16020012 Mikrotik Tutorial

email: [email protected] 1 UNIVERSIDAD BLAS PASCAL Ingeniera en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacin de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodolgico: Ing. Arguello - 2008 - email: [email protected] 2 ndice Introduccin ................................................................................................................. 4 Metodologa ................................................................................................................. 7 Resultado y discusin ................................................................................................... 9 Estudio bibliogr#fico de Mikrotik RouterOS............................................................. 9 Caractersticas principales..................................................................................... 9 Caractersticas de ruteo ......................................................................................... 9 Caractersticas del RouterOS............................................................................... 10 Calidad de servicio (QoS) ................................................................................... 10 Tipos de colas ................................................................................................. 10 Colas simples .................................................................................................. 10 %rboles de colas.............................................................................................. 10 Interfases del RouterOS ...................................................................................... 11 Herramientas de manejo de red ........................................................................... 11 Estudio descriptivo de la empresa Royaltech........................................................... 12 Router CBA........................................................................................................ 14 Sub-red Administracin ...................................................................................... 16 Sub-red Ventas.................................................................................................... 18 Sub-red Produccin............................................................................................. 20 Sub-red Hotspot .................................................................................................. 21 Sub-red Servidores.............................................................................................. 22 Dise'o de la implementacin virtualizada de la red. ................................................ 23 Instalacin de Mikrotik RouterOS....................................................................... 23 Logueo al Mikrotik ............................................................................................. 27 Backup y Restore de Configuracin .................................................................... 30 Backup de la configuracin. ............................................................................ 30 Restore de la configuracin. ............................................................................ 32 Definicin y configuracin de interfases. ................................................................ 33 Asignacin de nombres a las interfases................................................................ 33 Definicin de Vlans ............................................................................................ 40 Asignacin de DireccionesIPs a las interfases .................................................. 43 Definimos UPnP para las interfases:.................................................................... 48 Configuracin Pools de Direcciones de IP........................................................... 50 Definir DNS........................................................................................................ 52 Nat Masquerade para todas las redes ................................................................... 53 Configuracin Servidor DHCP................................................................................ 54 Asignacin de direcciones de ip fijas a partir de direcciones MAC. ..................... 59 Configuracin Servidor - Cliente NTP: ................................................................... 61 Servidor NTP...................................................................................................... 61 Cliente NTP........................................................................................................ 61 Servidor y Cliente PPPoE ....................................................................................... 64 Configuracin Servidor PPPoE ........................................................................... 64 Configuracin Cliente PPPoE: ............................................................................ 66 Servidor Cliente PPTP ......................................................................................... 69 Configuracin Servidor PPTP: ............................................................................ 69 Configuracin Cliente PPTP ............................................................................... 72 email: [email protected] 3 Servidor Web Proxy................................................................................................ 80 Bloqueo Pornografa ........................................................................................... 87 Bloqueo paginas que brinden el servicio de Web Messenger ............................... 89 Bloqueo del Live Messenger A Travs del Proxy................................................ 91 Bloqueo de p#ginas que brinden webmail............................................................ 92 Bloqueo descarga directa de archivos MP3 y AVI............................................... 93 Bloqueo descarga directa de archivos RAR, ZIP, EXE........................................ 94 Bloqueo Archivos RAR................................................................................... 94 Bloqueo Archivos ZIP..................................................................................... 95 Bloqueo Archivos EXE................................................................................... 95 Balanceo de carga................................................................................................... 96 Control de ancho de banda .................................................................................... 106 Asignacin de ancho de banda por sub red ........................................................ 106 Traffic Shaping de (P2P)................................................................................... 109 Liberacin del ancho de banda fuera del horario de trabajo ............................... 115 Firewall ................................................................................................................ 119 Bloqueo de los P2P para redes de ventas y produccin...................................... 119 Bloqueo del cliente MSN Live Messenger......................................................... 121 Redireccionamiento de puertos.......................................................................... 125 Puerto 80 WEB............................................................................................. 125 Puerto 110 POP3........................................................................................... 126 Puerto 25 SMTP............................................................................................ 127 Puerto 1723 PPTP......................................................................................... 128 Descartar conexiones inv#lidas.......................................................................... 131 Aceptar conexiones establecidas ....................................................................... 132 Acepta Trafico UDP.......................................................................................... 133 Acepta icmp Limitados ..................................................................................... 134 Descarta excesivos icmp ................................................................................... 135 Descarta el resto de las conexiones externas...................................................... 136 Configuracin Hot Spot ........................................................................................ 138 Servidor de SNMP................................................................................................ 158 Configuracin Servidor SMNP ............................................................................. 159 Servidor Radius .................................................................................................... 164 Configuracin Servidor Radius ......................................................................... 164 Configuracin MySQL...................................................................................... 167 Configuracin dialup admin.............................................................................. 168 Configuracin servidor - cliente Jabber ................................................................. 175 Servidor Jabber ................................................................................................. 175 Cliente Jabber ................................................................................................... 176 Sniffing de Paquetes ............................................................................................. 183 Instalacin Ntop................................................................................................ 183 Instalacin Wireshark........................................................................................ 186 Conclusin................................................................................................................ 197 Bibliografa .............................................................................................................. 198 email: [email protected] 4 Introduccin Hoyporhoylarealidadnosdicequelasredesinform#ticas,sehanvuelto indispensables,tantoparalaspersonascomoorganizaciones.Lesda oportunidad de interactuarconelrestodelmundo,yaseapormotivoscomerciales,personaleso emergencias. La optimizacin en el uso de los sistemasinform#ticos es uno de los elementos deinteraccinydesarrolloquerigelosdestinosdelacienciainform#tica.Esporello que la aparicin de las plataformas de interconexin de equipos de computacin o redes inform#ticas.Lasmismasresultanserunodeloselementostecnolgicosm#s importantes al momento de definir un sistema inform#tico en una organizacin. Entrelasprincipaleslasventajasquelebrindaaunaempresa elusoderedes inform#ticas,podemosdetallaralgunas:compartirrecursosespecialmenteinformacin (datos), proveer la confiabilidad, permite la disponibilidad de programas y equipos para cualquierusuariodelaredqueaslosolicitesinimportarlalocalizacinfsicadel recursoydelusuario.Permitealusuariopoderaccederaunamismainformacinsin problemasllev#ndolo de un equipo a otro. Tambin es unaforma de reducirlos costos operativos, compartiendorecursosdehardwarey/odesoftwareentrelasdiversas computadoras de su empresa. LaempresaROYAL-TECH seencuentraubicadaenlaciudaddeCrdoba, dichaempresacuentacontres#reas,administracin,ventasyproduccin.Adem#s cuenta con una oficina de ventas en la ciudad de Buenos Aires.Enlos*ltimosdosa'oslaempresacreciabruptamente, pasodetener200 puestosdetrabajoa600puestosdetrabajo;locualacarreounaseriedeproblemas estructurales a nivel inform#tico. Entonces se decidi dise'ar una nueva red inform#tica la cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva redla empresapodr#contarcondosproveedoresdeInternetsimult#neos,loscualesse distribuir#nbalaceadamente enel#readeventas.Estoesdebidoalagranutilizacin que se produce en esta sub-red del ancho de banda. Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una delas conexiones,la empresa siempre posea conectividad con el exterior. email: [email protected] 5 Dicharedinform#ticadeber#proveerservicioaltotaldelaempresacon600 puestos de trabajo distribuidos en sus tres #reas y se deber# crear una red virtual privada (VPN) para interconectar la oficina de ventas ubicada en la ciudad de Buenos Aires, con laoficinadeventassituadaenlaciudaddeCrdoba.Brind#ndoleunaconexinm#s r#pida y segura, considerando aspectos econmicos y tecnolgicos.En el presente trabajo se documenta la configuracin y puesta a punto de una red ascomoladefinicindelaspolticasdeseguridaddelaredparaunfuncionamiento flexible y ptimo. Tras un an#lisis y estudio de las necesidades particulares de cada caso, se creara unaredconcuatrosub-redes:LANAdministracin,LANVentas,LANProduccin, LAN Servidores.Seutilizar#unservidorDHCPparacadaunadelassub-redes,conlocual logramosasignarautom#ticamentelasdireccionesIPacadaunodelospuestosdelos usuariosdentrodecadasub-red.Paralasub-reddeservidoresselesasignauna direccin IP dependiendo del n*mero de MAC que tengael servidor.Secrearaservidorntpyusuariontp,parasincronizarlahoracontodoslos usuarios.TambinsecrearaunservidorPPTP;queeselservidorVPNconelcualse conecta la oficina de Ventas de Buenos Aires a nuestra red deriv#ndola a la red del #rea de Ventas. Se configura un servidor SNMP. Dicho servidor nos muestra el estado de las interfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik Se aplicara polticas de control de ancho de banda, por sub-redes o por puesto de trabajo.ElcontroldeanchodebandadelosP2Pser#aplicadoalaredde administracinporpolticadelaempresa.Tambinelfiltradototaldelosp2pser# aplicado a las redes del las #reas de Ventas y Produccin SebloquearaenlospuestodeusuarioelMSNLiveMessenger ysecrear#un servidor llamado JABBER de mensajera privada de la empresa.Lainstalacin deun Web Proxy, se utilizar# para la optimizacin delancho de banda utilizado en Internetyfiltrado de p#ginasno aptas.Su funcionamiento consiste en guardar en un discofijo todaslas p#ginas quesehayanvisitado. A propsito para email: [email protected] 6 que cuando un nuevo usuario desee visitar una de las paginas ya guardadas. Entonces el servidorautom#ticamenteleenvalap#ginaguardadadeldiscofijoynoladescarga desde la Web. Haciendo este proceso mucho m#s r#pido y eficiente. Liberacindelanchodebandafueradelhorariodetrabajo:Debidoaquela empresa no trabaja las 24hs al da, se dispuso la posibilidad de liberar el ancho de banda paralareddeAdministracin,enunrangohorariodeterminado.Paraelloloprimero que debemos hacer es una nueva cola que la habilitaremos en los horarios de 20:00hs a 06:00hs.Dicharedseimplementaracon MikrotikRouteros,elmismoesunsistema operativoysoftwaredelrouter;elcualconvierteaunaPCIntelunMikrotik RouterBOARD enunrouterdedicado.Setomaestadecisinyaqueestosequipos brindan seguridad, flexibilidad y son muy econmicos lo cual es un gran beneficio para la empresa, ya que la red es de un tama'o considerable. Enelpresentetrabajoseanalizaralaimplementacindeunaredsimuladacon Mikrotik en la empresa virtual Royal Tech email: [email protected] 7 Metodolog#a 1.Estudio Exploratorio bibliogrfico sobre el manual de referencia de Mikrotik y normas internacionales. Se busco informacin en el manual de referencia, se tuvo en cuenta las normativas y reglamentaciones internacionales. 2.Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de An#lisis del entorno organizacional de Royaltech Se re dise'o la red teniendo en cuenta. 2.2.Variables Las nuevas #reas de la empresa Cantidad de puestos de trabajos Interfaces a utilizar. Redes Virtuales Privadas Servidor de monitoreo SNMP Servidor de autenticacin RADIUS Servidor de mensajera privada JABBER Seguridad. Modelado de colas de tr#fico. Tr#fico cursado. 3.Dise#o de la implementacin virtualizada de la red, para la empresa Royal Tech utilizando mikrotik. Los pasos y procedimientos para la implementacin del Mikrotik fueron: Instalacin Mikrotik Acceso al Mikrotik email: [email protected] 8 Declaracin de interfaces Definicin Vlans Asignacin de direccin ip por interfaces Asignacin de pools de direcciones ips Configuracin servidor DHCP Instalacin del servidor y cliente NTP. Servidor VPN Balanceo de carga Control de ancho de banda Instalacin servidor SNMP Instalacin servidor RADIUS Instalacin servidor JABBER Instalacin servidor PROXY Configuracin Hotspot. email: [email protected] 9 Resultado y discusin Estudio bibliogrfico de Mikrotik RouterOSDicha red seimplementara conMikrotik RouterOS que es el sistema operativo y software del router, el cual convierte a una PC Intel un Mikrotik RouterBOARDen un router dedicado. Se toma esta decisin ya que estos equipos brindan seguridad, flexibilidad y son muyeconmicos,locualesungranbeneficioparalaempresayaquelaredesdeun tama'o considerable

ElRouterOSesunsistemaoperativoysoftwarequeconvierteaunaPCenun ruteadordedicado,bridge,firewall,controladordeanchodebanda,puntodeacceso inal#mbrico,porlotantopuedehacercasicualquiercosaquetengaqueverconlas necesidadesde red, adem#s de ciertas funcionalidad como servidor.

