hacia internet está autorizado Desde la DMZ Hacia la LAN está prohibido Hacia internet está filtrado Según lo anterior el firewall debe ser configurado de la siguiente forma Desde DMZ hacia LAN: Denegar Todo

Page 9: Mikrotik Seguridad Perimetro Con Firewall

Desde Internet hacia DMZ: Aceptar TCP 80 solo a la dirección de destino 192.168.1.254 (Web Pública) Desde LAN hacia la (DMZ o Internet): Aceptar TCP 80 y 443 (HTTP y HTTPS) Regla para tráfico desde internet hacia la LAN para los protocolos FTP, HTTP, SMTP. Como primera medida configuramos una regla general que bloquee todo el tráfico hacia las interfaces, esto nos permitirá tener un control de la reglas que iremos configurando de forma específica de acurdo a lo que debemos permitir en nuestro firewall. Para configurar las reglas nos dirigimos a la ruta IP>FIREWALL>FILTER RULES Primer regla: denegar todo el tráfico entre interfaces: La sentencia es: [admin@MikroTik] > ip firewall filter add protocol=icmp action=accept chain=input comment="DENIEGO ICMP" [admin@MikroTik] > log print firewall,info PING DENEGADO input: in:ether1 out:(none), src-mac 00:21:70:fd:e3:25, proto ICMP

Page 10: Mikrotik Seguridad Perimetro Con Firewall

El siguiente paso es configurar las reglas permisivas

Configurar reglas de acceso en el firewall que permitan el paso de tráfico desde

INTERNET hacia la LAN solo para 3 protocolos y 5 puertos.

La regla seria de esta forma: Todo tráfico que venga desde internet, y que valla

hacia la dirección 172.16.1.0 en el puerto TCP 80, traducir su dirección de destino

por la 192.168.1.4 en el puerto 80”

Page 11: Mikrotik Seguridad Perimetro Con Firewall

Realizar acción

La siguiente regla debe ser que tráfico que proviene de INTERNET debe ser

filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles

CONFIGURACIÓN DE REGLA

Un equipo que este en internet, y valla a acceder a la DMZ, no puede llegar al

equipo 10.0.0.2, porque de no debería saber que una red privada, entonces se

dirige a la ip 192.168.1.4 (IP del firewall en internet) y este sabe, que una petición,

a determinado puerto, debe llevarla al equipo 10.0.1.2, es decir, debe traducir la

dirección de destino (dstnat)

Para la verificación de la regla se configura un servidor web (red DMZ) y se

accede via web a ella desde internet.

Page 12: Mikrotik Seguridad Perimetro Con Firewall

CIBERGRAFIA

http://www.frsn.utn.edu.ar/tecnicas3/problemas/Configuracion%20avanzada%20de

%20redes.pdf

http://www.adslzone.net/postt351181.html

http://www.mikroways.net/2009/07/24/administracion-del-firewall-en-mikrotik/

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

https://www.mikrotik.com/documentation/manual_2.4/IP/Firewall.html