View
850
Download
6
Category
Preview:
Citation preview
© Index 2005© Index 2005
RouterOSRouterOS
Introducción al sistema operativo Introducción al sistema operativo RouterOS MikrotikRouterOS Mikrotik
© Index 2005© Index 2005
Que es el RouterOS?Que es el RouterOS?
El RouterOS es un sistema operativo y software El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalámbrico o cliente de banda, punto de acceso inalámbrico o cliente y mucho mas…y mucho mas…
El RouterOS puede hacer casi cualquier cosa El RouterOS puede hacer casi cualquier cosa que tenga que ver con tus necesidades de red, que tenga que ver con tus necesidades de red, además de cierta funcionalidad como servidor.además de cierta funcionalidad como servidor.
© Index 2005© Index 2005
Estructura del RouterOSEstructura del RouterOS
Basado en kernel de LinuxBasado en kernel de Linux.. Puede ejecutarse desde Puede ejecutarse desde
discos IDE o módulos de discos IDE o módulos de memoria flashmemoria flash..
Diseño modularDiseño modular.. Módulos actualizablesMódulos actualizables.. Interfase grafica amigableInterfase grafica amigable..
© Index 2005© Index 2005
LicenciamientoLicenciamiento
La Licencia es por instalaciónLa Licencia es por instalación.. Algunas funcionalidades requieren de cierto Algunas funcionalidades requieren de cierto
nivel de licenciamientonivel de licenciamiento.. La Licencia nunca expira , esto significa que el La Licencia nunca expira , esto significa que el
rruteadoruteador funcionara “de por vida” funcionara “de por vida”.. EL ruteador puede ser actualizado durante el EL ruteador puede ser actualizado durante el
periodo de actualización (1 año después de la periodo de actualización (1 año después de la compra de la licencia)compra de la licencia)..
El periodo de actualización puede ser extendido El periodo de actualización puede ser extendido a un 60% del costo de la licenciaa un 60% del costo de la licencia..
© Index 2005© Index 2005
Niveles de LicenciamientoNiveles de Licenciamiento
Nivel 0: DEMO, GRATIS, tiene todas las Nivel 0: DEMO, GRATIS, tiene todas las funcionalidades sin limite, funciona solo 24 hrs, funcionalidades sin limite, funciona solo 24 hrs, después de ello debe de ser REINSTALADOdespués de ello debe de ser REINSTALADO
Nivel 1: Licencia SOHO, GRATIS, pero requiere Nivel 1: Licencia SOHO, GRATIS, pero requiere registrarse en registrarse en www.mikrotik.comwww.mikrotik.com , tiene , tiene limitaciones, (1src-nat, 1dst-nat, 1 pppoe, …)limitaciones, (1src-nat, 1dst-nat, 1 pppoe, …)
© Index 2005© Index 2005
Niveles de Licenciamiento, cont.Niveles de Licenciamiento, cont.
Nivel 4: WISP, cliente inalámbrico, Nivel 4: WISP, cliente inalámbrico, Punto de Punto de AccesoAcceso Inalámbrico, gateway de HotSpot. Inalámbrico, gateway de HotSpot.
Nivel 5: WISP AP, Access Point inalámbrico y Nivel 5: WISP AP, Access Point inalámbrico y cliente, Gateway de HotSpot (mas conexiones cliente, Gateway de HotSpot (mas conexiones soportadas)soportadas)
NivelNivel 6: CONTROLLER, Todo sin limite! 6: CONTROLLER, Todo sin limite! Nota: Una Licencia basta para cualquier numero Nota: Una Licencia basta para cualquier numero
de interfaces inalámbricas en el ruteador.de interfaces inalámbricas en el ruteador.
© Index 2005© Index 2005
Características de RouterOSCaracterísticas de RouterOS
Ruteo. Estático o dinámico, políticas de Ruteo. Estático o dinámico, políticas de enrutamiento.enrutamiento.
Bridging. Protocolo Spanning tree, interfaces Bridging. Protocolo Spanning tree, interfaces múltiples bridge, firewall en el bridgemúltiples bridge, firewall en el bridge
Servidores y clientes: DHCP, PPPoE, PPTP, Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP.PPP, Relay de DHCP.