ElsoftwareRourterOSpuedeejecutarsedesdeundiscoIDEmemoriatipo FLASH.Estedispositivoseconectacomoundiscorgidocom*nypermiteaccedera las avanzadas caractersticas de este sistema operativo. Caracter#sticas principales El Sistema Operativo es basado en el Kernel de Linux y es muy estable. Puede ejecutarse desde discos IDE o mdulos de memoria flash.Dise'o modularMdulos actualizablesInterfaz grafica amigable. Caracter#sticas de ruteo Polticas de enrutamiento. Ruteo est#tico o din#mico.Bridging, protocolo spanning tree, interfaces multiples bridge, firewall en el bridge. email: [email protected] 10 Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP.Cache: web-proxy, DNS.Gateway de HotSpot.Lenguaje interno de scripts.

Caracter#sticas del RouterOS Filtrado de paquetes por: Origen, IP de destino. Protocolos, puertos. Contenidos (seguimiento de conexiones P2P). Puede detectar ataques de denegacin de servicio (DoS) Permite solamente cierto n*mero de paquetes por periodo de tiempo.

Calidad de servicio (QoS) Tipos de colas RED BFIFO PFIFO PCQ Colas simples Por origen/destino de red. Direccin IP de cliente. Interfase

&rboles de colas Por protocolo. Por puerto. email: [email protected] 11 Por tipo de conexin. Interfases del RouterOS

Ethernet 10/100/1000 Mbit. Inal#mbrica (Atheros, Prism, CISCO/Airones) Punto de acceso o modo estacin/cliente, WDS. Sncronas: V35, E1, Frame Relay. Asncronas: Onboard serial, 8-port PCI. ISDN xDSL Virtual LAN (VLAN)

Herramientas de manejo de red

Ping, traceroute. Medidor de ancho de banda. Contabilizacinde tr#fico. SNMP.Torch. Sniffer de paquetes.

Estassonlasprincipalescaractersticasdelsistemaoperativoysoftware Mikrotik RouterOS elegido para la implementacin de la red virtualizada. email: [email protected] 12 Estudio descriptivo de la empresa Royaltech Despus de haber hecho un an#lisis exhaustivo de la estructura de Royaltech,se pudo diagramar la estructura de cmo estaba conformada dicha empresa. Tenemosunasub-reddeadministracin,lacual,cuentaconunservidorde archivos que se utiliza para brindar dicho servicio a todas las otras redes. Esto acarrea el problema de que se genera demasiado tr#fico de datos hacia la red de Administracin, lo cual produce congestin y altas pedidas de paquetes. Por ende tenemos descontento del personaldelaempresaaligualqueineficienciadelosmismos.Adem#sposeeuna impresora en la red del tipo hogare'a para que impriman todas las otras sub-redes. Tener una sola impresorale trajo muchos inconvenientes a la empresa debido a quesegenerancolasinterminablesdedocumentosaimprimir.Tambin,laimpresorase rompe cotidianamente debido al exceso de carga. Otro inconveniente que se produce es el ingreso de personal ajeno al #rea de administracin. Esto genera lentitud a la hora de trabajary perdida de tiempo delosempleados parair abuscar sus documentos ala impresora en otra #rea. Rotura de mobiliario en la zona en cuestin al igual que lafalta injustificada de insumos. Lassub-redesdeVentasyProduccinsimplementeposeenpcsconectadasa travs de unswitch. Todo este grupo de computadoras acceden alservidor de archivos al igual que la impresora a travs del router principal. email: [email protected] 13 Elrouterencuestin,noesunrouterdealtaproductividad,conlocualse generangrandesproblemasdecongestin,debidoaquenopuedeadministrarlagran cantidad y volumen de informacin que transita por la red. Los switch en cada una de las #reas son idnticos. Ninguno posee la habilidad de poderadministrarsuspuertos,aligualqueest#nimposibilitadosdegenerarvlano cualquier otro tipo de poltica que se pueda generar en otro tipo de switch. Debido a esta disposicin de red y los constantes problemas tcnicos que posee, al igual que la pedida de tiempo de los recursos humanos de tener que desplazarse hasta otro piso para buscar sus impresiones. Por eso la empresa decidi la reestructuracin de su red para optimizar y mejorar la produccin de la misma y sus recursos humanos. Luegodeexaminardichasituacinsedecidiplanificartodauna reestructuracindelarednueva.Locualsolucionar#losproblemasdecongestinal igual que proveer# mayor productividad. Lo cual traer# grandes beneficios. email: [email protected] 14 La nueva red planeada posee dos nuevas sub-redes, una un hotspot y la otra una sub-reddeservidores.Tambinenestanuevareestructuracinseinterconectaralas oficinas deventas que est#n ubicadas enla ciudad de Buenos Aires conlas oficinas de ventas en la ciudad de Crdoba. Asimismo se opto por la utilizacin de dos proveedores deInternetdistintos,debidoaqueconstantementeposeanproblemasdecadadel servicio de ADSL. Se dejo a este ultimo como backup de las dos otras conexiones. Router CBA Nuestro router en las oficinas de Crdoba esta basado en la plataforma Intel con dos placas de red que poseen 4 puertos Gigabit Ethernet cada una. El sistema operativo para la implementacin ser# Mikrotik RouterOs. Elrouterproveer#devariosserviciosparalared.Enloscualespodemos encontrarServidorDHCP,Firewall,ServidorPPPoE,ClientePPPoE,ServidorPPTP Server, Modelado de colas, Cliente NTP, Servidor NTP, Web Proxy, Hotspot. ElservidorDHCP,nosbrindaralasdirecciondeIP,Gateway,broadcast,dns para cada una de a las sub redes. email: [email protected] 15 El Firewall se utilizar# para las siguientes actividades: Bloqueo del cliente MSN Live Messenger.Bloqueo P2P para redes Produccin y Ventas. Redireccionamiento de puertos. oPuerto 80 WEB. oPuerto 110 POP3. oPuerto 25 SMTP. oPuerto 1723 PPTP. Descartar conexiones inv#lidas. Aceptar conexiones establecidas. Acepta Trafico UDP. Acepta paquetes de icmp Limitados. Descarta excesivos paquetes de icmp Descarta el resto de las conexiones externas El servidor PPTP, ser# utilizado para interconectar las oficinas de Buenos Aires y Crdoba. El servidor PPPoE ser# utilizado para autenticar a los usuarios que se deseen loguear desde fuera de la red de produccin. El cliente PPPoEse utilizar# en el caso improbable que las dos otras conexiones a Internet se caigan. Con lo cual se utilizar# como ruta alternativa de backup. El modelado de colas se utilizar# para asignarle un determinado ancho de banda a cada una de las sub redes. Al igual se utilizar# el modelado de colas para el control de ancho de banda para los clientes P2P El cliente NTP, se utilizar# para sincronizar la hora de nuestro mikrotik. El servidor NTP se utilizar# para que las computadoras de la red estn sincronizadas. email: [email protected] 16 El Web Proxy se utilizar# para filtrar el contenido que los usuarios realicen al navegar a travs de Internet. Para ello se aplicaran las siguientes polticas: Bloqueo Pornografa Bloqueo paginas que brinden el servicio de Web MessengerBloqueo del Live Messenger A Travs del Proxy Bloqueo de p#ginas que brinden webmailBloqueo descarga directa de archivos MP3 y AVI Bloqueo descarga directa de archivos RAR, ZIP, EXE Sub-red Administracin Lanuevarestructuracindelasub-reddeadministracinsediodebidoalalto tr#fico que tenan entre todas las otras redes. A esta sub-red se decidi cambiar el switch que posea para utilizar un switch de alta productividad. email: [email protected] 17 Nuestrasub-redposeer#unpooldeimpresorasderedparaestasola#rea.Esto disminuir#eltr#ficodeimpresinaligualqueeltr#ficodepersonalajenoa Administracin. Asimismo se le instalar# un servidor de archivos propio de administracin en el cual se encontrar# exclusivamente los archivos de dicha ara. Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.2.5/24al 192.168.2.254/24.Sedecididejarlasdireccionesdesdeel192.168.2.2/24al 192.168.2.4/24 fuera de este rango para el caso de que se quieran instalar alg*n otro tipo deservidoresendicha#reaenunfuturoprximo.Losn*merosdeipasignadosalos servidores ser#n asignado mediante la direccin mac de cada uno. Lareddeadministracinser#conectadaatravsdelswitchalroutermediante un backbonede 1Gbit Ethernet. El cual ser# limitado mediante teora de colas simples a 250M/bits de subida y300M/bits de bajada. Debido a que dentro del #rea de administracin se encuentra gerencia, la misma autoriz la utilizacin de los P2P para dicha #rea. El trafico P2P ser# modelado para que no ocupe gran cantidad de ancho de banda. email: [email protected] 18 Sub-red Ventas A esta sub-red se le decidi cambiar el switch que posea para utilizar un switch de alta productividad. Nuestrasub-redposeer#unpooldeimpresorasderedparaestasola#rea.Esto disminuir#eltr#ficodeimpresinaligualqueeltr#ficodepersonalajenoa Administracin.Asimismo se le instalar# un servidor de archivos propio de ventas en el cual se encontrar# exclusivamente los archivos de dicha ara. Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.3.5/24al 192.168.3.254/24.Sedecididejarlasdireccionesdesdeel192.168.3.2/24al 192.168.3.4/24 fuera de este rango para el caso de que se quieran instalar alg*n otro tipo email: [email protected] 19 deservidoresendicha#reaenunfuturoprximo.Losn*merosdeipasignadosalos servidores ser#n asignado mediante la direccin mac de cada uno. Lareddeventasser#conectadaatravsdelswitchalroutermedianteun backbonede1GbitEthernet.Elcualser#limitadomedianteteoradecolassimplesa 400M/bits de subida y300M/bits de bajada. Estasub-redalbergaratambinlaspcsdelaoficinadeBuenosAires.Dicha oficinaser#conectadaalasoficinasdeCrdobamedianteunaVPN.Seutilizar#el protocolo PPTPpara crear el t*nel. El tr#fico de P2P quedar# bloqueado absolutamente para esta sub-red. Ya que se prohibi el trafico p2p para esta #rea. ParacontrarestarlacargahaciaInternetdesdeestared,sedecidirealizarun balanceodecargaentrelosdosproveedoresdeInternet.Locualtraer#grandes email: [email protected] 20 beneficioyaquenodesbordaraunosolodelosenlaces.Sinotodoeltr#ficogenerado ser# balanceado entre ambas conexiones. Sub-red Produccin Alasub-reddeproduccinsedecidicambiarleelswitchqueposeapara utilizarunswitchdealtaproductividad,quenosbrindelaposibilidaddeadministrar puertos. Nuestrasub-redposeer#unpooldeimpresorasderedparaestasola#rea.Esto disminuir#eltr#ficodeimpresinaligualqueeltr#ficodepersonalajenoa Administracin. Asimismo se le instalar# un servidor de archivos propio de produccin en el cual se encontrar# exclusivamente los archivos de dicha ara. email: [email protected] 21 Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.4.5/24al 192.168.4.254/24.Sedecididejarlasdireccionesdesdeel192.168.4.2/24al 192.168.4.4/24 fuera de este rango para el caso de que se quieran instalar alg*n otro tipo deservidoresendicha#reaenunfuturoprximo.Losn*merosdeipasignadosalos servidores ser#n asignado mediante la direccin mac de cada uno. Lareddeventasser#conectadaatravsdelswitchalroutermedianteun backbonede1GbitEthernet.Elcualser#limitadomedianteteoradecolassimplesa 350M/bits de subida y400M/bits de bajada. Estasub-redposeer#laposibilidadqueusuariosqueestnenotras#reasdela empresa, se puedan conectar a esta sub-red mediante PPPoE. El tr#fico de P2P quedar# bloqueado absolutamente para esta sub-red. Ya que se prohibi el trafico p2p para esta #rea. Sub-red Hotspot email: [email protected] 22 Laredhotspotesunanuevaredquesedecidiimplementardebidoaquela empresa ahora posee un #rea de recreacin. La misma red solo poseer# la capacidad de navegar a travs de Internet. Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.10.2/24al 192.168.10.254/24. Paralaproteccindelosdatosenlaseccinwirelesssedecidiasegurarlosmediante WPAPSKoWPA2PSK.Estonosdar#fiabilidadyseguridadenlosmismos.No obstantelaseguridadWPAxquesedeseeimplementar,todoslosusuariosquese conecten al hotspot deber#n ser autenticados mediante el servidor radius instalado en la granja de servidores. Sub-red Servidores email: [email protected] 23 Alasub-reddeServidoressedecidicambiarleelswitchqueposeapara utilizarunswitchdealtaproductividad,quenosbrindelaposibilidaddeadministrar puertos. Nuestrasub-redposeer#unpooldeimpresorasderedparaestasola#rea.Esto disminuir#eltr#ficodeimpresinaligualqueeltr#ficodepersonalajenoa Administracin. Losn*merosdeip,Gateway,Broadcastydns,ser#nasignadosporelrouter mikrotikmedianteDHCP.ElRangodedireccionesser#desde192.168.1.5/24al 192.168.1.254/24.Losn*merosdeipasignadosalosservidoresser#nasignado mediante la direccin mac de cada uno. Asimismo se le instalar# un servidor de archivos propio de administracin en el cual se encontrar# exclusivamente los archivos de dicha ara. Enestasub-redseinstalar#unservidorradiusparalaautenticacindelos usuarios que se conecten desde el hotspot. Elservidordecorreodelaempresaseencontrar#dentrodeestasub-red.Este servidor se utilizar# tanto para correo interno al igual que correo externo. El servidor de SNMP se utilizara para la monitorizacin de la red. Dise#o de la implementacin virtualizada de la red. Instalacin de Mikrotik RouterOS A continuacin vamos a mostrar paso por paso como se realiza la instalacin de Mikrotiksobreunaplataformax86.Laplataformacuentacon2placasderedpcique poseen4bocasderedgigabyteEthernet.Utilizaremos2bocasparaconectarnosados proveedoresdeInternetdistintosyunaterceraparaconectarnosaunproveedorde email: [email protected] 24 ADSL.Elrestodelasplacasseutilizaranparaladistribucindenuestraredinterna. Utilizaremos la versin 2.9.27 Nivel 6 del software Mikrotik Router Os. Booteamos con un CD que contenga la imagen del Mikrotik RouterOs ya quemada. Luego nos aparecer# el men* de instalacin que nos preguntar# que paquetes deseamos instalar. Para desplazarnos por elmen* utilizamoslas teclaP oN o sinolasflechas del teclado.ParaseleccionarodeseleccionarlospaquetesainstalarutilizamoslaBarra Espaciadora.LuegopresionamoslateclaIparacomenzarlainstalacinlocalen nuestra plataforma. Los paquetes seleccionados para nuestra configuracin son los siguientes: System:Paqueteprincipalqueposeelosserviciosb#sicosaligualquelos drivers b#sicos. Ppp: Provee de soporte para PPP, PPTP, L2TP, PPPoE e ISDN PPP. Dhcp: Servidor y cliente DHCP. Hotspot: provee de un hot spot. Hotspot-fix:Proveeelparcheparaactualizarelmodulohotspotquetiene problemas en las versin 2.9.27. Ntp: Servidor y cliente NTP. email: [email protected] 25 Routerboard: provee de las utilidades para el routerboard. Routing: Provee soporte para RIP, OSPF y BGP4. Rstp-bridge-test: provee soporte para Rapid Spanning Tree Protocol. Security: Provee soporte para IPSEC, SSH y conectividad segura con Winbox. Telephony: Provee soporte para H.323. Ups: provee soporte para UPS APC. User-manager: Servicio de usuario del RouterOs Web-Proxy: Paquete para realizar un Web Proxy. wireless-legacy:ProveesoporteparaplacasCiscoAironet,PrismII,Atheros entre otras. Luegolainstalacinnospreguntasideseamosquedarnosconlaconfiguracin anterior,contestamos que no N. Lasiguientepreguntahacereferenciaaqueperderemostodoslosdatosquese encuentran en el disco fijo le contestamos que si Y. A continuacin comienza el proceso de particionado y formateado del disco fijo que es autom#tico y no nos hace ning*n tipo de preguntas. Luego nos dice que presionemos Enter para que el sistema se reinicie. Seguidamentequesereiniciaelsistema,nospreguntasideseamoschequearla superficie del disco fijo le contestamos que si Y. Luegocomienzalainstalacindelospaquetesseleccionadosconanterioridad.Al finalizardichoprocesonospidequepresionemosEnternuevamenteparareiniciarel sistema. email: [email protected] 26 Conelsistemareiniciadoeinstalado,laconsolanospideelusuarioycontrase'a. Por defecto dicho nombre de usuario es: admin y para la contrase'a se deja el casillero en blanco y se presiona enter. Acontinuacinnos dalabienvenidaynos pregunta si deseamosleerlalicencialo cual contestamos que si Y. email: [email protected] 27 Luego de haber ledo la licencia ya nos queda la consola para comenzar a configurar nuestro Mikrotik. Logueo al Mikrotik HayvariasmanerasparaaccederalaadministracindelMikrotiksinhaber configurado nada en un principio. Laprimeraesdirectamentedesdelaconsolafinalizadalainstalacin,otro mtodo es utilizando una consola Telnet a travs delel puerto serie o Ethernet por mac oip,sinomediantelautilizacindelsoftwarewinbox,elcuallobrindalos desarrolladores de Mikrotik. Debido a la flexibilidad, rapidez y ventajas que presenta la utilizacin de winbox respectoalosotrosmtodos,steser#lamaneraconlacualrealizaremosla configuracin de la red. email: [email protected] 28 Desde una PC remota con Windows xp instalado. Conectados mediante un cable cruzadoalMikrotikalpuertoEthernet.HacemoscorrerelsoftWinbox,elcualnos brindara una ventana para loguearse al Mikrotik. EnestaventananosdejaintroducirlasdireccionesMacoipdelaplacadel Mikrotik a la cual estamos conectados. Debido a que no hemos configurado el Mikrotik desdelaconsola.Hacemosclicen()estohar#queelsoftwarenosdevuelvalas direcciones Mac de las interfases de red que posean un Mikrotik instalado y corriendo.SeleccionamoslainterfaseyluegoutilizaremosdeLogin:adminycomoPassword: (nada). Al finalizar esta carga de datos hacemos clic en Connect. LuegocuandoelsoftseconectaalMikrotikautom#ticamenteempiezaa descargar los plugins instalados en el Mikrotik para poder administrarlos remotamente. email: [email protected] 29 Alfinalizarladescargadelospluginsnosaparecelapantalladeconfiguracin delMikrotik.Enlacualamanoizquierdaseencuentraelmen*deconfiguracinde cada uno de los mdulos instalados. Enlabarrasuperiordelsoftwarenosencontramosconlabarradeherramienta. Enlamismasobremanoizquierdaposeelasopcionesdeundoyredo.Sobremano derecha podemos encontrar dos iconos, el primero muestra la utilizacin del Mikrotik y el segundo nos indica si la conexin que estamos realizando es segura o no. email: [email protected] 30 Backup y Restore de Configuracin Debido a los problemas que pueden producirse en los equipamientos, siempre es buenapolticatenerbackupdetodaslasconfiguracionesdelossistemas.Ahora mostraremos como se realizar un backup de la configuracin y como se recupera. Backup de la configuracin. PrimeronosDirigimosalmen*FILESallsenosabrir#unaventanaynos mostrar#losarchivosqueseencuentranalmacenados.Debemoshacerclicsobreel botn de BACKUP para realizar nuestro backup. Luego de haber hecho clic nos aparece un nuevo archivo en la lista que poseamos, que es nuestro backup de toda la configuracin del Mikrotik. email: [email protected] 31 Sabiendo que el almacenamiento puede fallar, siempre es bueno tener una copia de resguardo en otro sitio. Para ello debemos hacer lo siguiente. Seleccionamos el archivo de backup que deseamos y luego hacemos clic sobre el icono de COPY. Esto har# que nuestro archivo de configuracin quede almacenado en el portapapelesdeWindows.Acontinuacincreamosunacarpetaeneldiscofijodela PCypegamoselarchivo.Nosaparecer#yyatendremoselbackupdenuestroarchivo de configuracin en nuestra PC. email: [email protected] 32 Restore de la configuracin. Siestamosrecuperandoelarchivodeconfiguracinqueestadentrodel Mikrotik.Simplementedebemosiralmen*FILES.Enlaventanaquenosaparece debemos seleccionar la versin del backup que deseamos recuperar y hacer clic sobre el botn de RESTORE. Paraelcasoqueelarchivodebackupseencuentreennuestrodiscofijo. Seleccionamoselarchivodebackup,luegohacemosclicconelbotnderechodel mouseyseleccionamoscopiar.Luegoenelwinbox,simplementedebemosiralmen* FILES. En la ventana que nos aparece, debemos hacerle clic en el icono de pegar y nos aparecer#nuestranuevaconfiguracin.Acontinuacinseleccionamosnuestranueva con figuracin y apretamos el botn de restore. Se nos abrir# una nueva ventana que nos aplicara la nueva configuracin y nos har# reiniciar nuestro Mikrotik. email: [email protected] 33 Definicin y configuracin de interfases. Actualmentelas placas de red est#nfuncionando pero lesfaltala configuracin b#sica para quese pueda acceder a ellas. Paraesto deberemosasignarleslos IP a cada una de las interfases. Asignacin de nombres a las interfases. Nosdirigimosalmen*yelegimosINTERFASES.Acontinuacinnosaparecela lista de interfases que posee nuestro sistema. Hacemos doble clicks sobre las interfases ylesvamoscambiandoelnombreasign#ndolelosnombrescorrespondientesacada una. En nuestro caso utilizaremos: Globalphone, para nuestra conexin dedicada con IP fijo.Movifonicapara nuestra conexin dedicada con IP fijo con el otro proveedor. Ventas: Ser# la interfase exclusiva de ventas. Administracin: Ser# la interfaseexclusiva de Administracin. Produccin: Ser# la interfase exclusiva de Produccin. Servers: Ser# la interfase para la granja de servidores. email: [email protected] 34 ADSL: Ser# la interfase para conectarse al ADSL de Backup Hotspot: ser# la interfase que proveer# acceso a la red mediante el hotspot Interfase: Movifonica Pesta'a General: oName: Movifonica oMTU: 1500 oARP: Enable email: [email protected] 35 Pesta'a Ethernet: 100Mbps: Seleccionado Auto negotiation: seleccionado Full duplex: seleccionado. email: [email protected] 36 Pesta'a Status: En esta ventana podemos ver el estatus la interfase actual. Pesta'a Traffic: 1.Vemos la grafica de kbps enviados y recibidos por dicha interfase. 