Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mikrotik Tutorial (Spanish)
Mikrotik Tutorial (Spanish)
Ingenier a en Telecomunicaciones
Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodolgico: Ing. Arguello
- 2008 -
email: vdirienzo@gmail.com
ndice
Introduccin ................................................................................................................. 4 Metodolog a ................................................................................................................. 7 Resultado y discusin ................................................................................................... 9 Estudio bibliogr#fico de Mikrotik RouterOS ............................................................. 9 Caracter sticas principales ..................................................................................... 9 Caracter sticas de ruteo ......................................................................................... 9 Caracter sticas del RouterOS............................................................................... 10 Calidad de servicio (QoS) ................................................................................... 10 Tipos de colas ................................................................................................. 10 Colas simples .................................................................................................. 10 %rboles de colas .............................................................................................. 10 Interfases del RouterOS ...................................................................................... 11 Herramientas de manejo de red ........................................................................... 11 Estudio descriptivo de la empresa Royaltech........................................................... 12 Router CBA ........................................................................................................ 14 Sub-red Administracin ...................................................................................... 16 Sub-red Ventas.................................................................................................... 18 Sub-red Produccin............................................................................................. 20 Sub-red Hotspot .................................................................................................. 21 Sub-red Servidores.............................................................................................. 22 Dise'o de la implementacin virtualizada de la red. ................................................ 23 Instalacin de Mikrotik RouterOS....................................................................... 23 Logueo al Mikrotik ............................................................................................. 27 Backup y Restore de Configuracin .................................................................... 30 Backup de la configuracin. ............................................................................ 30 Restore de la configuracin. ............................................................................ 32 Definicin y configuracin de interfases. ................................................................ 33 Asignacin de nombres a las interfases................................................................ 33 Definicin de Vlans ............................................................................................ 40 Asignacin de Direcciones IPs a las interfases .................................................. 43 Definimos UPnP para las interfases:.................................................................... 48 Configuracin Pools de Direcciones de IP........................................................... 50 Definir DNS........................................................................................................ 52 Nat Masquerade para todas las redes ................................................................... 53 Configuracin Servidor DHCP................................................................................ 54 Asignacin de direcciones de ip fijas a partir de direcciones MAC. ..................... 59 Configuracin Servidor - Cliente NTP: ................................................................... 61 Servidor NTP...................................................................................................... 61 Cliente NTP ........................................................................................................ 61 Servidor y Cliente PPPoE ....................................................................................... 64 Configuracin Servidor PPPoE ........................................................................... 64 Configuracin Cliente PPPoE: ............................................................................ 66 Servidor Cliente PPTP ......................................................................................... 69 Configuracin Servidor PPTP: ............................................................................ 69 Configuracin Cliente PPTP ............................................................................... 72 2
email: vdirienzo@gmail.com
Servidor Web Proxy................................................................................................ 80 Bloqueo Pornograf a ........................................................................................... 87 Bloqueo paginas que brinden el servicio de Web Messenger ............................... 89 Bloqueo del Live Messenger A Travs del Proxy ................................................ 91 Bloqueo de p#ginas que brinden webmail............................................................ 92 Bloqueo descarga directa de archivos MP3 y AVI............................................... 93 Bloqueo descarga directa de archivos RAR, ZIP, EXE ........................................ 94 Bloqueo Archivos RAR................................................................................... 94 Bloqueo Archivos ZIP..................................................................................... 95 Bloqueo Archivos EXE ................................................................................... 95 Balanceo de carga ................................................................................................... 96 Control de ancho de banda .................................................................................... 106 Asignacin de ancho de banda por sub red ........................................................ 106 Traffic Shaping de (P2P)................................................................................... 109 Liberacin del ancho de banda fuera del horario de trabajo ............................... 115 Firewall ................................................................................................................ 119 Bloqueo de los P2P para redes de ventas y produccin ...................................... 119 Bloqueo del cliente MSN Live Messenger......................................................... 121 Redireccionamiento de puertos.......................................................................... 125 Puerto 80 WEB ............................................................................................. 125 Puerto 110 POP3........................................................................................... 126 Puerto 25 SMTP............................................................................................ 127 Puerto 1723 PPTP ......................................................................................... 128 Descartar conexiones inv#lidas.......................................................................... 131 Aceptar conexiones establecidas ....................................................................... 132 Acepta Trafico UDP.......................................................................................... 133 Acepta icmp Limitados ..................................................................................... 134 Descarta excesivos icmp ................................................................................... 135 Descarta el resto de las conexiones externas ...................................................... 136 Configuracin Hot Spot ........................................................................................ 138 Servidor de SNMP ................................................................................................ 158 Configuracin Servidor SMNP ............................................................................. 159 Servidor Radius .................................................................................................... 164 Configuracin Servidor Radius ......................................................................... 164 Configuracin MySQL...................................................................................... 167 Configuracin dialup admin .............................................................................. 168 Configuracin servidor - cliente Jabber ................................................................. 175 Servidor Jabber ................................................................................................. 175 Cliente Jabber ................................................................................................... 176 Sniffing de Paquetes ............................................................................................. 183 Instalacin Ntop................................................................................................ 183 Instalacin Wireshark........................................................................................ 186 Conclusin................................................................................................................ 197 Bibliograf a .............................................................................................................. 198
email: vdirienzo@gmail.com
Introduccin
Hoy por hoy la realidad nos dice que las redes inform#ticas, se han vuelto indispensables, tanto para las personas como organizaciones. Les da oportunidad de interactuar con el resto del mundo, ya sea por motivos comerciales, personales o emergencias. La optimizacin en el uso de los sistemas inform#ticos es uno de los elementos de interaccin y desarrollo que rige los destinos de la ciencia inform#tica. Es por ello que la aparicin de las plataformas de interconexin de equipos de computacin o redes inform#ticas. Las mismas resultan ser uno de los elementos tecnolgicos m#s importantes al momento de definir un sistema inform#tico en una organizacin. Entre las principales las ventajas que le brinda a una empresa el uso de redes inform#ticas, podemos detallar algunas: compartir recursos especialmente informacin (datos), proveer la confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la red que as lo solicite sin importar la localizacin f sica del recurso y del usuario. Permite al usuario poder acceder a una misma informacin sin problemas llev#ndolo de un equipo a otro. Tambin es una forma de reducir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Crdoba, dicha empresa cuenta con tres #reas, administracin, ventas y produccin. Adem#s cuenta con una oficina de ventas en la ciudad de Buenos Aires. En los *ltimos dos a'os la empresa creci abruptamente, paso de tener 200 puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas estructurales a nivel inform#tico. Entonces se decidi dise'ar una nueva red inform#tica la cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la empresa podr# contar con dos proveedores de Internet simult#neos, los cuales se distribuir#n balaceadamente en el #rea de ventas. Esto es debido a la gran utilizacin que se produce en esta sub-red del ancho de banda. Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una de las conexiones, la empresa siempre posea conectividad con el exterior.