Cache: Web-proxy, DNSCache: Web-proxy, DNS Gateway de HotSpotGateway de HotSpot Lenguaje interno de scriptsLenguaje interno de scripts
© Index 2005© Index 2005
Características del RouterOSCaracterísticas del RouterOS
Filtrado de paquetes porFiltrado de paquetes por Origen, IP de destinoOrigen, IP de destino Protocolos, puertosProtocolos, puertos Contenidos (Contenidos (seguimientoseguimiento de conexiones de conexiones P2PP2P))
Puede detectar ataques de denegación de Puede detectar ataques de denegación de servicio (DoS)servicio (DoS) Permite solamente cierto numero de paquetes por Permite solamente cierto numero de paquetes por
periodo de tiempoperiodo de tiempo Que pasa enseguida si el limite es desbordado o Que pasa enseguida si el limite es desbordado o
sobrepasadosobrepasado
© Index 2005© Index 2005
Calidad de Servicio (QoS)Calidad de Servicio (QoS)
Varios tipos de tipos de queue:Varios tipos de tipos de queue: RED, BFIFO, PFIFO, PCQRED, BFIFO, PFIFO, PCQ
Sencillo de aplicar queues simples:Sencillo de aplicar queues simples: Por origen/destino red/dirección ip de cliente, Por origen/destino red/dirección ip de cliente,
interfaseinterfase
Árboles de queues mas complejos:Árboles de queues mas complejos: Por protocolo, puerto, tipo de conexiónPor protocolo, puerto, tipo de conexión..
© Index 2005© Index 2005
Interfaces del RouterOSInterfaces del RouterOS
Ethernet 10/100, GigabitEthernet 10/100, Gigabit Inalámbrica (Atheros, Prism, CISCO/Aironet)Inalámbrica (Atheros, Prism, CISCO/Aironet)
Punto de acceso o modo estación/clientePunto de acceso o modo estación/cliente, WDS, WDS
SSííncronas: V35, T1, Frame Relayncronas: V35, T1, Frame Relay Asíncronas: Onboard serial, 8-port PCIAsíncronas: Onboard serial, 8-port PCI ISDNISDN xDSLxDSL Virtual LAN (VLAN)Virtual LAN (VLAN)
© Index 2005© Index 2005
Como acceder al RouterComo acceder al Router
Los Los ruteadoresruteadores MikroTik pueden ser MikroTik pueden ser accedidos víaaccedidos vía:: Monitor y tecladoMonitor y teclado Terminal SerialTerminal Serial TelnetTelnet Telnet de MACTelnet de MAC SSHSSH Interfase grafica WinBoxInterfase grafica WinBox
© Index 2005© Index 2005
Herramientas de manejo de redHerramientas de manejo de red
RouterOS ofrece un buen RouterOS ofrece un buen numero de herramientas :numero de herramientas : Ping, traceroutePing, traceroute Medidor de ancho de bandaMedidor de ancho de banda Contabilización de traficoContabilización de trafico SNMPSNMP TorchTorch Sniffer de PaquetesSniffer de Paquetes
© Index 2005© Index 2005
Interface CLIInterface CLI
La primera vez que se entra use ‘admin’ sin La primera vez que se entra use ‘admin’ sin password.password.
Una vez dentro teclee ‘?’ para ver los comandos Una vez dentro teclee ‘?’ para ver los comandos disponibles en este nivel de menúdisponibles en este nivel de menú [MikroTik] > ?[MikroTik] > ? [MikroTik] > interface ?[MikroTik] > interface ? [MikroTik] > [MikroTik] >
Argumentos disponibles para cada comando se Argumentos disponibles para cada comando se obtienen de la misma manera: ‘?’obtienen de la misma manera: ‘?’
