MTCNA

October 2, 2017 | Author: Williams Chavarria | Category: Ip Address, Router (Computing), Network Protocols, Networking Standards, Networks
Share Embed Donate


Short Description

manual MTCNA...

Description

MikroTik Certified Network Associate (MTCNA)

“© MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission.”

Presentarse individualmente

• Nombre • • • •

Compañía Conocimiento previo sobre RouterOS Conocimiento previo sobre Networking Qué espera de este curso?

Agenda • Horario diario (3 días) 

9:00am a 6:00pm

• Descansos 15-20mins. 

10:30am y 3:00pm

• Almuerzo 

12:00pm to 1:00pm

• Examen 

Último día, 1 hora

3

Porque tomar el curso de MTCNA? • Introducción a RouterOS y productos RouterBOARD • Provee un mayor panorama de las capacidades de RouterOS y lo que puedes hacer con los productos RouterBOARD. • Te facilitará un fundamento sólido y herramientas valiosas para hacer tu trabajo.

4

Objetivos del Curso Al finalizar el curso el estudiante: • Estará familiarizado con los productos RouterOS y RouterBOARD. • Podrá configurar, administrar y hacer troubleshooting básico de routers MikroTik. • Proveer servicios básico a clientes o empresas.

5

Otros.. • Este curso está basado en RouterOS 6 y RB951G-2HnD  Módulo

1 está basado en ROS 5.26

6

IMPORTANTE En consideración hacia los demás estudiantes e instructor: • Teléfono u otro en modo silencioso • Tomar llamadas fuera del salón

7

Introducción

Módulo 1

8

RouterOS y RouterBOARD

9

Que es RouterOS? • MikroTik RouterOS es el sistema operativo del RouterBOARD. • Tiene todo los features necesarios para ISP o administrador de redes tales como routing, firewall, bandwidth management, wireless access point, backhaul link, hotspot gateway, VPN server y más. 10

Que es RouterOS? • RouterOS es un Sistema operativo basado en el Kernel v3.3.5 de Linux y provee toda las funcionalidades en una simple y rápida instalación con una interfaz o GUI fácil de utilizar.

11

Que es RouterBOARD? • Una gama de soluciones de hardware creadas por MikroTik para poder cumplir con necesidades de redes alrededor del mundo • Todos operan con RouterOS. www.mikrotik.com www.routerboard.com

12

Soluciones Integradas • Estas son provistas completas con cajas y powersupplies. • Listas para utilizar y preconfiguradas con las configuraciones básicas. • Lo único que tienes que hacer es conectarlas al internet, oficina o casa.

13

RouterBOARD (boards solamente) • Motherboard pequeños. Tu escoges caja, powersupply e interfaces a utilizar. • Perfectos para tu propio ensamblaje, proveen la mayor personalización y configuración física.

14

Enclosures • Cajas Indoor y Outdoor para RouterBOARDs. Es seleccionado basado en:  La

localización a ser instalada  El modelo de RouterBOARD  El tipo de conección necesitada (USB, antennas, etc.).

15

Interfaces • Módulos ethernet, fiber SFPs o tarjetas wireless para expandir la funcionabilidad de un RouterBOARD o PCs con sistema RouterOS. • Nuevamente, la selección es basada en tus necesidades

16

Accesorios • Estos son hechos para productos MikroTik – power adapters, mounts, antennas y PoE injectors.

17

MFM • Con el programa MFM (Made for MikroTik) tienes aún mas opciones adicionales para crear tu propia solución o router.

18

Porque obtener un router integrado? • Puedes trabajar con varias necesidades • Opciones add-on adicionales • Mínimo o Cero requerimiento de expansión • Configuración predefinida • Simple solución a su vez eficiente

19

Router integrados, ejemplos RB951G-2HnD • Excelente para Casa o SoHo • 5 puertos Gbps • Wi-Fi 2.4Ghz integrado • Licencia Nivel 4

20

Routers integrados, ejemplos SXT Sixpack (1 OmniTIK U-5HnD with 5 SXT5HPnD)

• Excelente para WISP o empresa con oficinas remotas • 5 puertos 100Mbps • (OmniTik) • 5 radios 5Ghz 802.11a/n • Puede cubrir hasta 5Km entre oficina principal y remotas 21

Routers integrados, ejemplos CCR1036-12G-4S Cloud Router Modelo Elite • Excelente para ISPs o redes de compañías • 1 Unidad rack • 12 puertos Gbps • Puerto Serial, USB y touch screen • 4GB RAM, puede utilizar cualquier tamaño de RAM SO-DIMM 22

Nota de interés • Los nombre de los routers son asignados dependiendo su capacidad, ejemplos:  CCR

: Cloud Core Router  RB : RouterBoard  2, 5 : 2.4GHZ or 5GHz wifi radio  H : High powered radio  S : SFP  U : USB  i : Injector  G : Gigabit ethernet 23

Porque construir tu propio router? • Atacas una variedad de necesidades propias • Muchas opciones add-on y expansión • Configuraciones customizables • Puede ser integrado en equipos o gabiente existente de clientes • Solución mas completa para necesidades particulares

24

Routers customizados, ejemplos Flexible CPE • RB411UAHR   

1 puerto 100Mbps 1 radio 2.4GHz radio (b/g) Licencia Nivel 4

• Añade Power supply o módulo PoE • Añade enclosure 3ero • Añade modem 3G PCI-E

25

Routers customizados, ejemplos HotSpot potente • RB493G  

9 puertos giga Licencia nivel 4

• Añade power supply o modulo PoE • Añade R2SHPn (tarjeta 2.4GHz) • Añade R5SHPn (tarjeta 5Ghz) • Añade enclosure 3ero • Añade tarjeta microSD

26

Primera vez accediendo el router

27

Explorador de internet • Forma intuitiva de conectarse a un router con RouterOS.

28

Explorador de Internet • Conectas cable Ethernet al router • Ejecutas explorador de internet • Entras IP del router • Si solicita login, usas “admin” sin contraseña

29

Internet browser • Ejemplo:

30

WinBox y MAC-Winbox • WinBox es la interface propietaria de MikroTik para acceder los routers • Puede ser descargado desde la página de MikroTik.com o del mismo router • Es utilizado para acceder a través de IP (OSI Layer 3) o MAC (OSI Layer 2)

31

WinBox y MAC-Winbox • En el navedor de internet buscas abajo donde se muestran los distintos iconos, “click y save”.

32

WinBox y MAC-WinBox • Ejecutas WinBox. • IP 192.168.88.1 luego “Connect” • Pantalla default: 

“OK”

33

WinBox’s menus • Toma 5 minutos para navegar los menus • Toma nota en especial de lo siguiente:  IP  Addresses  IP 

Routes  System  SNTP  System  Packages  System  Routerboard

34

Console port • Requiere que conectes la computadora al router con un cable serial (RS-232 port).  Default is 115200bps, 8 data bits, 1 stop bit, no parity 35

SSH y Telnet • Herramientas IP estandar para acceder • Comunicación con Telnet es “clear text”  Disponible

en la mayoría de sistemas operativos

 Inseguro!!

• Comunicación con SSH es encriptado  Seguro!!  Múltiples

herramientas tales como PuTTY (http://www.putty.org/) 36

CLI • Command Line Interface • Es la interface utilizada cuando conectas con Telnet, SSH y Serial • Necesario en especial si utilizarás scripts!

37

Configuración Inicial (Acceso al Internet) 38

Con o sin configuración básica? • Puede que tengas o no una configuración básica cuando instalas desde inicio • Puedes escoger no iniciar con configuración básica por default • Verifica esta página para ver como se comportaría tu router con configuración básica incluida: http://wiki.mikrotik.com/wiki/Manual:Default_Configurations

39

Configuración básica • Dependiendo de tu hardware obtendrás configuración básica, el cual puede incluir  WAN

port  LAN port(s)  DHCP client (WAN) and server (LAN)  Basic firewall rules  NAT rule  Default LAN IP address

40

Configuració básica • Cuando te conectas por primera vez con WinBox escojes OK” • Ahora el router inicia con la configuración básica predefinida. 41

Sin configuración • Puede ser utilizado en ocasiones donde la configuración básica no es necesaria, ejemplo:  No

hay necesidad de reglas de firewall  No hay necesidad de NAT

42

Sin configuración • Los pasos mínimos para configurar acceso hacia el internet si tu router no tiene la configuración básica:  LAN

IP addresses, Default gateway and DNS server  WAN IP address  NAT rule (masquerade)  SNTP client and time zone

43

Actualizando el router

44

Cuando actualizar? • Corrección de un bug. • Se requiere un nuevo Feature. • Funcionamiento Mejorado. NOTA: Siempre leer el changelog!!

45

Procedimiento • Requiere planificación.  Pasos

pueden requerir un orden preciso.

• Requiere validación… y

validar…  y seguir validando!!

46

Antes de actualizar • Conoce la arquitectura (mipsbe, ppc, x86, mipsle, tile) que vas a actualizar.  Duda?

Winbox indica la arquitectura en la extrema izquierda

• Conoce que archivos son requeridos:  NPK

: Imagen base de RouterOS image con los paquetes standard (Siempre)  ZIP : Paquetes adicionales (Depende la necesidad)  Changelog : Indica los cambios (Siempre) 47

Como actualizar • Obtienes los archivos de Mikrotik.com  Downloads

48

Como actualizar • 3 Maneras  Descargas

el archivo y lo copias directo al router.  “Check for updates” (System -> Packages)  Auto Upgrade (System -> Auto Upgrade)

49

Descargando los archivos • Lo copias al router a través del menu en “Files”. Ejemplo de archivo:  routeros-mipsbe-5.25.npk  ntp-5.25-mipsbe.npk

• Reinicio • Valida el estado del router

50

Verificando actualizaciones (con /system packages) • En el menú “System -> Packages” • Click en “Check for Updates” luego “Download & Upgrade” • Reinicia automáticamente • Valida paquetes y estado del router

51

Actualización Automática • Copia todo los paquetes para todo los routers a un router interno del network • Configuras los routers para que apunten al que contendrá los paquetes • Presenta paquetes disponibles • Selecciona y descarga los paquetes • Reinicia y valida el estado del router

52

Actualización Automática

53

Actualización firmware RouterBOOT • Verificar version actual [admin@MikroTik] > /system routerboard

print

routerboard: yes model: 951-2n serial-number: 35F60246052A current-firmware: 3.02 upgrade-firmware: 3.05 [admin@MikroTik] >

54

Actualización firmware RouterBoot • Actualiza si es requerido (requerido en el ejemplo) [admin@MikroTik] > /system routerboard upgrade Do you really want to upgrade firmware? [y/n] y firmware upgraded successfully, please reboot for changes to take effect! [admin@MikroTik] > /system reboot Reboot, yes? [y/N]:

55

Manejar logins de RouterOS

56

Cuenta de usuarios • Crea cuentas de usuarios para:  Manejar

privilegios  Verificar actividades por usuarios

• Crea grupos para  Mayor

flexibilidad cuando asignes Privilegios.

57

Manejar Servicios de RouterOS

58

IP Services • Administra IP Services para:  Limitar

uso de recursos (CPU, memory)  Limitar vulnerabilidades (Puertos Abiertos)  Cambiar puertos TCP  Limitar IPs aceptadas o subnets

59

IP Services • Para manejar ve a “IP -> Services” • Habilita o deshabilita lo requerido.

60

Acceso a IP Services • Doble-click a service • Si es necesario especifica que hosts o subnets pueden accesar el servicio, - Muy Buena práctica el limitar ciertos servicios a administradores solamente. 61

Manejar configuraciones de respaldo (Backup) 62

Tipos de respaldos (backups) • Binary • Configuration export

63

Binary backup • Backup completo del sistema • Incluye contraseñas • Asume que la restauración será en el mismo router

64

Export files • Configuración complete o parcial • Genera un script file o lo muestra en terminal • Utiliza “compact” para mostrar no configuraciones default (default en ROS6)

• Utiliza “verbose” para mostrar configuraciones default 65

Archivando backup files • Luego de generrado, cópialos a un servidor u otro.  Con

SFTP (modo seguro)  Con FTP (si habilitado en IP Services)  Utiliza drag and drop desde “Files”

• Dejar backups en el mismo router NO es una estrategia correcta de respaldo  No

existen tape o CD backups para routers

66

Licencias RouterOS

67

Niveles de licencias • 6 niveles de licencias 0

: Demo (24 hours)  1 : Free (very limited)  3 : WISP CPE (Wi-Fi client)  4 : WISP (required to run an access point)  5 : WISP (more capacities)  6 : Controller (unlimited capacities)

68

Licencias • Determina las capacidades permitidas en tu router. • RouterBOARD ya viene con licencia preinstalada.  Niveles

varian

• Licencias para sistemas x86 tienen que ser compradas.  Licencia

solo es válida para un solo sistema. 69

Actualizando licencias • Niveles son mostrados en http://wiki.mikrotik.com/wiki/Manual:License

• Usos típicos  Level

3: CPE, wireless client  Level 4: WISP  Level 5: Larger WISP  Level 6: ISP internal infrastructure (Cloud Core)

70

Uso de licencias • NO se puede actualizar nivel de licencia. Compra el correcto requerido desde inicio. • La licencia es atada al disco el cual es instalado. Cuidado con formatear el disco con herramientas que no sean de Mikrotik. • Lee la página de licencias para mas info!

71

Netinstall

72

Usos de Netinstall • Reinstala RouterOS si el original es corrompido o afectado • Reinstala RouterOS si la contraseña de “admin” es perdida • Se encuentra en la página de MikroTik en el área de “Download”

73

Procedimiento: no serial

Para RBs sin puerto serial COM. • Conecta computadora al puerto Ethernet 1  Asigna

una ip y máscara estática

• Ejecuta Netinstall  Cliquea

“Net booting” y asigna un IP en el mismo segmento de la computadora

• En “Packages”, cliquea “Browse” y selecciona el directorio que contiene el paquete NPK. 74

Procedimiento: no serial • Presiona el botón de “reset” hasta que el Led “ACT” se apague  El

router aparecerá en la sección “Routers/Drives”, luego selecciónalo!