email: vdirienzo@gmail.com
Dicha red inform#tica deber# proveer servicio al total de la empresa con 600 puestos de trabajo distribuidos en sus tres #reas y se deber# crear una red virtual privada (VPN) para interconectar la oficina de ventas ubicada en la ciudad de Buenos Aires, con la oficina de ventas situada en la ciudad de Crdoba. Brind#ndole una conexin m#s r#pida y segura, considerando aspectos econmicos y tecnolgicos. En el presente trabajo se documenta la configuracin y puesta a punto de una red as como la definicin de las pol ticas de seguridad de la red para un funcionamiento flexible y ptimo. Tras un an#lisis y estudio de las necesidades particulares de cada caso, se creara una red con cuatro sub-redes: LAN Administracin, LAN Ventas, LAN Produccin, LAN Servidores. Se utilizar# un servidor DHCP para cada una de las sub-redes, con lo cual logramos asignar autom#ticamente las direcciones IP a cada uno de los puestos de los usuarios dentro de cada sub-red. Para la sub-red de servidores se les asigna una direccin IP dependiendo del n*mero de MAC que tenga el servidor. Se creara servidor ntp y usuario ntp, para sincronizar la hora con todos los usuarios. Tambin se creara un servidor PPTP; que es el servidor VPN con el cual se conecta la oficina de Ventas de Buenos Aires a nuestra red deriv#ndola a la red del #rea de Ventas. Se configura un servidor SNMP. Dicho servidor nos muestra el estado de las interfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik Se aplicara pol ticas de control de ancho de banda, por sub-redes o por puesto de trabajo. El control de ancho de banda de los P2P ser# aplicado a la red de administracin por pol tica de la empresa. Tambin el filtrado total de los p2p ser# aplicado a las redes del las #reas de Ventas y Produccin Se bloqueara en los puesto de usuario el MSN Live Messenger y se crear# un servidor llamado JABBER de mensajer a privada de la empresa. La instalacin de un Web Proxy, se utilizar# para la optimizacin del ancho de banda utilizado en Internet y filtrado de p#ginas no aptas. Su funcionamiento consiste en guardar en un disco fijo todas las p#ginas que se hayan visitado. A propsito para
email: vdirienzo@gmail.com
que cuando un nuevo usuario desee visitar una de las paginas ya guardadas. Entonces el servidor autom#ticamente le env a la p#gina guardada del disco fijo y no la descarga desde la Web. Haciendo este proceso mucho m#s r#pido y eficiente. Liberacin del ancho de banda fuera del horario de trabajo: Debido a que la empresa no trabaja las 24hs al d a, se dispuso la posibilidad de liberar el ancho de banda para la red de Administracin, en un rango horario determinado. Para ello lo primero que debemos hacer es una nueva cola que la habilitaremos en los horarios de 20:00hs a 06:00hs. Dicha red se implementara con Mikrotik Routeros, el mismo es un sistema operativo y software del router; el cual convierte a una PC Intel un Mikrotik RouterBOARD en un router dedicado. Se toma esta decisin ya que estos equipos brindan seguridad, flexibilidad y son muy econmicos lo cual es un gran beneficio para la empresa, ya que la red es de un tama'o considerable. En el presente trabajo se analizara la implementacin de una red simulada con Mikrotik en la empresa virtual Royal Tech
email: vdirienzo@gmail.com
Metodolog#a
1. Estudio Exploratorio bibliogr fico sobre el manual de referencia de Mikrotik y normas internacionales.
Se busco informacin en el manual de referencia, se tuvo en cuenta las normativas y reglamentaciones internacionales.
2. Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de An#lisis del entorno organizacional de Royaltech Se re dise'o la red teniendo en cuenta.
2.2. Variables Las nuevas #reas de la empresa Cantidad de puestos de trabajos Interfaces a utilizar. Redes Virtuales Privadas Servidor de monitoreo SNMP Servidor de autenticacin RADIUS Servidor de mensajer a privada JABBER Seguridad. Modelado de colas de tr#fico. Tr#fico cursado.
3. Dise#o de la implementacin virtualizada de la red, para la empresa Royal Tech utilizando mikrotik.
Los pasos y procedimientos para la implementacin del Mikrotik fueron: Instalacin Mikrotik Acceso al Mikrotik
email: vdirienzo@gmail.com
Declaracin de interfaces Definicin Vlans Asignacin de direccin ip por interfaces Asignacin de pools de direcciones ips Configuracin servidor DHCP Instalacin del servidor y cliente NTP. Servidor VPN Balanceo de carga Control de ancho de banda Instalacin servidor SNMP Instalacin servidor RADIUS Instalacin servidor JABBER Instalacin servidor PROXY Configuracin Hotspot.
email: vdirienzo@gmail.com
Resultado y discusin
Estudio bibliogr fico de Mikrotik RouterOS
Dicha red se implementara con Mikrotik RouterOS que es el sistema operativo y software del router, el cual convierte a una PC Intel un Mikrotik RouterBOARD en un router dedicado.
Se toma esta decisin ya que estos equipos brindan seguridad, flexibilidad y son muy econmicos, lo cual es un gran beneficio para la empresa ya que la red es de un tama'o considerable
El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inal#mbrico, por lo tanto puede hacer casi cualquier cosa que tenga que ver con las necesidades de red, adem#s de ciertas funcionalidad como servidor.
El software RourterOS puede ejecutarse desde un disco IDE memoria tipo FLASH. Este dispositivo se conecta como un disco r gido com*n y permite acceder a las avanzadas caracter sticas de este sistema operativo.
Caracter#sticas principales
El Sistema Operativo es basado en el Kernel de Linux y es muy estable. Puede ejecutarse desde discos IDE o mdulos de memoria flash. Dise'o modular Mdulos actualizables Interfaz grafica amigable.