2.Vemos la grafica de p/s enviados y recibidos por la interfase. email: [email protected] 37 Interfase: ADSL Pesta'a General: oName:ADSL oMTU: 1500 oARP: Enable Interfase: Administracion Pesta'a General: oName: Adminitracion oMTU: 1500 oARP: Enable email: [email protected] 38 Interfase: Globalphone Pesta'a General: oName: Globalphone oMTU: 1500 oARP: Enable Interfase: Hotspot Pesta'a General: oName: Hotspot oMTU: 1500 oARP: Enable email: [email protected] 39 Interfase: Ventas Pesta'a General: oName: Ventas oMTU: 1500 oARP: Enable Interfase: Produccion Pesta'a General: oName: Produccion oMTU: 1500 oARP: Enable email: [email protected] 40 Definicin de Vlans Debido a las caractersticas departamentales de la empresa debemos realizar 3 vlanspara separar las #reas de: Administracin VentasProduccin Para configurar las vlans debemos ir al men* Interfases, se nos abrir# la ventana de configuracindeinterfases.Hacemosclicsobreelicono(+)ysenosdesplegar#un men*, elegimos la opcin Vlan y entramos a la ventana de configuracin de las mismas. Vlan Ventas Pesta'a General: oName: Vlan_Ventas oType: Vlan oMTU: 1500 oMAC:00:0C29:76:88:25 oARP: Enable oVlan ID:1 oInterfase: Ventas email: [email protected] 41 Pesta'a Traffic: Ver la grafica de kbps enviados y recibidos por dicha vlan Ver la grafica de p/s enviados y recibidos por la vlan email: [email protected] 42 Vlan Administracin Pesta'a General: oName: Vlan_Administracion oType: Vlan oMTU: 1500 oMAC:00:0C29:76:88:25 oARP: Enable oVlan ID:1 oInterfase: Adminitracion Vlan Produccion Pesta'a General: oName: Vlan_Produccion oType: Vlan oMTU: 1500 oMAC:00:0C29:76:88:25 oARP: Enable oVlan ID:1 oInterfase: Produccion email: [email protected] 43 Asignacin de DireccionesIPs a las interfases Con los nombres asignados a las interfases, debemos asignarle el IP a las mismas. Para ello debemos ir al men* IP / Addresses. email: [email protected] 44 Haciendo clic sobre el icono (+) nos abre una ventana que nos deja introducir los datos necesarios para nuestras interfases. InterfaseGlobalphone: Address: 200.45.3.10/30 Network 200.45.3.0 Broadcast: 200.45.3.255 Interfase: Globalphone email: [email protected] 45 Interfase Movofonica: Address: 200.45.4.10/30 Network: 200.45.4.0 Broadcast: 200.45.4.255 Interfase: Movifonica Interfase Servers: Address: 192.168.4.10/24Network: 192.168.4.0 Broadcast: 192.168.4.255 Interfase: Servers email: [email protected] 46 Interfase Administracin: Address: 192.168.2.1/24Network: 192.168.2.0 Broadcast: 192.168.2.255 Interfase: Administracin Interfase Ventas: Address: 192.168.3.1/24Network: 192.168.3.0 Broadcast: 192.168.3.255 Interfase: Ventas email: [email protected] 47 Interfase Produccin: Address: 192.168.4.1/24Network: 192.168.4.0 Broadcast: 192.168.4.255 Interfase: Produccin Interfase Hot spot: Address: 192.168.5.1/24Network: 192.168.5.0 Broadcast: 192.168.5.255 Interfase: Hot spot email: [email protected] 48 Interfase ADSL Address: 192.168.0.1/24Network: 192.168.0.0 Broadcast: 192.168.0.255 Interfase: ADSL La configuracin final se ve de la siguiente manera: Definimos UPnP para las interfases: En este segmento simplemente tenemos que definir cuales de nuestras interfases van a mirar hacia Internet y cuales van a estar dentro de nuestra red. Nosotros configuraremos a las conexiones como: email: [email protected] 49 Ventas: Interna. Administracin: Interna Produccin: Interna Servers: Interna Hotspot: Interna Movifoncia: Externa. Globalphone: Externa. ADSL: Externa Para realizar dicha configuracin debemos ir en el men* a: IP / UNPnP. Hacemos clic sobre el icono (+) y asignamos a cada una de las interfases si es interna o externa. Luegodehaberasignadolostiposdeinterfasedebemosconfigurarun*ltimo detalle en settings. Le deseleccionamos la opcin allow to disable External Interfase email: [email protected] 50 Configuracin Pools de Direcciones de IP Enunaprimerainstanciahayquecrearlospoolsdeipsquevanaposeerlos grupos de administracin, ventas y produccin y servers. ParaelloVamosalmen*IP/POOL.Senosabrelaventanadeconfiguracinde poolyhacemos clic en elicono (+). Enlanuevaventana creamos cada pool para cada una de los grupos. La configuracin de los mismos es: Nombre: Pool Servers Rango de ip: 192.168.1.5 a 192.168.1.254 email: [email protected] 51 Nombre: Pool Ventas Rango de ip: 192.168.2.5 a 192.168.2.254 Nombre: Pool Produccin Rango de ip: 192.168.4.5 a 192.168.4.254 email: [email protected] 52 Nombre: Pool Administracin Rango de ip: 192.168.2.5 a 192.168.2.254 Sehaelegidocomenzartodoslosrangosapartirdelipx.x.x.5parareservar n*meros de ip en el caso que se necesite instalar alg*n tipo de servidor en cada grupo. Definir DNS Para definir los DNS simplemente hay que ir al men* IP / DNS. Se nos abre una ventana de configuracin. Hacemos clic en Settings y escribimos los dns del proveedor de Internet. email: [email protected] 53 Los datos que ingresamos son: Primary DNS: 200.45.191.35 Secondary DNS: 200.45.191.40 Nat Masquerade para todas las redes Parrealizarelnattransparenteentretodaslasredesdebemosiralmen* IP/FIREWALL. Ah en la nueva ventana nos dirigimos a la pesta'a NATy hacemos clic sobreelicono(+).Acontinuacinapareceunaventananuevadeconfiguracinpara polticas de NAT y la configuramos de la siguiente manera: Pesta'a General: Chan: srcnat Pesta'a Action: email: [email protected] 54 Action: masquerade Configuracin Servidor DHCP A continuacin daremos de alta el servidor de DHCP en si. Para ello debemos ir al men* IP /DHCP Server.Se nos abrir# una ventana de configuracin de servidores dhcp. Hacemos clic en el icono (+) y creamos nuestros servidores de dhcp para cada una de las #reas ya mencionadas. Ventana de configuracin DHCP: En esta ventana iremos introduciendo todos los requisitos necesario para ir levantado los servidores de dhcp. La configuracin para cada uno de los servidores dhcp fue la siguiente: DHCP Produccin: Nombre: DHCP Produccin Interfase: Produccin Address Pool: Pool Produccin email: [email protected] 55 DHCP Administracin: Nombre: DHCP Administracin Interfase: Administracin Address Pool: Pool Administracin email: [email protected] 56 DHCP Servers: Nombre: DHCP Servers Interfase: Servers Address Pool: Pool Servers DHCP Ventas: Nombre: DHCP Ventas. Interfase: Ventas. Address Pool: Pool Ventas. email: [email protected] 57 Noobstantelosservidoresdedhcpest#nconfigurados,necesitamosconfigurar lasredes.ParaelloenlaventanadeDHCPServerhacemosclicenlapesta'a Network. Luego hacemos clic en el icono (+) y cargamos los datos de la red. Configuracin: Red Servers: Address: 192.168.1.0/24 Gateway: 192.168.1.1 Dns Server: 192.168.0.3 email: [email protected] 58 Red Administracin: Address: 192.168.2.0/24 Gateway: 192.168.2.1 Dns Server: 192.168.0.3 Red Ventas: Address: 192.168.3.0/24 Gateway: 192.168.3.1 Dns Server: 192.168.0.3 email: [email protected] 59 Red Produccin: Address: 192.168.4.0/24 Gateway: 192.168.4.1 Dns Server: 192.168.0.3 Asignacin de direcciones de ip fijas a partir de direcciones MAC. Debemosasignarleipfijoanuestrosservidoresparaqueseamassimplenuestra configuracindelsistema.Paraellolaasignacindeipfijolahacemosmedianteel servidor de dhcp, asignando una direccin de ip fija a una Mac. Lospasosdeconfiguracinsonlossiguientes.Nosdirigimosalmen*IP/DHCP Server.Enlaventanaquenosaparecehacemosclicenlapesta'aLEASES.En mencionada pesta'a hacemos clic en el icono (+). La configuracin de la ventanuela es: Server de snmp, jabber: oAddress: 192.168.1.2 oMAC Address: 00:0C:29:64:45:9E (MAC del servidor snmp, jabber) oServers: all email: [email protected] 60 Server RADIUS: oAddress: 192.168.1.3 oMAC Address: 00:0C:29:C6:59:DA (MAC del servidor) oServers: all Luego para que esta asignacin quede est#tica debemos hacer clic en el botn de MAKE STATIC. De la pesta'a LEASES. email: [email protected] 61 Configuracin Servidor - Cliente NTP: Debido a que utilizaremos polticas referenciadas a tiempo debemos ser precisos conelmismo.ParaellodebemosinstalarunclienteennuestroMikrotikparatenerla hora precisay un servidor para brindarles dichahora alos clientes. Consecuentemente debemos seguir los siguientes pasos. Servidor NTP Paraelservidornosdirigimosalmen*SYSTEM/NTPSERVER.Enlanuevaventana SeleccionamossolamentelaopcinMANYCASTyhacemosclicenelbotnde ENABLE Ahora Con esta configuracin delservidor podemos hacer que todaslas computadoras de la red estn sincronizadas con nuestro servidor de tiempo.Cliente NTP ParaconfigurarnuestroclienteNTP,paraquenossincronicenuestrahoradel Mikrotik conjuntamente con la de un reloj nuclear. Debemos ir al men* SYSTEM/ NTP CLIENT. Se nos abrir#laventana de configuracin del cliente NTP yle asignamoslos calores siguientes: Mode: Unicast Primary NTP Server: 129.6.15.28 Secondary NTP Server: 129.6.15.29 email: [email protected] 62 Luego hacemos clic en ENABLE. Dichos servidores son: time-a.nist.gov 129.6.15.28NIST, Gaithersburg, Maryland time-b.nist.gov 129.6.15.29NIST, Gaithersburg, Maryland Acontinuacinnosdirigimosalmen*SYSTEM/CLOCK.Enlanuevaventanale cargamos los datos de fecha, hora, y uso horario. Para nuestro caso los mismos son: Date: Apr/04/2008 Time: 16:17:00 Time Zone: -03:00 Utilizamos -03:00 parala Time Zoneya quenosotros en Cordoba tenemos ese uso horario que es el mismo de Buenos Aires respecto a Greenwich. email: [email protected] 63 Enla pesta'a DST, configuraremos cambios deluso horario por ejemplo: en el