© Index 2005© Index 2005
Navegación vía menús CLI Navegación vía menús CLI
Vaya a un nivel diferente de comandos Vaya a un nivel diferente de comandos usando sintaxis absoluta o relativa:usando sintaxis absoluta o relativa: [MikroTik] > interface {Enter}[MikroTik] > interface {Enter} [MikroTik] interface > wireless {Enter}[MikroTik] interface > wireless {Enter} [MikroTik] interface wireless > .. eth {Enter}[MikroTik] interface wireless > .. eth {Enter} [MikroTik] interface ethernet > print {Enter}[MikroTik] interface ethernet > print {Enter}
© Index 2005© Index 2005
LA tecla [Tab]LA tecla [Tab]
Comandos y argumentos no necesitan ser Comandos y argumentos no necesitan ser completamente tecleados, con teclear la completamente tecleados, con teclear la tabla [Tab] se completan.tabla [Tab] se completan.
Si un simple [Tab] no completa el Si un simple [Tab] no completa el comando, presiónelo 2 veces para ver las comando, presiónelo 2 veces para ver las opciones disponibles.opciones disponibles.
© Index 2005© Index 2005
Comandos mas popularesComandos mas populares
Comandos mas populares en RouterOS Comandos mas populares en RouterOS en los menús CLI son:en los menús CLI son: Print y exportPrint y export set y editset y edit add / removeadd / remove enable / disableenable / disable movemove commentcomment monitormonitor
© Index 2005© Index 2005
‘‘Print’ y ‘Monitor’Print’ y ‘Monitor’
‘‘print’ es uno de los mas usados en CLI. print’ es uno de los mas usados en CLI. Imprime una lista de cosas y puede ser usado Imprime una lista de cosas y puede ser usado con diferentes argumentos,ejemplocon diferentes argumentos,ejemplo print status,print status, print interval=2s,print interval=2s, print without-paging, etc.print without-paging, etc.
Use ‘print ?’ para ver los argumentos Use ‘print ?’ para ver los argumentos disponiblesdisponibles
‘‘monitor’ usado repetidamente muestra el monitor’ usado repetidamente muestra el estatusestatus ‘‘/interface wireless monitor wlan1’/interface wireless monitor wlan1’
© Index 2005© Index 2005
……ContCont
Use ‘add’, ‘set’, o ‘remove’ para adicionar, Use ‘add’, ‘set’, o ‘remove’ para adicionar, cambiar, o remover cambiar, o remover reglasreglas
ReglasReglas pueden ser deshabilitados sin pueden ser deshabilitados sin removerlos, usando el comando removerlos, usando el comando ‘disabled’.‘disabled’.
AlgunAlgunaas s reglasreglas pueden ser movid pueden ser movidaas con el s con el comando ‘move’.comando ‘move’.
© Index 2005© Index 2005
WinBox GUIWinBox GUI
WinBox es mucho mas fácil que el CLI, al ser WinBox es mucho mas fácil que el CLI, al ser una interfase grafica.una interfase grafica.
winbox.exe es un pequeño programa que se winbox.exe es un pequeño programa que se ejecuta desde una estación de trabajo ejecuta desde una estación de trabajo conectada al ruteador.conectada al ruteador.
winbox.exe corre bajo WINE en Linuxwinbox.exe corre bajo WINE en Linux Winbox usa el puerto TCP 8291 para conectarse Winbox usa el puerto TCP 8291 para conectarse
al ruteadoral ruteador Comunicación entre el winbox y el ruteador esta Comunicación entre el winbox y el ruteador esta
encriptadaencriptada
© Index 2005© Index 2005
Instalación del Instalación del ruteadorruteador MikroTikMikroTik
El ruteadorEl ruteador MikroTik puede ser instalado MikroTik puede ser instalado usando:usando: Floppy disks (Floppy disks (muy tediosomuy tedioso)) CD creado desde una imagen ISO, contiene todos los CD creado desde una imagen ISO, contiene todos los
paquetes.paquetes. Vía red usando netinstall, la pc donde se instalarVía red usando netinstall, la pc donde se instalaráá
debe botear con un floppy, o usando Protocolos PXE debe botear con un floppy, o usando Protocolos PXE o EtherBoot desde algunas ROMS de ciertas tarjetas o EtherBoot desde algunas ROMS de ciertas tarjetas de red.de red.
Con imagen de DiscoCon imagen de Disco Con Memoria Flash/IDECon Memoria Flash/IDE
© Index 2005© Index 2005
NetinstallNetinstall
Netinstall es un programa que convierte tu Netinstall es un programa que convierte tu estación de trabajo en un servestación de trabajo en un servidor idor de de instalación.instalación.