• Escoge la version de RouterOS en la sección “Packages”  El

botón de “Install” ahora se encuentra disponible, click!

75

Procedimiento: no serial • La barra de progreso se tornará azul mientras el archive NPK es transferido • Al finalizar, reconecta la computadora en un puerto y acceso al internet en el Puerto 1 • Utiliza MAC-Winbox para conectarse ya que configuración estará en blanco  Aún

si “Keep old configuration” esteaba seleccionado!! 76

Procedimiento: no serial • Sube configuración de backup y reinicia (La importancia del manejo correcto de archivos de backup!)

• Si el problema fue por pérdida de contraseña, rehacer la configuración desde inicio, ya que contraseña utilizará la misma contraseña olvidada.  (La

importancia del manejo correcto de accesos!) 77

Procedimiento: con Serial Para RBs con puerto serial COM • Simimilar  PC

en Puerto ether 1 con ip estático  Conecta Puerto serial de PC a Puerto COM del RouterBOARD’s  Ejecuta Netinstall (configura el parámetro “NET Booting”)  Selecciona el directorio con el NPK

78

Procedimiento: con Serial • Reinicia el router • Presiona “Enter” cuando lo indique • Presiona “o” para boot device • Presiona “e” para Ethernet • Presiona “x” para salir del setup (router reinicará)

79

Procedimiento: con Serial  Router

aparecerá en la sección “Routers/Drives”

 Selecciónalo

• Selecciona el paquete RouterOS que será instalado • Cliquea “Keep old configuration”  El botón “Install” ahora estará dispnoible, click!

80

Procedimiento: con Serial • La barra de progreso se tornará azul mientras el NPK es transferido. • Una vez finalizado, reconecta la computadora en un pueto válido y el internet al Puerto 1 • Utiliza WinBox para reconectar 

La opción “Keep old configuration” SI funciona aquí!!

81

Procedimiento: con serial • Reinicia el router • Presiona “Enter” cuando lo indique • Presiona “o” para boot device • Presiona “n” para NAND luego Ethernet on fail  Si

se te olvida, siempre harás boot desde el Ethernet

• Presiona “x” para salir (reiniciará el router)

82

Recursos adicionales

83

Wiki http://wiki.mikrotik.com/wiki/Manual:TOC

• Wiki oficial de RouterOS • Documentación de todo los comando RouterOS  Explicación  Sintaxis  Ejemplos

• Tips adicionales!! 84

Tiktube http://www.tiktube.com/

• Recurso de videos de varios temas • Presentado por instructors, partners e ISPs • Puede incluir presentaciones en ppt o pdf • Varios lenguajes

85

Forum http://forum.mikrotik.com/

• Moderado por el equipo de Mikrotik • Panel de discusion de varios temas • MUCHA informacion aquí!! - Podrás encontrar soluciones a tus problemas!

• Primero investiga y busca antes de postear una pregunta. Estandard ética de foros!! 86

Mikrotik support [email protected]

• Procedimientos explicados en http://www.mikrotik.com/support.html • Soporte de MikroTik -15 days (license level 4) -30 days (license level 5 and level 6) si licencia fue comprada con ellos

87

Distributor / Consultant support • Soporte es provisto por Distribuidor cuando equipo fue comprado al mismo. • Consultores disponibles para ser reclutados en trabajos especiales Visita http://www.mikrotik.com/consultants.html

88

Es tiempo de práctica!

Fin del modulo 1

89

Laboratorio • Metas del laboratorio  Familiarizarse

con métodos de accesos  Configurar acceso al internet  Actualizar RouterOS con el mas reciente  Crear un grupo de acceso limitado, asignar un usuario  Manejar IP services  Hacer un backup con configuración actual y restaurar luego de hacer factory reset 90

Setup

91

Laboratorio : Paso 1 • Configura tu computadora con el ip estático que pertenece a tu POD  Asigna

Subnet Mask  Asigna Default gateway (tu router)  Asigna DNS server (tu router)

• Actualiza a RouterOS 6 • Una vez reiniciado el router, conéctate a el de manera que tengas acceso completo 92

Laboratorio : Paso 2 • Configura el IP de LAN del router • Configura el IP de WAN del router • Configura regla de NAT para internet* • Configura el DNS del router • Configura default route del router*

93

Laboratorio : Paso 3 • Añade un group con el nombre “minimal” 

Dale derechos de “telnet”, “read” y “winbox”

• Añade un usuario con tu nombre Asígnalo al group “minimal”  Asigna una contraseña 

• Asigna una contraseña para usuario “admin” Asigna que sea “podX”, donde “X” es tu número de pod  Accede con tu usuario y contraseña  Abre un “New Terminal”. Que sucedió? 

94

Laboratorio : Paso 4 • Asegúrese que el RouterBoard firmware esté actualizado. • Copia el paquete NTP (NPK file) Verifica: System -> SNTP Client  Verifica: NTP Client y NTP Server  Que sucedió? 

• Luego de reiniciar el router Verifica: -> SNTP Client  Verifica -> NTP Client and NTP Server 

• Configura el NTP client y Clock’s timezone 95

Laboratorio: Paso 5 • Accesar el router con Telnet • En el CLI deshabilitar los IP Service:  SSH  WWW

• Accesar el router via WEB  Que

sucedió?

96

Laboratorio: Paso 6 • Abre “New Terminal” y “Files” • Exporta la configuración a un archivo llamado “modulo1-podX” (X es tu pod) • Haz un backup binario (binary backup) • Copia ambos archivos a tu computadora  Abre

ambos y mira el contenido  Borra la regla de NAT e importa el backup exportado para restaurar la regla. 97

Laboratorio: Paso 7 • Mira la licencia del RouterBOARD  Verifica

el nivel de licencia de tu router.  Que capacidades tiene tu router?

98

Fin del Laboratorio 1

99

Routing

Módulo 2

100

Routing Overview

101

Conceptos de Routing • Routing es un proceso en el Layer 3 del modelo OSI. • Routing define donde el tráfico de comunicación será enviado (forwarded, sent). • Es requerido que multiples subnets se puedan comunicar.  Aún

si se encuentran en el mismo “wire” (hub, switch u otro que permita comunicación)

102

Conceptos de Routing: Ejemplo 1 Computadoras no se podrán comunicar!!

103

Conceptos de Routing: Ejemplo 2 Computadoras Si se podrán comunicar.

104

Route Flags • Las Rutas tienen estatus. En este curso nos familiarizemos con: X

: Disabled  A : Active  D : Dynamic  C : Connected  S : Static

105

Route flags • Disabled : Ruta deshabilitada. No tiene influencia en el proceso de enrutamiento. • Active : Ruta activa y Sí se toma en cuenta en el proceso de enrutamiento. • Dynamic : Ruta dinámica creada por el proceso de enrutamiento, no manualmente.

106

Route flags • Connected : Rutas son creadas para cada IP subnet que tenga una interface active en el router. • Static : Ruta creada manualmente para forzar redireccionamiento de tráfico o paquetes hacía un destino (gateway) en específico.

107

Static Routing

108

Static routes • Rutas a subnets que existen en un router son automáticamente creadas y conocidas solamente por ese router. • Que sucede si necesitas alcanzar un subnet que exista en otro router? Configuras una ruta estática. • Una ruta estática es una manera manual de redirigir (forward) tráfico a subnets no conocidos. 109

Static routes

110

Static routes • Entendiendo los campos…      

Flags : El estado de cada ruta, Dst. Address : IP o Subnet de destino para el cual la ruta es utilizada. Gateway : Típicamente, es el IP address del próximo salto (next hop) el cual recibirá los paquetes destinados al “Dst. Address”. Distance : Valor utilizado para selección de ruta. En configuraciones donde varias rutas son posibles, la ruta con el valor menor es la preferida. Routing Mark : Tabla de ruta (Routing table) que contiene esta ruta. Tabla de ruta (routing table) default es “Main”. Pref. Source : La dirección IP de la interface local del router resposanble de redireccionar (forward) los packets enviados por el subnet anunciado (advertised).

111

Porqué utilizar rutas estáticas (static routes)? • Hace la configuración mas simple en un network pequeño donde usualmente no habrá crecimiento. • Limita el uso de los recursos del router (memory, CPU)

112

Limites de rutas estáticas • No es escalable. • Configuación manual es requerida para cada nuevo subnet el cual se requiera alcanzar.

113

Límites de rutas estáticas: Ejemplo: Tu red crece y tienes la necesida de agregar enlaces a routers remotos. (Asumiendo que cada router tiene 2 redes LAN y 1 red WAN)

114

Límites de rutas estáticas: Ejemplo: Router 3 a 5: 9 rutas Router 2: 2 rutas Router 6 y 7: 4 rutas Total de 15 rutas estáticas manualmente! 

115

Creando rutas • Para anadir una ruta estática :  IP ->

Routes  + (Add)  Especifica subnet y máscara  Especifica “Gateway” (next hop)

116

Configurando el default route • La ruta 0.0.0.0/0  Conocido

como el Default route.

 Es

el destino donde todo tráfico a subnets o IPs desconocidos será enviado.

 Al

igual es una ruta estática.

117

Manejando rutas dinámicas • Según mencionado, rutas dinámicas son añadidas por el proceso de enrutamiento no por el administrador. • Es Automático. • No puedes manipular rutas dinámicas. Si la interface donde la ruta dinámica está creada se desconecta o se va “down”, también la ruta dinámica se elimina. 118

Manjenado rutas dinámicas Ejemplo:

119

Implementando enrutamiento estático en un simple network Considera lo siguiente:

120

Implementando enrutamiento estático • Ejercicio: Asumiendo que las direcciones IP han sido entradas, Que comandos usarías para lograr completa comunicación entre ambos subnets (LAN1 and LAN2)? (Respuesta en el próximo slide )

121

Implementando enrutamiento estático • router-1 /ip route add gateway=172.22.0.18 add dst-address=10.1.2.0/24 gateway=10.0.0.2

• router-2 /ip route add gateway=10.0.0.1

122

Es tiempo de ponerlo en práctica!

Fin del módulo 2

123

Laboratorio • Metas del laboratorio  Lograr

conectividad a otros POD LANs  Validar el uso de default route  Lograr ver y explicar los Route Flags

124

Laboratorio : Setup

125

Laboratorio : Paso 1 • Eliminar la ruta default creada en el módulo anterior • Hacer ping a computadoras en otros PODs, Resultado? • Crear rutas estáticas a los demás POD LANs • Hacer ping a computadoras en otros PODs, Resultados?

126

Laboratorio : Paso 2 • Abrir un explorador de internet y trata de accesar la página de mikrotik.com. Resultado? • Crear la ruta default hacía el router del Trainer • Trata de accesar nuévamente la página. Resultado?

127

Fin del laboratorio 2

128

Bridging

Módulo 3

129

Bridging overview

130

Conceptos de Bridging • Bridges funcionan en OSI Layer 2. • Tradicionalmente, eran utilizados par unir 2 segmentos de tecnología distinta o similar.

131

Conceptos de Bridging • Bridges también eran utilizados para crear pequeños collision domains .  La

meta era mejorar el funcionamiento reduciendo el tamaño del subnet. Especialmente eran muy útiles antes de la llegada de los switches.

• Switches son conocidos como bridges multipuertos (multi-port)s • Cada Puerto es un collision domain de UN nodo o aparato!

132

Ejemplo 1 • Todo las computadoras se pueden comunicar entre sí • Cada una debe esperar que todas las computadoras dejen de comunicar antes que una pueda comenzar a transmitir!

133

Ejemplo 2 • Toda las computadoras se escuchan entre sí. • Toda las computadoras ahora solo comparten la mitad del “wire” • Aún deben esperar que cada una termine de transmitir antes de que otra pueda hacerlo pero el grupo se ha reducido a la mitad. • Mejor funcionamiento para todas!

134

Utilizando bridges • Por default, en routers MikroTik, puertos Ethernet son asociados (slave) a un Puerto master  Ventaja

: Switching en velocidad wire (a través del switch chip, no por software).  Desventaja : No hay visibilidad del tráfico en los puertos slave. No es deseable si monitoreas los puertos y la red con SNMP.

135

Utilizando bridges • Si eliminas la configuración de bridge master y slave es necesario crear un bridge para unir los puertos de LAN.  Ventaja

: Visibilidad total de los puertos añadidos.  Desventajas : Switching se por medio de software. Aumento de procesamiento CPU. Menor que óptimo la transferencia de paquetes.

136

Creando bridges • Utilizar los menus  Bridge  Add

(+)  Name the bridge  Click “OK” and you’re done!

137

Creando bridges, ejemplo

138

Añadiendo puertos a bridges • Cuando añades puertos esto define cuales pertenecen al mismo subnet. • Distintas tecnologías pueden ser añadidas tales como interface Wi-Fi.

139

Añadiendo puertos a bridges • Paso para añadir puerto  Bridge  Ports

tab  Add (+)  Escoge la interface y el bridge  Cliquea “OK” y listo!

140

Añadiendo puertos a bridges, ejemplo

141

Bridging redes wireless • Los mismo se puede hacer con interfaces wireless. • Lo veremos en el próximo módulot. Un poco de paciencia!   

142

Tiempo de práctica!

Fin del módulo 3

143

Laboratorio • Metas del lab  Crear

un bridge  Asignar puertos al bridge  Validar que al seguir estos pasos puedas asignar todo los puertos al mismo subnet!

