1

ACTIVIDAD No 1
SEGURIDAD PERIMETRAL

VANESA RODRIGUEZ PERCY

JUAN DAVID TRUJILLO
CSAR AUGUSTO MORALES
FICHA 600088

INSTRUCTOR: ALEXANDER AUGUSTO ALVAREZ

SENA
SERVICIO NACIONAL DE APRENDIZAJE
GESTION REDES DE DATOS
MEDELLIN
2015
 2

Contenido
PROBLEMA A RESOLVER...................................................................................................................... 3
TOPOLOGA PLANTEADA ..................................................................................................................... 4
............................................................................................................................................................. 4
INSTALACIN DE MIKROTIK ................................................................................................................ 6
CONFIGURACIN DE MIKROTIK ........................................................................................................ 15
FIREWALL: CONFIGURACIN DE REGLAS .......................................................................................... 22
SOLUCIONES FIREWALL PARA WINDOWS......................................................................................... 35
COMENTARIO - PELCULA APRENDICES FUERA DE LNEA ................................................................. 37
CIBERGRAFA ..................................................................................................................................... 38
 3

PROBLEMA A RESOLVER

Las actividades para desarrollar estas guas son:

1. Implementar un firewall comn en un enrutador cisco

2. Implementar un firewall con DMZ en Linux/BSD/Solaris
3. Implementar un firewall con DMZ en Windows Server

Actividad 1:
Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de
acceso en el firewall que permitan el paso de trfico desde INTERNET hacia la LAN
solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los
puertos y servicios deben estar denegados. Generalmente la comunicacin desde
la LAN es transparente as que el enrutador debe permitir la salida de paquetes
desde la LAN.

Actividad 2 y 3:
Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumir que existen 3
servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer
reglas de acceso que les permita a los usuarios de la LAN salir a INTERNET sin
problemas, pero el trfico que proviene de INTERNET debe ser filtrado
adecuadamente para que solo los servicios en la DMZ sean accesibles. Tambin
debe recrear el escenario donde un intruso ha logrado penetrar un sistema de la
DMZ, qu reglas debera aplicar en el firewall para evitar que el intruso llegue hasta
la LAN privada?

ESTRATEGIAS
Antes de comenzar prepare el escenario requerido para la prctica (hardware,
software, manuales, etc.), recuerde segmentar cada una de las zonas de la prueba
que quiere realizar. Tambin tenga en cuenta el direccionamiento a usar para que
su firewall pueda funcionar adecuadamente.

Estrategias Actividad 1:
En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su
router tenga una IOS que permita hacer filtrado con ACLs, adems de esto recuerde
que va a requerir por lo menos dos interfaces para trabajar, como recomendacin
puede usar un router que soporte dos interfaces de red Ethernet.
Recuerde que puede usar un simulador como Packet Tracer antes de intentar
configurar el router de forma real, esto le evitar muchos problemas.

Estrategias Actividad 2 y 3:
Para el trabajo con los firewalls en los sistemas operativos tenga en cuenta las
siguientes recomendaciones:
Intente primero configurar las interfaces de red y aplicar el NAT bsico para que
garantice que los paquetes pasan de un lado al otro de las interfaces sin problemas.
 4

Una vez verifique que puede conectarse de un lado al otro, cree reglas de filtrado
bsicas entre dos interfaces (no intente con las 3 interfaces al tiempo), primero
garantice que puede diferenciar y filtrar el trfico entre 2 interfaces antes de intentar
configurar las 3 tarjetas.
El primer firewall que usted disee debe ser con la poltica PASS BY DEFAULT,
esto significa que todo lo que no se defina explicita mente ser permitido, este tipo
de firewall es ms permisivo pero le permite aprender los conceptos bsicos sin
tantas complicaciones.
Una vez el firewall PASS BY DEFAULT este configurado y funcionando trate de
adaptarlo para que funcione en modo DROP BY DEFAULT, en este modo el firewall
no dejar pasar nada a travs de sus interfaces que no est explicita mente
permitido.
Recuerde que puede usar appliances de firewalls que son ms fciles de configurar
puesto que tienen interfaces web sencillas para administrarlos, se recomienda usar
estos appliances una vez se hayan adquirido los conceptos bsicos de firewalls y
se haya experimentado con la configuracin de firewalls a mano.

Actividad 1: Esta actividad se realiz en el aula de clases de forma fsica o real

utilizando un dispositivo de CISCO.

