SILICE Capacitacion

Redes con
Mikrotik y RouterOS

Abril 2015

Seguridad Informatica
Seguridad Informatica

Seguridad Informatica

Frases Famosas

"La nica PC completamente segura es la que se

encuentre apagada, desconectada, desarmada y
guardada en una caja, en un stano rociado con gas
venenoso, vigilado por dos guardias muy bien pagos y
dos perros muy mal alimentados....... Y an as no
confiara en ella.
Seguridad Informatica
Wikipedia:
"La seguridad informtica o seguridad de tecnologas
de la informacin es el rea de la informtica que se
enfoca en la proteccin de la infraestructura
computacional y todo lo relacionado con esta y,
especialmente, la informacin contenida o circulante"

"La seguridad informtica es una serie de mecanismos

que MINIMIZAN la vulnerabilidad de bienes y recursos
informaticos"

Seguridad Informatica

Confidencialidad:
Preservacin del acceso a informacin y recursos nicamente por usuarios autorizados y de la
manera autorizada
Se logra a travs de la Identificacin, Autenticacin y Autorizacin
Integridad:
Preservacin de la modificacin de informacin y recursos nicamente por usuarios autorizados
y de la manera autorizada
La integridad debe ser mantenida sobre la informacin en si, al igual que sobre los mtodos de
manipulacin de la informacin
Disponibilidad:
Preservacin de la posibilidad de acceso a informacin y recursos por usuarios
autorizados, cuando sean necesarios
Previene la interrupcin de Servicio y la Prdida de Productividad
Seguridad Informatica
El triangulo Confidencialidad - Integridad -
Disponibilidad

Seguridad Informatica

Terminologia
Vulnerabilidad:
Falencia o falla en un control. Es la condicin que podra
permitir que una amenaza se ejecute, y su grado condicionar
el factor de exposicin del sistema en cuestin.
Amenaza:
Accin que impacta negativamente en la organizacin. El
Agente de Amenaza (Threat Agent), haciendo uso de la
Amenaza, explota (se aprovecha de) una Vulnerabilidad
existente
Riesgo:
Probabilidad de ocurrencia de una amenaza. El riesgo
depende directamente con el ndice de existencia y
recurrencia de la amenaza.
Seguridad Informatica

Seguridad Informatica

Triangulo Seguridad Funcionalidad Facilidad

Seguridad Informatica

Frases Famosas

La seguridad en Internet es una

sensacin

Seguridad en Redes

Firewall
Firewall
Analogia de Pared de Fuego utilizada para detener los
incendios forestales
Sirven principalmente para separar zonas o redes

Dispositivos destinados a filtrar trafico de Red.

El termino es originado por los bomberos y
guardabosques.
Aunque el objetivo es el mismo, desde los principios de
los 90 a la fecha ha cambiado mucho la forma de hacer la
misma tarea.
Existen implementaciones por software y por hardware.

Firewall

Donde Trabajan ?
Firewall
Los Firewall se clasifican segn como trabajen:
Por filtrado de paquete
Packet Filtering
Stateful Firewall

Pasarela de aplicaciones
Gateway de circuito
Full Application Firewall

Firewall
Primera Generacin o Packet Filtering
Inspeccionan los datos de la conexin
IP y Puertos de origen y destino y protocolo
De fcil implementacin.
Pero de difcil mantenimiento en ambientes complejos.
Tipo en las redes pequeas a medianas.
Muy alto rendimiento con procesadores muy pequeos.
Firewall
Packet Filtering

Firewall
Segunda Generacin o Statefull Inspection
Inspecciona las sesiones entre clientes y servidor.
Conceden y Filtran trafico analizando las sesiones.
Al analizar solo las cabeceras tienen un muy buen
rendimiento.
Firewall
Stateful Filtering

Firewall
Tercera Generacin o Pasarelas de aplicaciones
Tambin conocido como Application Gateway o Proxy
Inspeccin del trafico de las capas superiores
No permiten conexin directa entre las partes.
Existen dos tipos
Gateway de Circuito
NO entienen el protocolo de la capa de aplicacion
Solo restransmiten el trafico recibido

Full Aplication Gateway

Son capaces de analizar el trafico de Aplicacion y detectar
amenazas
Permiten mantener un registro bien detallado de todas las
acciones realizadas por los clientes.
Firewall
Full Application Firewall

Firewall
Full Application Firewall
Firewall
Full Application Firewall

Firewall
Donde colocar el Firewall
Firewall
Esquema Tipico

Firewall
Zona Des Militarizada (DMZ)
Zona de seguridad media o baja
Donde se colocan los servicios publicos o semipublicos
En esta zona pueden ingresar usuarios externos y
desconocidos.
Existen dos tipos de zona DMZ
Segmento Simple
Sin segmento de servicio
DMZ Interna
Firewall
Segmento Simple
El router de perimetro contiene las reglas minimas de
seguridad
El Firewall principal separa la red interna de la red de
servicio donde se encuentran los servidores

Firewall
Sin Segmento de Servicio
Esquema utilizado cuando no se puede administrar el
router de frontera
Todas las polticas de seguridad en el mismo equipo.
Firewall
DMZ Interna
Es el concepto de DMZ aplicado internamente a
nuestra red
Hay porciones de la red que se las consideran de
seguridad minima o nula

Firewall
HOST Bastion
Implementaciones con equipos intermediarios seguros
y confiables
Pueden ser:
Simples: pertenecientes a una sola red
Dual Homed: pertenecientes a mas de uan red

Generalmente no rutean, sino que implementan proxy

Firewall

Mitos alrededor de los Firewall

Si instalo un firewall ya estoy seguro

Un firewall bien configurado nunca mas hay que

tocarlo

Con un firewall protejo toda mi red

Un firewall es todo lo que necesito

Firewall en Mikrotik
Firewall en RouterOS

El Firewall de RouterOS es similar a IPTABLES

Las reglas sigen el principio de 'si . entonces ..'
Las reglas se procesan en orden
En general si una machea no se sigue comparando con
el resto

Pero en algunas cosas cambian

Se puede implementar filtrado en Capa 2 (bridge)
No se puede cambiar la politica por defecto (siempre es
'ACCEPT')
El diagrama de flujo por el que pasan los paquetes no es
exactamente igual a Linux

Firewall en RouterOS

Pero RouterOS no es Linux !

Firewall en RouterOS

Pero el Firewall de RouterOS es similar a IPTABLES

Agrupa las reglas en cadenas
INPUT, OUTPUT, FORWARD
PREROUTING, POSTROUTING

Existen cadenas predeterminadas y cadenas definidas

por el usuario

Firewall en RouterOS

Filtrado en
Bridging

Filtrado en
Ruteo
Firewall en RouterOS

Filtrado de trafico
Ruteado entre dos Bridge

Firewall en RouterOS

Pero el Firewall de RouterOS es similar a IPTABLES

Separa las reglas en tablas
Filter
Para filtrar trafico

NAT
Para manipular direcciones de origen y/o destino

Mangle
Para manipular los paquetes y/o para marcar
trafico
Firewall en RouterOS

Firewall en RouterOS

Filtrado de Trafico
Tabla Filter
Firewall en RouterOS

Las cadenas por defecto de Filter son

INPUT
Al router

OUTPUT
Desde el router

FORWARD
A treves del router

Firewall en RouterOS
Firewall en RouterOS

Protegiendo el Router
Hoy en dia es indispensable progeter nuestro equipo
Se debe limitar desde donde se acceden a los
servicios

Tambien hay que limitar que no hayan abusos sobre

los servicios
Syn Flood, DoS, DdoS, Ataques de Fuerza Bruta

Firewall en RouterOS

Para esto debemos definir reglas basicas de filtrado, como

por ejemplo
Definir desde que IP se puede administrar el equipo
(telnet, ssh, winbox, webfig, etc)
Definir por que interfaces de pueden acceder a los
servicios
Proteger otros servivios como: DNS, VPN, Proxy

Limitar la cantidad de veces por segundo que se pueden

usar o iniciar las solicitudes de servicios
Firewall en RouterOS
Las relgas a definir van a ser del tipo 'si CONDICION entonces
ACCION'
Para la CONDICION tenemos muchos recursos
IP de origen o destino
Protocolo, Puerto de origen o destino
Interfaz de ingreso o egrese
Y algunas opciones avanzadas
MAC de origen
DSCP/TOS
Tamao de paquetes
Protocolo de capa 7
Etc...

Firewall en RouterOS

Seguimiento de las conexiones

Es una de las piezas importantes del Firewall
Crea una tabla con las conexiones
Una comunicaciones es definida como un
intercambio bidireccional de datos

Definir reglas en base al estado de las conexiones

ahorra procesamiento
Firewall en RouterOS
Seguimiento de las conexiones
Es indispensable para
NAT
Firewall:
connection-bytes
connection-mark
connection-type
connection-state
connection-limit
connection-rate
layer7-protocol
p2p
new-connection-mark

Firewall en RouterOS

Seguimiento de las conexiones

Las conexiones TCP tienen estado, y es posible seguir
las mismas basados en estos estados
Nuevas, establecidas, relacionadas, invalidas
Firewall en RouterOS

Seguimiento de las conexiones

Aunque UDP no tiene estado, tambien es posible
realizar un seguimiento de una conexion UDP

Firewall en RouterOS
Por regla general
Ser permiten las conexiones establicdas y relacionadas
Se rechazan las conexiones invalidas
Se definen reglas limitando las conexiones nuevas

[admin@MikroTik] > ip firewall filter

add connection-state=established action=accept chain=input
add connection-state=related action=accept chain=input

add connection-state=invalid action=drop chain=input

Firewall en RouterOS

Laboratorio 31
'Firewall RouterOS'

Mikrotik RouterOS

Lab 31
Notas Practica:
Partiendo del lab30 (webproxy)
crear las reglas de filtrado para: __________________
Evitar que administren el __________________
equipo desde afuera de la __________________
LAN
__________________
Evitar que usen el servicio
__________________
DNS y el proxy desde afuera
de la LAN __________________
__________________
Realizar las pruebas de __________________
conectividad. Revisar la tabla
de conntrack
Firewall en RouterOS

Listas de Accesos
Es otra herramienta muy util al momento de definir
reglas
Permite generar listados de direcciones IP y utilizarlos
en las reglas
El revisar una lista de varias direcciones IP es mas
rapido que revisar varias reglas iguales con diferentes
IP
Estas listas pueden ser estaticas o dinamicas
Estaticas definidas por el administrador
Dinamicas como resultado de una accion de una
regla de firewall

Firewall en RouterOS

Laboratorio 32
'Listas de Acceso estaticas en RouterOS'
Mikrotik RouterOS

Lab 32
Notas Practica:
Partiendo del lab31:
__________________
Crear una lista de acceso
__________________
con un IP de la LAN
__________________
Crear dos reglas para que
solo se pueda usar el __________________
winbox si se conectan __________________
desde el IP de la lista __________________
creada
__________________
__________________
Realizar las pruebas de
conectividad. Revisar la tabla
de conntrack

Firewall en RouterOS

Laboratorio 33
'Listas de Acceso dinamicas en RouterOS'
Mikrotik RouterOS
Lab 33
Partiendo del lab32: Notas Practica:
Crear un regla para que si se __________________
conectan al puerto 888X (donde x __________________
es el numero del puesto) agregue
al IP de origen a la lista creada en __________________
el lab32 durante 5 minutos
__________________
__________________
__________________
Realizar las pruebas de conectividad
a los equipos de los otros puestos. __________________
Revisar la tabla de conntrack
__________________

Firewall en RouterOS

Limitando las conexiones

Los ataques de DoS se llevan a cabo consumiendo y
agotando los recursos del equipo/red atacado. Existen
algunas formas de mitigarlos.

Se pueden mitigas de dos formas

Limitando la cantidad de conexiones
Utilizar 'Tarpit'
Firewall en RouterOS
Limitando las conexiones
Existen tres herramientas utiles
Connection-bytes
Mide la cantidad de byte trasmitidos. Pide dos enteros como parametros
0-2000 es positivo hasta 2KB de trafico

2000-0 es positivo para mas 2KB de trafico

Connection-rate
Mide la velocidad de la conexion en bits por segundo. Pide dos parametros
0-100k es positivo para velocidades menores a 100kbps

100k-0 es positivo para velocidades mayores a 100kbps

Connection-limit
Cuenta la cantidad de conexiones establecidades desde una IP o bloque de
direcciones. Pide dos parametros
La cantidad de conexiones y la mascara de red

connection-limit=5,32 es positivo si desde un IP hay 5 o mas conexiones

connection-limit=5,24 es positivo si desde una red /24 hay 5 o mas conex.

Firewall en RouterOS

Limitando las conexiones

Tarpit es una tecnica para limiar el trafico de una
conexion TCP
En RouterOS es una accion posible para las reglas de
filtrado
Permite que la conexion se establezca pero no permite
que se transfiera trafico
Firewall en RouterOS

Laboratorio 34
'Limitando conexiones en RouterOS'

Mikrotik RouterOS
Lab 34
Partiendo del lab33: Notas Practica:
Crear un regla para que no se __________________
puede descargar mas de 1MB en
__________________
una conexion TCP originada
desde la red LAN __________________
Crear una regla para que no se __________________
pueda tener mas de 3 conexiones
simultaneas TCP desde la red __________________
LAN al exterior __________________
__________________
__________________
Realizar las pruebas de conectividad
a los equipos de los otros puestos.
Revisar la tabla de conntrack
Firewall en RouterOS

Laboratorio 35
'Filtros L7 en RouterOS'

Mikrotik RouterOS
Lab 35
Notas Practica:
Partiendo del lab34:
__________________
Crear un regla para que solo
se puedan tener dos __________________
conexiones de bittorrent en __________________
forma simulteneas
__________________
Bloquear todo el resto del
trafico P2P __________________
__________________
__________________
Realizar las pruebas de __________________
conectividad a los equipos de
los otros puestos. Revisar la
tabla de conntrack
Firewall en RouterOS

NAT

Firewall en RouterOS
NAT
Network Address Translation
Traduccion de Direcciones de Red
Es una tecnica que permite
Cambiar direccion de red (IP)
Cambiar direcciones de puertos (TCP o UDP)

Si el cambio se produce en
La direccion de Origen SNAT
La direccion de Destino DNAT
Masquerade
Firewall en RouterOS

NAT Masquerade
Es una funcion especial de SNAT en donde al trafico
saliente se le cambia el IP de origen por el IP de la
interfaz de salida

Firewall en RouterOS

NAT
Si el cambio se produce en
La direccion de Origen SNAT / MASQ
El cambio se realiza despues de que el trafico
paso por la tabla de ruteo y ya conoce su interfaz
de salida (Post-Routing)

La direccion de Destino DNAT

El cambio se tiene que hacer antes de que el
trafico pase por la tabla de ruteo (Pre-Routing)
Firewall en RouterOS

Firewall en RouterOS

Laboratorio 36
'NAT RouterOS'
Mikrotik RouterOS
Lab 36
Partiendo del lab33 (borrar las reglas Notas Practica:
del lab34 y lab35):
__________________
Crear un regla para que todo el
trafico de la red LAN salga con el IP __________________
de la interfaz Wireless (Masquerade) __________________
Crear una regla que todo el trafico
proveniente del exterior hacia el IP __________________
de la WLAN, reenviarlo hacia la PC __________________
(DNAT)
__________________
__________________
Realizar las pruebas de conectividad a __________________
los equipos de los otros puestos.
Revisar la tabla de conntrack

Firewall en RouterOS
Redirect
Permite redirigir el trafico a otro equipo
Utilizado para interceptar trafico como en los proxy transparente

Si no se especifica el destino, el destino sera el mismo equipo

mikrotik
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect
add chain=dstnat protocol=tcp dst-port=53 action=redirect
Firewall en RouterOS

Laboratorio 37
'NAT Redirect RouterOS'

Mikrotik RouterOS
Lab 37
Partiendo del lab36 : Notas Practica:
Crear un regla para activar el proxy __________________
en modo transparente
__________________

Crear una regla que todo el trafico __________________
DNS desde el interior hacia el __________________
exterior sea interceptado y
respondido desde el Router __________________
__________________
Realizar las pruebas de conectividad a
los equipos de los otros puestos. __________________
Revisar la tabla de conntrack __________________
Firewall en RouterOS

Service Port NAT Helper

Algunos protocolos son muy complejos y 'no se llevan
bien' con el NAT
Generalmente envian datos de los puertos o IP
utilizados en el payload del protocolo

Existen 'helper' que nos permiten identificar ese tipo de

trafico y al pasar por un equipo que hace NAT tambien
modificar esos datos

Firewall en RouterOS
Firewall en RouterOS