144

Laboratorio : Setup

145

Laboratorio : Paso 1 • Ejecuta “ping –t –w 500 192.168.0.254”. • Desconecta cable de network del puerto (#5) y conéctalo a otro puerto. • Resultados?. • Deja la panatalla de CMD en tu computadora abierta hacienda ping y visible a través de este laboratorio.

146

Laboratorio : Paso 2 • Conéctate a tu router de forma tal que puedas trabajar con el . • Crea una interface Bridge. Nómbrala “LAN” y deja los demás parámetros por default. • Asígnale el IP address de tu POD (192.168.X.1) a la interface Bridge. • Resultados?

147

Laboratorio: Paso 3 • Abre la ventaja de “Interfaces” y verifica cuales están corriendo. • Asigna puertos #2 al #5 a la interface bridge “LAN”. • Resultados? Cuando comenzó a responder el ping nuévmaente? • Cambia tu cable a unos de los puertos entre #2 al #5. Que sucedió? Que significa “I” en la columna. 148

Fin del laboratorio 3

149

Wireless

Módulo 4

150

Conceptos 802.11

151

Frecuencias • 802.11b  2.4GHz

(22MHz bandwidth), 11Mbps

• 802.11g  2.4GHz

(22MHz bandwidth), 54Mbps

• 802.11a  5GHz

(20MHz bandwidth), 54Mbps

• 802.11n  2.4GHz

or 5GHz up to 300Mbps, if using 40MHz channel and 2 radios (chains)

152

Frecuencias

• 802.11b,g frequency range • Canales 1, 6 and 11 non-overlapping

153

Frecuencias

• 802.11a frequency range • 12 20MHz wide channels and 5 40MHz channels

154

Frecuencias • Bandas  Mikrotik

soporta ambas bandas 5GHz (802.11a/n) y 2.4GHz (802.11b/g/n)

155

Frecuencias • El feature “Advanced Channels” provee posibilidades extendidas en la configuracion de interface wireless:  scan-list

cubre multiples canales y tamaños de canales (channel width)  Frequencies non-standard channel center (especificado con KHz granularity) para hardware que lo soporte;  non-standard channel widths (especificado con KHz granularity) para hardware que lo soporte 156

Frecuencias • Basic-rates son las velocidades que un cliente (CPE) DEBE tener soporte para poder conectar al AP • Supported-rates son las velocidades posibles luego que se logra la conección (varios factores pueden influenciar en lograr la velocidad mas alta) • Data-rates son los rates aceptados según el estandar a ser utilizado:  

802.11b : 1 a 11Mbps 802.11a/g : 6 a 54Mbps

 802.11n

: 6 a 300Mbps, de acuerdos a factores tales como channel bandwidth (20 or 40 MHz), Guard Interval (GI), and chains

157

Frecuencias • HT chains  Son

antenas para un radio  Utilizado para 802.11n y también es un factor en cuanto a la capacidad de transferencia (Throughput)

158

Frecuencias • Frequency mode  Regulatory-domain

: Limita canales y TX power basado en las regulaciones del país (country regulations)  Manual-txpower : Igual que la anterior pero sin restricción de TX power.  Superchannel : Ignora toda restricción. (equivalente a compliant test)

159

Frecuencias • “Country”: Frecuencias y power son basadas en las regulaciones del país (country). Utilizando “no_country_set” configurará canales aprovados por FCC.

160

Configurando un link wireless simple • Configuración del Access Point  



Mode : ap bridge Band : Basado en las capacidades el AP y cliente. Si el AP soporta múltiples bandas (ej: B/G/N) selecciona la mejor opción que cubra tu necesidad. Frequency : Cualquiera de los canales disponibles (hablaremos de esto mas adelante!!)

 

SSID : La identidad del wireless network y que los clientes buscarán. Wireless protocol : Basado en las capacidades el AP y cliente. Para uso “normal” AP a PC utiliza 802.11

161

Configurando un link wireless simple • IMPORTANTE CONFIGURA UN SECURITY-PROFILE! 

El no hacerlo es una vulnerabilidad en tu network y permite acceso completo.

162

Configurando un link wireless simple • Para añadir un security profile     

Click on “Add” (+) Name : Nombre del profile Mode : Type of authentication to use Authentication types : Methods used to authenticate a connection Ciphers : Encryption methods

163

Configurando un link wireless simple • Ahora puedes utilizar tu Nuevo security profile y aplicarlo en la configuración.

164

Configurando un link wireless simple • Volvemos a frecuencias! Cual utilizar?  

Cliquea “Snooper” Pendiente! Esto DESCONECTA la interface wlan y todo cliente que esté conectado

165

Configurando un link wireless simple Ahora tienes un panorama de toda las frecuencias en uso  Selecciona un canal que esté no esté en uso o al menos con utilización baja 

166

Configurando un link wireless simple • Configuración de cliente  Mode : station  Band : Igual al AP.  Frequency : No es necesario para clientes

167

Configurando un link wireless simple • Configuración de cliente   

SSID : Igual al AP que quieres conectar Wireless protocol : Igual al AP que quieres conectar Creand un security profile, según se configuró con el “access point” y se aplicó. Estos parámetros TIENEN que ser iguales

168

MAC address filtering • MAC address filtering es una forma adicional de limitar conecciones de clientes. • Para añadir una entrada en el AP se crea un Access List (Solo en AP!!), seleccionas un nodo registrado y cliqueas “Copy to Access list”

169

MAC address filtering • Ahora tienes una entrada!

170

MAC address filtering • Access lists son utilizados en APs para restringir conecciones clientes específicos y controlar sus parámetros.   

Las reglas son verificadas secuencialmente Aplica solo a la primera regla creada Si la opción “Default Authenticate” (“Wireless” tab in “Interface -> wlan” screen) NO está escogida, clientes que no hagan match con la lista no se podrán conectar

171

MAC address filtering • Authentication le dirá al “securityprofile” del AP que determine si la conección sea aprovada. Si la opció no está escogida la autenticación fallará siempre. • Forwarding le dirá al AP que clientes pueden comunicarse entre sí sin la asistencia del mismo AP. (hace bypass de reglas de firewall que hayan sido creadas). Para mayor seguridad debes dejarlo sin escoger

172

MAC address filtering • AP Tx Limit restringe el data rate del AP hacia el cliente 

Si la configuración está puesta demasiado baja puede ocasionar desconecciones. Valida primero!

• Client TX Limit restringe el data rate del Cliente al AP  

Solo aplica en conexiones donde Cliente es RouterOS, ya que esto es propietario Nuevamente, valida primero para asegurarte el funcionamiento correcto.

173

MAC address filtering • Connect lists (en estación de cliente) asigna prioridades basado en potencia se señal y parámetors de seguridad que indicant a que AP el cliente puede conectarse.   

Reglas son verificadas secuencialmente Aplica solo a la primera regla Si la opción “Default Authenticate” (“Wireless” tab in “Interface -> wlan” screen) NO está escogidad y no hay match de regla connect-list, cliente intentará la conección en la mejor señal y parámetros de seguridad 174

MAC address filtering • Ejemplo : Esta estación o cliente no tiene SSID o Security profile definido, pero como hace match con un connect-list la conección fue establecida

175

MAC address filtering • Nota interesante: Si el campo de SSID (en station connect rule) está vacía, el cliente conectará a cualquier SSID que haga match con el Security profile. • La interface SSID también debe estar vacía!

176

MAC address filtering • Default-authentication : Especifica el comportammiento luego de verificar el acceso y el connect lists. Para APs, si está configurado “Yes”, permitirá conecciones si no hay un access-list, SSID y security profile. En otras palabras, no habrá conexiones permitidas.  Para stations o clientes, si está configurado “Yes”, si permitirá conección si no hay un match de connect-list, SSID y security profile. En otras palabras nuevamente, no habrá conexiones permitidas. 

177

MAC address filtering • Default-authentication  Si AP no

tiene access list y default-authenticate no está seleccionado, clientes nunca se conectarán  Si la estación o cliente no tiene un connect list y default-authenticate no está seleccionado nunca se conectará al AP.

178

MAC address filtering • Default-forwarding : Especifica el comportamiento de transmisión luego de validar el access lists. - Si está en “Yes”, permitirá comunicación en Layer 2 entre clientes. - Si está en “No”, clientes se comunicarán entre sí en Layer 3 si las reglas de Firewall lo permite.

179

Wireless security and encryption • WPA, WPA2  Wi-Fi

Protected Access (I and II)  Protocolo de autenticación creados luego de la debilidad encontrada en WEP  Si está correctamente configurado, WPA es muy seguro 



Debilidad a ataques de brute force fueron encontrados cuando se utiliza WPS (Wi-Fi Protected Setup) WPS no es utilizado por Mikrotik

180

Wireless security and encryption • WPA  Utilizado

para reemplazar WEP  Utiliza TKIP como protocolo de encripción 

Genera una llave por cada paquete nuevo transmitido

181

Wireless security and encryption • WPA2  Utiliza CCMP como protocolo de encripción  Basado en AES  Mas fuerte que TKIP  Es mandatorio en equipos certificados Wi-Fi desde el 2006.  Debe ser utilizado para lograr mayores data rates o de otra manera se limita a 54Mbps (http://www.intel.com/support/wireless/wlan/4965agn/sb/cs-025643.htm)

182

Wireless security and encryption • WPA-Personal  Conocido

también como WPA-PSK, está diseñado para SOHO u Hogar  No requiere servidor de autenticación  La autenticación de cliente a AP es basada en una llave de 256-bit key generada por el pre-shared key (PSK), el cual puede ser una contraseña, frase o ambos.

183

Wireless security and encryption • WPA-Enterprise  Conocido

también como modo WPA-802.1X mode, diseñado para redes empresariales  Utiliza EAP para autenticación  Requiere un servidor de RADIUS para la autenticación  Mas complejo para implementar, pero provee features adicionales tales como: proteción contra dictionary attacks en contraseñas débiles 184

Protocolos wireless MikroTik • NV2 (Nstreme Version 2)  Un

protocolo propietario de MikroTik ya en su 2nda version  Para ser utilizado con tarjeta wireless Atheros 802.11  Basada en TDMA (Time Division Multiple Access) en vez de CSMA (Carrier Sense Multiple Access)  Utilizado para mejorar funcionamiento en links de larga distancia.

185

Protocolos wireless MikroTik • Beneficios de NV2  Aumento

de velocidad  Soporta mas conecciones de clientes en ambientes mulitpoint (limite es de 511 clientes)  Menos latencia  No tiene limitación de distancia  No tiene penalidad por distancias largas

186

Herramientas de monitoreo • Hay varias herramientas que ayudarán analizar que hay presente en el aire y así puedes seleccionar la frecuencia que no tenga interferencia (o al menos la que menos que tenga)

187

Herramientas de monitoreo • Wireless scan : Dos opciones  Frequency

usage

 Scan

188

Herramientas de monitoreo • Wireless scan : Frequency Usage  Muestra toda las frecuencias soportadas y su utilización basado en los AP de los neighbors presentes  También desconecta clientes wireless que estén conectados!

189

Herramientas de monitoreo • Wireless scan : Scan  Provee

información acerca de los Neighbor APs  También desconecta clientes que estén conectados!

190

Herramientas de monitoreo • Snooper  Provee

información de ambos Clientes y APs presentes  Sucede lo mismo 

191

Monitoring tools • Snooper  Provee

información de ambos Clientes y Neighbor APs + información de los clientes

192

Herramientas de monitoreo • Registration table : Utilizado para obtener información de clientes estaciones (stations) conectadas.  Util

solo en access points.

193

Herramientas de monitoreo

194

Herramientas de monitoreo • Registration table  Podemos ver estatus actual de estaciones registradas  Nota : Comentarios que aparezcan encima de una estación registrada proviene del “Access List” tab. Util para verificar bajo cual criterio la estación o cliente fue autenticado

195

Bridging wireless networks • Station-bridge : Un modo propietario de MikroTik para crear un bridge Layer 2 entre routers MikroTik. • Puede ser utilizado para extender un subnet o segmento wireless a múltiples clientes.

196

YES!! Tiempo de laboratorio

Fin del módulo 4

197

Laboratorio • Metas del laboratorio  Utilizar

varias herramientas para analizar canales utilizados y características de redes wireless, APs y estaciones  Configurar los PODs como cliente wireless para contectar al AP del instructor  Configurar los PODs como APs  Familiarizarse con Access-list y Connection-List

198

Laboratorio : Setup

199

Laboratorio : Paso preliminar • DETENTE, STOP, NO RESPIRES!!!  Haz

un binary backup de la configuración actual con el nombre de: 

Module3-podX donde X es tu número de POD

 Ya

sabes hacerlo, verdad?  Que ventanas necesitas abrir?

200

Laboratorio : Paso 1 • Ejecuta uno despues del otro:  Frequency 

Usage

Anota los canales de mayor uso

 Scan 

Haz un link entre frecuencias y SSIDs

 Snooper  

Que puedes determinar de la red? Que significa los símbolos a mano izquierda?

201

Laboratorio : Paso 2 • Abre la ventana de “Bridge” y ve al tab de “Ports” • Utilizando los procedimientos aprendidos en los módulos anteriores, añade la interface “wlan1” al bridge “LAN”. • Cierra la ventaja de “Bridge”

202

Laboratorio: Paso 3 • Abre la ventana de “Wireless” y asegúrate que la interface “wlan1” esté habilitada.

203

Laboratorio: Paso 4 • Haz Double-click en “Interfaces” y ve a “Wireless”. También puedes ir directo a “Wireless” en el menú. Luego cliquea “Advanced Mode” y entra los siguientes parámetros:          

Mode : ap bridge Band : 2GHz-B/G/N Channel width : 20MHz Frequency : Odd pods use 2437, even pods use 2462 SSID : podX Wireless protocol : 802.11 Security Profile : default (recuerda solo haz esto en ambiente de prueba) Frequency Mode : Regulatory-domain Country : Default Authenticate is checked

204

Laboratorio: Paso 5 • Desconecta el cable entre tu laptop y el router. El cable entre tu router y el instructor debe permanecer. • Configura tu laptop para poder conectarse a tu router • Verifica conectividad hacia el router e Internet • Navega!