Netinstall usa los paquetes de programas desde Netinstall usa los paquetes de programas desde tu estacion de trabajo y los instala en:tu estacion de trabajo y los instala en: LaLa PC que boteo usando PXE or Etherboot PC que boteo usando PXE or Etherboot El disco secundario de tu estación de trabajoEl disco secundario de tu estación de trabajo
Netinstall.exe y los programas de paquetes Netinstall.exe y los programas de paquetes pueden ser bajados desde mikrotik.compueden ser bajados desde mikrotik.com
© Index 2005© Index 2005
Laboratorio de InstalaciónLaboratorio de Instalación
Habilite el RouterBoard para botar desde la redHabilite el RouterBoard para botar desde la red El RouterBoard y tu estación de trabajo deben estar El RouterBoard y tu estación de trabajo deben estar
en en elel mismo segmento de red o conectados con un mismo segmento de red o conectados con un cable cruzadocable cruzado
Ejecute netinstall en tu estación de trabajoEjecute netinstall en tu estación de trabajo Seleccione el ruteador donde se instalaraSeleccione el ruteador donde se instalara Seleccione los paquetes de programa a instalarSeleccione los paquetes de programa a instalar Habilite el Boot Server y la dirección del cliente Habilite el Boot Server y la dirección del cliente
(poner direccion ip del mismo segmento que tenga la (poner direccion ip del mismo segmento que tenga la pc a instalarsepc a instalarse
© Index 2005© Index 2005
Configuracion de NetinstallConfiguracion de Netinstall
© Index 2005© Index 2005
Actualizando el RouterActualizando el Router
Ponga los archivos de las nuevas versiones en Ponga los archivos de las nuevas versiones en el router por medio de FTP usando modo binario el router por medio de FTP usando modo binario de transmision y reinicie el router “/system de transmision y reinicie el router “/system reboot”reboot”
Alternativamente puedes usar la instrucción Alternativamente puedes usar la instrucción “/system upgrade” para transferir los archivos “/system upgrade” para transferir los archivos desde un server FTP o desde otro ruteador si desde un server FTP o desde otro ruteador si los tienes ahí. los tienes ahí.
© Index 2005© Index 2005
Configuración BásicaConfiguración Básica
Interfaces deben estar habilitadas y Interfaces deben estar habilitadas y funcionando (cables conectados, interfase funcionando (cables conectados, interfase inalámbrica configurada)inalámbrica configurada)
Direcciones IP asignadas a las interfaces:Direcciones IP asignadas a las interfaces:[MikroTik] > /ip address \[MikroTik] > /ip address \add address=10.1.0.2/24 interface=ether1add address=10.1.0.2/24 interface=ether1
Adicione la ruta de defaultAdicione la ruta de default[MikroTik] > /ip route \[MikroTik] > /ip route \add gateway=10.1.0.1add gateway=10.1.0.1
© Index 2005© Index 2005
Comando ‘Setup’Comando ‘Setup’
Use el comando ‘setup’ para la Use el comando ‘setup’ para la configuración inicialconfiguración inicial
Algunos otros menús tienen opción de Algunos otros menús tienen opción de setup, entre ellos:setup, entre ellos: HotSpot setupHotSpot setup DHCP server setupDHCP server setup
© Index 2005© Index 2005
Interfase bridgeInterfase bridge
Interfaces Bridge son anadidas con el comando:Interfaces Bridge son anadidas con el comando:[MikroTik] > /interface bridge add[MikroTik] > /interface bridge add
Puede haber mas de una interfase BridgePuede haber mas de una interfase Bridge Tu puedesTu puedes
Cambiar el nombre de la interfase Bridge;Cambiar el nombre de la interfase Bridge; Habilitar el STP (Spanning Tree Protocol) y Habilitar el STP (Spanning Tree Protocol) y
configurarlo configurarlo Activar los protocolos a pasar de un bridge a otro.Activar los protocolos a pasar de un bridge a otro.
© Index 2005© Index 2005
Puertos de BridgePuertos de Bridge Cada Interfase Cada Interfase
puede ser puede ser configurada para ser configurada para ser miembro de un miembro de un bridgebridge
Interfaces Interfaces inalámbricas en inalámbricas en modo estación no modo estación no pueden ser parte de pueden ser parte de un bridge.un bridge.
