Seguridad perimetral - Mikrotik Firewall

download Seguridad perimetral - Mikrotik Firewall

of 38

  • date post

    26-Jul-2015
  • Category

    Engineering

  • view

    1.142
  • download

    4

Embed Size (px)

Transcript of Seguridad perimetral - Mikrotik Firewall

1. 1 ACTIVIDAD No 1 SEGURIDAD PERIMETRAL VANESA RODRIGUEZ PERCY JUAN DAVID TRUJILLO CSAR AUGUSTO MORALES FICHA 600088 INSTRUCTOR: ALEXANDER AUGUSTO ALVAREZ SENA SERVICIO NACIONAL DE APRENDIZAJE GESTION REDES DE DATOS MEDELLIN 2015 2. 2 Contenido PROBLEMA A RESOLVER...................................................................................................................... 3 TOPOLOGA PLANTEADA..................................................................................................................... 4 ............................................................................................................................................................. 4 INSTALACIN DE MIKROTIK ................................................................................................................ 6 CONFIGURACIN DE MIKROTIK........................................................................................................ 15 FIREWALL: CONFIGURACIN DE REGLAS.......................................................................................... 22 SOLUCIONES FIREWALL PARA WINDOWS......................................................................................... 35 COMENTARIO - PELCULA APRENDICES FUERA DE LNEA................................................................. 37 CIBERGRAFA..................................................................................................................................... 38 3. 3 PROBLEMA A RESOLVER Las actividades para desarrollar estas guas son: 1. Implementar un firewall comn en un enrutador cisco 2. Implementar un firewall con DMZ en Linux/BSD/Solaris 3. Implementar un firewall con DMZ en Windows Server Actividad 1: Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de acceso en el firewall que permitan el paso de trfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados. Generalmente la comunicacin desde la LAN es transparente as que el enrutador debe permitir la salida de paquetes desde la LAN. Actividad 2 y 3: Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumir que existen 3 servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer reglas de acceso que les permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el trfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles. Tambin debe recrear el escenario donde un intruso ha logrado penetrar un sistema de la DMZ, qu reglas debera aplicar en el firewall para evitar que el intruso llegue hasta la LAN privada? ESTRATEGIAS Antes de comenzar prepare el escenario requerido para la prctica (hardware, software, manuales, etc.), recuerde segmentar cada una de las zonas de la prueba que quiere realizar. Tambin tenga en cuenta el direccionamiento a usar para que su firewall pueda funcionar adecuadamente. Estrategias Actividad 1: En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su router tenga una IOS que permita hacer filtrado con ACLs, adems de esto recuerde que va a requerir por lo menos dos interfaces para trabajar, como recomendacin puede usar un router que soporte dos interfaces de red Ethernet. Recuerde que puede usar un simulador como Packet Tracer antes de intentar configurar el router de forma real, esto le evitar muchos problemas. Estrategias Actividad 2 y 3: Para el trabajo con los firewalls en los sistemas operativos tenga en cuenta las siguientes recomendaciones: Intente primero configurar las interfaces de red y aplicar el NAT bsico para que garantice que los paquetes pasan de un lado al otro de las interfaces sin problemas. 4. 4 Una vez verifique que puede conectarse de un lado al otro, cree reglas de filtrado bsicas entre dos interfaces (no intente con las 3 interfaces al tiempo), primero garantice que puede diferenciar y filtrar el trfico entre 2 interfaces antes de intentar configurar las 3 tarjetas. El primer firewall que usted disee debe ser con la poltica PASS BY DEFAULT, esto significa que todo lo que no se defina explicita mente ser permitido, este tipo de firewall es ms permisivo pero le permite aprender los conceptos bsicos sin tantas complicaciones. Una vez el firewall PASS BY DEFAULT este configurado y funcionando trate de adaptarlo para que funcione en modo DROP BY DEFAULT, en este modo el firewall no dejar pasar nada a travs de sus interfaces que no est explicita mente permitido. Recuerde que puede usar appliances de firewalls que son ms fciles de configurar puesto que tienen interfaces web sencillas para administrarlos, se recomienda usar estos appliances una vez se hayan adquirido los conceptos bsicos de firewalls y se haya experimentado con la configuracin de firewalls a mano. Actividad 1: Esta actividad se realiz en el aula de clases de forma fsica o real utilizando un dispositivo de CISCO. TOPOLOGA PLANTEADA 172.16.1.0/24 Mikrotik Firewall 172.16.1.20 Windows 7 Pro 10.1.1.0/24 172.16.1.200 10.1.1.200 WAN 192.168.1.200 DMZ - Windows 7 Pro 192.168.1.120 192.168.1.0/24 Internet 5. 