205

Laboratorio: Paso 6 • Haz un binary backup de la configuración actual bajo el nombre:  Module4a-podX

donde X es el número de tu POD

• En la ventana “File List” selecciona module3podX y haz un restore “Restore” • Escoge “yes” para reiniciar

206

Laboratorio: Paso 7 • Reconecta el cable a tu router • Desconecta el cable de tu router que conecta con el router del instructor • Ahora no debes tener acceso al internet

207

Laboratorio : Paso 8 Configuración Preliminar • IP address para WLAN1 

192.168.252.podX

• Habilita la interface wlan1 interface si se encuentra deshabilitada • Security profile Name : WPA2  Authentication types : WPA2 PSK  Unicast and group ciphers : aes ccm  WPA2 pre-shared key : mtcna123! 

208

Laboratorio : Paso 9 • Activa el tab de “Advanced Mode” en la interface de configuración “Wireless” • Necesitas conectarte al AP de la clase. Utiliza los siguientes parámetros el cual DEBEN ser compatible para poder conectar: - Mode : Station Band : 2GHz-only-N  SSID : WISP  Radio name : WISP-PODX  Wireless protocol : 802.11  Security profile : WPA2 

209

Laboratorio : Pas 10  Frequency

Mode : regulatory-domain  Country : Usualmente, seleccionas el país donde el AP será instalado.  Deje “Default Authenticate” seleccionado por ahora

• Cliquea OK, y selecciona el tab “Registration” en la ventana de “Wireless Tables” • Debes ver el registrado el AP del instructor. Si lo vez, estás conectado!  But

wait!!!

210

Laboratorio : Paso 11 • Antes que puedas navegar al hay que corregir el routing table  Redefine

el default gateway a: 192.168.252.254  Redefine la ruta de tu POD vecino LAN interface (192.168.Y.1) para que salga por 192.168.252.Y  Hazle Ping al LAN de tu POD vecino (192.168.Y.1) 

Resultado?

211

Fin de laboratorio 4

212

Network management

Módulo 5

213

ARP

214

ARP modes • Significa “Address Resolution Protocol” • Protocolo que une el IP (Layer 3) al MAC Adddress (Layer 2) • Usualmente es utilizado dinámicamente, pero puede ser configurado estáticamente en situaciones donde se requiera mayor seguridad.

215

ARP modes • “ARP modes” le indica a RouterOS de que manera se trabajará con ARP. 

Modes son configurados por interface

• Los “modes” son    

Enabled : Modo default. ARP requests son respondido y el ARP table se popula automáticamente. Disabled : La interface no enviará o responderá a ARP requests. A los demás se le DEBE indicar cual es el MAC address del router. Proxy ARP : El router responderá ARP request que venga de la red conectada diréctamente (no importando origen) Reply only : El router responderá ARP request. El ARP table hay que popularla estáticamente.

216

RouterOS ARP table • El ARP Table muestra todo los ARP entries y la interface de donde aprendió cada MAC • El ARP table provee:  El

IP address de equipos conocidos  Los MAC addresses asociados a cada IP address  Las interfaces de donde lo aprendieron

217

RouterOS ARP table • Para mayor seguridad puedes hacer entradas de ARP estáticamente para mayor seguridad  Protégé

de ARP poisoning / ARP spoofing  Requiere mucho esfuerzo y manejo

218

ARP syntax • Ver ARP table :  /ip

arp print

• Añadir una entrada estática:  /ip

arp add address=172.16.2.222 macaddress=11:22:33:44:55:66 interface=Bridge-PC

• Configurar ARP mode :  /interface

ethernet set ether04 arp=proxy-arp

219

DHCP server y client

220

DHCP server • Significa Dynamic Host Configuration Protocol • Es utilizado para provisionar IP address, netmask, default gateway y adicionalmente otros parámetros que sea requeridos o solicitados por equipos o nodos.

221

DHCP server setup • La interface que tiene configurado el DHCPserver debe tener su propio IP address que NO esté en el pool - Un pool es un rango de direcciones IP que utilizados para la disponibilidad de soliciten.

serán los equipos que

222

DHCP server setup • En la ventana de DHCP-server simplemente le das click a “DHCP Setup” y contesta las preguntas:  DHCP Server

Interface  DHCP Address Space  Gateway for DHCP Network  Addresses to Give Out  DNS Servers (more than one can be entered)  Lease Time

223

DHCP server setup • Que hace el setup automático:  Crea 

Un pool de IPs para asignar

 Crea 

el DHCP server

Su nombre y parámetros (tal como la interface donde aceptará solicitudes de dhcp)

 Crea 

un IP Pool

el address space

El IP Network y varios parámetros adicionales

224

DHCP server setup • Resultados de configuración automática

225

DHCP server setup • DHCP puede ser configurado con opciones tales como: 42 : NTP Servers  70 : POP3-Server  Visita http://www.iana.org/assignments/bootp-dhcpparameters/bootp-dhcp-parameters.xhtml para ver mas opciones. 

• Nota Importante 

Si haz creado un ambiente en bridge, El DHCP Server DEBE ser configurado a la interface Bridge. Si se configure en la interface física, el DHCP server no funcionará

226

DHCP server syntax • Configurar un DHCP scope  /ip

dhcp-server setup

• Configurar un DHCP option  /ip

dhcp-server option add name=46-node-type code=46 value=0x0008

227

DHCP server syntax • Asignar un DHCP option a la red  /ip

dhcp-server network print (to view available networks)  /ip dhcp-server network set dhcp-option=46-nodetype numbers=1

• Asignar un WINS server a la red  /ip

dhcp-server network set winsserver=172.16.2.100 numbers=1

228

Configuración DHCP server “Networks” • Ejemplo de configuración básica • Ejemplo de configuración expandida

229

DHCP client • Permite a las interfaces a solicitor direcciones IP 

El servidor remoto de DCHP suplirá:    



Address Mask Default gateway Two DNS servers (si ha sido configurado de tal manera)

El DHCP client suplirá opciones configurables:  

Hostname Clientid (en la forma de MAC address)

• Normalmente es utilizado en interfaces que conectan al internet.

230

DHCP client syntax • Para configurar una interface con DHCP-client  /ip

dhcp-client add interface=ether5 dhcpoptions=clientid,hostname

• Para ver y habilitar un DHCP client  /ip

dhcp-client print  /ip dhcp-client enable numbers=1

• Para ver la dirección recibida en el DHCP client  /ip

address print

231

Lease management • La sección "/ip dhcp-server lease" provee información acerca de los DHCP clients y leases • Muestra leases dinámicos y estáticos • Se puede cambiar un lease dinámico a no estático  Muy

util cuando unoo equipo necesita mantener el mismo IP address.  Alerta! Si cambias la tarjeta de red el IP cambiará debido al cambio de MAC address 232

Lease management • El DHCP Server puede ser configurado a proveer solo direccions estáticas • Clientes entonces solo reciben direcciones predefinidas • Evalua tus requerimientos antes de hacerlo de esta forma. Requerirá mucho manejo para una red mas grande.

233

Lease management syntax • Para ver DHCP leases /ip dhcp-server lease print  /ip dhcp-server lease print detail (gives more detailed information) 

• Para configurar un IP address estático en el DCHP server 

/ip dhcp-server lease make-static numbers=0

• Para modificar la entrada anterior 

/ip dhcp-server lease set address=192.168.3.100 numbers=0

234

RouterOS tools

235

E-mail • Herramienta que te permite enviar un correo • Puede ser utilizado junto a otras herramientas (tools) para enviar regularmente backups al administrador • Comando:  /tools

e-mail

236

E-mail, ejemplo • Configura el SMTP Server /tool e-mail set address=172.31.2.1 [email protected] last-status=succeeded password=never123! port=\ 587 start-tls=yes [email protected]

• Envia un archivo de configuracion via Email

/export file=export /tool e-mail send [email protected] subject="$[/system identity get name] export"\ body="$[/system clock get date] configuration file" file=export.rsc

237

Netwatch • Herramiento que te permite monitorear el estatus de equipos en el network • Para cada entrada, puedes especificar:  IP address  Ping

interval  Scripts de Up o Down

238

Netwatch • Es MUY útil..  Recibir

alertas de fallas en el network  Automatizar el cambio de default gateway, por ejemplo, en caso el router principal falle.  Para saber qué está arriba y abajo!  Cualquier otro que puedas configurar para simplificarte el trabajo (y te haga ver mas eficiente !)

239

Ping • Herramienta básica de conectiviad el cual utiliza mensajes ICMP Echo para determinar accesibilidad del host remoto y delay en el viaje ida y vuelta del paquete enviado • Una de las primeras herramients a ser utilizada en el troubleshooting. “Si da ping, está arriba (desde punto de vista en la red) • Utilízalo con otras herrramientas en combinación cuando estás haciendo troubleshooting. No es la herramienta mas eficaz pero con algo se debe comenzar. 240

Ping syntax • CLI [admin@MikroAC1] > ping www.mikrotik.com HOST SIZE TTL TIME

STATUS

159.148.147.196 56 50 163ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 160ms sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms max-rtt=163ms

 Debes

oprimir “CTRL-C” para detener el ping en el CLI de RouterOS

241

Traceroute • Utilizado para mostrar todo los routers que se atraviesa el paquete antes de llegar al destino • Indica el delay para alcanzar cada router en el camino hacia el destino final • Muy bueno para detectar una falla o punto de lentitud.

242

Traceroute • CLI  /tools

traceroute www.mikrotik.com

[admin@MikroAC1] > /tool traceroute www.mikrotik.com # ADDRESS LOSS SENT LAST 1

100%

AVG

BEST

WORST STD-DEV STATUS

3 timeout

2 216.113.124.190

0%

3

13.9ms

12.2

11.1

13.9

1.2

3 216.113.122.230

0%

3

9.6ms

9

7.5

9.8

1

4

100%

3 timeout

5 216.6.99.14

0%

3 114.4ms

114.7

113.6

116.2

1.1

6 80.231.130.121

0%

3 104.5ms

105.7

104.5

107.1

1.1

7 80.231.130.86

0%

3 103.2ms

107.5

103.2

115.4

5.6

8 80.231.154.70

0%

3 136.5ms

119

104.3

136.5

13.3

9 80.231.153.122

0%

3

113ms

110.7

106.4

113

3.1

10 195.219.50.38

0%

3 111.9ms

115

110.7

122.5

5.3

11 87.245.233.178

0%

3 140.7ms

159.6

135.7

202.4

30.3

12 87.245.242.94

0%

3

169ms

173

169

178.4

4

13 85.254.1.226

0%

3 173.3ms

168.4

164.6

173.3

3.6

243

Profiler (CPU load) • Herramienta que muestra la carga del CPU • Muestro los procesos y tu carga por individual • Nota : “idle” no es un proceso. Significa el porciento de carga que NO se está utilizando en el router

244

Profiler (CPU load) • CLI  /tool

profile

[admin@MikroAC1] > /tool profile NAME CPU console all flash all networking all radius all management all telnet all idle all profiling all unclassified all -- [Q quit|D dump|C-z continue]

USAGE 0% 0% 0% 0% 0.5% 0.5% 99% 0% 0%

• Para mas detalles acerca de procesos y lo que significan and favor visitar http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler 245

System identity • Aunque no es una herramienta, es importante para indentificar el router. No puedes administrar 100 routers que tengan el mismo nombre. Hace mas dificil el troubleshooting  Una vez configurado, hará la identificación de tu router sea mas simple. 

• Syntax /system identity print (show current name)  /system identity set name=my-router (sets the router's name) 

246

Contactando a MikroTik support

247

Supout.rif • Supout.rif es un archivo para el análisis (debugging) de RouterOS y ayuda a MikroTik a poder resolver problemas mas rápido • Syntax  CLI

: /system sup-output

248

Supout.rif • Una vez generado, el "supout.rif" lo podrás encontrar en “Files”

249

Supout.rif Viewer • Para accesar el "supout.rif viewer", necesitas entrar a tu cuenta de MikroTik.com 

Debes tener una cuenta

250

Supout.rif Viewer • Lo primero es localizar archivo que generaste en el router y cargarlo a la página • Comienza a navegar toda tu configuración • El view por default es “resource”

2

1

3

251

Autosupout.rif • Un archivo puede ser generado automáticamente cuando hay una falla de software (ej. kernel panic o si el Sistema no responde por 1 minuto) • Esto es ejecutado automáticamente con WatchDog (-> system)

252

System logging y debug logs • Logging es importante para asegurar un historial (permanente o no) de los eventos del router • La forma mas facil de ver los eventos es a través de “log” (Menu) • Por CLI es..  /log

print

253

System logging • Actions  Acciones

que el router ejecutará en un evento  Los Rules le dice al router que “action” tomará  Hay 5 tipos de “actions”, lo cual te permite flexibilidad

254

System logging • Actions, ejemplos [admin@MikroTik] > /system logging action print Flags: * - default # NAME TARGET REMOTE 0 1 2 3

* * * *

memory disk echo remote

memory disk echo remote 172.16.1.105

4

webproxy

remote 172.16.1.105

5

firewallJournal

remote 172.16.1.105

255

System logging • Rules Le indican al RouterOS que “action” tomar para un evento determinado (llamado “topic”)  Puedes tener mas de un “Rule” para el mismo “topic”, cada rule ejecutando un “action” diferente  Puedes tener un “rule” con uno o mas “topics”, ejecutando un “action”  Añadir “rules” es simple, escoges uno o mas “topics”, le asignas nombre al rule, y luego escoges un action. (Es por esto que se sugiere configures un action primero) 

256

System logging • Rules, ejemplos [admin@NINsys] > /system logging print Flags: X - disabled, I - invalid, * - default # TOPICS ACTION PREFIX 0 * info memory

INF

1

!firewall * error

memory

ERR

2

* warning

memory

WRN

3

* critical

memory

CRT

4

firewall

memory

FW

5

firewall

firewallJournal

FW

6

info

remote

INF

7

!firewall error

remote

ERR

257

System logging syntax • Ver rules 

/system logging print

• Ver actions 

/system logging action print

• Almacenar mensajes del firewall a un syslog server  

/system logging action add bsd-syslog=yes name=firewallJournal remote=172.16.1.105 srcaddress=10.5.5.5 syslog-facility=local5 target=remote

• Crear una regla de firewall para topics el cual utilizará la acción previa  

/system logging add action=firewallJournal prefix=FW topics=firewall

258

Donde son enviado los logs • Según indicado en “actions”, logs pueden ser enviados a 5 opciones distintas:  Disk

: Un disco externo en el router  Echo : La consola (Consola) del router (si está presente por serial)  Email : Una cuenta de email predefinida  Memory : La memoria interna del router (según visto en la ventana de “log”)  Remote : A un syslog server

259

Configuraciones Leibles • Alias “Que esté claro!” • Mala documentación es tu peor enemigo. Mantén tus configuraciones claras y leibles a través de commentarios, nombres y uniformidad Comentarios : Asignale una descripción  Nombres : Hazlo significativo  Uniformidad : Haz lo mismo en todo lo demás 

• Porque hacer todo esto? 