Prioridad y costo de Prioridad y costo de path pueden ser path pueden ser ajustadas para su ajustadas para su uso con STPuso con STP
© Index 2005© Index 2005
Laboratorio de Configuración de Laboratorio de Configuración de una Red Privadauna Red Privada
Conecta tu ruteador vía cable cruzadoConecta tu ruteador vía cable cruzado Ejecuta Mac-Telnet para conectarte a elEjecuta Mac-Telnet para conectarte a el Remueve todas las direcciones de las Remueve todas las direcciones de las
interfainterfasseses Selecciona una red privada para tiSelecciona una red privada para ti
10…., or 192.168…., or 172.16….10…., or 192.168…., or 172.16….
Asigna una dirección privada para la Asigna una dirección privada para la ether1ether1
© Index 2005© Index 2005
Laboratorio de DHCPLaboratorio de DHCP
Ejecuta el setup /ip dhcp-server setupEjecuta el setup /ip dhcp-server setup Usa las ips de tus ruteadores como Usa las ips de tus ruteadores como
servidores DNS en la configuración de servidores DNS en la configuración de DHCPDHCP
Vea si la estación de trabajo recibe una IPVea si la estación de trabajo recibe una IP Vea las ips asignadasVea las ips asignadas
/ip dhcp-server lease print/ip dhcp-server lease print
© Index 2005© Index 2005
Estructura de firewallEstructura de firewall
© Index 2005© Index 2005
Principios del FirewallPrincipios del Firewall
Las reglas de firewall están organizadas en Las reglas de firewall están organizadas en cadenas (chains)cadenas (chains)
Reglas en cadenas son procesadas en el orden Reglas en cadenas son procesadas en el orden que aparecenque aparecen Si una regla la cumple un paquete, la accion Si una regla la cumple un paquete, la accion
especificada es tomadaespecificada es tomada Si el paquete no cumple la regla , o hay una Si el paquete no cumple la regla , o hay una
acción=passthrough, la siguiente regla es procesadaacción=passthrough, la siguiente regla es procesada
La acción de default para la cadena es hecha La acción de default para la cadena es hecha después de haber alcanzado el fin de la cadenadespués de haber alcanzado el fin de la cadena
© Index 2005© Index 2005
Cadenas de FirewallCadenas de Firewall Por default hay 3 cadenas incluidas:Por default hay 3 cadenas incluidas:
input – procesa paquetes que tienen como destino el input – procesa paquetes que tienen como destino el ruteadorruteador
output – procesa paquetes que son mandados por el output – procesa paquetes que son mandados por el mismo ruteadormismo ruteador
forward – procesa trafico que ‘pasa’ a forward – procesa trafico que ‘pasa’ a travéstravés del del ruteadorruteador
Los usuarios pueden añadir sus propias Los usuarios pueden añadir sus propias cadenas de firewall y reglas a ellascadenas de firewall y reglas a ellas
Reglas en las cadenas añadidas por el usuario Reglas en las cadenas añadidas por el usuario pueden ser procesadas usando la opción=jump pueden ser procesadas usando la opción=jump desde la cadena del usuario a otra regla en otra desde la cadena del usuario a otra regla en otra cadenacadena
© Index 2005© Index 2005
Acciones de las reglas de Acciones de las reglas de FirewallFirewall
Si una regla de firewall se cumple para un Si una regla de firewall se cumple para un paquete, una de las siguientes acciones puede paquete, una de las siguientes acciones puede hacerse:hacerse: passthrough – action es ejecutada y la siguiente regla passthrough – action es ejecutada y la siguiente regla
es procesadaes procesada accept – paquete es aceptadoaccept – paquete es aceptado drop – paquete es ignoradodrop – paquete es ignorado reject – paquete es ignorado y se le manda un reject – paquete es ignorado y se le manda un
mensaje ICMP al que lo mandomensaje ICMP al que lo mando jump – paquete es mandado para su procesamiento jump – paquete es mandado para su procesamiento
a otra cadenaa otra cadena return – paquete es retornado a la tabla previa , return – paquete es retornado a la tabla previa ,
desde donde fue recibidodesde donde fue recibido
© Index 2005© Index 2005
Protegiendo el ruteadorProtegiendo el ruteador
El acceso al router es controlado por las El acceso al router es controlado por las reglas de filtrado de la cadena input.reglas de filtrado de la cadena input.
