SEGURIDAD PERIMETRAL CON FIREWALLS

ELIZABETH AGUIRRE
RICARDO CASTAEDA
ANDRES CARVAJAL JARAMILLO

FICHA: 600088
VI TRIMESTRE

INSTRUCTOR
ALEXANDER AUGUSTO ALVAREZ

SERVICIO NACIONAL DE APRENDIZAJE SENA

MEDELLIN
2015

Historia
Mikrotikls Ltd., conocida internacionalmente como MikroTik, es una compaa
letona vendedora de equipo informtico y de redes. Vende principalmente
productos de comunicacin inalmbrica como routerboards o routers, tambin
conocidos por el software que lo controla llamado RouterOS.
La compaa fue fundada en el 1995, aprovechando el emergente mercado de la
tecnologa inalmbrica. El principal producto de Mikrotik es el sistema operativo
conocido como Mikrotik RouterOS basados en Linux.
Permite a los usuarios convertir un ordenador personal PC en un router, lo que
permite funciones comnmente utilizadas para el enrutamiento y la conexin de
redes:
Caractersticas:
Poderoso control QoS Filtrado de Trafico P2P Alta disponibilidad con VRRP
Firewall Dinmico.
Configuracin Avanzada de RedesLAN BERTERO - VALENTINI Tneles Red
Inalmbrica de alta velocidad 802.11a/b/g con WEP/WPA
Access Points virtuales HotSpot Para acceso Plug-and-Play

IMPLEMENTACION DE FIREWALL
Para la configuracin inicial del mikrotik configuramos una direccin IP, un usuario
y un password.
A la interfaz de administracin accederemos en modo grafico mediante WinBox

Configuramos las zonas o interfaces con el direccionamiento para cada una.

En el tem IP>addresses, agregamos a cada una de las interfaces la direccin IP y
mascara

TOPOLOGIA FISICA

Para una mejor administracin u orden en la configuracin podemos renombrar

cada una de las interfaces configuradas en el tem INTERFACES

Luego de la creacin de las interfaces y sus respectivos direccionamientos

estableceremos la ruta esttica para poder acceder a la red externa (Internet) en el
caso de mikrotik por tratarse de interfaces directamente conectadas el
enrutamiento se realiza de forma automtica.

CREACIN DE LA REGLA NAT.

En que consiste NAT?
La traduccin de direcciones de red (NAT) proporciona un mtodo para traducir las
direcciones de protocolo de Internet versin 4 (IPv4) de los equipos de una red a
direcciones IPv4 de equipos de una red distinta. Un enrutador IP habilitado para
NAT implementado en el punto en que una red privada, por ejemplo una red
corporativa, se encuentra con una pblica, como Internet, permite a los equipos de
la red privada obtener acceso a los equipos de la red pblica gracias a este
servicio de traduccin.
https://technet.microsoft.com/es-es/library/cc753373(v=ws.10).aspx

Para la configuracin del NAT nos dirigimos al tem IP>firewall>nat, en nuestro

caso configuraremos que la cadena de origen ser la direccin de red
172.16.1.0/24 y la interface de salida out. Interface es la WAN y la accin ser
masquerade.
Masquerade & src-nat
El primer chain para NATing es "srcnat". Es usado para aplicar acciones a los
datos salientes del router.
Al igual que los filtros de firewall, las reglas NAT rules tiene algunas propiedades y
acciones
La primera y ms bsica regla de NAT, Es solo usar la accin "masquerade".