TOPOLOGA PLANTEADA

Mikrotik Firewall
172.16.1.0/24 10.1.1.0/24
10.1.1.200
Internet
172.16.1.200
WAN
172.16.1.20 192.168.1.200
Windows 7 Pro
192.168.1.0/24

DMZ - Windows 7 Pro

192.168.1.120
 5

Actividad 2: El primer paso fue seleccionar el software para realizar la actividad,

que para este caso fue Mikrotik, de lo cual a continuacin hacemos una pequea
descripcin:

Mikrotik ls Ltd. conocida internacionalmente como MikroTik, es una compaa

letona proveedora de tecnologa disruptiva de hardware y software para la creacin
de redes. Mikrotik RouterOS es un software que funciona como un sistema
operativo para convertir un PC o una placa Mikrotik RouterBOARD en un router
dedicado.

Mikrotik RouterOS es un sistema operativo basado en el kernel de Linux 2.6 usado

en el hardware de los Microtik RouterBOARD que es la divisin de hardware de la
marca Mikrotik. Se caracteriza por poseer su propio S.O de fcil configuracin. Estos
dispositivos poseen la ventaja de tener una relacin costo /beneficio muy alta.

Configuracin

RouterOS soporta varios mtodos de configuracin como son:

-Acceso local va teclado y monitor

-Consola serial con una terminal
-Acceso va Telnet y SSH va una red
-Una interfaz grfica llamada WinBox
-Una API para el desarrollo de aplicaciones propias para la configuracin.
-En caso de no contar con acceso local y existe un problema con las ----direcciones
IP, RouterOS soporta una conexin basada en direcciones MAC usando las
herramientas customizadas Mac-Telnet y herramientas de Winbox.
 6

INSTALACIN DE MIKROTIK
Descargamos el software de la pgina oficial de MikroTik.
http://www.mikrotik.com/download

Una vez realizada la descarga, procedemos a instalarlo en este caso en VMWare.

7
8
9
 10

En esta ventana se nos pide que seleccionemos los servicios que deseamos
utilizar, cada servicio tiene una especificacin y en muchos tutoriales de internet
podemos ver que funcin cumple cada uno, se seleccionan con la tecla de
direcciones y seleccionando el servicio deseado con la barra espaciadora.

Para iniciar la instalacin presionamos la letra i

 11

Ahora nos pregunta si queremos instalar los servicios seleccionados, presionamos

la letra y para aceptar y reconfirmamos nuevamente con la letra y

En esta ventana vemos como se realizan las particiones y el formateo del disco y
de igual forma se inicia la instalacin de los servicios.
 12

Para finalizar la instalacin se nos pide reiniciar el sistema para lo cual

presionamos la tecla enter.

Despus de reiniciar la mquina, veremos lo siguiente:

Se nos est pidiendo un login, este por defecto es admin, en contrasea la

dejamos vaca.
 13

Una de las formas de administrar Mikrotik, es remotamente; para realizar esta tarea,
vamos a usar una herramienta llamada Win Box. Esta herramienta la podemos
descargar desde la pgina oficial de Mikrotik, as:

Accedemos a la pgina web, a travs de esta direccin:

http://www.mikrotik.com/download.
14
 15

All vamos a la seccin Useful tools and utilities y seleccionamos la opcin Winbox
version 3.0rc2 (Esta es la versin disponible hasta el momento, cuando se realiz
este tutorial), descargamos este archivo con extensin (.exe).

CONFIGURACIN DE MIKROTIK
1. Primero procederemos a configurar al menos una interfaz que nos servir para
gestionar de manera grfica el dispositivo, para este proceso ingresamos al
men Ip/address/print. Desde la Shell de Mikrotik.

Este comando nos informar las direcciones que existen actualmente configuradas
con direccionamiento IP, como la interfaz ether 1 trae una direccin Ip por defecto,
la removemos mediante el comando remove 0.

Aadimos con el comando add address=IP/mask interface=interfaz la configuracin.

 16

2. En un PC cliente ejecutamos la aplicacin Winbox, propietaria de mikrotik

(descarga en la web oficial), en Conect To digitamos la direccin IP anteriormente
configurada y los parmetros de usuario y contrasea. Luego damos clic en el botn
connect.

Esta es la pantalla principal de WinBox, en ella vemos lo siguiente:

Connect To: En esta lnea se coloca la direccin IP del dispositivo al cual

queremos conectarnos.

Login: Nombre de usuario para administrar

Password: Contrasea

Las opciones Keep Password y Secure Mode, la primera opcin nos indica si
queremos guardar nuestro password y la segunda permite entrar en modo seguro
a la configuracin del Mikrotik, esta opcin activa la capa SSL en el modo de
transporte.

La parte de Note, es para colocar un comentario en donde yo deseo conectarme.

 17

WinBox hace un barrido por Broadcast, esto permite verificar cules son todos los
equipos Mikrotik que tengo en mi red. Debo dar clic en la opcin Connect.

QU ES WIN BOX?