horario de verano que tenemos 1 hora de diferencia. Par ello hacemos clic en DST. Los datos que utilizaremos como ejemplo son los siguientes: DST Delta: +:01:00 DST Start: Dec/01/2007 DST Start Time: 00:00:00 DST End: Mar/16/2008 DST End Time:00:00:00 Habilitando esta opcinnos ahorramos todoslosinconvenientes de cambiarlos horarios de todas las polticas que se hayan generado. email: [email protected] 64 Servidor y Cliente PPPoE Configuracin Servidor PPPoE Debido a que la sub red de produccin se podr# acceder desde otras subredes de laempresasedecidiporcuestionesdeseguridadaccedermedianteunaconexin PPPoE.DebemoshabilitarleelservidordePPPoE.Paraellonosdirigimosalmen* PPP. Se nos abre la ventana de configuracin de PPP. Luego nos dirigimos a la pesta'aProfiles. Ah hacemos clic en el icono (+) para generar el perfil de usuario que necesitamos. A continuacin se nos abre una ventanay la llenamos con los siguientes datos: Name: PPPoE_Produccion Local Address: Pool_Produccion Remote Address: Pool_Produccion Luego toda la otra informacin la dejamos por defecto. AContinuacinnosdirigimosnuevamentealmen*PPPyenlaventanaquese abrinosdirigimosalapesta'aSecrets.Ahhacemosclicenelicono(+)y email: [email protected] 65 generaremosnuestrousuario.Paraellollenaremoslaventanaconlasiguiente informacin: Name: Usuario_Produccion Password: Usuario_Produccion Service: pppoe Profile PPPoE_Produccion Nos dirigimos nuevamente al men* PPP. En la ventana nueva hacemos clic sobre el botn PPPoE Server. En la nueva ventana que se nos abre configuraremos el nuevo servidor de PPPoE. Para ello debemos hacer clic en el botn (+). La configuracin del mismo ser#: Service Name: PPPoE Server Interfase: Hotspot Max MUT: 1488 Min MUT: 1488 Keep Alive time out: 10 email: [email protected] 66 Default Profile: PPPoE_Produccion Autenticaciones: PAP, chap mschap1 y mschap2 Configuracin Cliente PPPoE: ParaconfigurarlaconexinaInternetmedianteelADSLdebemosgenerarla conexin con el proveedor, para ello debemos ir al men* y seleccionar PPP. Se nos abre unaventanaydebemospresionarenel(+)yelegirPPPoEClient.Paraconfigurarla conexin de ADSL seguimos los siguientes pasos. En la pesta'a General: Introducimos el nombre de la conexin Ciudanet Max MTU:1480 Max MRU: 1480 Seleccionamos la interfase por donde queremos realizar la conexin de Adel ADSL. email: [email protected] 67 En la pesta'a Dial Out: User: royaltech@ciudanet-cordoba-apb Password: royaltech Profile: Default Add default Route PAP, chap, Mschap, mschap2: (seleccionados) email: [email protected] 68 En la pesta'a Status Podemos: Ver el tiempo activo de la conexin Ver el tiempo que estuvo inactivo la conexin El tipo de codificacin Tama'o MTU Tama'o MRUEl nombre del servicio El AC Name AC MAC Address En la pesta'a Traffic podemos: Ver la grafica que los bps enviados y recibidos. Ver la grafica de p/s enviados y recibidos. email: [email protected] 69 Servidor Cliente PPTP Configuracin Servidor PPTP: Debidoaquetenemosoficinasdeventasfueradecrdoba,surgilanecesidad de realizar una VPN entre Buenos AiresyCrdoba. Para ellosenecesita configurar el servidor de PPTP en la ciudad de Crdoba. Los pasos para dicha con figuracin son: Debemosiralmen*PPP,senosabrir#laventanadeconfiguracindeconexiones PPPx.Luegohacemosclicenlapesta'aPROFILES.Acontinuacinhacemosclicen icono(+).Conlanuevaventanadeprofilesabiertalaconfiguramosdelasiguiente manera:Name: Profile_VPN Local Address: Pool_Ventas Remote Address: Pool_Ventas Use compresin: Default Use Vj Compression: Default User Encryption: Yes Change TCP MMS: Yes email: [email protected] 70 ConelprofileyageneradoparaVPNdebemoscrearelusuarioqueutilizaradicho profile.Paraellovamosalmen*PPP,hacemosclicenlapesta'aSECRESTS. Hacemosclicsobreelicono(+)yenlanuevaventanalaconfiguramosdela siguiente manera: Name: vpn Password: vpn Service: pptp Profile: Profile_VPN email: [email protected] 71 Finalmente debemos dar de alta el servidor de PPTP. Para ello nos dirigimos al men*PPP,enlapesta'aInterfaseshacemosclicsobreelbotnPPTPServer. En la nueva ventana la configuramos de la manera siguiente: Enable (seleccionado) Max MTU: 1460 Max MRU: 1460 Keepalive Timeout:30 Default Profile: Profile_VPN Mschap1 y mschap2 (seleccionados) email: [email protected] 72 Configuracin Cliente PPTP UtilizaremoslaconexindevpndeWindowsXpparaelejemplo.Enel escritoriodeWindowsnosdirigimosaINICIO/PANELDECONTROL/ CONEXIONES DE RED. Creamos una conexin nueva siguiendo los prximos pasos. Hacemos clic en siguiente email: [email protected] 73 Seleccionamos Connect to the network at my place Seleccionamos Virtual Private Network Connection email: [email protected] 74 Escribimos el nombre de la conexin: Royaltech Seleccionamosquenonosdisqueunaconexininicial.Paraelcasodeque utilicemos el ip fijo en nuestras oficinas en Buenos Aires. Luego clic en Siguiente email: [email protected] 75 Finalmente escribimos la direccin web de nuestro servidor. Address: royaltech.com.ar A continuacin hay que configurar el tipo de autenticacin que vamos a utilizar para ello nos paramos sobre la conexin Royaltech, la abrimos. A la ventana la configuramos de la siguiente manera: Nombre de usuario: victor Contrase'a: victor Guardar nombre de usuario y contrase'a (seleccionado) email: [email protected] 76 Luego hacemos clic en propiedades. email: [email protected] 77 Hacemos clic en la pesta'a Seguridad. Seleccionamos Avanzado y luego clic en Settings. Ennuestraventanadeconfiguracinavanzadadeseguridadlaseteamosdela siguiente manera: Allow this Protocols: Seleccionado Uncrypted Password: Deseleccionado Shiva Autenticacin Password Protocol : Deseleccionado Chalenge handshake authentication protocol: Deseleccionado Microsoft CHAP : Seleccionado Microsoft CHAP Versin 2 : Seleccionado Luego hacemos clic en OK email: [email protected] 78 Luego hacemos clic en la pesta'a Networking y Editamos las propiedades de Internet Protocol (TCP/IP) email: [email protected] 79 En dicha ventana hacemos clic en Avanzado. En la ventana de avanzado la configuramos as: User default Gateway on remote network: Deseleccionado. email: [email protected] 80 Servidor Web Proxy Se decidi utilizar unservidor Web Proxy para ahorrar ancho de banda utilizado por los usuarios en Internet. Para ello nos dirigimos al men* IP / WEB-PROXY. EnnuestraventanadeconfiguracinhacemosclicenSETTINGS.Seestamanera entramosalaventanadeconfiguracindelservidorProxy.Dichaventanala configuraremos de la siguiente manera. Src. Address: La dejamos en blanco Port: 3128 Hostname: Proxy Transparent Proxy: Seleccionado. Parent Proxy: lo dejamos en blanco Parent Proxy Port: lo dejamos en blanco Cache Administrator: [email protected] Maximum Object size: 4096 Cache Drive: system Maximum cache Size : 2000000 Maximum Ram Cache Size 128000 email: [email protected] 81 AcontinuacinhacemosclicenENABLE. Senosabreunaventanitaylehacemos clic en ok. Como segundo paso debemos generar un una regla en elfirewall para quehaga un redireccionamiento al servidor Proxy. Para ello nos dirigimos al men* IP / FIREWALL ennuestraventanadeconfiguracinhacemosclicenlapesta'aNAT,luegoclicenel botn (+). La ventana la configuramos de la siguiente manera. Interfase Produccin: Chain: dstnat Protocol: 6 (tcp) Interfase produccin. email: [email protected] 82 Luego hacemos clic sobre la pesta'a ACTION y la configuramos de la siguiente manera: Action: Redirect To ports: 3128 Realizamos esta misma configuracin para cada una de las interfases de nuestra red. La configuracin de las mismas es: Interfase Administracin: Pesta'a General: Chain: dstnat Protocol: 6 (tcp) Interfase: administracin email: [email protected] 83 Pesta'a Action: Action: Redirect To ports: 3128 Interfase Ventas: Pesta'a General: Chain: dstnat Protocol: 6 (tcp) Interfase: ventas email: [email protected] 84 Pesta'a Action: Action: Redirect To ports: 3128 PorultimoconfiguraremoselNATparaelruteo entretodaslassubredesdela empresa.Paraellonosdirigimosalmen*IP/FIREWALLennuestraventanade configuracin hacemos clic en la pesta'a NAT, luego clic en el botn (+). La ventana la configuramos de la siguiente manera. Pesta'a General: Chain: srcnat email: [email protected] 85 Pesta'a Action: Action: Masquerade Nuestra configuracin de polticas de NAT se ven de la siguiente manera: A continuacin debemos proteger nuestro servidor de cualquier utilizacin desde elexteriordelared.Paraellonosdirigimosalmen*IP/FIREWALL.Enlaventana nuevahacemosclicenlapesta'aFILTERRULES,acontinuacinhacemosclicenel icono (+). Nuestra nueva poltica de filtrado de paquetes la configuramos as: Pesta'a: General: Chain: input Protocol: 6 (tcp) Dst. Port.: 3128 In. Interfase: Ciudanet email: [email protected] 86 Pesta'a Action: Action: Drop Nuestras polticas de filtrado se ven de la siguiente manera: email: [email protected] 87 Bloquearemosalgunasp#ginasconlautilizacindelWebProxy.Paraellose defini queno se podr# ingresar a sitios pornogr#ficos desdela rednila utilizacin de p#ginas que tengan el servicio de Web Messenger al igual que Yahoo u otros. Bloqueo Pornograf#a Nos dirigimos al men* IP / Web Proxy. En la nueva ventana dentro de la pesta'a Access hacemos clic en el icono (+). Las nuevas polticas se configuran de la siguiente manera: Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *porn* Method: any Action: deny Estefiltronosbloquearacualquiersitequeposealapalabra*porn*ensu nombre. Tambin nos sirve debido a que si el usuario busca algo con la palabra porn en Google o cualquier otro buscador tambin nos bloquee la b*squeda. email: [email protected] 88 Poltica 2 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *sex* Method: any Action: deny Poltica 3 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *xxx* Method: any Action: deny email: [email protected] 89 Bloqueo paginas que brinden el servicio de Web Messenger ElBloqueo delas p#ginas quebrindan elservicio de Web Messenger tambinser# bloqueado.Paradichaconfiguracinrealizamoslossiguientespasos.Nosdirigimosal men* IP / Web Proxy. En la nueva ventana dentro de la pesta'a Access hacemos clic en el icono (+). Las nuevas polticas se configuran de la siguiente manera: Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *webmessenger.yahoo.com* Method: any Action: deny La configuracin se repite para los siguientes sites: Site: webmessenger.msn.com Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *webmessenger.msn.com* Method: any Action: deny email: [email protected] 90 Sitio: www.ebuddy.com Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: * ebuddy.com* Method: any Action: deny Site: meebo.com Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *meebo.com* email: [email protected] 91 Method: any Action: deny Bloqueo del Live Messenger A Travs del Proxy Para e bloqueo del Messenger utilizamos la siguiente poltica en el Web Proxy para bloquearlo. Para ello realizamoslossiguientes pasos. Nos dirigimos almen* IP /Web Proxy.Enlanuevaventanadentrodelapesta'aAccesshacemosclicenelicono(+). Las nuevas polticas se configuran de la siguiente manera: Bloqueo MessengeroSrc. Address: 0.0.0.0/0 oDst. Address: 0.0.0.0/0 oURL: *Gateway.messenger.