Por tu propio bién. En el camino te hará el trabajo mas facil y te hace mas eficiente! (nuevamente)

260

Configuraciones Leibles • Ejemplos

261

Diagramas del Network • Un buen diagrama es necesario! Aún si estás recién comenzando, tu network no siempre será pequeño • Identifica todo los componentes claves • Manténlo actualizado (donde fallamos casi todos) • Es una gran herramienta de troubleshooting. Utilízalo para identificar puntos de falla  Utilizando toda las herramientas repasadas en este modulo (ping, traceroute), anota posibles situaciones 

262

Diagramas del Network • Ejemplo   

Todo los puertos están marcados Equipos son identificados Número de revision está actualizado

263

Y continuamos con los laboratorios!!

Fin del módulo 5

264

Laboratorio • Metas del laboratorio  Practicar

conceptos de ARP repasados en el módulo  Añadir funcionabilidad DHCP (client y server) a tu router  Utilizar varias herramientas de troubleshooting

265

Laboratorio : Setup

266

Laboratorio : Paso 1 • Muestra las entradas de ARP de tu router  Identifica

cada entrada  Basado en el diagrama del lab, hace sentido? Compara con el Puerto donde el MAC fue aprendido

• Valida en que ARP mode están tus interfaces • Añade un MAC-Address falso como si hubiese sido aprendido desde el bridge “LAN”

267

Laboratorio: Paso 2 • Añade un DHCP client en la interface WLAN1 • Solicítale al instructor que haga una reservació estática en su DCHP server. El dígito final del IP debe ser el de tu POD • Proveele al el MAC-Address de tu interface WLAN ya que aún no se han identificado los routers • Elimina tu IP estática que tenias previa • Renueva tu ip del DHCP client • Cual IP obtuviste?

268

Laboratorio : Paso 3 • Cleanup  Cuando

configuraste el DHCP cliente la opción “Add default route” estaba en “yes”. Esto significa que el DHCP Client recibe un default route (ruta cero)  Muestra tus rutas. Que vez en el default route?  Que debes hacer para limpiar la tabla de rutas (Routing table)?

269

Laboratorio : Paso 4 • Configura un DHCP para la computadora conectada en el bridge “LAN” • Asegura que la configuración..  

Asigne dirección IP Que el DNS sea el mismo que tu gateway (o sea tu router)

Reconfigura tu computadora para recibir ip dinámica.  Configura tu router para que siempre asigne el IP .20X (X es tu POD)  Que debes hacer para lograrlo? 

270

Laboratorio : Paso 5 • Cleanup  Añade

un comment a tu IP estática para indicar para que es la reservación.  En el tab de DCHP en el DHCP Server, asígnale un nombre (el default es dhcp1)

271

Laboratorio : Paso 6 • E-mail setup  Configura

el e-mail para permitir envío a un email personal 

Puedes utilizar el que desees

 Prueba

el envío con la opción “Test Email”

272

Laboratorio : Paso 7 • Netwatch  Utiliza

esta herramienta para monitorear un equipo provisto por el instructor  Para agilizar el tiempo, configura intérvalo de monitoreo a 30 segundos.

273

Laboratorio : Paso 8 • Netwatch 

Utiliza estos scripts (Copy & Paste):

Up /tool e-mail send to="" subject="$[/system identity get name] Netwatch status" \ body="$[/system clock get date] $[/system clock get time] Node up."

Down 1

3

/tool e-mail send to=“" subject="$[/system2identity get name] Netwatch status" \ body="$[/system clock get date] $[/system clock get time] Node down."

274

Laboratorio : Paso 9 • Netwatch  Deshabilita

el equipo de prueba. Verifica si recibes un e-mail indicando el cambio de estatus. Debe llegar un correo similar..

275

Laboratorio : Paso 10 • Ping  Utiliza

la herramienta de ping para validar que el equipo de prueba responde paquetes ICMP echo packets. Hazlo también por CLI

• Traceroute  Utiliza

la herramienta para verificar que hay de por medi entre tu router y el equipo de prueba. Compáralo con el diagrama del lab. Hazlo también por CLI

276

Laboratorio : Paso 11 • Profiler  Ejecuta

el profiler y verifica los procesos corrriendo en tu router.  Que significa el porcentaje mayor? 

Sortélo en la columna “usage”

277

Laboratorio : Paso 12 • Supout.rif  Crea

un archivo supout.rif. Donde lo almacenó?  Cárgalo a tu cuenta de MikroTik.com y navega las distintas áreas.

Nota importante: Si no tienes una cuenta en MikroTik.com, favor crearla ahora ya que será necesaria para la toma del examen a final de curso.

278

Laboratorio : Paso 13 • Logging  Crea 

Type is “memory”

 Crea  

un “action”: un “rule”:

topics “e-mail” y “debug” Action “action1”

 Abre

la ventaja de “log”  Regresa a la herramienta de e-mail y envía un correo de prueba. Que se muestra en el log?

279

Laboratorio : Paso 14 • Cleaning  Ve

al a ventana de logging, actions tab y renombra “action1” a “E-mail-Debug”  Que sucedió? Renombra “action1” a “EmailDebug”  Regresa al tabe de rules. Que notas de la entrada “email, debug”?

• Haz un binary backup de tu configuración con la misma estructura de nombre del modulo anterior (module5-podX)

280

Laboratorio : Paso 15 • Por último, renombra tu router para que muestre:  El

nombre de tu Pod  La primera letra mayúscula

• Crea 2 backups con nombre Module5-Podx  Uno

debe ser binary backup  El Segundo export backup

281

Fin del laboratorio 5

282

Firewall

Módulo 6

283

Firewall Principles

284

Firewall principles • Un Firewall es un servicio que permite o bloquea paquetes de data que se transmiten basado en reglas. • El Firewall simula una pared entre 2 redes • Un ejemplo común es tu LAN (trusted) y el internet (not trusted).

285

Firewall principles Como funciona el Firewall • Opera utilizando reglas. Estas están divididas en 2 partes:  The matcher : Las condiciones que se requieren para hacer “match”  The Action : Que sucederá una vez tenga “match” • Para hacer “match” se revisa lo siguiente:  Source MAC address  IP addresses (network o lista) y address types (broadcast, local, multicast, unicast)  Puerto o Rango de puertos  Protocolo  Opciones de Protocol (ICMP type y code fields, TCP flags, IP options)  La interface a donde llega o sale el paquete  DSCP byte  Y más…

286

Packet flows • MikroTik creó los diagramas para lograr hacer configuraciones mas complicadas • Es bueno familiarizarse con estos para saber que está sucediendo con los paquetes y en que orden. • Para este curso, lo mantenremos simple!

287

Packet flows • Overall diagrams

288

289

Packet flows

290

Packet flows, ejemplo • Complicado? Bienvenido al club! • Este próximo ejemplo nos puede ayudar a ilustrar un simple flow de paquetes: Haciendole PING (nodo no existente) a la interface LAN de un router a través de la interface WAN. IP del nodo hacienda ping: 172.16.2.100  IP del nodo recibiendo ping: 192.168.3.2  IP del WAN del router (ether1) : 192.168.0.3 

291

Packet flows, ejemplo Pinging ===PREROUTING=== Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100>192.168.3.2, len 60 ===FORWARD=== Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100>192.168.3.2, len 60

Reply out

===OUTPUT=== Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 ===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88

292

Packet flows, ejemplo explicado /ip firewall filter add action=log chain=input log-prefix=Filter-input protocol=icmp add action=log chain=output log-prefix=Filter-output protocol=icmp add action=log chain=forward log-prefix=Filter-forward protocol=icmp /ip firewall mangle add action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp add action=log chain=output log-prefix=Mangle-output protocol=icmp add action=log chain=input log-prefix=Mangle-input protocol=icmp add action=log chain=forward log-prefix=Mangle-forward protocol=icmp add action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp /ip firewall nat add action=log chain=srcnat log-prefix=srcnat protocol=icmp add action=log chain=dstnat log-prefix=dstnat protocol=icmp

293

Connection tracking y states • Connection tracking maneja la información acerca de toda las conecciones. • Antes de crear filtros de firewall (o reglas), es bueno saber que tipo de tráfico atraviesa tu router. El connection tracking se encarga de esto.

Flags: S - seen reply, A - assured # PROTOCOL SRC-ADDRESS 0 SA tcp 172.16.2.140:52010 1 ospf 172.16.0.6 2 SA tcp 172.16.2.100:49164 3 SA tcp 172.16.2.122:61739 4 SA tcp 172.16.2.130:58171 5 SA gre 172.16.0.254 6 SA udp 172.16.0.254:4569 7 SA tcp 172.16.2.130:58174 8 SA tcp 172.16.2.140:52032 9 SA tcp 172.16.2.107:47318 10 SA tcp 172.16.2.102:57632 11 ospf 172.16.0.5 12 SA tcp 172.16.2.102:56774 13 SA tcp 172.16.2.102:56960 14 SA tcp 172.16.0.254:37467 15 SA tcp 172.16.2.107:39374

DST-ADDRESS 17.172.232.126:5223 224.0.0.5 172.16.9.254:445 206.53.159.211:443 17.149.36.108:443 172.16.0.1 209.217.98.158:4569 173.252.103.16:443 69.171.235.48:443 173.252.79.23:443 173.252.102.241:443 224.0.0.5 65.54.167.16:12350 173.194.76.125:5222 172.16.0.1:1723 79.125.114.47:5223

TCP-STATE TIMEOUT established 23h42m6s 5m49s established 23h42m51s established 23h44m8s established 23h43m41s 4h44m11s 13m9s established 23h42m40s established 23h43m27s established 23h43m26s established 23h44m15s 5m49s established 23h35m28s established 23h43m57s established 4h44m11s established 23h29m1s

294

Connection tracking y states • Si deshabilitas tracking por alguna razón, los siguientes features dejarán de funcionar: NAT  Firewall connection-bytes - connection-mark connection-type - connection-state connection-limit - connection-rate - layer7-protocol - p2p - new-connection-mark - tarpit  p2p matching in simple queues 

• Por tal razón antes de deshabilitarlo asegúrase tener muy claro las razones y el propósito!

295

Connection tracking y states Los Connection states son:

(asumiendo cliente-A estáinicializando una conección hacia

cliente-B):

Established Una sesión TCP session hacia el host remoto es establecida, proveyendo un “open connection” donde la data puede ser intercambiada Time-wait Tiempo esperado para asegurarse que el host remoto a recibido un “connection termination request (after “close”) de su connecion Close Representa la espera para un “connection termination request” del host remoto Syn-sent Cliente-A esperando por un “matching connection request” luego que ha enviado uno Syn-received Cliente-B esperando por un confirming connection request acknowledgement luego de haber enviado y recibido el connection request

296

Connection tracking y states • El uso del connection tracking permite también el tracking de conecciones UDP aunque UDP es “stateless”. Siendo así, el firewall de MikroTik's puede filtrar “UDP "states".

297

Structure : chains y actions • Un chain es un agrupamiento de reglas basadas en el mismo criterio. Hay 3 distintos tipos de chain predefinidos por RouterOS basados en el mismo criterio:  Input : Tráfico que va hacia el router  Forward : Tráfico que atraviesa el router  Output : Tráfico que es originado desde el router • Puedes tener chains creados basados en tus propios criterios. Por ejemplo :  

Todo tráfico icmp Tráfico que llegue desde la interface Ether2 y con destino al bridge “LAN”.

• Chains definidos por usuario son creados cuando seleccionas “matchers” y seleccionas “action -> jump”. Le asignas un nombre en el campo “jump target”. 

Luego de esto, puedes comenzar a crear reglas utlizando este Nuevo “Chain” seleccionándolo en el campo “chain” cuando creas la regla nueva de firewall.

298

Structure : chains y actions • Un “action” dicta que hará el filtro cuando hay un “match” de paquetes. • Paquetes son verificados secuencialmente contra cualquier regla que exista en el chain del firewall hasta que ocurra un “match”. Cuando lo encuentra, la regla se aplica. • Ciertos “actions” requiere que paquetes sean menos o mas procesados por otras reglas. • Otros “actions” pueden demandar que un paquete sea procesado en otro “chain”. Lo veremos mas adelante.