Caracter#sticas de ruteo
Pol ticas de enrutamiento. Ruteo est#tico o din#mico. Bridging, protocolo spanning tree, interfaces multiples bridge, firewall en el bridge.
email: vdirienzo@gmail.com
Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. Cache: web-proxy, DNS. Gateway de HotSpot. Lenguaje interno de scripts.
Tipos de colas
RED BFIFO PFIFO PCQ
Colas simples
Por origen/destino de red. Direccin IP de cliente. Interfase
&rboles de colas
Por protocolo. Por puerto.
email: vdirienzo@gmail.com
10
Estas son las principales caracter sticas del sistema operativo y software Mikrotik RouterOS elegido para la implementacin de la red virtualizada.
email: vdirienzo@gmail.com
11
Tenemos una sub-red de administracin, la cual, cuenta con un servidor de archivos que se utiliza para brindar dicho servicio a todas las otras redes. Esto acarrea el problema de que se genera demasiado tr#fico de datos hacia la red de Administracin, lo cual produce congestin y altas pedidas de paquetes. Por ende tenemos descontento del personal de la empresa al igual que ineficiencia de los mismos. Adem#s posee una impresora en la red del tipo hogare'a para que impriman todas las otras sub-redes.
Tener una sola impresora le trajo muchos inconvenientes a la empresa debido a que se generan colas interminables de documentos a imprimir. Tambin, la impresora se rompe cotidianamente debido al exceso de carga. Otro inconveniente que se produce es el ingreso de personal ajeno al #rea de administracin. Esto genera lentitud a la hora de trabajar y perdida de tiempo de los empleados para ir a buscar sus documentos a la impresora en otra #rea. Rotura de mobiliario en la zona en cuestin al igual que la falta injustificada de insumos.
Las sub-redes de Ventas y Produccin simplemente poseen pcs conectadas a travs de un switch. Todo este grupo de computadoras acceden al servidor de archivos al igual que la impresora a travs del router principal.
email: vdirienzo@gmail.com
12
El router en cuestin, no es un router de alta productividad, con lo cual se generan grandes problemas de congestin, debido a que no puede administrar la gran cantidad y volumen de informacin que transita por la red. Los switch en cada una de las #reas son idnticos. Ninguno posee la habilidad de poder administrar sus puertos, al igual que est#n imposibilitados de generar vlan o cualquier otro tipo de pol tica que se pueda generar en otro tipo de switch.
Debido a esta disposicin de red y los constantes problemas tcnicos que posee, al igual que la pedida de tiempo de los recursos humanos de tener que desplazarse hasta otro piso para buscar sus impresiones. Por eso la empresa decidi la reestructuracin de su red para optimizar y mejorar la produccin de la misma y sus recursos humanos.
reestructuracin de la red nueva. Lo cual solucionar# los problemas de congestin al igual que proveer# mayor productividad. Lo cual traer# grandes beneficios.
email: vdirienzo@gmail.com
13
La nueva red planeada posee dos nuevas sub-redes, una un hotspot y la otra una sub-red de servidores. Tambin en esta nueva reestructuracin se interconectara las oficinas de ventas que est#n ubicadas en la ciudad de Buenos Aires con las oficinas de ventas en la ciudad de Crdoba. Asimismo se opto por la utilizacin de dos proveedores de Internet distintos, debido a que constantemente pose an problemas de ca da del servicio de ADSL. Se dejo a este ultimo como backup de las dos otras conexiones.
Router CBA
Nuestro router en las oficinas de Crdoba esta basado en la plataforma Intel con dos placas de red que poseen 4 puertos Gigabit Ethernet cada una. El sistema operativo para la implementacin ser# Mikrotik RouterOs. El router proveer# de varios servicios para la red. En los cuales podemos encontrar Servidor DHCP, Firewall, Servidor PPPoE, Cliente PPPoE, Servidor PPTP Server, Modelado de colas, Cliente NTP, Servidor NTP, Web Proxy, Hotspot.
El servidor DHCP, nos brindara las direccion de IP, Gateway, broadcast, dns para cada una de a las sub redes. email: vdirienzo@gmail.com 14
El Firewall se utilizar# para las siguientes actividades: Bloqueo del cliente MSN Live Messenger. Bloqueo P2P para redes Produccin y Ventas. Redireccionamiento de puertos. o Puerto 80 WEB. o Puerto 110 POP3. o Puerto 25 SMTP. o Puerto 1723 PPTP. Descartar conexiones inv#lidas. Aceptar conexiones establecidas. Acepta Trafico UDP. Acepta paquetes de icmp Limitados. Descarta excesivos paquetes de icmp Descarta el resto de las conexiones externas
El servidor PPTP, ser# utilizado para interconectar las oficinas de Buenos Aires y Crdoba. El servidor PPPoE ser# utilizado para autenticar a los usuarios que se deseen loguear desde fuera de la red de produccin. El cliente PPPoE se utilizar# en el caso improbable que las dos otras conexiones a Internet se caigan. Con lo cual se utilizar# como ruta alternativa de backup. El modelado de colas se utilizar# para asignarle un determinado ancho de banda a cada una de las sub redes. Al igual se utilizar# el modelado de colas para el control de ancho de banda para los clientes P2P El cliente NTP, se utilizar# para sincronizar la hora de nuestro mikrotik. El servidor NTP se utilizar# para que las computadoras de la red estn sincronizadas.
email: vdirienzo@gmail.com
15
El Web Proxy se utilizar# para filtrar el contenido que los usuarios realicen al navegar a travs de Internet. Para ello se aplicaran las siguientes pol ticas:
Bloqueo Pornograf a Bloqueo paginas que brinden el servicio de Web Messenger Bloqueo del Live Messenger A Travs del Proxy Bloqueo de p#ginas que brinden webmail Bloqueo descarga directa de archivos MP3 y AVI Bloqueo descarga directa de archivos RAR, ZIP, EXE
Sub-red Administracin
La nueva restructuracin de la sub-red de administracin se dio debido al alto tr#fico que ten an entre todas las otras redes. A esta sub-red se decidi cambiar el switch que pose a para utilizar un switch de alta productividad.