* oMethod: any oAction: deny email: [email protected] 92 Bloqueo de p%ginas que brinden webmail Paraebloqueodep#ginasquebrindenwebmailcomomail.yahoo.com, Hotmail.com,etc.debemosutilizamoslasiguientepolticaenelWebProxypara bloquearlo. Para ello realizamoslossiguientes pasos. Nos dirigimos almen* IP /Web Proxy.Enlanuevaventanadentrodelapesta'aAccesshacemosclicenelicono(+). Las nuevas polticas se configuran de la siguiente manera: Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *mail* Method: any Action: deny email: [email protected] 93 Bloqueo descarga directa de archivos MP3 y AVI ParaebloqueodedescargadirectadearchivosMP3yavidebemosutilizamosla siguiente poltica en elWeb Proxy parabloquearlo. Para ello realizamoslos siguientes pasos. Nos dirigimos al men* IP / Web Proxy. En la nueva ventana dentro de la pesta'a Accesshacemos clic en elicono (+). Las nuevas polticas se configuran dela siguiente manera: Bloqueo archivos Mp3 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.mp3 Method: any Action: deny Bloqueo Archivos Avi Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.avi* Method: any Action: deny email: [email protected] 94 Bloqueo descarga directa de archivos RAR, ZIP, EXE ParaebloqueodedescargadirectadearchivosMP3yavidebemosutilizamosla siguiente poltica en elWeb Proxy parabloquearlo. Para ello realizamoslos siguientes pasos. Nos dirigimos al men* IP / Web Proxy. En la nueva ventana dentro de la pesta'a Accesshacemos clic en elicono (+). Las nuevas polticas se configuran dela siguiente manera: Bloqueo Archivos RAR Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.rar* Method: any Action: deny email: [email protected] 95 Bloqueo Archivos ZIP Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.zip* Method: any Action: deny Bloqueo Archivos EXE Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.exe* Method: any Action: deny email: [email protected] 96 Las politicas del servidor web Proxy se ven de la siguiente manera. Balanceo de carga DebidoaqueposeemosdosconexionesalosproveedoresdeInternet utilizaremos el balanceo de carga para optimizar el tr#fico en la red. Debido a que la sub red ventas genera grandes vol*menes de trafico hacia Internet el balanceo de carga Ser# aplicado a ella. Paraconfigurarnuestrobalanceodebemosrealizarlossiguientespasos.Nos dirigimos al men* IP / FIREWALL. De ah vamos a la pesta'a Mangle. Hacemos clic en elicono(+)ycomenzamosnuestraconfiguracindelaspolticasparaelbalaceode cargas. A la nueva ventana la configuramos de la siguiente manera. email: [email protected] 97 Pesta'a General: Chain: prerouting In. Interfase Ventas Connection State: new Pesta'a Extra: Every: 1 Counter: 1 Packet:0 email: [email protected] 98 Pesta'a Action: Action: mark connection New Connection Mark: Salida_Movifonica Pass thought: seleccionado Creamos una segunda poltica y la configuramos as: Pesta'a General: Chain: prerouting In. Interfase: Ventas Connection mark: Salida_Movifonica email: [email protected] 99 Pesta'a Action: Action: mark routing New Routing Mark: Marca_Salida_Movifonica Tercera poltica de mangle. Se configura as: Pesta'a General: Chain: prerouting In. Interfase email: [email protected] 100 Connection State: New Pesta'a Extra: Every: 1 Counter:1 Packet:1 email: [email protected] 101 Pesta'a Action: Action: mark connection New Connection Mark: Salida_globalphone Pass thought (seleccionado) Cuarta poltica de mangle se configura as: Pesta'a general: Chain: prerouting In. Interfase: Ventas Connection mark: Salida Globalphone email: [email protected] 102 Pesta'a Action: Action: mark routing New routing Mark: Marca_Salida_Globalphone Pass Thought: (No Seleccionado) Nuestras polticas de Mangle se ven as: AcontinuacindebemoscreardospolticasdeNATparacontinuarconla configuracin.Paraellonosdirigimosalmen*IP/FIREWALL.Hacemosclicenla pesta'a NAT, luego clic en el icono (+). email: [email protected] 103 La primera poltica de NAT se configura as: Pesta'a General: Chain: srcnat Connection Mark: Salida_Movifonica Pesta'a Action: Action: src-nat To addresses: 200.45.4.10 To Ports: 0-65535 email: [email protected] 104 La segunda poltica de NAT se configura as: Pesta'a General: Chain: srcnat Connection Mark: Salida_Movifonica Pesta'a Action: Action: src-nat To Addresses: 200.45.4.10 0-65535 email: [email protected] 105 Nuestras polticas de NAT se ver#n asi: Porultimoparafinalizarlaconfiguracindebemosrealizarunas*ltimas polticas de ruteo. Para ello entramos en el men* NEW TERMINAL. En la terminal que nos aparece tipeamos lo siguiente: /ip route add dst-address=0.0.0.0/0 gateway=200.45.3.1 scope=255 t arget-scope=10 routing-mark=Marca_Salida_Globalphone comment="" disabled=no /ip route add dst-address=0.0.0.0/0 gateway=200.45.4.1 scope=255 t arget-scope=10 routing-mark=Marca_Salida_Movifonicacomment="" disabled=no /ip route add dst-address=0.0.0.0/0 gateway=200.45.4.1 scope=255 t arget-scope=10 comment="Gateway por Defecto" disabled=no email: [email protected] 106 Nuestras polticas de Ruteo se ven de la siguiente manera: Control de ancho de banda Asignacin de ancho de banda por sub red Debidoaquemuchasveceslosusuariosrealizanmalosusosdelosanchosde banda,hemosdecididoagregarlepolticasalrouterparapodercontrolardicho problema. Para los distintos grupos de usuarios les asignaremos distinto ancho de banda: Administracin :Subida 250 M/Bits Bajada 300 M/Bits email: [email protected] 107 Produccin:Subida 400 M/bits Bajada 300 M/bits Ventas: Subida 350 M/bits Bajada 400 M/bits Paraelcontroldelanchodebandadebemosiralmen*QUEUES.Allsenos abrir# una ventana de configuracin. Hacemos clic en el icono (+) de la pesta'a Simple Queues. Se nos abre la nueva para configurar la nueva cola. Cola Administracin: Pesta'a General: Name: Queue_Administracion Target Address: 192.168.2.0/24 Max Limit: 250M (upload) , 300M (download) email: [email protected] 108 Cola Ventas: Pesta'a General: Name: Queue_Ventas Target Address: 192.168.3.0/24 Max Limit: 350M (upload) , 400M (download) Cola Produccin: Pesta'a General: Name: Queue_Produccion Target Address: 192.168.4.0/24 Max Limit: 400M (upload) , 300M (download) email: [email protected] 109 Las colas configuradas se ver#n de la siguiente manera: Traffic Shaping de (P2P) Polticasinternasdelaempresaplantearonquesolamenteenel#reade administracinsepuedautilizarlosp2p.Anteriormentehabamosasignadouncierto ancho de banda para administracin ahora deberemos modelar las colas del trafico para que los p2p no se consuman todo el trafico. Debemosiralmen*IP/FIREWALL.Ahsenosabrir#nuestraventanade configuracindepolticasdelfirewall.Hacemosclicsobrelapesta'aMangle,a continuacin hacemos clic sobre el botn (+). email: [email protected] 110 En la ventanade mangle con figuramos lo siguiente: Chain: prerouting P2P: all-p2p A continuacin hacemos clic en la pesta'a Action. All la configuracin es la siguiente: Action: mark_connection New Connection Mark: (tipeamos) connexion_p2p Passthough (seleccionado). Acontinuacindentrodelapesta'amanglehacemosclicnuevamenteenelbotn (+) para crear una nueva regla. La configuracin para la ventana es: email: [email protected] 111 Chan: prerouting Connection Mark: conexin_p2p (la que habamos creado anterior mente) Luegonosdirigimosalapesta'aAction,enlamismalaconfiguramosdela siguiente manera: Action: Mark Packet New Packet Mark: (tipeamos) p2p email: [email protected] 112 Ahora deberemos configurar las polticas para que nos marque los paquetes p2p para poder bloquearlos en las otras redes. Para ello debemos ir al men* IP /FIREWALL. Hacemos clic en la pesta'a mangley luego clic en el icono (+). En la pesta'a General de la nueva ventana la configuramos de la siguiente manera: Chain: prerouting Connection Mark: conexin_p2p