299

Firewall filters en acción

300

Filosofía básica de seguridad • Puedes aplicar seguridad de varias maneras:  Confiamos

en el interior de la red, las reglas solo afectará lo que venga de afuera  Bloqueamos todo y decidimos que permitir.  Permitimos todo y bloqueamos lo que es problemático.

301

Tips y sugerencias básicas • Antes de configurar y cambiar reglas activa "safe mode". • Luego de configurar o cambiar reglas, valida utilizando herramientas. Ejemplo: ShieldsUP (https://www.grc.com/x/ne.dll?bh0bkyd2)  Provee reporte de debilidad o vulnerabilidad

302

Tips y sugerencias básicas • Antes que comiences, establece una política. • Escribe en tu propio lenguaje las reglas básicas que requieres establecer 

Luego que las entiendas y estes de acuerdo; las configuras en tu router

• Añade reglas de firewall progresivamente luego que ya estés de acuerdo con las básicas. 



Si eres nuevo en la seguridad, no te ayudará comenzar a configurar en toda las direcciones (disparar de la vaqueta!) Haz lo básico, pero hazlo bién. Solo, no demores en añadir las demás reglas porque una cosa es hacerlo bién y otro tema es abrir vulnerabilidades por el hecho de que quieres validar primero las reglas básicas.

303

Tips y sugerencias básicas • Es una buena idea finalizar tus “chains” con una regla “catch-all” y así poder ver que dejaste. • Necesitarás 2 reglas "catch-all", una para hacer "log" y la otra para hacer "drop" de tráfico que no haga match con la regla. Ambas reglas tiene que ser basadas en los mismos “matcher” para que te puedan ser útil. • Una vez logras ver que llega a las reglas de "catch-all", puedes añadir reglas en el firewall para que manipulen estos paquetes a tu manerja.

304

Filter Matchers • Antes de poder aplicarle "action" a un paquete el mismo tiene que ser identificado primero. • Son varios “Matchers”!

305

Filter actions • Una vez un paquete ha sido aplicado a una regla, un action le será asignado • Los firewalls de MikroTik tiene 10 “actions”. Accept Accept the packet. Packet is not passed to next firewall rule. Add-dst-to-address-list Add destination address to address list specified by address-list parameter. Packet is passed to next firewall rule. Add-src-to-address-list Add source address to address list specified by address-list parameter. Packet is passed to next firewall rule. Drop Silently drop the packet. Packet is not passed to next firewall rule. Jump Jump to the user defined chain specified by the value of jump-target parameter. Packet is passed to next firewall rule (in the user-defined chain). Log Add a message to the system log containing following data: in-interface, out-interface, src-mac, protocol, srcip:port->dst-ip:port and length of the packet. Packet is passed to next firewall rule. Passthrough Ignore this rule and go to next one (useful for statistics). Reject Drop the packet and send an ICMP reject message. Packet is not passed to next firewall rule. Return Pass control back to the chain from where the jump took place. Packet is passed to next firewall rule (in originating chain, if there was no previous match to stop packet analysis). Tarpit Capture and hold TCP connections (replies with SYN/ACK to the inbound TCP SYN packet). Packet is not passed to next firewall rule.

306

Protegiendo tu router (input) • El input mira el tráfico dirigido hacia el router. • La reglas que añadas en el input ayudan a prevenir ataques de hackers o accesos no gratos que deseen alcanzar tu router sin detener el trabajo de tu router.

307

Protegiendo tu router (ejemplo) • Lo siguiente son sugerencias!  Asumamos que Ether01 está conectado al WAN (no confiable) y estamos aplicando el método de seguridad “Confia en todo lo interno". 





  

Acepta ICMP Echo replies (Deseas hacerle ping a un servidor en el internet y quieres recibir respuesta!) Drop icmp echo requests (No deseas que otros te hagan ping. Quedarte por debajo del radar!) Acept todo lo "established" y "related" en tráfico input (Deseas que se responda a todo lo que el router pida como, como NTP and DNS) Drop all "invalid" input traffic (Todo lo que el router recibió que no haya solicitado) Log the rest of input traffic (Dejé algo importante?) Drop the rest of input traffic (Quiero estar seguro!)

308

Protegiendo tus clientes (forward) • Según mencionado, el forward chain mira el tráfico que a traviesa el router. • Las que añadas en el Forward chain debe prevenir el ataque de hackers a tu red interna sin detener el trabajo del router.

309

Protegiendo tus clientes (ejemplo) • Lo siguiente son sugerencias!  Nuevamente, asumiendo que el ether01 está conectado al WAN (no confiable) y estamos utilizando el método “Confia en todo lo interno” : 



 

Accept all "established" y "related" forward traffic (Quieres respuesta a tu red de todo lo que se solicite como HTTP, DNS, ect.) Drop all "invalid" forward traffic (Todo aquello que recibas el cual no solicitaste) Log the rest of forward traffic (Dejé algo?) Drop the rest of forward traffic (Quiero estar seguro!)

310

Como se vería..

311

Firewall filter (rule) syntax • Ver reglas o filtros existentes  

/ip firewall filter print (mas claro para leer) /ip firewall filter export (todo el syntax)

• Crea varias reglas (desde /ip firewall filter)     

add chain=input comment="Established-Related (in)" connectionstate=established in-interface=ether01 add chain=forward comment="Established-Related (fwd)" connectionstate=established in-interface=ether01 add action=log chain=input comment="===CATCH-ALL==" ininterface=ether01 log-prefix="CATCH-ALL(in)" add action=drop chain=input in-interface=ether01 add action=add-dst-to-address-list address-list=temp-list address-listtimeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24

312

Basic address-list

313

Basic address-list • Address lists son grupos de IPs • Se utilizan para simplificar reglas Por ejemplo, puedes crear 100 reglas para bloquear 100 IP, o!!  Puedes crear un grupo con 100 IP solo crear una regla. 

• Los grupos (address lists) pueden representar IT Admins con accesos especiales  Hackers  Cualquier otra cosa que se te ocurra… 

314

Basic address-list • Puede ser utilizados en firewall filters, mangle y NAT. • La configuración de address lists puede ser automatizada utilizando los actions add-src-toaddress-list o add-dst-to-address-list en reglas de firewall, mangle o NAT. Es una manera excelente de bloquear IPs sin tener que entrarlos uno por uno  Ejemplo : add action=add-src-to-address-list addresslist=BLACKLIST chain=input comment=psd ininterface=ether1-Internet psd=21,3s,3,1 

315

Address list syntax • Ver address list existentes 

/ip firewall address-list print

• Crear un address list permanente 

/ip firewall address-list add address=1.2.3.4 list=hackers

• Crear un address list utilizando una regla 

 

/ip firewall filter add action=add-dst-to-address-list address-list=temp-list address-list-timeout=3d1h1m1s chain=input protocol=tcp srcaddress=172.16.2.0/24 /ip firewall nat add action=add-src-to-address-list address-list=NAT-AL chain=srcnat /ip firewall mangle add action=add-dst-to-address-list address-list=DSTAL address-list-timeout=10m chain=prerouting protocol=tcp

316

Source NAT

317

NAT • Network Address Translation (NAT) permite utilizar un set de IP en el LAN y otro grupo de IPs en el lado del WAN . • Source NAT traduce direcciones IP (en el LAN) a direcciones IP públicas cuando se accede al internet. Lo mismo sucede cuando el tráfico viene del internet. A veces se le conoce como “ocultar o esconder" (tu red) detrás del IP provisto por el ISP.

318

Masquerade y src-nat action • El primer chain para NATing es "srcnat". Es utilizado para todo tráfico que sale del router. • Muy parecido a reglas de firewall, reglas de NAT tiene muchas propiedades y acciones (13 actions!). • La primera regla básica de NAT, solo utiliza el action de "masquerade. • Masquerade reemplaza el source IP en los paquetes determinado por el funcionamiento de routing. 

Típicamente, el source IP de los paquete.s que van hacia el internet serán reemplazadas por el IP del WAN. Esto es requerido para el tráfico que regresa para así poder llegar al IP de donde fue originado.

319

Masquerade y src-nat action • El action de "src-nat" cambia el source IP y puerto de los paquetes a quellos asignados por el administrador de red  Ejemplo

básico: 2 compañías (Alpha y Omega) se han unido y ambos utilizan el mismo direccionamiento de IP interno (ex. 172.16.0.0/16). Ellos van a utilizar un segmento totalmente distinto para unirlos. Ambos requerirán reglas src-nat y dstnat 320

Destination NAT

321

Dst-nat y redirection action • "Dst-nat" es un action utilizado con dstnat para redirigir tráfico entrante a un IP o Puerto distinto. - Ejemplo: Utilizando el ejemplo anterior de Alpha y Omega vemos que reglas dst-nat serán requeridas para convertir el IP de un lado

322

Dst-nat y redirection action • "Redirect" cambia el Puerto de destino a uno que se especifique en "to-ports" en el router  Ejemplo:

Todo tráfico http (TCP, port 80) va a ser enviado al servicio de web proxy en el Puerto TCP 8080.

323

NAT Syntax • Source NAT (from /ip firewall nat) 

Añadir la regla de “masquerade” 



add action=masquerade chain=srcnat

Cambiar el Source IP address 

add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200

• Destination NAT 

Redirigir todo tráfico http (TCP, port 80) al servicio de web proxy en el router TCP 8080  add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080

324

Hora del Lab!!

Fin del módulo 6

325

Laboratorio • Metas del lab  Configurar

reglas básicas de Firewall  Configurar un address-list  Aplicar reglas de source NAT rules y ponerlas a prueba  Aplicar reglas destination NAT y ponerlas a prueba

326

Laboratory : Setup

327

Laboratorio : Paso 1 • Antes de comenzar con reglas de Firewall, haremos prueba con una regla de NAT: Masquerading 

   

Verifica en tu configuración si ya tienes una regla de NAT “masquerade”. Crea una si no la tienes pero déjala DESHABILITADA. Si ya la tienes asegúrate que esté apagada. Ejecuta WinBox y conéctate al POD de un compañero. En la sección IP FIREWALL CONNECTION, revisa las conecciones activas. Que vez? Configura la opción que permite hacer “track” de las conecciones. Verifica los resultados. HABILITA la regla de NAT Masquerade y nuevamente verifica el connection tracking

328

Laboratorio : Paso 2 • Ahora para hacerlo interesante configuremos reglas de firewall. Aplica las siguientes reglas al tráfico entrante en la interface WAN. Accept icmp echo replies  Drop icmp echo requests  Accept all "established" and "related" input and forward traffic  Drop all "invalid" input and forward traffic  Log the rest of input and forward traffic  Drop the rest of input and forward traffic  Add meaningful comments to all rules.  Do the same for the "log" rules' prefixes. 

329

Laboratorio : Paso 3 • Ahora que tienes reglas, verifica tus logs. Mira los mensajes y el formato • Viendo lo que muestra ahora, crees que hacer troubleshooting de conecciones sería mas fácil ahora?

330

Laboratorio: Paso 4 • Crea address list que represente cada POD • Utiliza el siguiente formato:  Name

: Pod1  Address : of the LAN  Name : Pod1  Address : of the WAN interface

• Hazlo para todo, también el tuyo

331

Laboratory : step 5 • Pods should be matched in pairs for the following tests • Close your WinBox window and reopen it, connecting to your peer pod. What's happening? • With one filter rule ONLY, allow all IP addresses from you peer pod to connect to your router with WinBox (TCP, 8291) Make sure that it's in the right spot so that it works  And DON'T forget comments! 

332

Laboratorio : Paso 6 • Para validar funcionamiento de Port Redirection, tenemos que hacer un pequeño cambio en los IP SERVICES de tu router.  En

la sección de IP Services section, cambia el puerto de WinBox a 8111.

333

Laboratorio : Paso 7 • Cierra y abre nuevamente el WinBox sin añadir ningún character adicional. Resultados? • Entra al router con WinBox en el puerto 8111. • Crea una regla de dst-nat con redirect action al puerto 8111 en todo tráfico TCP 8291. • Cierra y abre nuevamente el WinBox sin el puerto luego del IP. Funciona? • Entra al router del POD de tu vecino. Que sucede?

334

Laboratorio : Paso 8 • Regresa la configurión del Puerto de WinBox en IP SERVICES a 8291. • Deshabilita (no borres) la regla de dstnat "redirect". • Cierra WinBox y valida que puedas entrar a tu router y el de tu vecino normalmente.

335

Laboratorio : Paso 9 • Crea una regla dst-nat rule con un redirection action al Puerto 8291 a todo tráfico TCP 1313 que entre por el Puerto de WAN. • Abre WinBox y entra a tu router utilizando Puerto 1313. • Abre WinBox y entra al router de tu vecino utilizando Puerto 1313. • Resultados?

336

Laboratorio : Paso 10 • Haz un export backup y un binary backup bajo el nombre module6-podX (x = tu POD).

337

Fin del Laboratorio 6

338

QoS

Módulo 7

339

Simple queue

340

Introducción • QoS (quality of service) es el arte de manejar recursos de ancho de banda en vez de simplemente limitar ancho de banda a ciertos nodos. • QoS puede darle prioridad a tráfico basado en métricas. Bueno para:  Aplicaciones

Críticas  Tráfico sensible tales como video y voz.

341

Introducción • Simple queues son eso mismo… simples… formas de limitar ancho de banda a:  Upload

de clientes  Download de clientes  Agregación de clientes (download y upload)

342

Target • Target a quién el simple queue es aplicado • Un target DEBE ser especificado. Puede ser:  Un

IP address  Un subnet  Una interface

• El orden de los Queue ES importante. Cada paquete tiene que atravesar cada simple queue hasta que ocurra un match.