email: vdirienzo@gmail.com
16
Nuestra sub-red poseer# un pool de impresoras de red para esta sola #rea. Esto disminuir# el tr#fico de impresin al igual que el tr#fico de personal ajeno a Administracin. Asimismo se le instalar# un servidor de archivos propio de administracin en el cual se encontrar# exclusivamente los archivos de dicha ara. Los n*meros de ip, Gateway, Broadcast y dns, ser#n asignados por el router mikrotik mediante DHCP. El Rango de direcciones ser# desde 192.168.2.5/24 al 192.168.2.254/24. Se decidi dejar las direcciones desde el 192.168.2.2/24 al 192.168.2.4/24 fuera de este rango para el caso de que se quieran instalar alg*n otro tipo de servidores en dicha #rea en un futuro prximo. Los n*meros de ip asignados a los servidores ser#n asignado mediante la direccin mac de cada uno. La red de administracin ser# conectada a travs del switch al router mediante un backbone de 1Gbit Ethernet. El cual ser# limitado mediante teor a de colas simples a 250M/bits de subida y 300M/bits de bajada. Debido a que dentro del #rea de administracin se encuentra gerencia, la misma autoriz la utilizacin de los P2P para dicha #rea. El trafico P2P ser# modelado para que no ocupe gran cantidad de ancho de banda.
email: vdirienzo@gmail.com
17
Sub-red Ventas
A esta sub-red se le decidi cambiar el switch que pose a para utilizar un switch de alta productividad. Nuestra sub-red poseer# un pool de impresoras de red para esta sola #rea. Esto disminuir# el tr#fico de impresin al igual que el tr#fico de personal ajeno a Administracin. Asimismo se le instalar# un servidor de archivos propio de ventas en el cual se encontrar# exclusivamente los archivos de dicha ara. Los n*meros de ip, Gateway, Broadcast y dns, ser#n asignados por el router mikrotik mediante DHCP. El Rango de direcciones ser# desde 192.168.3.5/24 al 192.168.3.254/24. Se decidi dejar las direcciones desde el 192.168.3.2/24 al 192.168.3.4/24 fuera de este rango para el caso de que se quieran instalar alg*n otro tipo
email: vdirienzo@gmail.com
18
de servidores en dicha #rea en un futuro prximo. Los n*meros de ip asignados a los servidores ser#n asignado mediante la direccin mac de cada uno. La red de ventas ser# conectada a travs del switch al router mediante un backbone de 1Gbit Ethernet. El cual ser# limitado mediante teor a de colas simples a 400M/bits de subida y 300M/bits de bajada.
Esta sub-red albergara tambin las pcs de la oficina de Buenos Aires. Dicha oficina ser# conectada a las oficinas de Crdoba mediante una VPN. Se utilizar# el protocolo PPTP para crear el t*nel. El tr#fico de P2P quedar# bloqueado absolutamente para esta sub-red. Ya que se prohibi el trafico p2p para esta #rea.
Para contra restar la carga hacia Internet desde esta red, se decidi realizar un balanceo de carga entre los dos proveedores de Internet. Lo cual traer# grandes email: vdirienzo@gmail.com 19
beneficio ya que no desbordara uno solo de los enlaces. Sino todo el tr#fico generado ser# balanceado entre ambas conexiones.
Sub-red Produccin
A la sub-red de produccin se decidi cambiarle el switch que pose a para utilizar un switch de alta productividad, que nos brinde la posibilidad de administrar puertos. Nuestra sub-red poseer# un pool de impresoras de red para esta sola #rea. Esto disminuir# el tr#fico de impresin al igual que el tr#fico de personal ajeno a Administracin. Asimismo se le instalar# un servidor de archivos propio de produccin en el cual se encontrar# exclusivamente los archivos de dicha ara.
email: vdirienzo@gmail.com
20
Los n*meros de ip, Gateway, Broadcast y dns, ser#n asignados por el router mikrotik mediante DHCP. El Rango de direcciones ser# desde 192.168.4.5/24 al 192.168.4.254/24. Se decidi dejar las direcciones desde el 192.168.4.2/24 al 192.168.4.4/24 fuera de este rango para el caso de que se quieran instalar alg*n otro tipo de servidores en dicha #rea en un futuro prximo. Los n*meros de ip asignados a los servidores ser#n asignado mediante la direccin mac de cada uno. La red de ventas ser# conectada a travs del switch al router mediante un backbone de 1Gbit Ethernet. El cual ser# limitado mediante teor a de colas simples a 350M/bits de subida y 400M/bits de bajada. Esta sub-red poseer# la posibilidad que usuarios que estn en otras #reas de la empresa, se puedan conectar a esta sub-red mediante PPPoE. El tr#fico de P2P quedar# bloqueado absolutamente para esta sub-red. Ya que se prohibi el trafico p2p para esta #rea.
Sub-red Hotspot
email: vdirienzo@gmail.com
21
La red hot spot es una nueva red que se decidi implementar debido a que la empresa ahora posee un #rea de recreacin. La misma red solo poseer# la capacidad de navegar a travs de Internet. Los n*meros de ip, Gateway, Broadcast y dns, ser#n asignados por el router mikrotik mediante DHCP. El Rango de direcciones ser# desde 192.168.10.2/24 al 192.168.10.254/24.
Para la proteccin de los datos en la seccin wireless se decidi asegurarlos mediante WPA PSK o WPA2 PSK. Esto nos dar# fiabilidad y seguridad en los mismos. No obstante la seguridad WPAx que se desee implementar, todos los usuarios que se conecten al hotspot deber#n ser autenticados mediante el servidor radius instalado en la granja de servidores.
Sub-red Servidores
email: vdirienzo@gmail.com
22
A la sub-red de Servidores se decidi cambiarle el switch que pose a para utilizar un switch de alta productividad, que nos brinde la posibilidad de administrar puertos. Nuestra sub-red poseer# un pool de impresoras de red para esta sola #rea. Esto disminuir# el tr#fico de impresin al igual que el tr#fico de personal ajeno a Administracin. Los n*meros de ip, Gateway, Broadcast y dns, ser#n asignados por el router mikrotik mediante DHCP. El Rango de direcciones ser# desde 192.168.1.5/24 al 192.168.1.254/24. Los n*meros de ip asignados a los servidores ser#n asignado
mediante la direccin mac de cada uno. Asimismo se le instalar# un servidor de archivos propio de administracin en el cual se encontrar# exclusivamente los archivos de dicha ara.
En esta sub-red se instalar# un servidor radius para la autenticacin de los usuarios que se conecten desde el hotspot. El servidor de correo de la empresa se encontrar# dentro de esta sub-red. Este servidor se utilizar# tanto para correo interno al igual que correo externo.
email: vdirienzo@gmail.com
23
ADSL. El resto de las placas se utilizaran para la distribucin de nuestra red interna. Utilizaremos la versin 2.9.27 Nivel 6 del software Mikrotik Router Os.
