Mikrotik Seguridad Perimetro Con Firewall
Short Description
Descripción: Mikrotik-Seguridad-Firewall...
Description
Historia Mikrotikls Ltd., conocida internacionalmente como MikroTik, es una compañía letona vendedora de equipo informático y de redes. Vende principalmente productos de comunicación inalámbrica como routerboards o routers, también conocidos por el software que lo controla llamado RouterOS. La compañía fue fundada en el 1995, aprovechando el emergente mercado de la tecnología inalámbrica. El principal producto de Mikrotik es el sistema operativo conocido como Mikrotik RouterOS basados en Linux. Permite a los usuarios convertir un ordenador personal PC en un router, lo que permite funciones comúnmente utilizadas para el enrutamiento y la conexión de redes: Características: Poderoso control QoS Filtrado de Trafico P2P Alta disponibilidad con VRRP Firewall Dinámico. Configuración Avanzada de RedesLAN BERTERO - VALENTINI Túneles Red Inalámbrica de alta velocidad 802.11a/b/g con WEP/WPA Access Points virtuales HotSpot Para acceso Plug-and-Play
IMPLEMENTACION DE FIREWALL Para la configuración inicial del mikrotik configuramos una dirección IP, un usuario y un password. A la interfaz de administración accederemos en modo grafico mediante WinBox
Configuramos las zonas o interfaces con el direccionamiento para cada una. En el ítem IP>addresses, agregamos a cada una de las interfaces la dirección IP y mascara
TOPOLOGIA FISICA
Para una mejor administración u orden en la configuración podemos renombrar cada una de las interfaces configuradas en el ítem INTERFACES
Luego de la creación de las interfaces y sus respectivos direccionamientos estableceremos la ruta estática para poder acceder a la red externa (Internet) en el caso de mikrotik por tratarse de interfaces directamente conectadas el enrutamiento se realiza de forma automática.
CREACIÓN DE LA REGLA NAT. En que consiste NAT? La traducción de direcciones de red (NAT) proporciona un método para traducir las direcciones de protocolo de Internet versión 4 (IPv4) de los equipos de una red a direcciones IPv4 de equipos de una red distinta. Un enrutador IP habilitado para NAT implementado en el punto en que una red privada, por ejemplo una red corporativa, se encuentra con una pública, como Internet, permite a los equipos de la red privada obtener acceso a los equipos de la red pública gracias a este servicio de traducción. https://technet.microsoft.com/es-es/library/cc753373(v=ws.10).aspx
Para la configuración del NAT nos dirigimos al ítem IP>firewall>nat, en nuestro caso configuraremos que la cadena de origen será la dirección de red 172.16.1.0/24 y la interface de salida out. Interface es la WAN y la acción será masquerade. “Masquerade & src-nat El primer chain para NATing es "srcnat". Es usado para aplicar acciones a los datos salientes del router. Al igual que los filtros de firewall, las reglas NAT rules tiene algunas propiedades y acciones La primera y más básica regla de NAT, Es solo usar la acción "masquerade".
Masquerade reemplaza la dirección IP origen en paquetes por otra determinada (ejemplo una privada a publica) para facilitar el enrutamiento. Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de la interfaz externa (WAN)” “mis_primeros_pasos_en%20mikrotik_webinar-1.pdf”
La acción "src-nat“permite realizar cambios en dirección IP y puerto origen de los paquetes a unos especificados por el administrador de la red https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja &uact=8&ved=0CDUQFjAD&url=http%3A%2F%2Fwww.abcxperts.com%2Findex.p hp%2Fwebinarvideos%3Ftask%3Dcallelement%26format%3Draw%26item_id%3D15%26element %3Dc9811b55-f97b-4413-95e82eb7a3efb0bc%26method%3Ddownload&ei=fpXrVLSQLILhggS7voPQDg&usg=A FQjCNHdoKl8gfd6DrppMJm0KD6YEoUW1A&bvm=bv.86475890,d.eXY
PRUEBA DE CONFIGURACION NAT INTERNET- LAN Se realiza ping desde la maquina LAN hacia INTERNET y responde correctamente
Igualmente se realiza un tracert para conocer la ruta y saltos de la petición.
El siguiente paso es configurar reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados y reglas de acceso que le permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles. TOPOLOGÍA LÓGICA REQUERIDA Desde INTERNET Hacia la DMZ está filtrado Hacia la LAN está prohibido Desde la LAN Hacia la DMZ está autorizado Hacia internet está autorizado Desde la DMZ Hacia la LAN está prohibido Hacia internet está filtrado Según lo anterior el firewall debe ser configurado de la siguiente forma Desde DMZ hacia LAN: Denegar Todo
Desde Internet hacia DMZ: Aceptar TCP 80 solo a la dirección de destino 192.168.1.254 (Web Pública) Desde LAN hacia la (DMZ o Internet): Aceptar TCP 80 y 443 (HTTP y HTTPS) Regla para tráfico desde internet hacia la LAN para los protocolos FTP, HTTP, SMTP. Como primera medida configuramos una regla general que bloquee todo el tráfico hacia las interfaces, esto nos permitirá tener un control de la reglas que iremos configurando de forma específica de acurdo a lo que debemos permitir en nuestro firewall. Para configurar las reglas nos dirigimos a la ruta IP>FIREWALL>FILTER RULES
Primer regla: denegar todo el tráfico entre interfaces: La sentencia es: [admin@MikroTik] > ip firewall filter add protocol=icmp action=accept chain=input comment="DENIEGO ICMP" [admin@MikroTik] > log print firewall,info PING DENEGADO 00:21:70:fd:e3:25, proto ICMP
input:
in:ether1
out:(none),
src-mac
El siguiente paso es configurar las reglas permisivas Configurar reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos. La regla seria de esta forma: Todo tráfico que venga desde internet, y que valla hacia la dirección 172.16.1.0 en el puerto TCP 80, traducir su dirección de destino por la 192.168.1.4 en el puerto 80”
Realizar acción
La siguiente regla debe ser que tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles CONFIGURACIÓN DE REGLA Un equipo que este en internet, y valla a acceder a la DMZ, no puede llegar al equipo 10.0.0.2, porque de no debería saber que una red privada, entonces se dirige a la ip 192.168.1.4 (IP del firewall en internet) y este sabe, que una petición, a determinado puerto, debe llevarla al equipo 10.0.1.2, es decir, debe traducir la dirección de destino (dstnat) Para la verificación de la regla se configura un servidor web (red DMZ) y se accede via web a ella desde internet.
CIBERGRAFIA http://www.frsn.utn.edu.ar/tecnicas3/problemas/Configuracion%20avanzada%20de %20redes.pdf http://www.adslzone.net/postt351181.html http://www.mikroways.net/2009/07/24/administracion-del-firewall-en-mikrotik/ http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter https://www.mikrotik.com/documentation/manual_2.4/IP/Firewall.html
View more...
Comments