WinBox es una simple herramienta de servidor que permite conectarte a otro cliente.
Incluye una sofisticada tecnologa para realizar estas conexiones basada en el
sistema operativo RouterOS. Este software permite a sus usuarios realizar
conexiones va FTP, telnet y SSH.

Incluye tambin una API que permite crear aplicaciones personalizadas para
monitorizar y administrar.
 18

3. Ahora vamos a dar clic en el men IP, Address, esto con el fin de configurar las
direcciones IP de las dems interfaces.
 19

4. Presionamos clic en el smbolo de + y digitamos la IP y la interfaz a la cual ser

configurada esta direccin, clic en OK.

5. Nos dirigimos al men IP / Route para agregar la puerta de enlace.

 20

6. Damos clic en el smbolo + y donde dice Gateway digitamos nuestra puerta de

enlace, presionamos clic en OK.

7. Mediante el men Tools / Ping podremos validar la conectividad con internet.

 21

8. En el men IP / DNS abrimos la configuracin de nuestro DNS, en Servers

agregamos la IP del mismo y damos clic en OK.

9. Desde el men Interfaces podemos renombrar las mismas, dando clic en Name,
asignando el nombre y dar clic en OK.
 22

FIREWALL: CONFIGURACIN DE REGLAS

Desde el men IP / Firewall / pestaa Filter rules agregamos 3 reglas (Pues para
acceder de la LAN a la DMZ es necesario priorizar dos reglas antes de restringir lo
dems).

10. Regla para responder el eco del DMZ para PING. (Esta regla permite comprobar
el estado de la comunicacin del host, del DMZ con uno o varios equipos remotos
de una red a IP por medio del envo de paquetes ICMP de solicitud y de
respuesta. Que este host responda a los ping.
 23

Protocolo de Mensajes de Control y Error de Internet, ICMP, es de caractersticas

similares a UDP, pero con un formato mucho ms simple, y su utilidad no est en el
transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar
su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido,
si es un paquete de eco o respuesta, etc.

Se debe elegir ICMP en protocol, para verificar la conectividad de la red en el DMZ.

24
 25

11. Aceptar los paquetes ACK.

 26

12. Bloquear el trfico que no est permitido con las reglas anteriores.
 27

Esta regla permite bloquear el trfico desde el DMZ hacia la LAN.

 28

Men IP /Firewall / pestaa NAT

12. Agregamos un nateo de destino para que al preguntarnos por la IP pblica, re

direccione todo el trfico al DMZ, en el ejemplo solo por el puerto 80.

Chain: dst-nat

Dst-Address: 10.1.1.200 (IP pblica de Mikrotik).

Protocol: tcp

Dst-Port: 80 (Puerto destino por el que se va a consultar o ingresar al servicio,

del DMZ).
 29

Action: dst-nat

To Address: 192.168.1.120 (Direccin IP del equipo, de la zona del DMZ).

To Ports: 0 -65535
 30

13. Salida a internet desde la red LAN

Con esta regla, se configura que todo lo que salga por la interfaz de Internet, sea
enmascarado.

Chain: srcnat

Src Address: 172.16.1.0/24

Out. Interface: WAN

En Src Address, se puede especificar una direccin IP especfica o con el ID de red.

Out. Interface: Cul ser la interfaz de salida para el Internet.

Action: Masquerade
 31

Pruebas

P1. Prueba del acceso a DMZ.

Para probar el acceso al DMZ, desde el equipo de la red LAN, se ingresa por un
navegador de Internet, digitando la IP pblica de nuestro Firewall Mikrotik.

Previamente en la mquina del DMZ, se activa el IIS(Internet Information Services),

este es el servicio Web, el cual ser el que accedamos desde Internet.

Para activarlo en la mquina del DMZ, la cual tiene Windows 7 Pro; seguimos los
siguientes pasos: Panel de control - Programas y caractersticas Activar o
desactivar las caractersticas de Windows - All buscamos la opcin Internet
Information Services.
 32

Ingresamos por el navegador de Internet, digitamos la IP pblica del Mikrotik y

nos re direcciona al IIS, lo que indica que desde Internet, podemos acceder a un
servicio del DMZ.
 33

P2. Configuracin IP, no accede el PC a internet, No accede a la LAN.

Ping a la direccin 172.16.1.20, esta direccin es la de nuestro equipo en la red LAN, el ping
nos indica que no hay conectividad desde el DMZ, hasta la red LAN.

Se cumple el requerimiento: Desde el DMZ, no se tenga acceso a la LAN.

 34

P3. Configuracin IP, accede el pc a internet, accede a DMZ.