Luego nos dirigimos a la pesta'a Action y la configuramos de la siguiente manera: Action: mark packet Packet mark: (tipeamos) p2p_bloqueado Pass though: (seleccionado) email: [email protected] 113 Las reglas creadas se ver#n de la siguiente manera. Nosdirigiremosalmen*QUEUES.Enlaventanaquenosaparece,crearemos cuatro nuevas colas para la poltica de los p2p. Hacemos clic sobre la pesta'a Queue Tree. Y luego clic sobre el botn (+). La configuracin de la cola de entrada ser# la siguiente: Name: Queue_p2p_in Parent: Global-in Packet Mark: p2p Queue Type: default Priority: 8 Max Limit: 256k email: [email protected] 114 Hacemos clic en el botn (+) y generamos una nueva cola La configuracin de la cola de salida ser#: Name: Queue_p2p_out Parent: global-out Packet Mark: p2p Queue type: default Priority: 8 Max Limit: 256k email: [email protected] 115 Liberacin del ancho de banda fuera del horario de trabajo Debido a que la empresa no trabajalas 24hs al da, se dispusola posibilidad de liberarelanchodebandaparalareddeAdministracin,enunrangohorario determinado. Paraelloloprimeroquedebemoshaceresunanuevacolaquelahabilitaremosen loshorariosde20:00hsa06:00hs.Iralmen*QUEUESenlapesta'aQueuesTree, hacemos clic en el icono (+). Se nos abre la ventana de configuracin. La configuracin de la misma es: Name: Queue_in_Global_P2P_libre Parent: global-in Packet Mark: p2p Queue Type: Default Priority: 8 Antes de hacer clic sobre aceptar, hacemos clic en DISABLE y luego hacemos clic en aceptar. La segunda cola que debemos realizar es de la siguiente manera: Name: Queue_out_Global_P2P_Libre email: [email protected] 116 Parent: global-out Packet Mark: p2p Queue Type: Default Priority: 8 AntesdehacerclicsobreaceptarhacemosclicenDISABLEyluegohacemos clic en aceptar. Vamosalmen*SYSTEM/SCRIPTS.Senosabrelaventanadeadministracinde scripts.Hacemosclicenelicono(+)yconfiguramoslaventananuevaconlos siguientes datos: Name: Bloquea_Bw Policy: Write y Read Source:/queue tree enable Queue_In_Global_P2P_Limitado /queue tree disableQueue_In_Global_P2P_Libre /queue tree enable Queue_Out_Global_P2P_Limitado /queue tree disableQueue_Out_Global_P2P_Libre Ahora con nuestro segundo script. Vamos al men* SYSTEM / SCRIPTS. Se nos abre la ventana de administracin de scripts. Hacemos clic en el icono (+) y configuramos la ventana nueva con los siguientes datos: Name: Libera_Bw email: [email protected] 117 Policy: Write y Read Source:/queue tree disable Queue_In_Global_P2P_Limitado /queue tree enableQueue_In_Global_P2P_Libre /queue tree disable Queue_Out_Global_P2P_Limitado /queue tree enableQueue_Out_Global_P2P_Libre De la siguiente manera se ve como queda configurada nuestra lista de scripts: Siguiendo conla configuracinvamos almen* SYSTEM / SCHEDULER. Enla ventana nueva que se nos abre, comenzaremos con la configuracin de nuestros eventos. Hacemos clic sobre el botn (+). La configuracin del primer evento es: Name: Bloquea_Bw State Date: Apr/16/2008 Start Time: 06:00:00 Interval: 1d 00:00:00 On Event: Bloquea_Bw email: [email protected] 118 Luego hacemos clic nuevamente en el icono (+) y creamos nuestro segundo evento, cuya configuracin es: Name: Libera_Bw State Date: Apr/16/2008 Start Time: 20:00:00 Interval: 1d 00:00:00 On Event: Libera_Bw As es como se ve configurada nuestra lista de scripts: email: [email protected] 119 Firewall Bloqueo de los P2P para redes de ventas y produccin Debidoalaspolticasimplementadasporgerenciasolamenteenel#reade administracin se podr# utilizar los P2P. para ello la configuracin para bloquear dicho trafico es la siguiente. Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el icono (+). A continuacin configuramos de la siguiente manera: Pesta'a general: Chain: forward P2P: all-p2p Out. Interface: Produccin Pesta'a Action: Action: drop email: [email protected] 120 Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el icono (+). A continuacin configuramos de la siguiente manera: Pesta'a general: Chain: forward P2P: all-p2p Out. Interface: Ventas Pesta'a Action: Action: drop email: [email protected] 121 Bloqueo del cliente MSN Live Messenger Debidoaquelosempleadosdelaempresasuelenperderdemasiadotiempo utilizando elMSN Live Messenger,la empresa decidibloquear dicho programa. Para ello se establecieron las siguientes polticas de firewall. Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el icono (+). A continuacin configuramos de la siguiente manera: Primera poltica de firewall: Pesta'a General:oChain: Forward oProtocol: Tcp (6) oDst. Port: 1863 Pesta'a General:oAction: Drop email: [email protected] 122 Segunda poltica de Firewall: Pesta'a General:oChain: Forward oProtocol: Tcp (6) oDst. Port: 5190 Pesta'a Action oAction: Drop Tercera poltica de Firewall: email: [email protected] 123 Pesta'a General:oChain: Forward oProtocol: Tcp (6) oDst. Port: 6901 Pesta'a Action: oAction: Drop . Cuarta poltica de Firewall: Pesta'a General:oChain: Forward oProtocol: Tcp (6) oDst. Port: 6891-6900 email: [email protected] 124 Pesta'a Action: oAction: Drop Quinta poltica de firewall: Pesta'a General:oChain: Forward oProtocol: Tcp (6) oDst. Address: 65.54.239.211 Pesta'a Action: oAction: Drop email: [email protected] 125 Finalizadadichaconfiguracinning*nusuariopodr#conectarsealMSNLive Messenger. Para que el bloqueo sea completo debemos utilizar una poltica en el Web-Proxy que instalaremos mas adelante. Redireccionamiento de puertos A continuacin debemos redireccionar puertos para que el tr#fico que se genere haciaadentrodelaredobtenganlasrespuestadeseada.Porejemploquenuestro servidorwebmuestrelasp#ginascorrespondientes,queelservidordeSMTPyPOP3 puedan enviar y recibir mails etc. Puerto 80 WEB Pararedireccionarelpuerto80desdeelexterioranuestroservidorwebip: 192.168.1.2debemosrealizarlossiguientespasos.Iralmen*IP/FIREWALL.Hacer clicenlapesta'aNAT.Luegohacerclicenelicono(+).Alanuevaventanala configuramos de la siguiente manera. Pesta'a General:Chain:dstnat Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 80 email: [email protected] 126 Pesta'a Action: Action:dst-nat To Addresses: 192.168.1.2 To Port: 80 Puerto 110 POP3 Pararedireccionarelpuerto110desdeelexterioranuestroservidorpop3ip: 192.168.1.2debemosrealizarlossiguientespasos.Iralmen*IP/FIREWALL.Hacer clicenlapesta'aNAT.Luegohacerclicenelicono(+).Alanuevaventanala configuramos de la siguiente manera. Pesta'a General:Chain: dstnat Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 110 email: [email protected] 127 Pesta'a Action: Action:dst-nat To Addresses: 192.168.1.2 To Port: 110 Puerto 25 SMTP Para redireccionar el puerto 25 desde el exterior a nuestro servidor pop3 ip: 192.168.1.2 debemos realizar los siguientes pasos. Ir al men*IP / FIREWALL. Hacer clic en la pesta'a NAT. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera. Pesta'a General:Chain:dstnat Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 25 email: [email protected] 128 Pesta'a Action: Action:dst-nat To Addresses: 192.168.1.2 To Port: 25 Puerto 1723 PPTP Para aceptar conexiones al puerto 1723 desde el exterior debemos realizar los siguientes pasos. Ir al men*IP / FIREWALL. Hacer clic en la pesta'a FILTER RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera. La primer politica es para aceptar el trafico al puerto 1723 tcp Pesta'a General: Chain: input Protocol 6 (tcp) Dst. Port: 1723 email: [email protected] 129 Pesta'a Action: Action: accept La segunda politica es para aceptar todo el trafico al puerto 1723 UDP Pesta'a General: Chain: input Protocol 17 (udp) Dst. Port: 1723 Por ultimo aceptaremos todas las comunicaciones que estn establecidas. email: [email protected] 130 Pesta'a General: Chain: input Connection State: established Pesta'a Action: Action: accept email: [email protected] 131 Descartar conexiones inv%lidas Paradescartarlasconexionesinv#lidasdesdeelexteriordebemosrealizarlos siguientes pasos. Ir al men*IP / FIREWALL. Hacer clic en la pesta'a FILTER RULES. Luegohacerclicenelicono(+).Alanuevaventanalaconfiguramosdelasiguiente manera Pesta'a General: Chain: input Connection State: Invalid Pesta'a Action: Action: drop email: [email protected] 132 Aceptar conexiones establecidas Paraaceptarlasconexionesestablecidasdesdeelexteriordebemosrealizarlos siguientes pasos. Ir al men*IP / FIREWALL. Hacer clic en la pesta'a FILTER RULES. Luegohacerclicenelicono(+).Alanuevaventanalaconfiguramosdelasiguiente manera Pesta'a General: Chain: input Connection State: established email: [email protected] 133 Pesta'a Action: Action: accept Acepta Trafico UDP Para aceptar las conexiones UDP establecidas desde el exterior debemos realizar lossiguientespasos.Iralmen*IP/FIREWALL.Hacerclicenlapesta'aFILTER RULES.Luegohacerclicenelicono(+).Alanuevaventanalaconfiguramosdela siguiente manera Pesta'a General: Chain: input Protocol: 17 (udp) Pesta'a Action: Action: Accept email: [email protected] 134 Acepta icmp Limitados Paraaceptaricmplimitadosdesdeelexteriordebemosrealizarlossiguientes pasos.Iralmen*IP/FIREWALL.Hacerclicenlapesta'aFILTERRULES.Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera Pesta'a General: Chain: input Protocol: 1 (icmp) Pesta'a Extra: Rate: 50 / 5 Burst: 2 email: [email protected] 135 Pesta'a Action: Action: accept Descarta excesivos icmpParadescartarexcesivosicmpdesdeelexteriordebemosrealizarlossiguientes pasos.Iralmen*IP/FIREWALL.Hacerclicenlapesta'aFILTERRULES.Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera Pesta'a General: Chain: input Protocol: 1 (icmp) Pesta'a Action: Action: Drop email: [email protected] 136 Descarta el resto de las conexiones externas Para descartar el resto de las conexionesdesde el exterior debemos realizarlos siguientes pasos. Ir al men*IP / FIREWALL. Hacer clic en la pesta'a FILTER RULES. Luegohacerclicenelicono(+).Alanuevaventanalaconfiguramosdelasiguiente manera Pesta'a General: Chain: input In. Interface: Globalphone Pesta'a Action: Action: drop email: [email protected] 137 Agregamos una poltica nueva para bloquear el acceso externo desde la internase Movifonica de esta manera: Pesta'a General: Chain: input In. Interface: Movifonica. Pesta'a Action: Action: drop email: [email protected] 138 El orden de las polticas se ven en la siguiente grafica. Configuracin Hot Spot Debidoaquenuestra#readeesparcimientonoestacercanaalrouterprincipal. Sehadecidoinstalarunaredwireless.ParaelloseutilizaraunrouterAPMikrotik RB600. Logueados al Mikrotik mediante Winbox. Nos dirigimos al men* INTERFASES. Enlaventanaquenosaparecehacemosclicsobrelainterfasewlan1ylahabilitamos apretando el botn derecho del Mouse y elegimos la opcin Enable email: [email protected] 139 A continuacin le hacemos doble clic a la interfase y comenzamos la configuracin de la misma. La pesta'a General se configura de la siguiente manera. Name: wlan1 MTU: 1500 MAC Address: 00:0C:42:05:A9:A3 Arp: enabled Pesta'a Wireless: Radio Name: AP-1 Mode: AP bridge SSID: Royal_Tech_Hotspot Band: 5Ghz Frequency: 5200 Security Profile: default email: [email protected] 140 Frequency Mode: manual Txpower County: no_country_set DFS Mode: none Proprietary Extensions: post-2.9.25 Default Authenticate: Seleccionado Default forward: Seleccionado email: [email protected] 141 Pesta'a Data Rates: No se le modificara la configuracin Standard. Pesta'a Advanced: Max Station Count: 2007 Act Timeout: dynamic Periodic Calibration : Default