343

Destinations • IP address a donde el tráfico dirigido o, • Interface por donde fluirá el tráfico del destino. • No es compulsorio como lo es el campo de “Target”. • Puede ser utilizado para limitar las restricciones de los queue.

344

Max-limit and limit-at • El parámetro "max-limit" es el máximo data rate que un target puede alcanzar Visto como MIR (maximum information rate)  “En el mejor de los casos”

• El parámetro "limit-at" es una garantía minima de data rate para el target definido Visto como CIR (committed information rate)  “En el peor de los casos” 

345

Bursting • Bursting permite a usuarios obtener mayor bandwidth que lo configurado en “max-limit, pero solo por un período corto. • Util para impulsar tráfico que no utiliza ancho de banda frecuentemente. Por ejemplo, HTTP. Descarga una página mas rápido por unos segundos.

346

Bursting • Definitions. Burst-limit : Maximum data rate while burst is allowed. (mientras burst es permitido)  Burst-time : Time, in seconds, over which the sampling is made. It is NOT the period during which traffic will burst. (tiempo en segs. donde es verificado para ejecutar el burst)  Burst-threshold : The value that will determine if a user will be permitted to burst (define si el usario podrá hacer burst)  Average-rate : An average of data transmission calculated in 1/16th parts of "burst-time".  Actual-rate : Current (real) rate of data transfer. 

347

Bursting • Como funciona.   

Bursting es permitido mientras average-rate se quede por debajo del burst-threshold. Bursting será limitado al rate especificado por burst-limit. Average-rate es calculando 16 samples o pruebas (averaging) en los segundos de burst-time  



Si burst-time es 16 segundos, entonces un sample es tomado cada segundo Si burst-time es 8 seconds, entonces un sample es tomado cada ½ segundo. Y así sucesivamente…

When bursting starts, it will be allowed for longest-burst-time seconds, which is 

(burst-threshold X burst-time) / burst-limit.

348

Bursting

Con un burst-time de 16 segundos

349

Bursting

Con un burst-time de 8 segundos

350

Syntax • Un Simple Queue 

add max-limit=2M/2M name=queue1 target=192.168.3.0/24

• El mismo Simple Queue pero con Burst add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s limit-at=\ 1M/1M max-limit=2M/2M name=queue1 target=192.168.3.0/24



351

Tip • Si te fijas, los iconos de cada Queue cambian de color de acuerdo a la utilización que está teniendo cada uno.  Green

: 0 – 50% del ancho de banda utilizado  Yellow : 51 – 75% del ancho de banda utilizado  Red : 76 – 100% del ancho de banda utilizado

352

Un Simple queue para toda la red (PCQ) 353

Porque tener un Queue para todo? • Per Connection Queue (PCQ) es una forma dinámica de darle forma al tráfico para múltipes usuarios utilizando una configuración más simple. • Define parámetros, luego cada sub-stream (Direcciones IP por ejemplo) tendrá las mismas limitaciones.

354

Configuración de Pcq-rate • El parámetro de pcq-rate limita el data rate permitido por el Queue Type. • Classifier es lo que el router verifica para ver como aplica la limitación. Puede ser un IP address o Puerto source o destino. Puedes también limitar por el tipo de tráfico (HTTP for example).

355

Configuración Pcq-limit • Este parámetro es medido en paquetes. • Un valor de pcq-limit alto Creará un buffer mayor, reduciendo la pérdidad de paquetes  Aumentará la latencia 

• Un valor de pcq-limit pequeño Aumentará la pérdida de paquetes (ya que buffer es mas pequeño) y forzará al source a reenviar el paquete reduciendo la latencia.  Hará un cambio en el TCP Windows solicitándole al source que reduzca el rate de transmission. 

356

Configuración Pcq-limit • Que valor utilizar? No hay una respuesta sencilla. Siempre comienza con "Trial & Error" por aplicación  Si usuarios se quejan de latencia, reduce el valor de pcq-limit (queue length)  Si los paquetes tienen que transitar a través de una configuración de firewall compleja, tal vez tengas que incrementar el queue length ya que puede crear delays  Interfaces más rápidas (como Gigabit) requiere Queues mas pequeños ya que en estas se reducen los delays. 

357

PCQ, ejemplo • Supongamos que tenemos usuarios compartiendo un WAN link limitado. Le vamos a asignar los siguientes data rates:  Download

: 2Mbps  Upload : 1Mbps

• WAN está en la interface Ether1 • El subnet del LAN es 192.168.3.0/24

358

PCQ, ejemplo /ip firewall mangle add action=mark-packet chain=forward new-packet-mark=client_upload \ out-interface=ether1 src-address=192.168.3.0/24 add action=mark-packet chain=forward dst-address=192.168.3.0/24 \ in-interface=ether1 new-packet-mark=client_download /queue type add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M /queue tree add name=queue_upload packet-mark=client_upload parent=global queue=\ PCQ_upload add name=queue_download packet-mark=client_download parent=global queue=\ PCQ_download

359

Ejemplo explicado • Mangle : Le estamos diciendo al router que marque los paquetes con la marca "client_upload" ó "client_download", dependiendo si:  

Los paquetes provienen del LAN y salen por el ether1 (upload) ó, Paquetes están entrando por el ether1 y saliendo por el LAN (download).

• Queue types : Aqui definimos los data rates y classifiers 2 sub-streams distintos (source or destination). • Queue tree : Las combinaciones son verificadas para validar si los paquetes cualifican para traffic shaping y que aplicarle. Por ejemplo, en el caso de tráfico upload, verificamos interfaces input y output (global) para paquetes con el marcado "client_upload" y le aplicamos el queue type de "PCQ_upload" queue type.

360

Monitoreo

361

Interface traffic monitor • La herramienta de traffic monitor es utilizada para ejecutar scripts cuando el tráfico de una interface alcanza un nivel específico (threshold) Ejemplo /tool traffic-monitor add interface=ether1 name=TrafficMon1 on-event=script1 threshold=1500000 \ traffic=received /system script add name=script1 policy=ftp,read,test,winbox,api source="/tool e-mail send to=\"\ [email protected]\" subject=([/system identity get name] . \" Log \ \" . [/system clock get date]) body=\"Hello World. You're going too fast!\""

362

Torch • Torch es una herramienta de monitoreo en vivo (real-time) el cual puede ser utilizada para monitorear tráfico dirigiéndose a una interface específica. • Por CLI es BIEN flexible, por WinBox es intuitive.

363

Torch, CLI [admin@Pod3] /tool> torch interface=ether2 port=winbox SRC-PORT 53217

DST-PORT 8291 (winbox)

[admin@Pod3] /tool> torch interface=ether2 port=any SRC-PORT DST-PORT PACK 53217 8291 (winbox)

TX 12.0kbps 12.0kbps

RX TX-PACKETS RX-PACKETS 4.7kbps 7 6 4.7kbps 7 6 TX

RX TX-PACKETS RX-

15.2kbps

5.1kbps

7

728bps

600bps

1

92.8kbps

5.3kbps

12

744bps

616bps

1

62414

53 (dns)

53538

80 (http)

62437

53 (dns)

53540

80 (http)

182.2kbps

8.4kbps

18

53541

80 (http)

191.1kbps

8.6kbps

19

59150

53 (dns)

760bps

632bps

1

53542

80 (http)

112.9kbps

7.0kbps

12

53543

443 (https)

34.8kbps

6.3kbps

6

53544

80 (http)

860.4kbps

20.0kbps

73

53545

80 (http)

4.5kbps

5.6kbps

4

53546

80 (http)

122.0kbps

6.3kbps

12

53547

80 (http)

122.0kbps

5.8kbps

12

65144

53 (dns)

1064bps

608bps

1

53548

80 (http)

1392bps

5.7kbps

3

1743.1kbps

87.0kbps

182

For fun, try this [admin@Pod3] /tool> torch interface=ether2 port=

364

Torch, Winbox

365

Graphs • Graphing es una herramienta utilizada para monitorear varios parámetros de RouterOS en un lapso de tiempo específico y colocar la data colectada en gráficas. • Los siguientes parámetros pueden ser colectados.    

Voltage and temperature CPU, memory and disk usage Interface traffic Queue traffic

• Graphs puede ser accedido entrand a http:///graphs

366

Graphs Primeros pasos. [admin@Pod3] /tool graphing> set store-every=5min page-refresh=300 [admin@Pod3] /tool graphing> print store-every: 5min page-refresh: 300 [admin@Pod3] /tool graphing>

Luego añadimos los valores para las gráficas [admin@Pod3] /tool graphing> interface add allow-address=0.0.0.0/0 interface=all [admin@Pod3] /tool graphing> queue add allow-address=0.0.0.0/0 simple-queue=test-queue1 [admin@Pod3] /tool graphing> resource add allow-address=0.0.0.0/0

367

Graphs

368

SNMP • SNMP, Simple Network Management Protocol, es un protocol estandar utilizados para manejar equipos IP en una red. • Muchas herramientos, tanto open source como comercial, está disponibles para trabajar con SNMP y automatizar trabajos. • Como todo, la configuración debe ser planificada ya que este protocolo es propenso a ataques.

369

SNMP Primeros pasos.. [admin@Pod3] /snmp> set enabled=yes [admin@Pod3] /snmp> set contact=YOU [admin@Pod3] /snmp> set location=OFFICE [admin@Pod3] /snmp> print enabled: yes contact: YOU location: OFFICE engine-id: trap-target: trap-community: (unknown) trap-version: 1 trap-generators: [admin@Pod3] /snmp>

370

SNMP • Hay que prestarle atención a los “Communities”. • Los mismos dictan privilegios. [admin@Pod3] /snmp community> print detail Flags: * - default 0 * name="public" addresses=0.0.0.0/0 security=none read-access=yes writeaccess=no authentication-protocol=MD5 encryption-protocol=DES authenticationpassword="" encryption-password="" [admin@Pod3] /snmp community>

371

SNMP

372

Lab, lab y mas lab!!

Fin del módulo 7

373

Laboratorio • Metas del lab  Configurar

y validar un simple queue  Configurar y validar una configuración basada en PCQ.  Poder diferenciar entre uno y el otro.  Poner a prueba herramientas de monitoreo y ver como te pueden ayudar en el día a día.

374

Laboratorio : Setup

375

Laboratorio : Paso 1 • Antes de continuar, instala un MIB browser en tu computadora • Además, los PODs deben unirse en pareja ya que los pasos van a requerir que mas de 1 computadora esté conectada al router.

376

Laboratorio : Paso 2 • Valida el throughput utilizando una página de prueba de velocidad (speedtest). Anota los resultados. • Configura un simple queue (nómbralo "lab7") el cual limite todo tu LAN a 4Mbps y 2Mbps upload. • Valida nuevamente el throughput. • Solicita a un compañero que se conecte a tu router y repite la prueba de velocidad. Resultado? Sucede lo mismo si te conectas al router de tu compañero?

377

Laboratorio : Paso 3 • Añade bursting en el queue "lab7". Parámetros son :  Burst

limit 4M (upload), 6M (download)  Burst-threshold 3M (upload), 5M (download)  Burst-time 16 para ambos  Repite

las mismas pruebas anteriores y valida. • Una vez finalizado, deshabilita el simple queue.

378

Laboratorio : Paso 4 • Configura queue PCQ para que todas las computadoras en el mismo LAN tengan un límite de 4Mbps de download y 2Mbps de upload. Asegúrate ponerle nombres que que hagan sentido! • Haz una prueba de velocidad (speedtest) cualquier página en línea. Resultados? • Solicítale a tu compañero que se conecte a tu routter y haz la misma prueba. Resultado? Sucede lo mismo si te conectas al router de tu compañero?

379

Laboratorio : Paso 5 • Configura traffic monitoring de forma tal que te envíe un email cuando el tráfico inbound exceda los 3Mbps en tu interface wireless.

380

Laboratorio : Paso 6 • Utiliza la herramienta de Torch de tal manera que puedas ver el IP del source para cualquier tráfico desde cualquier IP y cualquier Puerto en la interface wireless. Experimenta con Torch en CLI y WinBox.

381

Laboratorio : Paso 8 • Habilita los Graphs en:  Interface

Wireless  Recursos de Hardware

• Navégalos en tu explorador

382

Laboratorio : Step 8 • Habilita SNMP, y provee la siguiente información:  Tu

nombre como contacto.  Tu número de Pod como “location” (Podx).  Deja el resto en “default”.

• Utilizando el MIB Browser, scanea los MIBs de tu router. Puedes ver tu nombre e información? 383

Laboratorio : Paso 9 • Como siempre, haz un binary backup y export backup según efectuado en los pasados laboratorios.

384

Fin del Laboratorio 7

385

Tunnels

Módulo 8

386

Tunnels • Los Túneles son una forma de expandir tu red privada a través de una red pública tal como lo es el internet. • También son conocidos como “VPNs” (virtual private networks). • Los conceptos de seguridad son aplicados en los VPNs. Son utilizados, ya que todo tráfico es transmitido por redes públicas y no por la red privada del cliente final.