Booteamos con un CD que contenga la imagen del Mikrotik RouterOs ya quemada. Luego nos aparecer# el men* de instalacin que nos preguntar# que paquetes deseamos instalar. Para desplazarnos por el men* utilizamos las tecla P o N o sino las flechas del teclado. Para seleccionar o deseleccionar los paquetes a instalar utilizamos la Barra Espaciadora. Luego presionamos la tecla I para comenzar la instalacin local en nuestra plataforma.
System: Paquete principal que posee los servicios b#sicos al igual que los drivers b#sicos. Ppp: Provee de soporte para PPP, PPTP, L2TP, PPPoE e ISDN PPP. Dhcp: Servidor y cliente DHCP. Hotspot: provee de un hot spot. Hotspot-fix: Provee el parche para actualizar el modulo hot spot que tiene problemas en las versin 2.9.27. Ntp: Servidor y cliente NTP. 24
email: vdirienzo@gmail.com
Routerboard: provee de las utilidades para el routerboard. Routing: Provee soporte para RIP, OSPF y BGP4. Rstp-bridge-test: provee soporte para Rapid Spanning Tree Protocol. Security: Provee soporte para IPSEC, SSH y conectividad segura con Winbox. Telephony: Provee soporte para H.323. Ups: provee soporte para UPS APC. User-manager: Servicio de usuario del RouterOs Web-Proxy: Paquete para realizar un Web Proxy. wireless-legacy: Provee soporte para placas Cisco Aironet, PrismII, Atheros entre otras.
Luego la instalacin nos pregunta si deseamos quedarnos con la configuracin anterior, contestamos que no N.
La siguiente pregunta hace referencia a que perderemos todos los datos que se encuentran en el disco fijo le contestamos que si Y.
A continuacin comienza el proceso de particionado y formateado del disco fijo que es autom#tico y no nos hace ning*n tipo de preguntas. Luego nos dice que presionemos Enter para que el sistema se reinicie.
Seguidamente que se reinicia el sistema, nos pregunta si deseamos chequear la superficie del disco fijo le contestamos que si Y.
Luego comienza la instalacin de los paquetes seleccionados con anterioridad. Al finalizar dicho proceso nos pide que presionemos Enter nuevamente para reiniciar el sistema.
email: vdirienzo@gmail.com
25
Con el sistema reiniciado e instalado, la consola nos pide el usuario y contrase'a. Por defecto dicho nombre de usuario es: admin y para la contrase'a se deja el casillero en blanco y se presiona enter.
A continuacin nos da la bienvenida y nos pregunta si deseamos leer la licencia lo cual contestamos que si Y.
email: vdirienzo@gmail.com
26
Luego de haber le do la licencia ya nos queda la consola para comenzar a configurar nuestro Mikrotik.
Logueo al Mikrotik
Hay varias maneras para acceder a la administracin del Mikrotik sin haber configurado nada en un principio.
La primera es directamente desde la consola finalizada la instalacin, otro mtodo es utilizando una consola Telnet a travs del el puerto serie o Ethernet por mac o ip, sino mediante la utilizacin del software winbox, el cual lo brinda los desarrolladores de Mikrotik.
Debido a la flexibilidad, rapidez y ventajas que presenta la utilizacin de winbox respecto a los otros mtodos, ste ser# la manera con la cual realizaremos la configuracin de la red.
email: vdirienzo@gmail.com
27
Desde una PC remota con Windows xp instalado. Conectados mediante un cable cruzado al Mikrotik al puerto Ethernet. Hacemos correr el soft Winbox, el cual nos brindara una ventana para loguearse al Mikrotik.
En esta ventana nos deja introducir las direcciones Mac o ip de la placa del Mikrotik a la cual estamos conectados. Debido a que no hemos configurado el Mikrotik desde la consola. Hacemos clic en () esto har# que el software nos devuelva las direcciones Mac de las interfases de red que posean un Mikrotik instalado y corriendo. Seleccionamos la interfase y luego utilizaremos de Login: admin y como Password: (nada). Al finalizar esta carga de datos hacemos clic en Connect. Luego cuando el soft se conecta al Mikrotik autom#ticamente empieza a descargar los plugins instalados en el Mikrotik para poder administrarlos remotamente.
email: vdirienzo@gmail.com
28
Al finalizar la descarga de los plugins nos aparece la pantalla de configuracin del Mikrotik. En la cual a mano izquierda se encuentra el men* de configuracin de cada uno de los mdulos instalados.
En la barra superior del software nos encontramos con la barra de herramienta. En la misma sobre mano izquierda posee las opciones de undo y redo. Sobre mano derecha podemos encontrar dos iconos, el primero muestra la utilizacin del Mikrotik y el segundo nos indica si la conexin que estamos realizando es segura o no.
email: vdirienzo@gmail.com
29
Backup de la configuracin.
Primero nos Dirigimos al men* FILES all se nos abrir# una ventana y nos mostrar# los archivos que se encuentran almacenados. Debemos hacer clic sobre el botn de BACKUP para realizar nuestro backup.
Luego de haber hecho clic nos aparece un nuevo archivo en la lista que pose amos, que es nuestro backup de toda la configuracin del Mikrotik.
email: vdirienzo@gmail.com
30
Sabiendo que el almacenamiento puede fallar, siempre es bueno tener una copia de resguardo en otro sitio. Para ello debemos hacer lo siguiente.
Seleccionamos el archivo de backup que deseamos y luego hacemos clic sobre el icono de COPY. Esto har# que nuestro archivo de configuracin quede almacenado en el porta papeles de Windows. A continuacin creamos una carpeta en el disco fijo de la PC y pegamos el archivo. Nos aparecer# y ya tendremos el backup de nuestro archivo de configuracin en nuestra PC.
email: vdirienzo@gmail.com
31
Restore de la configuracin.
Si estamos recuperando el archivo de configuracin que esta dentro del Mikrotik. Simplemente debemos ir al men* FILES. En la ventana que nos aparece debemos seleccionar la versin del backup que deseamos recuperar y hacer clic sobre el botn de RESTORE.