Calibration level: 00:01:00 Antenna mode: antenna a Preamble mode: both Disconnect time out: 00:00:03 On Fail Retry Time:100 email: [email protected] 142 Pesta'a WDS: WDS Mode: Disable WDS default Bridge: none WDS Default Cost: 100 WDS Cost Range: 50-100 email: [email protected] 143 Pesta'a Nstreme: Enable Ntreme: Deseleccionado Enable Polling: Seleccionado Framer Policy: none Framer Limit: 3200 Pesta'a Tx Power:Tx Power Mode: default email: [email protected] 144 Pesta'a Status: Esta pesta'a nos muestra el Status de la interfase Wireless. Pesta'a compression Status: Esta pesta'a nos muestra el estado de la compresin de datos. email: [email protected] 145 Pesta'a Traffic: Nos muestra el tr#fico actual de la interfase en paquetes enviados y recibidos al igual que bits por segundo. Luego nos dirigimos al men* IP / ADDRESS. En la nueva ventana hacemos clic sobreelicono(+)yconfiguramosunanuevaip,paralainterfaseether1.La configuracin de la misma es: Address: 192.168.5.3/24 Network: 192.168.5.0 Broadcast: 192.168.5.255 Interfase: ether1 email: [email protected] 146 Acontinuacinconfiguraremoslainterfasewlan1.Paraellonosdirigimosal men* IP / ADDRESSES y hacemos clic sobre el icono (+) Address: 192.168.10.1/24 Network: 192.168.10.0 Broadcast: 192.168.10.255 Interfase: wlan email: [email protected] 147 Las interfases configuradas se ven de la siguiente manera. AcontinuacindebemosasignarlealhotspoteldefaultGatewayparaello,nos dirigimos al men*IP / ROUTES. En la nueva ventana le hacemos clic al icono (+) y configuramos la nueva ventana de la siguiente manera. Destination: 0.0.0.0/0 Gateway: 192.168.5.1 email: [email protected] 148 Las rutas se ven configuradas de la siguiente manera: AcontinuacindeberemosconfigurarnuestroHotSpot.Paraellonosdirigimos almen*IP/Hotspot.Enlanuevaventanadentrodelapesta'aServers,hacemos clic sobre el botn SETUP. En la ventana que nos aparece la configuramos de la siguiente manera. HotSpot interfase: wlan1 Enla ventana siguiente elegimosla direccin deip paralainterfase dehotspot. La configuracin es: Local Address of Network 192.168.10.1/24 Masquerade Network: Seleccionado email: [email protected] 149 Acontinuacinleasignamoselpooldeipquenosinteresaquedichainterfase nos brinde a los clientes. La configuracin es: Address Pool ofNetwork: 192.168.10.2-192.168.10.254 Luego no le seleccionamos ning*n certificado SSL email: [email protected] 150 Siguiendo nos pide la direccin del servidor STMP de nuestra red local es: IP Address of SMTP Server: 192.168.1.1 Luego le asignamos los dns correspondientes. DNS Servers: 192.168.0.3 200.45.191.35 Seguimos con el nombre de nuestro servidor dns el cual es: DNS Name: hotspot.royaltech.com.ar email: [email protected] 151 Finalizando creamos nuestro usuario administrador. Nuestro hotspot configurado se ve de la siguiente manera. Le hacemos doble clic al hotspot1 para configurar sus par#metros. La configuracin de los mismos son: Name: hotspot Interfase: wlan1 Hs-pool-5 Profile hsprofile1 Idel Timeout: 00:05:00 Addresses per Mac: 2 Luegodentrodelapesta'aServershacemosclicenprofiles.Yluegoeditamos la configuracin del profile hsprof1. La configuracin del mismo es: email: [email protected] 152 Pesta'a General: Name: hsprof1 Hotspot Address: 192.168.10.1 DNS Name: Hotspot.royaltech.com.ar HTML Directory: hotspot SMTP: 192.168.1.1 Pesta'a Login: HTTP CHAP y Cookie: Seleccionado MAC, HTTP PAP, HTTPS y Trial: deseleccionado. HTTP Cookie Lifetime: 01:00:00 email: [email protected] 153 Pesta'a RADIUS: Use RADIUS: (seleccionado) Default Domain: 192.168.1.3 NAS PORT Type 19 (Wireless-802.11) Luegohacemosclicsobrelapesta'aUsershacemosclicenelbotnProfiley generamos uno. La configuracin del mismo es: Name Profile_Hotspot Address Pool: hs-pool-5 Idle Timeout. None Keekalive Timeout: 00:02:00 Shared Users: 1 Rate limit: 128k/256k email: [email protected] 154 Pesta'a Advertise: Advertise: deseleccionado Pesta'a Script: No se genera ning*n script y queda configurada por default. email: [email protected] 155 FinalmentegeneraremosunperfildeseguridadparalasconexionesWireless. Para ello debemos ir al men* WIRELESS, luego hacemos clic en al pesta'a Security Profiles. Y creamos un profile nuevo haciendo clic en el icono (+). Pesta'a General: Name: Royaltech-Secure Mode: dynamic keys WPA PSK, WPA2 PSK: Seleccionados Unicast ciphers oTkip: Seleccionado oAes ccm: Seleccionado Group Ciphers oTkip: Seleccionado oAes ccm: Seleccionado WPA Pre-Shared Key: royaltech WPA2 Preshared Key:royaltech RADIUS MAC Authentication (deseleccionado) email: [email protected] 156 Pesta'a EAP: EAP Methods:TLS Mode: no certifcate TLS certifcate: none Pesta'a Static Keys: No utilizaremos llaves est#ticas.

email: [email protected] 157 Acontinuacindebemosasgnaleesteperfildeseguridadanuestrainterfase wilan1. Para ello nos dirigimos al men* WIRELESS. Dentro de la pesta'a Interfases. Le hacemos doble clic a nuestra interfase wlan1 y modificamos el siguiente valor. Security Profile: royaltech-Secure. FinalmenteVamosalmen*RADIUS.Enlaventananuevaquesenosabrela hacemosclicenelicono(+).Lanuevaventanalaconfiguramosdelasiguiente manera: Ppp, hotspot, login, wireless, telephony, dhcp: Seleccionados Address: 192.168.0.3 email: [email protected] 158 Secret: Radius Authentication port:1812 Accounting:1813 Time out : 600 Servidor de SNMP Debido alos beneficios quebrinda elmonitoreo remoto de los servicios de una red.Hemosdecididoimplementaryhabilitarleelservidordesnmpdeunrouter Mikrotik. Para poder realizar dichaimplementacinla dividiremos en dos partes. Primero lahabilitacinoactivacindelsnmpenelrouterdeCBAparalared192.168.1.0. Luegoutilizandolaaplicacinmrtginstaladaenelservidordeladireccindeip 192.168.1.2 graficaremos algunos datos obtenidos. email: [email protected] 159 Configuracin Servidor SMNP Dentrodelwinbox,nosdirigimosalmen*SNMP,senosabrelaventanade configuracin, hacemos clic en el botnSettingsy le cargamos los siguientes datos. Enabled (marcado) Contact info: tatubias@server Location: cba Llenandoesoscasillerosyatendremoshabilitadoelservidordesnmpdelmikrotik. Luegohayquecrearlacomunidadsnmp,lacuallallamaremosservers.Paraello hacemos clic en el icono (+) y se nos abre la ventana de configuracin de comunidady le cargamos los siguientes datos: Name: communa Address: 192.168.1.0/24 Read Access (marcado) Para una configuracin b#sica esto nos alcanza para poder obtener cierta informacin del Mikrotik. email: [email protected] 160 Dentro de winbox ir al men* New Terminal se nos abre una ventana de terminal. Ah dentro debemos escribir lo siguiente para obtener las oid del sistema # /interfase print oid Dicho comando nos mostrara la salida de pantalla con los datos de oid requeridos. [admin@MikroTik]interfase print oid 0R name=.1.3.6.1.2.1.2.2.1.2.1 mtu=.1.3.6.1.2.1.2.2.1.4.1mac-address=.1.3.6.1.2.1.2.2.1.6.1 admin-status=.1.3.6.1.2.1.2.2.1.7.1oper-status=.1.3.6.1.2.1.2.2.1.8.1 bytes-in=.1.3.6.1.2.1.2.2.1.10.1packets-in=.1.3.6.1.2.1.2.2.1.11.1 discards-in=.1.3.6.1.2.1.2.2.1.13.1errors-in=.1.3.6.1.2.1.2.2.1.14.1 bytes-out=.1.3.6.1.2.1.2.2.1.16.1packets-out=.1.3.6.1.2.1.2.2.1.17.1 discards-out=.1.3.6.1.2.1.2.2.1.19.1errors-out=.1.3.6.1.2.1.2.2.1.20.1 1R name=.1.3.6.1.2.1.2.2.1.2.2 mtu=.1.3.6.1.2.1.2.2.1.4.2mac-address=.1.3.6.1.2.1.2.2.1.6.2 admin-status=.1.3.6.1.2.1.2.2.1.7.2oper-status=.1.3.6.1.2.1.2.2.1.8.2 bytes-in=.1.3.6.1.2.1.2.2.1.10.2packets-in=.1.3.6.1.2.1.2.2.1.11.2 discards-in=.1.3.6.1.2.1.2.2.1.13.2errors-in=.1.3.6.1.2.1.2.2.1.14.2 bytes-out=.1.3.6.1.2.1.2.2.1.16.2packets-out=.1.3.6.1.2.1.2.2.1.17.2 discards-out=.1.3.6.1.2.1.2.2.1.19.2errors-out=.1.3.6.1.2.1.2.2.1.20.2 2R name=.1.3.6.1.2.1.2.2.1.2.3 mtu=.1.3.6.1.2.1.2.2.1.4.3mac-address=.1.3.6.1.2.1.2.2.1.6.3 admin-status=.1.3.6.1.2.1.2.2.1.7.3oper-status=.1.3.6.1.2.1.2.2.1.8.3 bytes-in=.1.3.6.1.2.1.2.2.1.10.3 email: [email protected] 161 packets-in=.1.3.6.1.2.1.2.2.1.11.3 discards-in=.1.3.6.1.2.1.2.2.1.13.3errors-in=.1.3.6.1.2.1.2.2.1.14.3 bytes-out=.1.3.6.1.2.1.2.2.1.16.3packets-out=.1.3.6.1.2.1.2.2.1.17.3 discards-out=.1.3.6.1.2.1.2.2.1.19.3errors-out=.1.3.6.1.2.1.2.2.1.20.3 3R name=.1.3.6.1.2.1.2.2.1.2.7 mtu=.1.3.6.1.2.1.2.2.1.4.7mac-address=.1.3.6.1.2.1.2.2.1.6.7 admin-status=.1.3.6.1.2.1.2.2.1.7.7oper-status=.1.3.6.1.2.1.2.2.1.8.7 bytes-in=.1.3.6.1.2.1.2.2.1.10.7packets-in=.1.3.6.1.2.1.2.2.1.11.7 discards-in=.1.3.6.1.2.1.2.2.1.13.7errors-in=.1.3.6.1.2.1.2.2.1.14.7 bytes-out=.1.3.6.1.2.1.2.2.1.16.7packets-out=.1.3.6.1.2.1.2.2.1.17.7 discards-out=.1.3.6.1.2.1.2.2.1.19.7errors-out=.1.3.6.1.2.1.2.2.1.20.7 4R name=.1.3.6.1.2.1.2.2.1.2.10 mtu=.1.3.6.1.2.1.2.2.1.4.10mac-address=.1.3.6.1.2.1.2.2.1.6.10 admin-status=.1.3.6.1.2.1.2.2.1.7.10oper-status=.1.3.6.1.2.1.2.2.1.8.10 bytes-in=.1.3.6.1.2.1.2.2.1.10.10packets-in=.1.3.6.1.2.1.2.2.1.11.10 discards-in=.1.3.6.1.2.1.2.2.1.13.10errors-in=.1.3.6.1.2.1.2.2.1.14.10 bytes-out=.1.3.6.1.2.1.2.2.1.16.10packets-out=.1.3.6.1.2.1.2.2.1.17.10 discards-out=.1.3.6.1.2.1.2.2.1.19.10errors-out=.1.3.6.1.2.1.2.2.1.20.10 Observemos los valores obtenidos: packets-in=.1.3.6.1.2.1.2.2.1.11.10 packets-out=.1.3.6.1.2.1.2.2.1.17.10 packets-in=.1.3.6.1.2.1.2.2.1.11.7 packets-out=.1.3.6.1.2.1.2.2.1.17.7 packets-in=.1.3.6.1.2.1.2.2.1.11.3 packets-out=.1.3.6.1.2.1.2.2.1.17.3 packets-in=.1.3.6.1.2.1.2.2.1.11.2 packets-out=.1.3.6.1.2.1.2.2.1.17.2 Dichos valores los utilizaremos mas adelante en la configuracin del mrtg Concluidalaprimerapartedelaconfiguracin,deberemosinstalarelsoftware mrtgenelservidordedebianquetenemosenlared.Damosporentendidoqueel servidor apache ya esta instalado y corriendo. email: [email protected] 162 Para la instalacin seguiremos los siguientes pasos. # apt-get install mrtg Con el software ya instalado editamos el archivo de configuracin que se encuentra en /etc/mrtg.cfg. EnableIPv6: no WorkDir: /var/www/mrtg ###################################################################### # System: 192.168.1.1 # Description: router # Contact: tatubias@server # Location: cba ###################################################################### Target[192.168.1.1_cpu]: 1.3.6