Nota, Los filtros de IP no filtran Nota, Los filtros de IP no filtran comunicaciones de nivel 2 OSI, por comunicaciones de nivel 2 OSI, por ejemplo MAC Telnetejemplo MAC Telnet Deshabilite el MAC-Server al menos en la Deshabilite el MAC-Server al menos en la
interfase publica para asegurar buena interfase publica para asegurar buena seguridad.seguridad.
© Index 2005© Index 2005
Cadena InputCadena Input
Haga reglas en esta cadena como estas:Haga reglas en esta cadena como estas: Permitir “established” y “related” connectionsPermitir “established” y “related” connections Permitir UDPPermitir UDP Permitir pings limitados, hacer drop de Permitir pings limitados, hacer drop de
exceso de pingsexceso de pings Permitir acceso de redes “seguras”Permitir acceso de redes “seguras” Permitir acceso via PPTP VPNPermitir acceso via PPTP VPN Drop y log todo lo demasDrop y log todo lo demas
© Index 2005© Index 2005
Ejemplo de cadena InputEjemplo de cadena Input/ip firewall rule input/ip firewall rule inputadd connection-state=established comment="Established connections"add connection-state=established comment="Established connections"add connection-state=related comment="Related connections"add connection-state=related comment="Related connections"add protocol=udp comment=“Allow UDP" add protocol=udp comment=“Allow UDP" add protocol=icmp limit-count=50 limit-time=5s limit-burst=2 \add protocol=icmp limit-count=50 limit-time=5s limit-burst=2 \ comment="Allow limited pings"comment="Allow limited pings"add protocol=icmp action=drop \add protocol=icmp action=drop \ comment="Drop excess pings"comment="Drop excess pings"add src-addr=159.148.147.192/28 comment="From trusted network“add src-addr=159.148.147.192/28 comment="From trusted network“add src-addr=192.168.1.0/24 comment="From our private network"add src-addr=192.168.1.0/24 comment="From our private network"add protocol=tcp tcp-options=syn-only dst-port=1723 \add protocol=tcp tcp-options=syn-only dst-port=1723 \ comment="Allow PPTP"comment="Allow PPTP"add protocol=47 comment="Allow PPTP"add protocol=47 comment="Allow PPTP"add action=drop log=yes comment="Log and drop everything else"add action=drop log=yes comment="Log and drop everything else"
© Index 2005© Index 2005
Ejemplo de cadena definida por Ejemplo de cadena definida por el usuarioel usuario
/ip firewall rule virus/ip firewall rule virus
add protocol=tcp dst-port=135-139 action=drop add protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"
add protocol=udp dst-port=135-139 action=drop add protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"comment="Drop Messenger Worm"
add protocol=tcp dst-port=445 action=drop add protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"
add protocol=udp dst-port=445 action=drop add protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"
© Index 2005© Index 2005
Filtrado de virus conocidosFiltrado de virus conocidos
Paquetes iniciados por virus conocidos, pueden ser Paquetes iniciados por virus conocidos, pueden ser filtrados por reglas en alguna cadena definida por el filtrados por reglas en alguna cadena definida por el usuario:usuario:/ip firewall rule virus/ip firewall rule virusadd protocol=tcp dst-port=135-139 action=drop \add protocol=tcp dst-port=135-139 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=135-139 action=drop \add protocol=udp dst-port=135-139 action=drop \ comment="Drop Messenger Worm"comment="Drop Messenger Worm"add protocol=tcp dst-port=445 action=drop \add protocol=tcp dst-port=445 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=445 action=drop \add protocol=udp dst-port=445 action=drop \ comment="Drop Blaster Worm“comment="Drop Blaster Worm“add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=12345 action=drop comment="NetBus"add protocol=tcp dst-port=12345 action=drop comment="NetBus"
© Index 2005© Index 2005
Jump a la cadena definida por Jump a la cadena definida por el usuarioel usuario
Jump a la cadena definida por el usuario desde Jump a la cadena definida por el usuario desde las cadenas input y forward despues de las las cadenas input y forward despues de las primeras dos reglas:primeras dos reglas:add connection-state=established \add connection-state=established \
