ACTIVIDAD No 1
SEGURIDAD PERIMETRAL
SENA
SERVICIO NACIONAL DE APRENDIZAJE
GESTION REDES DE DATOS
MEDELLIN
2015
2
Contenido
PROBLEMA A RESOLVER...................................................................................................................... 3
TOPOLOGA PLANTEADA ..................................................................................................................... 4
............................................................................................................................................................. 4
INSTALACIN DE MIKROTIK ................................................................................................................ 6
CONFIGURACIN DE MIKROTIK ........................................................................................................ 15
FIREWALL: CONFIGURACIN DE REGLAS .......................................................................................... 22
SOLUCIONES FIREWALL PARA WINDOWS......................................................................................... 35
COMENTARIO - PELCULA APRENDICES FUERA DE LNEA ................................................................. 37
CIBERGRAFA ..................................................................................................................................... 38
3
PROBLEMA A RESOLVER
Actividad 1:
Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de
acceso en el firewall que permitan el paso de trfico desde INTERNET hacia la LAN
solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los
puertos y servicios deben estar denegados. Generalmente la comunicacin desde
la LAN es transparente as que el enrutador debe permitir la salida de paquetes
desde la LAN.
Actividad 2 y 3:
Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumir que existen 3
servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer
reglas de acceso que les permita a los usuarios de la LAN salir a INTERNET sin
problemas, pero el trfico que proviene de INTERNET debe ser filtrado
adecuadamente para que solo los servicios en la DMZ sean accesibles. Tambin
debe recrear el escenario donde un intruso ha logrado penetrar un sistema de la
DMZ, qu reglas debera aplicar en el firewall para evitar que el intruso llegue hasta
la LAN privada?
ESTRATEGIAS
Antes de comenzar prepare el escenario requerido para la prctica (hardware,
software, manuales, etc.), recuerde segmentar cada una de las zonas de la prueba
que quiere realizar. Tambin tenga en cuenta el direccionamiento a usar para que
su firewall pueda funcionar adecuadamente.
Estrategias Actividad 1:
En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su
router tenga una IOS que permita hacer filtrado con ACLs, adems de esto recuerde
que va a requerir por lo menos dos interfaces para trabajar, como recomendacin
puede usar un router que soporte dos interfaces de red Ethernet.
Recuerde que puede usar un simulador como Packet Tracer antes de intentar
configurar el router de forma real, esto le evitar muchos problemas.
Estrategias Actividad 2 y 3:
Para el trabajo con los firewalls en los sistemas operativos tenga en cuenta las
siguientes recomendaciones:
Intente primero configurar las interfaces de red y aplicar el NAT bsico para que
garantice que los paquetes pasan de un lado al otro de las interfaces sin problemas.
4
Una vez verifique que puede conectarse de un lado al otro, cree reglas de filtrado
bsicas entre dos interfaces (no intente con las 3 interfaces al tiempo), primero
garantice que puede diferenciar y filtrar el trfico entre 2 interfaces antes de intentar
configurar las 3 tarjetas.
El primer firewall que usted disee debe ser con la poltica PASS BY DEFAULT,
esto significa que todo lo que no se defina explicita mente ser permitido, este tipo
de firewall es ms permisivo pero le permite aprender los conceptos bsicos sin
tantas complicaciones.
Una vez el firewall PASS BY DEFAULT este configurado y funcionando trate de
adaptarlo para que funcione en modo DROP BY DEFAULT, en este modo el firewall
no dejar pasar nada a travs de sus interfaces que no est explicita mente
permitido.
Recuerde que puede usar appliances de firewalls que son ms fciles de configurar
puesto que tienen interfaces web sencillas para administrarlos, se recomienda usar
estos appliances una vez se hayan adquirido los conceptos bsicos de firewalls y
se haya experimentado con la configuracin de firewalls a mano.
TOPOLOGA PLANTEADA
Mikrotik Firewall
172.16.1.0/24 10.1.1.0/24
10.1.1.200
Internet
172.16.1.200
WAN
172.16.1.20 192.168.1.200
Windows 7 Pro
192.168.1.0/24
192.168.1.120
5
Configuracin
INSTALACIN DE MIKROTIK
Descargamos el software de la pgina oficial de MikroTik.
http://www.mikrotik.com/download
En esta ventana se nos pide que seleccionemos los servicios que deseamos
utilizar, cada servicio tiene una especificacin y en muchos tutoriales de internet
podemos ver que funcin cumple cada uno, se seleccionan con la tecla de
direcciones y seleccionando el servicio deseado con la barra espaciadora.
En esta ventana vemos como se realizan las particiones y el formateo del disco y
de igual forma se inicia la instalacin de los servicios.