Masquerade reemplaza la direccin IP origen en paquetes por otra determinada

(ejemplo una privada a publica) para facilitar el enrutamiento.
Por lo general, la direccin IP de origen de los paquetes que van a la Internet ser
reemplazado por la direccin de la interfaz externa (WAN)
mis_primeros_pasos_en%20mikrotik_webinar-1.pdf

La accin "src-natpermite realizar cambios en direccin IP y puerto origen de los

paquetes a unos especificados por el administrador de la red
https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja
&uact=8&ved=0CDUQFjAD&url=http%3A%2F%2Fwww.abcxperts.com%2Findex.p
hp%2Fwebinarvideos%3Ftask%3Dcallelement%26format%3Draw%26item_id%3D15%26element
%3Dc9811b55-f97b-4413-95e82eb7a3efb0bc%26method%3Ddownload&ei=fpXrVLSQLILhggS7voPQDg&usg=A
FQjCNHdoKl8gfd6DrppMJm0KD6YEoUW1A&bvm=bv.86475890,d.eXY

PRUEBA DE CONFIGURACION NAT INTERNET- LAN

Se realiza ping desde la maquina LAN hacia INTERNET y responde
correctamente

Igualmente se realiza un tracert para conocer la ruta y saltos de la peticin.

El siguiente paso es configurar reglas de acceso en el firewall que permitan el

paso de trfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos,
por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar
denegados y reglas de acceso que le permita a los usuarios de la LAN salir a
INTERNET sin problemas, pero el trfico que proviene de INTERNET debe ser
filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles.
TOPOLOGA LGICA REQUERIDA
Desde INTERNET
Hacia la DMZ est filtrado
Hacia la LAN est prohibido
Desde la LAN
Hacia la DMZ est autorizado
Hacia internet est autorizado
Desde la DMZ
Hacia la LAN est prohibido
Hacia internet est filtrado
Segn lo anterior el firewall debe ser configurado de la siguiente forma
Desde DMZ hacia LAN: Denegar Todo

Desde Internet hacia DMZ: Aceptar TCP 80 solo a la direccin de destino

192.168.1.254 (Web Pblica)
Desde LAN hacia la (DMZ o Internet):
Aceptar TCP 80 y 443 (HTTP y HTTPS)
Regla para trfico desde internet hacia la LAN para los protocolos FTP, HTTP,
SMTP.
Como primera medida configuramos una regla general que bloquee todo el trfico
hacia las interfaces, esto nos permitir tener un control de la reglas que iremos
configurando de forma especfica de acurdo a lo que debemos permitir en nuestro
firewall.
Para configurar las reglas nos dirigimos a la ruta IP>FIREWALL>FILTER RULES

Primer regla: denegar todo el trfico entre interfaces:

La sentencia es: [admin@MikroTik] > ip firewall filter add protocol=icmp
action=accept chain=input comment="DENIEGO ICMP"
[admin@MikroTik] > log print
firewall,info PING DENEGADO
00:21:70:fd:e3:25, proto ICMP

input:

in:ether1

out:(none),

src-mac

El siguiente paso es configurar las reglas permisivas

Configurar reglas de acceso en el firewall que permitan el paso de trfico desde
INTERNET hacia la LAN solo para 3 protocolos y 5 puertos.
La regla seria de esta forma: Todo trfico que venga desde internet, y que valla
hacia la direccin 172.16.1.0 en el puerto TCP 80, traducir su direccin de destino
por la 192.168.1.4 en el puerto 80

Realizar accin

La siguiente regla debe ser que trfico que proviene de INTERNET debe ser
filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles
CONFIGURACIN DE REGLA
Un equipo que este en internet, y valla a acceder a la DMZ, no puede llegar al
equipo 10.0.0.2, porque de no debera saber que una red privada, entonces se
dirige a la ip 192.168.1.4 (IP del firewall en internet) y este sabe, que una peticin,
a determinado puerto, debe llevarla al equipo 10.0.1.2, es decir, debe traducir la
direccin de destino (dstnat)
Para la verificacin de la regla se configura un servidor web (red DMZ) y se
accede via web a ella desde internet.

CIBERGRAFIA
http://www.frsn.utn.edu.ar/tecnicas3/problemas/Configuracion%20avanzada%20de
%20redes.pdf
http://www.adslzone.net/postt351181.html
http://www.mikroways.net/2009/07/24/administracion-del-firewall-en-mikrotik/
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
https://www.mikrotik.com/documentation/manual_2.4/IP/Firewall.html