comment="Established connections"comment="Established connections"
add connection-state=related \add connection-state=related \
comment="Related connections"comment="Related connections"
add action=jump jump-target=virus \add action=jump jump-target=virus \
comment=“Checando por virus“comment=“Checando por virus“
……
© Index 2005© Index 2005
Laboratorio de FirewallLaboratorio de Firewall
Proteja su router de accesos no autorizados con Proteja su router de accesos no autorizados con cadenas de input:cadenas de input: Permita acceso solo desde la red que estas usando Permita acceso solo desde la red que estas usando
en la laptop y el routeren la laptop y el router Log todo acceso no autorizadoLog todo acceso no autorizado Prueba si el acceso ha sido bloqueado desde fueraPrueba si el acceso ha sido bloqueado desde fuera
________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
© Index 2005© Index 2005
Marcado de paquetesMarcado de paquetes
Paquetes pueden cambiar sus parámetros Paquetes pueden cambiar sus parámetros iniciales, ejemplo, sus direcciones dentro del iniciales, ejemplo, sus direcciones dentro del firewall, de la misma manera los paquetes firewall, de la misma manera los paquetes pueden ser marcados para identificarlos pueden ser marcados para identificarlos después dentro del routerdespués dentro del router
Marcar es la única manera de identificar Marcar es la única manera de identificar paquetes dentro de los queues de árbolpaquetes dentro de los queues de árbol
Marcado de paquetes puede ser usado como un Marcado de paquetes puede ser usado como un clasificador para diferentes políticas de ruteoclasificador para diferentes políticas de ruteo
Siempre cheque el diagrama de la estructura del Siempre cheque el diagrama de la estructura del firewall para entender los procedimientos firewall para entender los procedimientos correctos de configuración del firewallcorrectos de configuración del firewall
© Index 2005© Index 2005
‘ ‘ Tracking’ de ConexionesTracking’ de Conexiones Connection Tracking (CONNTRACK) es un sistema que crea una Connection Tracking (CONNTRACK) es un sistema que crea una
tabla de conexiones activastabla de conexiones activas Un status es asignado para cada paquete:Un status es asignado para cada paquete:
Invalid – paquete ya no forma parte de ninguna conexión conocidaInvalid – paquete ya no forma parte de ninguna conexión conocida New – el paquete esta abriendo una nueva conexiónNew – el paquete esta abriendo una nueva conexión Established – el paquete pertenece a una conexión establecidaEstablished – el paquete pertenece a una conexión establecida Related – el paquete crea una nueva conexión relativa a alguna Related – el paquete crea una nueva conexión relativa a alguna
conexion ya abiertaconexion ya abierta El status no es necesario solamente para conexiones TCP. De El status no es necesario solamente para conexiones TCP. De
cualquier manera ‘connection’ es considerada aquí como un cualquier manera ‘connection’ es considerada aquí como un intercambio de datos de dos viasintercambio de datos de dos vias
Status es usado en los filtros de firewallStatus es usado en los filtros de firewall CONNTRACK es usado para marcar los paquetesCONNTRACK es usado para marcar los paquetes CONNTRACK es necesario para hacer NATCONNTRACK es necesario para hacer NAT
© Index 2005© Index 2005
Nat de origenNat de origen
SRC-NAT permite el cambio de dirección origen SRC-NAT permite el cambio de dirección origen y puerto a la dirección local y puerto del ruteador y puerto a la dirección local y puerto del ruteador (enmascaramiento), o algún otra dirección y (enmascaramiento), o algún otra dirección y puerto especificadopuerto especificado
Aplicación típica de SRC-NAT es esconder una Aplicación típica de SRC-NAT es esconder una red privada detrás de una o mas direcciones red privada detrás de una o mas direcciones publicaspublicas
La dirección origen trasladada debe pertenecer La dirección origen trasladada debe pertenecer al ruteador, a menos que otras medidas sean al ruteador, a menos que otras medidas sean tomadas para asegurar el uso de diferentes tomadas para asegurar el uso de diferentes direcciones.direcciones.