Para el caso que el archivo de back up se encuentre en nuestro disco fijo. Seleccionamos el archivo de backup, luego hacemos clic con el botn derecho del mouse y seleccionamos copiar. Luego en el winbox, simplemente debemos ir al men* FILES. En la ventana que nos aparece, debemos hacerle clic en el icono de pegar y nos aparecer# nuestra nueva configuracin. A continuacin seleccionamos nuestra nueva con figuracin y apretamos el botn de restore. Se nos abrir# una nueva ventana que nos aplicara la nueva configuracin y nos har# reiniciar nuestro Mikrotik.
email: vdirienzo@gmail.com
32
Globalphone, para nuestra conexin dedicada con IP fijo. Movifonica para nuestra conexin dedicada con IP fijo con el otro proveedor. Ventas: Ser# la interfase exclusiva de ventas. Administracin: Ser# la interfase exclusiva de Administracin. Produccin: Ser# la interfase exclusiva de Produccin. Servers: Ser# la interfase para la granja de servidores. 33
email: vdirienzo@gmail.com
ADSL: Ser# la interfase para conectarse al ADSL de Backup Hotspot: ser# la interfase que proveer# acceso a la red mediante el hotspot
Interfase: Movifonica Pesta'a General: o Name: Movifonica o MTU: 1500 o ARP: Enable
email: vdirienzo@gmail.com
34
Pesta'a Ethernet:
email: vdirienzo@gmail.com
35
Pesta'a Status:
Pesta'a Traffic:
1. Vemos la grafica de kbps enviados y recibidos por dicha interfase. 2. Vemos la grafica de p/s enviados y recibidos por la interfase.
email: vdirienzo@gmail.com
36
Interfase: Administracion Pesta'a General: o Name: Adminitracion o MTU: 1500 o ARP: Enable
email: vdirienzo@gmail.com
37
Interfase: Globalphone Pesta'a General: o Name: Globalphone o MTU: 1500 o ARP: Enable
Interfase: Hotspot Pesta'a General: o Name: Hotspot o MTU: 1500 o ARP: Enable
email: vdirienzo@gmail.com
38
Interfase: Ventas Pesta'a General: o Name: Ventas o MTU: 1500 o ARP: Enable
Interfase: Produccion Pesta'a General: o Name: Produccion o MTU: 1500 o ARP: Enable
email: vdirienzo@gmail.com
39
Definicin de Vlans
Debido a las caracter sticas departamentales de la empresa debemos realizar 3 vlans para separar las #reas de:
Para configurar las vlans debemos ir al men* Interfases, se nos abrir# la ventana de configuracin de interfases. Hacemos clic sobre el icono (+) y se nos desplegar# un men*, elegimos la opcin Vlan y entramos a la ventana de configuracin de las mismas.
Vlan Ventas Pesta'a General: o Name: Vlan_Ventas o Type: Vlan o MTU: 1500 o MAC:00:0C29:76:88:25 o ARP: Enable o Vlan ID:1 o Interfase: Ventas
email: vdirienzo@gmail.com
40
Pesta'a Traffic:
Ver la grafica de kbps enviados y recibidos por dicha vlan Ver la grafica de p/s enviados y recibidos por la vlan
email: vdirienzo@gmail.com
41
Vlan Administracin Pesta'a General: o Name: Vlan_Administracion o Type: Vlan o MTU: 1500 o MAC:00:0C29:76:88:25 o ARP: Enable o Vlan ID:1 o Interfase: Adminitracion
Vlan Produccion Pesta'a General: o Name: Vlan_Produccion o Type: Vlan o MTU: 1500 o MAC:00:0C29:76:88:25 o ARP: Enable o Vlan ID:1 o Interfase: Produccion
email: vdirienzo@gmail.com
42
email: vdirienzo@gmail.com
43
Haciendo clic sobre el icono (+) nos abre una ventana que nos deja introducir los datos necesarios para nuestras interfases.
Interfase Globalphone: Address: 200.45.3.10/30 Network 200.45.3.0 Broadcast: 200.45.3.255 Interfase: Globalphone
email: vdirienzo@gmail.com
44
Interfase Movofonica:
Interfase Servers: Address: 192.168.4.10/24 Network: 192.168.4.0 Broadcast: 192.168.4.255 Interfase: Servers
email: vdirienzo@gmail.com
45
Interfase Administracin: Address: 192.168.2.1/24 Network: 192.168.2.0 Broadcast: 192.168.2.255 Interfase: Administracin
Interfase Ventas: Address: 192.168.3.1/24 Network: 192.168.3.0 Broadcast: 192.168.3.255 Interfase: Ventas
email: vdirienzo@gmail.com
46
Interfase Produccin: Address: 192.168.4.1/24 Network: 192.168.4.0 Broadcast: 192.168.4.255 Interfase: Produccin
Interfase Hot spot: Address: 192.168.5.1/24 Network: 192.168.5.0 Broadcast: 192.168.5.255 Interfase: Hot spot
email: vdirienzo@gmail.com
47
Interfase ADSL Address: 192.168.0.1/24 Network: 192.168.0.0 Broadcast: 192.168.0.255 Interfase: ADSL
email: vdirienzo@gmail.com
48
Ventas: Interna. Administracin: Interna Produccin: Interna Servers: Interna Hotspot: Interna Movifoncia: Externa. Globalphone: Externa. ADSL: Externa
Para realizar dicha configuracin debemos ir en el men* a: IP / UNPnP. Hacemos clic sobre el icono (+) y asignamos a cada una de las interfases si es interna o externa.
Luego de haber asignado los tipos de interfase debemos configurar un *ltimo detalle en settings. Le deseleccionamos la opcin allow to disable External Interfase
email: vdirienzo@gmail.com
49
email: vdirienzo@gmail.com
50
email: vdirienzo@gmail.com
51
Se ha elegido comenzar todos los rangos a partir del ip x.x.x.5 para reservar n*meros de ip en el caso que se necesite instalar alg*n tipo de servidor en cada grupo.