Ping al 192.168.1.120, esta es la direccin del equipo, que se encuentra en la

red del DMZ. Hay conectividad desde nuestra LAN hacia el DMZ. Ya que se
obtiene respuesta desde este equipo.
 35

SOLUCIONES FIREWALL PARA WINDOWS

FIREWALL VENTAJAS DESVENTAJAS
Velocidad: Utiliza tecnologa 1) Los usuarios estn
multincleo de Intel, unidades de buscando mejoras en el
SOPHOS UTM estado slido, y escaneado de nivel de detalle de la
contenido en memoria acelerado. informacin de SOPHOS
Potente rpido.
Registros e informes: Permite
informes detallados, Grficos de flujo
de vista rpida muestran las
tendencias de uso y la actividad web
Nuestro informe ejecutivo de
resumen diario le mantiene
informado
La posibilidad de anonimato de los
informes permite mantener
Proteccin todo en uno: Ofrece lo
ltimo en proteccin mediante next-
gen firewall con caractersticas que no
se pueden conseguir en ningn otro
sitio - incluido cifrado mvil, web, de
estaciones de trabajo, de correo
electrnico y DLP. Sin hardware
adicional. Sin costes adicionales. Solo
tiene que escoger lo que quiere
implantar.

Bloquea las amenazas en la puerta de 1) SonicWALL no ofrece

enlace: Los cortafuegos SonicWALL un dispositivo virtual
Dell Sonic WALL
examinan todo el trfico entrante y por el espacio UTM.
saliente para evitar intrusiones, virus,
spyware y cualquier otro tipo de
trfico malintencionado que
comprometa la seguridad de la red.
Asegura y controle el acceso remoto:
Los cortafuegos SonicWALL ofrecen
SSL VPN y IPSec VPN, que extienden la
prevencin de intrusiones y la
proteccin contra malware a los
 36

empleados mviles y las sucursales,

de una forma muy sencilla de
administrar Sanea el trfico
inalmbrico: SonicOS incluye un
controlador inalmbrico seguro
integrado. Junto con los puntos de
acceso inalmbricos seguros de Dell
SonicWALL SonicPoint, este
controlador permite implementar
redes de 802.11 a/b/g/n sin
problemas, protegidas con la
tecnologa SonicWALL Clean
Wireless y SonicWALL Application
Intelligence and Control.

Seguridad: La inspeccin de contenido 1) Los usuarios citan

en capa de aplicacin reconoce y deficiencias en la
WatchGuard bloquea las amenazas que los presentacin de
firewalls de paquetes stateful no informes de
pueden detectar. La proteccin de rendimiento y
proxy de amplio rango brinda una funcionalidad.
seguridad robusta en HTTP, HTTPS, 2) Apoyo MSSP para
FTP, SMTP, POP3, DNS, TCP/UDP. dispositivos
Rpidez y eficiencia: La alta WatchGuard est
disponibilidad activa/activa con limitada en
balanceo de carga garantiza un comparacin con los
mximo tiempo de principales
funcionamiento de la red. competidores.
Escalable:
Aada poderosas suscripciones de
seguridad para bloquear spam,
controlar la navegacin
peligrosa e inapropiada y el uso de
aplicaciones peligrosas e
inapropiadas, prevenir las intrusiones
a
la red y detener en la puerta de
enlace la entrada de virus, spyware y
otro malware.
 37

COMENTARIO - PELCULA APRENDICES FUERA DE LNEA

Esta pelcula ensea que en la vida, no hay que permitir que otras personas o
circunstancias se conviertan en obstculos, que a la larga frustren nuestros sueos
y metas. Se debe tener claro cul es el objetivo que se persigue y luchar por ello;
no importando la oposicin o barreras que encontremos en el camino.

Adems nos muestra que para cumplir esas metas o sueos, se hace necesario
trabajar en equipo, esta es una de las tareas de la vida diaria, que en muchos casos
nos garantiza el xito.

La edad tampoco debe ser excusa, para dejar de aprender o para dejar de intentar
las cosas, siempre se tiene la oportunidad de aprender nuevos conocimientos y
trabajar por grandes metas.
 38

CIBERGRAFA

http://mundoderinux.blogspot.com/2013/07/comparaciones-de-los-mejores-utm-
del.html

http://www.xnetworks.es/promos/Sophos/Flashnews_ENE/sophos-UTM-six-tips-
wpes.pdf

https://www.incibe.es/extfrontinteco/img/File/demostrador/catalogo_stic_2010.pdf

http://latam.kaspersky.com/sites/default/files/knowledge-
center/practical%20business%20endpoint%20security_0.pdf

http://www.sonicwall.com/es/es/products/Network-Security.html

http://www.watchguard.com/es/wgrd-international/products/ngfw/overview

http://www.sophos.com/es-es/products/unified-threat-management/how-to-
buy.aspx#start

http://winbox.waxoo.com/

http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html