5 Actividad 2: El primer paso fue seleccionar el software para realizar la actividad, que para este caso fue Mikrotik, de lo cual a continuacin hacemos una pequea descripcin: Mikrotik ls Ltd. conocida internacionalmente como MikroTik, es una compaa letona proveedora de tecnologa disruptiva de hardware y software para la creacin de redes. Mikrotik RouterOS es un software que funciona como un sistema operativo para convertir un PC o una placa Mikrotik RouterBOARD en un router dedicado. Mikrotik RouterOS es un sistema operativo basado en el kernel de Linux 2.6 usado en el hardware de los Microtik RouterBOARD que es la divisin de hardware de la marca Mikrotik. Se caracteriza por poseer su propio S.O de fcil configuracin. Estos dispositivos poseen la ventaja de tener una relacin costo /beneficio muy alta. Configuracin RouterOS soporta varios mtodos de configuracin como son: -Acceso local va teclado y monitor -Consola serial con una terminal -Acceso va Telnet y SSH va una red -Una interfaz grfica llamada WinBox -Una API para el desarrollo de aplicaciones propias para la configuracin. -En caso de no contar con acceso local y existe un problema con las ----direcciones IP, RouterOS soporta una conexin basada en direcciones MAC usando las herramientas customizadas Mac-Telnet y herramientas de Winbox. 6. 6 INSTALACIN DE MIKROTIK Descargamos el software de la pgina oficial de MikroTik. http://www.mikrotik.com/download Una vez realizada la descarga, procedemos a instalarlo en este caso en VMWare. 7. 7 8. 8 9. 9 10. 10 En esta ventana se nos pide que seleccionemos los servicios que deseamos utilizar, cada servicio tiene una especificacin y en muchos tutoriales de internet podemos ver que funcin cumple cada uno, se seleccionan con la tecla de direcciones y seleccionando el servicio deseado con la barra espaciadora. Para iniciar la instalacin presionamos la letra i 11. 11 Ahora nos pregunta si queremos instalar los servicios seleccionados, presionamos la letra y para aceptar y reconfirmamos nuevamente con la letra y En esta ventana vemos como se realizan las particiones y el formateo del disco y de igual forma se inicia la instalacin de los servicios. 12. 12 Para finalizar la instalacin se nos pide reiniciar el sistema para lo cual presionamos la tecla enter. Despus de reiniciar la mquina, veremos lo siguiente: Se nos est pidiendo un login, este por defecto es admin, en contrasea la dejamos vaca. 13. 13 Una de las formas de administrar Mikrotik, es remotamente; para realizar esta tarea, vamos a usar una herramienta llamada Win Box. Esta herramienta la podemos descargar desde la pgina oficial de Mikrotik, as: Accedemos a la pgina web, a travs de esta direccin: http://www.mikrotik.com/download. 14. 14 15. 15 All vamos a la seccin Useful tools and utilities y seleccionamos la opcin Winbox version 3.0rc2 (Esta es la versin disponible hasta el momento, cuando se realiz este tutorial), descargamos este archivo con extensin (.exe). CONFIGURACIN DE MIKROTIK 1. Primero procederemos a configurar al menos una interfaz que nos servir para gestionar de manera grfica el dispositivo, para este proceso ingresamos al men Ip/address/print. Desde la Shell de Mikrotik. Este comando nos informar las direcciones que existen actualmente configuradas con direccionamiento IP, como la interfaz ether 1 trae una direccin Ip por defecto, la removemos mediante el comando remove 0. Aadimos con el comando add address=IP/mask interface=interfaz la configuracin. 16. 16 2. En un PC cliente ejecutamos la aplicacin Winbox, propietaria de mikrotik (descarga en la web oficial), en Conect To digitamos la direccin IP anteriormente configurada y los parmetros de usuario y contrasea. Luego damos clic en el botn connect. Esta es la pantalla principal de WinBox, en ella vemos lo siguiente: Connect To: En esta lnea se coloca la direccin IP del dispositivo al cual queremos conectarnos. Login: Nombre de usuario para administrar Password: Contrasea Las opciones Keep Password y Secure Mode, la primera opcin nos indica si queremos guardar nuestro password y la segunda permite entrar en modo seguro a la configuracin del Mikrotik, esta opcin activa la capa SSL en el modo de transporte. La parte de Note, es para colocar un comentario en donde yo deseo conectarme. 17. 17 WinBox hace un barrido por Broadcast, esto permite verificar cules son todos los equipos Mikrotik que tengo en mi red. Debo dar clic en la opcin Connect. QU ES WIN BOX? WinBox es una simple herramienta de servidor que permite conectarte a otro cliente. Incluye una sofisticada tecnologa para realizar estas conexiones basada en el sistema operativo RouterOS. Este software permite a sus usuarios realizar conexiones va FTP, telnet y SSH. Incluye tambin una API que permit