387

PPP settings

388

PPP profile • PPP profiles representan los parámetros de configuración el cual serán utlizados por los PPP clients tales como los siguientes y otros: – IP Address local y remota o pools – Compression – Encryption /ppp profile (ejemplo desde un cliente) add change-tcp-mss=yes name=Profile-external use-compression=\ yes use-encryption=yes use-vj-compression=no /ppp profile (ejemplo desde un servidor) add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \ remote-address=192.168.222.2 use-compression=yes use-encryption=yes \ use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\ Profile-internal remote-address=Pool-VPN use-compression=yes \ use-encryption=yes use-vj-compression=no

389

PPP secret • PPP secrets están localizados en los PPP servers y los mismos especifican los parámetros básicos requeridos para autenticar un cliente, tales como: – Name : ID del usuario – Password : Contraseña – Service : Servicio con el cual se trabajará (Si es dejado como "any", el PPP secret autenticará al usuario con cualquiera de los protocolos (PPPoE, L2TP, PPTP, etc.) – Profile : Las configuraciones pertinentes al usuario. Los parámetros de Profiles permite el ser utilizado para múltiples usuarios sin tener que entrarlos por independiente – Clientes no utilizan los PPP secrets como sus credenciales de autenticación. Los mismos son especificados en la interface PPP del cliente bajo los parámetros "user" y "password“. /ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external routes=\ 192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal

390

PPP status • Representa el estatus actual de la connection. Util para hacer “debug” y verificar la operación correcta de los túneles. [admin@Pod5] > /ppp active print detail Flags: R - radius 0 name="alain" service=pppoe caller-id="28:D2:44:2C:06:EE" address=192.168.5.100 uptime=3m56s encoding="MPPE128 statefull" session-id=0x81B00044 limit-bytes-in=0 limit-bytesout=0 1 name="Pod4-external" service=pppoe caller-id="D4:CA:6D:8E:1A:97" address=192.168.222.2 uptime=37s encoding="MPPE128 stateless" session-id=0x81B00045 limit-bytes-in=0 limit-bytesout=0 [admin@Pod5] > /ppp active print Flags: R - radius # NAME SERVICE CALLER-ID

ADDRESS

UPTIME

ENCODING

0

alain

pppoe

28:D2:44:2C:06:EE 192.168.5.100

4m12s

MPPE128 statefull

1

Pod4-exte... pppoe

D4:CA:6D:8E:1A:97 192.168.222.2

53s

MPPE128 stateless

391

IP pool

392

Configurando un pool • IP pools define un rango de IP addresses para los clientes. • No solo es utilizado para DHCP como vimos en el módulo anterior, sino que a su vez se utiliza para PPP y clientes Hotspots. • Util para cuando una interface va a servir múltiples clientes. IP addresses son asignados dinámicamente.

393

IP Pool ranges • IP pool ranges son listas de IP que no coinciden entre sí y que pueden ser asignadas a clientes a través de servicios DHCP, PPP, PPP y Hotspots. • Vamos a ver el ejemplo: Tienes 50 computadoras en la red de la empresa y 50 computadoras provenientes a través del VPN. /ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149

394

IP Pool ranges • Necesitas añadir 50 computadoras mas en el IP Address Pool. /ip pool print # NAME 0 Pool-PC 1 Pool-VPN

RANGES 192.168.5.50-192.168.5.99 192.168.5.100-192.168.5.149

/ip pool set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199 /ip pool> print # NAME 0 Pool-PC 1 Pool-VPN

RANGES 192.168.5.50-192.168.5.99 192.168.5.150-192.168.5.199 192.168.5.100-192.168.5.149

395

Asignándolo a un servicio • Pools según mencionamos pueden ser añadidos a varios servicios como DHCP, PPP y Hotspot. • Veremos la configuración mas adelante...

396

Secure local networks

397

PPPoE • Point-to-point over Ethernet es un protocolo en Layer 2 • Es utilizado frecuentemente por ISPs para controlar accesos a sus redes. • Puede ser utilizado como método de acceso a cualquier tecnologí en Layer 2 tales como 802.11 o Ethernet.

398

PPPoE service-name • El service-name puede ser visto como un SSID de 802.11, lo que significa sería el nombre de la red que el cliente está buscando. • A diferencia de un SSID, si el cliente no especifica uno, el access concentrator (PPPoE server) enviará todo los service-names que tiene. El cliente responderá al primero que reciba.

399

Creando un PPPoE server • Un PPPoE server es el que provee en servicio de tunneling. • Permite a clientes obtener un servicio de VPN Layer 3 seguro sobre una infraestructura Layer 2. • NO PUEDES alcanzar un PPPoE server a través de routers. Debido a que es un protocolo Layer 2, el servidor solo puede ser alcanzado a través del mismo Ethernet Broadcast domain donde se encuentra los clientes.

400

Creando un PPPoE server • Antes de crear el servidor, establece los parámetros que requieres configurar (valores aparte de los default) tales como: IP pools  PPP profiles  PPP secrets 

• Crea la interface del PPPoE server en la interface física que mira o conecta a los clientes diréctamente.

Creando un PPPoE server, ejemplo /ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149 /ppp profile add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \ remote-address=192.168.222.2 use-compression=yes use-encryption=yes \ use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\ Profile-internal remote-address=Pool-VPN use-compression=yes use-encryption=\ yes use-vj-compression=no

402

Creando un PPPoE server, ejemplo /ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external routes=\ 192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /interface pppoe-server server add authentication=mschap2 default-profile=Profile-external disabled=no \ interface=ether1 mrru=1600 service-name=PPPoE-external add authentication=mschap2 default-profile=Profile-internal disabled=no \ interface=ether5 mrru=1600 service-name=PPPoE-internal

403

Point-to-point addresses • La forma más facil de configurar addresses es es haciéndolo manualmente. • Direcciones IP de /ppp secret tienen prioridad sobre /ppp profile, y toman prioridad a su vez sobre /ip pool • Ambas direcciones local y remotas pueden ser únicas o provenientes de un pool. • Static IP addresses o DHCP en interfaces de clientes PPPoE. Deja que la infraestructura específicamente lo que se ha establecido!

404

Creando clientes PPPoE en RouterOS • Si deseas utilizar un profile distinto al default, créalo primero. Así no tienes que regresar a la configuración nuevamente. • Crea la interface del cliente que mira al ISP. • Listo! Tip : Tu router no tiene que tener configurado un cliente DHCP en la interface WAN y aún así funcionará si el PPPoE server está en la misma infraestructura Layer 2 del Puerto WAN.

405

PPPoE client en RouterOS, ejemplo /ppp profile add change-tcp-mss=yes name=Profile-external use-compression=yes \ use-encryption=yes use-vj-compression=no /interface pppoe-client add ac-name="" add-default-route=yes allow=mschap2 \ default-route-distance=1 dial-on-demand=no disabled=no \ interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 \ mrru=disabled name=Client-PPPoE password=pod4-123 profile=\ Profile-external service-name="" use-peer-dns=no user=\ Pod4-external

• Habilita la interface del client.

406

Secure remote networks communication 407

PPTP clients y servers • PPTP es un protocolo de tunel en Layer 3 y utiliza información de routing y direcciones IP para conectar al cliente con el servidor. • El PPTP se define casi de igual forma al de PPPoE, con la excepción que no se tiene que establecer una interface en específico • El cliente es definido casi de igual forma que el cliente PPPoE, con la excepción de que una dirección IP tiene que ser especificada para el server. • Tip : Debes permitir Puerto TCP 1723 en el firewall del router (el PPTP server) para que el tunel pueda levanter o conectar /interface pptp-server server set authentication=mschap2 default-profile=Profile-external enabled=yes /interface pptp-client add add-default-route=yes allow=mschap2 connect-to=192.168.0.5 \ default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 \ max-mru=1450 max-mtu=1450 mrru=1600 name=Client-PPTP password=pod4-123 profile=\ Profile-external user=Pod4-external

408

SSTP clients y servers sin certificados • Definir el SSTP server es similar al de PPTP, excepto a que defines un puerto TCP a donde conectarse (default 443). • El cliente es definido de igual manera al cliente PPTP, excepto que debes especificar un puerto TCP a utilizarse (default 443). • Tip : Debes permitir el Puerto TCP 443 para que logre levantar el tunel. También, deja configurado el Puerto 443 para que funcione la seguridad de comunicación via SSL. /interface sstp-server server set authentication=mschap2 enabled=yes /interface sstp-client add add-default-route=no authentication=mschap2 certificate=none connect-to=\ 192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \ keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \ password=pod4-123 profile=Profile-external user=Pod4-external \ verify-server-address-from-certificate=no verify-server-certificate=n

409

Configura rutas entre redes • Una vez el tunel esté arriba, necesitas rutas para poder transferir paquetes ida y vuelta. • La primera forma para un solo tunel, es la ruta que fue creada automáticamente para ese tunel. /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.0.254 0 1 ADC 192.168.0.0/24 192.168.0.5 ether1 0 2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0 3 ADC 192.168.5.101/32 192.168.5.1 0

410

Configura rutas entre redes • La segunda forma es especificando una o múltiples rutas en el PPP secret para el cliente. /ppp secret export add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /ppp secret print Flags: X - disabled # NAME ADDRESS 0 Pod4-external 1 alain

SERVICE CALLER-ID

PASSWORD

PROFILE

any any

pod4-123 alain!!

Profile-external Profile-internal

REMOTE-

/ppp secret set 0 routes=192.168.4.0/24,10.10.2.0/24 /ppp secret export add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24,10.10.2.0/24 add name=alain password=alain!! profile=Profile-internal

411

Configurando rutas entre redes • La tercera forma es añadiendo rutas estáticas a una o multiples redes través del tunel. • Este método es útil si ambos routers tienen su propia ruta default (ruta cero), pero implica mas mantenimiento y parámetros. /ip route add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24 gateway=192.168.254.10 add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21 gateway=192.168.254.10

412

Nota final VPN Protocol

Encryption

Ports

Compatible with

Notes

PPTP

MPPE with RC4 128 bit key

1723 TCP

Windows XP, Vista, 7 Mac OS X iPhone OS Android

PPTP is the most widely used VPN protocol today. It is easy to setup and can be used to bypass all Internet restrictions. PPTP is considered less secure.

SSTP

SSL with AES 2048 bit key certificate 256 bit key for encryption

443 TCP

Windows 7

SSTP uses a generic port that is never blocked by firewalls. You can use SSTP to bypass corporate or school firewalls. SSTP is considered a very secure protocol.

Quieres conocer mas? • http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP • http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP • http://www.highspeedvpn.net/PPTP-L2TP-SSTP-OpenVPN.aspx • http://www.squidoo.com/advantages-and-disadvantages-of-vpn-protocols • http://www.vpnonline.pl/en/protokoly-vpn-porownanie (muy bueno!) 413

Vamos para el último LAB!!

Fin del módulo 8

414

Laboratorio • Metas del lab – Crear PPP profiles y secrets – Crear y asignar IP pools a servicios – Crear PPPoE VPN entre una computadora y un router – Crear tuneles PPTP y SSTP entre los PODs – Asegurarse de enrutamiento correcto

415

Laboratorio : Configuración

416

Laboratorio : Paso 1 Estudiantes trabajarán este laboratorio en par. Estudiantes configurarán 3 PPP Profiles: – 2 para ser utilizado con el POD del vecino • Uno para el servicio de server. • Uno para el servicio del cliente.

– Uno para ser utilizado por clientes conectados.

• Estudiantes configurarán 2 PPP secrets: – Uno para permitir conectar al POD vecino – Uno para lograr conectar los clientes locales.

• Estudiantes se pondrán de acuerdo en la configuración de parámetros a utilizarse. Por motivo de tiempo, SEAMOS SIMPLES EN LA CONFIGURACION!!

417

Laboratorio : Paso 2 • Crea un IP pool para ser utilizado por los clientes que deseen conectarse a través de VPN - Tu pool estará en una red distinta a tu LAN existente. - Asigna el pool al profile a ser utilizado por tu futuro “VPN Corporativo”.

418

Laboratorio : Paso 3 • Selecciona un Puerto disponible en tu router (ether5 preferible) y remuévela de cualquier bridge o Puerto master a el cual esté asignada. No debe tener IP o DHCP configurado. • Configura un PPPoE server en ese Puerto del router. Debes utilizar el profile que usastes para los clientes VPN. Habilita solo MSChap2 como método de autenticación. Lee el material del curso referente a configuración de compression y encryption.

419

Laboratorio : Paso 4 • Configura tu computadora para conectarse al router como cliente PPPoE. • Conéctate y navega el internet! Avisos! – Verifica la interface donde configuraste el server (y el Puerto que al cual conectaste tu computadora) – Verifica las configuraciones de los profiles en el PPPoE server y PPP secret.

420

Laboratorio : Paso 5 • Conecta tu computadora nuevamente a un Puerto Ethernet normal. • Los PODs con números pares crearán un PPTP server y un SSTP client. • Los PODs impares crearán un PPTP client y un SSTP server. • Utiliza los profiles y secrets previamente creados. • SSTP no puede utilizar certificados! • Sube los túneles de VPN y verifica que sucedió.

421

Laboratorio : Paso 6 • Nada? Que se nos olvidó? – Ayuda : Una regla nueva de firewall talvez?

• Una vez los túneles ya estén arriba, verifica el estatus de conecciones activas.

422

Laboratorio : Paso 7 • Remueve las rutas estáticas de tu table de rutas. Solo debes tener una a tu POD. • Ejecuta un ping al IP Address del LAN de tu POD vecino. Funciona? Pero si el tunel está arriba, porque no funciona? (Deja el ping corriendo) • Puedes hacerle ping a la dirección IP remota del tunel? Si funciona significa no todo está mal configurado . 423

Laboratorio : Paso 8 • En el PPP secret de tu router y en el campo "Routes", añade el network y el mask de tu POD vecino. • Un vez se configure esto en ambos PODs, reinicia el tunel del cliente. • Nota el efecto que tiene en tu tabla de enrutamiento. El subnet de tus peer's han aparecido una vez tu POD vecino se logea en el VPN. Una vez ambos estén arriba, podrán hacerse Ping. • Nota también las direcciones IP en el IP address list.

424

Laboratorio : Paso 9 • Como usual, haz un binary backup y export backup utilizando el mismo format de los demás laboratorios.

425

Fin del Laboratorio 8 y el curso en su totalidad!!  426

LE DESEAMOS EXITO EN EL EXAMEN, YA QUE SUERTE LA TIENE CUALQUIER PERSONA!! 

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF