Documente Academic
Documente Profesional
Documente Cultură
Redes con
Mikrotik y RouterOS
Abril 2015
Seguridad Informatica
Seguridad Informatica
Seguridad Informatica
Frases Famosas
Seguridad Informatica
Confidencialidad:
Preservacin del acceso a informacin y recursos nicamente por usuarios autorizados y de la
manera autorizada
Se logra a travs de la Identificacin, Autenticacin y Autorizacin
Integridad:
Preservacin de la modificacin de informacin y recursos nicamente por usuarios autorizados
y de la manera autorizada
La integridad debe ser mantenida sobre la informacin en si, al igual que sobre los mtodos de
manipulacin de la informacin
Disponibilidad:
Preservacin de la posibilidad de acceso a informacin y recursos por usuarios
autorizados, cuando sean necesarios
Previene la interrupcin de Servicio y la Prdida de Productividad
Seguridad Informatica
El triangulo Confidencialidad - Integridad -
Disponibilidad
Seguridad Informatica
Terminologia
Vulnerabilidad:
Falencia o falla en un control. Es la condicin que podra
permitir que una amenaza se ejecute, y su grado condicionar
el factor de exposicin del sistema en cuestin.
Amenaza:
Accin que impacta negativamente en la organizacin. El
Agente de Amenaza (Threat Agent), haciendo uso de la
Amenaza, explota (se aprovecha de) una Vulnerabilidad
existente
Riesgo:
Probabilidad de ocurrencia de una amenaza. El riesgo
depende directamente con el ndice de existencia y
recurrencia de la amenaza.
Seguridad Informatica
Seguridad Informatica
Frases Famosas
Seguridad en Redes
Firewall
Firewall
Analogia de Pared de Fuego utilizada para detener los
incendios forestales
Sirven principalmente para separar zonas o redes
Firewall
Donde Trabajan ?
Firewall
Los Firewall se clasifican segn como trabajen:
Por filtrado de paquete
Packet Filtering
Stateful Firewall
Pasarela de aplicaciones
Gateway de circuito
Full Application Firewall
Firewall
Primera Generacin o Packet Filtering
Inspeccionan los datos de la conexin
IP y Puertos de origen y destino y protocolo
De fcil implementacin.
Pero de difcil mantenimiento en ambientes complejos.
Tipo en las redes pequeas a medianas.
Muy alto rendimiento con procesadores muy pequeos.
Firewall
Packet Filtering
Firewall
Segunda Generacin o Statefull Inspection
Inspecciona las sesiones entre clientes y servidor.
Conceden y Filtran trafico analizando las sesiones.
Al analizar solo las cabeceras tienen un muy buen
rendimiento.
Firewall
Stateful Filtering
Firewall
Tercera Generacin o Pasarelas de aplicaciones
Tambin conocido como Application Gateway o Proxy
Inspeccin del trafico de las capas superiores
No permiten conexin directa entre las partes.
Existen dos tipos
Gateway de Circuito
NO entienen el protocolo de la capa de aplicacion
Solo restransmiten el trafico recibido
Firewall
Full Application Firewall
Firewall
Full Application Firewall
Firewall
Donde colocar el Firewall
Firewall
Esquema Tipico
Firewall
Zona Des Militarizada (DMZ)
Zona de seguridad media o baja
Donde se colocan los servicios publicos o semipublicos
En esta zona pueden ingresar usuarios externos y
desconocidos.
Existen dos tipos de zona DMZ
Segmento Simple
Sin segmento de servicio
DMZ Interna
Firewall
Segmento Simple
El router de perimetro contiene las reglas minimas de
seguridad
El Firewall principal separa la red interna de la red de
servicio donde se encuentran los servidores
Firewall
Sin Segmento de Servicio
Esquema utilizado cuando no se puede administrar el
router de frontera
Todas las polticas de seguridad en el mismo equipo.
Firewall
DMZ Interna
Es el concepto de DMZ aplicado internamente a
nuestra red
Hay porciones de la red que se las consideran de
seguridad minima o nula
Firewall
HOST Bastion
Implementaciones con equipos intermediarios seguros
y confiables
Pueden ser:
Simples: pertenecientes a una sola red
Dual Homed: pertenecientes a mas de uan red
Firewall en Mikrotik
Firewall en RouterOS
Firewall en RouterOS
Firewall en RouterOS
Filtrado en
Bridging
Filtrado en
Ruteo
Firewall en RouterOS
Filtrado de trafico
Ruteado entre dos Bridge
Firewall en RouterOS
NAT
Para manipular direcciones de origen y/o destino
Mangle
Para manipular los paquetes y/o para marcar
trafico
Firewall en RouterOS
Firewall en RouterOS
Filtrado de Trafico
Tabla Filter
Firewall en RouterOS
OUTPUT
Desde el router
FORWARD
A treves del router
Firewall en RouterOS
Firewall en RouterOS
Protegiendo el Router
Hoy en dia es indispensable progeter nuestro equipo
Se debe limitar desde donde se acceden a los
servicios
Firewall en RouterOS
Firewall en RouterOS
Firewall en RouterOS
Firewall en RouterOS
Por regla general
Ser permiten las conexiones establicdas y relacionadas
Se rechazan las conexiones invalidas
Se definen reglas limitando las conexiones nuevas
Laboratorio 31
'Firewall RouterOS'
Mikrotik RouterOS
Lab 31
Notas Practica:
Partiendo del lab30 (webproxy)
crear las reglas de filtrado para: __________________
Evitar que administren el __________________
equipo desde afuera de la __________________
LAN
__________________
Evitar que usen el servicio
__________________
DNS y el proxy desde afuera
de la LAN __________________
__________________
Realizar las pruebas de __________________
conectividad. Revisar la tabla
de conntrack
Firewall en RouterOS
Listas de Accesos
Es otra herramienta muy util al momento de definir
reglas
Permite generar listados de direcciones IP y utilizarlos
en las reglas
El revisar una lista de varias direcciones IP es mas
rapido que revisar varias reglas iguales con diferentes
IP
Estas listas pueden ser estaticas o dinamicas
Estaticas definidas por el administrador
Dinamicas como resultado de una accion de una
regla de firewall
Firewall en RouterOS
Laboratorio 32
'Listas de Acceso estaticas en RouterOS'
Mikrotik RouterOS
Lab 32
Notas Practica:
Partiendo del lab31:
__________________
Crear una lista de acceso
__________________
con un IP de la LAN
__________________
Crear dos reglas para que
solo se pueda usar el __________________
winbox si se conectan __________________
desde el IP de la lista __________________
creada
__________________
__________________
Realizar las pruebas de
conectividad. Revisar la tabla
de conntrack
Firewall en RouterOS
Laboratorio 33
'Listas de Acceso dinamicas en RouterOS'
Mikrotik RouterOS
Lab 33
Partiendo del lab32: Notas Practica:
Crear un regla para que si se __________________
conectan al puerto 888X (donde x __________________
es el numero del puesto) agregue
al IP de origen a la lista creada en __________________
el lab32 durante 5 minutos
__________________
__________________
__________________
Realizar las pruebas de conectividad
a los equipos de los otros puestos. __________________
Revisar la tabla de conntrack
__________________
Firewall en RouterOS
Connection-rate
Mide la velocidad de la conexion en bits por segundo. Pide dos parametros
0-100k es positivo para velocidades menores a 100kbps
Connection-limit
Cuenta la cantidad de conexiones establecidades desde una IP o bloque de
direcciones. Pide dos parametros
La cantidad de conexiones y la mascara de red
Firewall en RouterOS
Laboratorio 34
'Limitando conexiones en RouterOS'
Mikrotik RouterOS
Lab 34
Partiendo del lab33: Notas Practica:
Crear un regla para que no se __________________
puede descargar mas de 1MB en
__________________
una conexion TCP originada
desde la red LAN __________________
Crear una regla para que no se __________________
pueda tener mas de 3 conexiones
simultaneas TCP desde la red __________________
LAN al exterior __________________
__________________
__________________
Realizar las pruebas de conectividad
a los equipos de los otros puestos.
Revisar la tabla de conntrack
Firewall en RouterOS
Laboratorio 35
'Filtros L7 en RouterOS'
Mikrotik RouterOS
Lab 35
Notas Practica:
Partiendo del lab34:
__________________
Crear un regla para que solo
se puedan tener dos __________________
conexiones de bittorrent en __________________
forma simulteneas
__________________
Bloquear todo el resto del
trafico P2P __________________
__________________
__________________
Realizar las pruebas de __________________
conectividad a los equipos de
los otros puestos. Revisar la
tabla de conntrack
Firewall en RouterOS
NAT
Firewall en RouterOS
NAT
Network Address Translation
Traduccion de Direcciones de Red
Es una tecnica que permite
Cambiar direccion de red (IP)
Cambiar direcciones de puertos (TCP o UDP)
Si el cambio se produce en
La direccion de Origen SNAT
La direccion de Destino DNAT
Masquerade
Firewall en RouterOS
NAT Masquerade
Es una funcion especial de SNAT en donde al trafico
saliente se le cambia el IP de origen por el IP de la
interfaz de salida
Firewall en RouterOS
NAT
Si el cambio se produce en
La direccion de Origen SNAT / MASQ
El cambio se realiza despues de que el trafico
paso por la tabla de ruteo y ya conoce su interfaz
de salida (Post-Routing)
Firewall en RouterOS
Laboratorio 36
'NAT RouterOS'
Mikrotik RouterOS
Lab 36
Partiendo del lab33 (borrar las reglas Notas Practica:
del lab34 y lab35):
__________________
Crear un regla para que todo el
trafico de la red LAN salga con el IP __________________
de la interfaz Wireless (Masquerade) __________________
Crear una regla que todo el trafico
proveniente del exterior hacia el IP __________________
de la WLAN, reenviarlo hacia la PC __________________
(DNAT)
__________________
__________________
Realizar las pruebas de conectividad a __________________
los equipos de los otros puestos.
Revisar la tabla de conntrack
Firewall en RouterOS
Redirect
Permite redirigir el trafico a otro equipo
Utilizado para interceptar trafico como en los proxy transparente
Laboratorio 37
'NAT Redirect RouterOS'
Mikrotik RouterOS
Lab 37
Partiendo del lab36 : Notas Practica:
Crear un regla para activar el proxy __________________
en modo transparente
__________________
Crear una regla que todo el trafico __________________
DNS desde el interior hacia el __________________
exterior sea interceptado y
respondido desde el Router __________________
__________________
Realizar las pruebas de conectividad a
los equipos de los otros puestos. __________________
Revisar la tabla de conntrack __________________
Firewall en RouterOS
Firewall en RouterOS
Firewall en RouterOS