Definir DNS
Para definir los DNS simplemente hay que ir al men* IP / DNS. Se nos abre una ventana de configuracin. Hacemos clic en Settings y escribimos los dns del proveedor de Internet.
email: vdirienzo@gmail.com
52
Pesta'a Action:
email: vdirienzo@gmail.com
53
Action: masquerade
En esta ventana iremos introduciendo todos los requisitos necesario para ir levantado los servidores de dhcp. La configuracin para cada uno de los servidores dhcp fue la siguiente:
DHCP Produccin: Nombre: DHCP Produccin Interfase: Produccin Address Pool: Pool Produccin
email: vdirienzo@gmail.com
54
DHCP Administracin: Nombre: DHCP Administracin Interfase: Administracin Address Pool: Pool Administracin
email: vdirienzo@gmail.com
55
DHCP Servers: Nombre: DHCP Servers Interfase: Servers Address Pool: Pool Servers
DHCP Ventas: Nombre: DHCP Ventas. Interfase: Ventas. Address Pool: Pool Ventas.
email: vdirienzo@gmail.com
56
No obstante los servidores de dhcp est#n configurados, necesitamos configurar las redes. Para ello en la ventana de DHCP Server hacemos clic en la pesta'a Network. Luego hacemos clic en el icono (+) y cargamos los datos de la red.
Configuracin: Red Servers: Address: 192.168.1.0/24 Gateway: 192.168.1.1 Dns Server: 192.168.0.3
email: vdirienzo@gmail.com
57
email: vdirienzo@gmail.com
58
Server de snmp, jabber: o Address: 192.168.1.2 o MAC Address: 00:0C:29:64:45:9E (MAC del servidor snmp, jabber) o Servers: all
email: vdirienzo@gmail.com
59
Server RADIUS: o Address: 192.168.1.3 o MAC Address: 00:0C:29:C6:59:DA (MAC del servidor) o Servers: all
Luego para que esta asignacin quede est#tica debemos hacer clic en el botn de MAKE STATIC. De la pesta'a LEASES.
email: vdirienzo@gmail.com
60
Servidor NTP
Para el servidor nos dirigimos al men* SYSTEM / NTP SERVER. En la nueva ventana Seleccionamos solamente la opcin MANYCAST y hacemos clic en el botn de ENABLE
Ahora Con esta configuracin del servidor podemos hacer que todas las computadoras de la red estn sincronizadas con nuestro servidor de tiempo.
Cliente NTP
Para configurar nuestro cliente NTP, para que nos sincronice nuestra hora del Mikrotik conjuntamente con la de un reloj nuclear. Debemos ir al men* SYSTEM / NTP CLIENT. Se nos abrir# la ventana de configuracin del cliente NTP y le asignamos los calores siguientes:
Mode: Unicast Primary NTP Server: 129.6.15.28 Secondary NTP Server: 129.6.15.29
email: vdirienzo@gmail.com
61
A continuacin nos dirigimos al men* SYSTEM / CLOCK. En la nueva ventana le cargamos los datos de fecha, hora, y uso horario. Para nuestro caso los mismos son:
Utilizamos -03:00 para la Time Zone ya que nosotros en Cordoba tenemos ese uso horario que es el mismo de Buenos Aires respecto a Greenwich.
email: vdirienzo@gmail.com
62
En la pesta'a DST, configuraremos cambios del uso horario por ejemplo: en el horario de verano que tenemos 1 hora de diferencia. Par ello hacemos clic en DST. Los datos que utilizaremos como ejemplo son los siguientes:
DST Delta: +:01:00 DST Start: Dec/01/2007 DST Start Time: 00:00:00 DST End: Mar/16/2008 DST End Time:00:00:00
Habilitando esta opcin nos ahorramos todos los inconvenientes de cambiar los horarios de todas las pol ticas que se hayan generado.
email: vdirienzo@gmail.com
63
A Continuacin nos dirigimos nuevamente al men* PPP y en la ventana que se abri nos dirigimos a la pesta'a Secrets. Ah hacemos clic en el icono (+) y
email: vdirienzo@gmail.com
64
generaremos nuestro usuario. Para ello llenaremos la ventana con la siguiente informacin:
Nos dirigimos nuevamente al men* PPP. En la ventana nueva hacemos clic sobre el botn PPPoE Server. En la nueva ventana que se nos abre configuraremos el nuevo servidor de PPPoE. Para ello debemos hacer clic en el botn (+). La configuracin del mismo ser#:
Service Name: PPPoE Server Interfase: Hotspot Max MUT: 1488 Min MUT: 1488 Keep Alive time out: 10
email: vdirienzo@gmail.com
65
Introducimos el nombre de la conexin Ciudanet Max MTU:1480 Max MRU: 1480 Seleccionamos la interfase por donde queremos realizar la conexin de Adel ADSL.
email: vdirienzo@gmail.com
66
User: royaltech@ciudanet-cordoba-apb Password: royaltech Profile: Default Add default Route PAP, chap, Mschap, mschap2: (seleccionados)
email: vdirienzo@gmail.com
67
Ver el tiempo activo de la conexin Ver el tiempo que estuvo inactivo la conexin El tipo de codificacin Tama'o MTU Tama'o MRU El nombre del servicio El AC Name AC MAC Address
Ver la grafica que los bps enviados y recibidos. Ver la grafica de p/s enviados y recibidos.
email: vdirienzo@gmail.com
68
email: vdirienzo@gmail.com
69
Con el profile ya generado para VPN debemos crear el usuario que utilizara dicho profile. Para ello vamos al men* PPP, hacemos clic en la pesta'a SECRESTS. Hacemos clic sobre el icono (+) y en la nueva ventana la configuramos de la siguiente manera:
email: vdirienzo@gmail.com
70
Finalmente debemos dar de alta el servidor de PPTP. Para ello nos dirigimos al men* PPP, en la pesta'a Interfases hacemos clic sobre el botn PPTP Server. En la nueva ventana la configuramos de la manera siguiente:
Enable (seleccionado) Max MTU: 1460 Max MRU: 1460 Keepalive Timeout:30 Default Profile: Profile_VPN Mschap1 y mschap2 (seleccionados)
email: vdirienzo@gmail.com
71
email: vdirienzo@gmail.com
72
email: vdirienzo@gmail.com
73
Seleccionamos que no nos disque una conexin inicial. Para el caso de que utilicemos el ip fijo en nuestras oficinas en Buenos Aires. Luego clic en Siguiente
email: vdirienzo@gmail.com
74
A continuacin hay que configurar el tipo de autenticacin que vamos a utilizar para ello nos paramos sobre la conexin Royaltech, la abrimos.