12
Una de las formas de administrar Mikrotik, es remotamente; para realizar esta tarea,
vamos a usar una herramienta llamada Win Box. Esta herramienta la podemos
descargar desde la pgina oficial de Mikrotik, as:
All vamos a la seccin Useful tools and utilities y seleccionamos la opcin Winbox
version 3.0rc2 (Esta es la versin disponible hasta el momento, cuando se realiz
este tutorial), descargamos este archivo con extensin (.exe).
CONFIGURACIN DE MIKROTIK
1. Primero procederemos a configurar al menos una interfaz que nos servir para
gestionar de manera grfica el dispositivo, para este proceso ingresamos al
men Ip/address/print. Desde la Shell de Mikrotik.
Este comando nos informar las direcciones que existen actualmente configuradas
con direccionamiento IP, como la interfaz ether 1 trae una direccin Ip por defecto,
la removemos mediante el comando remove 0.
Password: Contrasea
Las opciones Keep Password y Secure Mode, la primera opcin nos indica si
queremos guardar nuestro password y la segunda permite entrar en modo seguro
a la configuracin del Mikrotik, esta opcin activa la capa SSL en el modo de
transporte.
WinBox hace un barrido por Broadcast, esto permite verificar cules son todos los
equipos Mikrotik que tengo en mi red. Debo dar clic en la opcin Connect.
QU ES WIN BOX?
WinBox es una simple herramienta de servidor que permite conectarte a otro cliente.
Incluye una sofisticada tecnologa para realizar estas conexiones basada en el
sistema operativo RouterOS. Este software permite a sus usuarios realizar
conexiones va FTP, telnet y SSH.
Incluye tambin una API que permite crear aplicaciones personalizadas para
monitorizar y administrar.
18
3. Ahora vamos a dar clic en el men IP, Address, esto con el fin de configurar las
direcciones IP de las dems interfaces.
19
9. Desde el men Interfaces podemos renombrar las mismas, dando clic en Name,
asignando el nombre y dar clic en OK.
22
10. Regla para responder el eco del DMZ para PING. (Esta regla permite comprobar
el estado de la comunicacin del host, del DMZ con uno o varios equipos remotos
de una red a IP por medio del envo de paquetes ICMP de solicitud y de
respuesta. Que este host responda a los ping.
23
12. Bloquear el trfico que no est permitido con las reglas anteriores.
27
Chain: dst-nat
Protocol: tcp
Action: dst-nat
To Ports: 0 -65535
30
Con esta regla, se configura que todo lo que salga por la interfaz de Internet, sea
enmascarado.
Chain: srcnat
Action: Masquerade
31
Pruebas
Para probar el acceso al DMZ, desde el equipo de la red LAN, se ingresa por un
navegador de Internet, digitando la IP pblica de nuestro Firewall Mikrotik.
Para activarlo en la mquina del DMZ, la cual tiene Windows 7 Pro; seguimos los
siguientes pasos: Panel de control - Programas y caractersticas Activar o
desactivar las caractersticas de Windows - All buscamos la opcin Internet
Information Services.
32
Ping a la direccin 172.16.1.20, esta direccin es la de nuestro equipo en la red LAN, el ping
nos indica que no hay conectividad desde el DMZ, hasta la red LAN.
Esta pelcula ensea que en la vida, no hay que permitir que otras personas o
circunstancias se conviertan en obstculos, que a la larga frustren nuestros sueos
y metas. Se debe tener claro cul es el objetivo que se persigue y luchar por ello;
no importando la oposicin o barreras que encontremos en el camino.
Adems nos muestra que para cumplir esas metas o sueos, se hace necesario
trabajar en equipo, esta es una de las tareas de la vida diaria, que en muchos casos
nos garantiza el xito.
La edad tampoco debe ser excusa, para dejar de aprender o para dejar de intentar
las cosas, siempre se tiene la oportunidad de aprender nuevos conocimientos y
trabajar por grandes metas.
38
CIBERGRAFA
http://mundoderinux.blogspot.com/2013/07/comparaciones-de-los-mejores-utm-
del.html
http://www.xnetworks.es/promos/Sophos/Flashnews_ENE/sophos-UTM-six-tips-
wpes.pdf
https://www.incibe.es/extfrontinteco/img/File/demostrador/catalogo_stic_2010.pdf
http://latam.kaspersky.com/sites/default/files/knowledge-
center/practical%20business%20endpoint%20security_0.pdf
http://www.sonicwall.com/es/es/products/Network-Security.html
http://www.watchguard.com/es/wgrd-international/products/ngfw/overview
http://www.sophos.com/es-es/products/unified-threat-management/how-to-
buy.aspx#start
http://winbox.waxoo.com/
http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html