© Index 2005© Index 2005
Ejemplo de SRC-NATEjemplo de SRC-NAT
Especifique la dirección origen a ser Especifique la dirección origen a ser enmascarada:enmascarada:/ip firewall src-nat /ip firewall src-nat add src-address=192.168.0.0/24 add src-address=192.168.0.0/24
action=masqueradeaction=masquerade O, Especifique la interfase de salida, O, Especifique la interfase de salida,
cuando enmascaramiento deba ser cuando enmascaramiento deba ser usado:usado:/ip firewall src-nat /ip firewall src-nat add out-interface=Public action=masqueradeadd out-interface=Public action=masquerade
© Index 2005© Index 2005
Laboratorio SRC-NATLaboratorio SRC-NAT
Configura tu ruteador Configura tu ruteador para enmascarar para enmascarar trafico originado trafico originado desde tu red privada, desde tu red privada, cuando esta salga del cuando esta salga del ruteador por la ruteador por la interfase publica.interfase publica.
Usa el diagrama Usa el diagrama como guíacomo guía
© Index 2005© Index 2005
DST-NATDST-NAT
DST-NAT permite cambiar la diDST-NAT permite cambiar la direcciónrección y y el puerto del receptor a alguna otra el puerto del receptor a alguna otra dirección y puerto conocido localmente dirección y puerto conocido localmente por el ruteadorpor el ruteador o o se llegue a else llegue a el vía ruteo vía ruteo
Típicamente usado para acceder servicios Típicamente usado para acceder servicios en una red privada desde direcciones en una red privada desde direcciones publicas accediendo las direcciones publicas accediendo las direcciones publicas que enmascaran alguna redpublicas que enmascaran alguna red
© Index 2005© Index 2005
Ejemplo de Destination NATEjemplo de Destination NAT
Redireccione el puerto TCP 2323 al puerto 23 Redireccione el puerto TCP 2323 al puerto 23 del router:del router:/ip firewall dst-nat /ip firewall dst-nat
add protocol=tcp dst-address=10.5.51/32:2323 add protocol=tcp dst-address=10.5.51/32:2323 action=redirect to-dst-port=23action=redirect to-dst-port=23
O, haga NAT al puerto interno (23) del server:O, haga NAT al puerto interno (23) del server:/ip firewall dst-nat /ip firewall dst-nat
add protocol=tcp dst-address=10.5.51/32:2323 add protocol=tcp dst-address=10.5.51/32:2323 action=nat to-dst-port=23 to-dst-address= action=nat to-dst-port=23 to-dst-address= 192.168.0.250192.168.0.250
© Index 2005© Index 2005
Laboratorio de DST-NATLaboratorio de DST-NAT
Configura tu ruteador Configura tu ruteador para trasladar para trasladar paquetes con destino paquetes con destino la ip publica y puerto la ip publica y puerto 81 hacia la dirección 81 hacia la dirección interna y puerto 80 interna y puerto 80 del servidor localdel servidor local
use el diagrama use el diagrama como guíacomo guía
© Index 2005© Index 2005
Mas acerca de DST-NATMas acerca de DST-NAT
DST-NATDST-NAT permite mandar datos a algún permite mandar datos a algún servidor a otro servidor y puerto. servidor a otro servidor y puerto.
DST-NAT permite esconder varios DST-NAT permite esconder varios servidores detrás de una dirección IP. Los servidores detrás de una dirección IP. Los servidores son seleccionados por puerto, servidores son seleccionados por puerto, o por algún otro parámetro, como origen o por algún otro parámetro, como origen del paquete, etc.del paquete, etc.
© Index 2005© Index 2005
Reparando FirewallReparando Firewall
Mire los contadores de paquetes y bytes Mire los contadores de paquetes y bytes para las reglas de firewallpara las reglas de firewall
Mueva las reglas para que se ejecuten en Mueva las reglas para que se ejecuten en el orden correctoel orden correcto
LogLogueeuee los paquetes para ver que los paquetes para ver que protocolo, direcciones y puerto tienen.protocolo, direcciones y puerto tienen.
Recommended