Nombre de usuario: victor Contrase'a: victor Guardar nombre de usuario y contrase'a (seleccionado)
email: vdirienzo@gmail.com
75
email: vdirienzo@gmail.com
76
Allow this Protocols: Seleccionado Uncrypted Password: Deseleccionado Shiva Autenticacin Password Protocol : Deseleccionado Chalenge handshake authentication protocol: Deseleccionado Microsoft CHAP : Seleccionado Microsoft CHAP Versin 2 : Seleccionado
email: vdirienzo@gmail.com
77
Luego hacemos clic en la pesta'a Networking y Editamos las propiedades de Internet Protocol (TCP/IP)
email: vdirienzo@gmail.com
78
email: vdirienzo@gmail.com
79
En nuestra ventana de configuracin hacemos clic en SETTINGS. Se esta manera entramos a la ventana de configuracin del servidor Proxy. Dicha ventana la configuraremos de la siguiente manera.
Src. Address: La dejamos en blanco Port: 3128 Hostname: Proxy Transparent Proxy: Seleccionado. Parent Proxy: lo dejamos en blanco Parent Proxy Port: lo dejamos en blanco Cache Administrator: adminitrador@royaltech.com.ar Maximum Object size: 4096 Cache Drive: system Maximum cache Size : 2000000 Maximum Ram Cache Size 128000
email: vdirienzo@gmail.com
80
A continuacin hacemos clic en ENABLE. Se nos abre una ventanita y le hacemos clic en ok.
Como segundo paso debemos generar un una regla en el firewall para que haga un redireccionamiento al servidor Proxy. Para ello nos dirigimos al men* IP / FIREWALL en nuestra ventana de configuracin hacemos clic en la pesta'a NAT, luego clic en el botn (+). La ventana la configuramos de la siguiente manera.
email: vdirienzo@gmail.com
81
Realizamos esta misma configuracin para cada una de las interfases de nuestra red. La configuracin de las mismas es:
Interfase Administracin: Pesta'a General: Chain: dstnat Protocol: 6 (tcp) Interfase: administracin
email: vdirienzo@gmail.com
82
Interfase Ventas: Pesta'a General: Chain: dstnat Protocol: 6 (tcp) Interfase: ventas
email: vdirienzo@gmail.com
83
Por ultimo configuraremos el NAT para el ruteo entre todas las subredes de la empresa .Para ello nos dirigimos al men* IP / FIREWALL en nuestra ventana de configuracin hacemos clic en la pesta'a NAT, luego clic en el botn (+). La ventana la configuramos de la siguiente manera. Pesta'a General: Chain: srcnat
email: vdirienzo@gmail.com
84
A continuacin debemos proteger nuestro servidor de cualquier utilizacin desde el exterior de la red. Para ello nos dirigimos al men* IP / FIREWALL. En la ventana nueva hacemos clic en la pesta'a FILTER RULES, a continuacin hacemos clic en el icono (+). Nuestra nueva pol tica de filtrado de paquetes la configuramos as : Pesta'a: General: Chain: input Protocol: 6 (tcp) Dst. Port.: 3128 In. Interfase: Ciudanet
email: vdirienzo@gmail.com
85
email: vdirienzo@gmail.com
86
Bloquearemos algunas p#ginas con la utilizacin del Web Proxy. Para ello se defini que no se podr# ingresar a sitios pornogr#ficos desde la red ni la utilizacin de p#ginas que tengan el servicio de Web Messenger al igual que Yahoo u otros.
Bloqueo Pornograf#a
Nos dirigimos al men* IP / Web Proxy. En la nueva ventana dentro de la pesta'a Access hacemos clic en el icono (+). Las nuevas pol ticas se configuran de la siguiente manera:
Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *porn* Method: any Action: deny
Este filtro nos bloqueara cualquier site que posea la palabra *porn* en su nombre. Tambin nos sirve debido a que si el usuario busca algo con la palabra porn en Google o cualquier otro buscador tambin nos bloquee la b*squeda.
email: vdirienzo@gmail.com
87
Pol tica 2 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *sex* Method: any Action: deny
Pol tica 3 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *xxx* Method: any Action: deny
email: vdirienzo@gmail.com
88
Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *webmessenger.yahoo.com* Method: any Action: deny
Site: webmessenger.msn.com Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *webmessenger.msn.com* Method: any Action: deny
email: vdirienzo@gmail.com
89
Sitio: www.ebuddy.com Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: * ebuddy.com* Method: any Action: deny
Site: meebo.com
email: vdirienzo@gmail.com
90
Bloqueo Messenger o Src. Address: 0.0.0.0/0 o Dst. Address: 0.0.0.0/0 o URL: *Gateway.messenger.* o Method: any o Action: deny
email: vdirienzo@gmail.com
91
Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *mail* Method: any Action: deny
email: vdirienzo@gmail.com
92
Bloqueo archivos Mp3 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.mp3 Method: any Action: deny
Bloqueo Archivos Avi Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.avi* Method: any Action: deny
email: vdirienzo@gmail.com
93
email: vdirienzo@gmail.com
94
email: vdirienzo@gmail.com
95
Balanceo de carga
Debido a que poseemos dos conexiones a los proveedores de Internet utilizaremos el balanceo de carga para optimizar el tr#fico en la red. Debido a que la sub red ventas genera grandes vol*menes de trafico hacia Internet el balanceo de carga Ser# aplicado a ella.
Para configurar nuestro balanceo debemos realizar los siguientes pasos. No s dirigimos al men* IP / FIREWALL. De ah vamos a la pesta'a Mangle. Hacemos clic en el icono (+) y comenzamos nuestra configuracin de las pol ticas para el balaceo de cargas. A la nueva ventana la configuramos de la siguiente manera.
email: vdirienzo@gmail.com
96
Pesta'a General: Chain: prerouting In. Interfase Ventas Connection State: new
email: vdirienzo@gmail.com
97
Pesta'a Action: Action: mark connection New Connection Mark: Salida_Movifonica Pass thought: seleccionado
Creamos una segunda pol tica y la configuramos as : Pesta'a General: Chain: prerouting In. Interfase: Ventas Connection mark: Salida_Movifonica
email: vdirienzo@gmail.com
98
Tercera pol tica de mangle. Se configura as : Pesta'a General: Chain: prerouting In. Interfase
email: vdirienzo@gmail.com
99
email: vdirienzo@gmail.com
100
Pesta'a Action: Action: mark connection New Connection Mark: Salida_globalphone Pass thought (seleccionado)
Cuarta pol tica de mangle se configura as : Pesta'a general: Chain: prerouting In. Interfase: Ventas Connection mark: Salida Globalphone
email: vdirienzo@gmail.com
101
Pesta'a Action: Action: mark routing New routing Mark: Marca_Salida_Globalphone Pass Thought: (No Seleccionado)
A continuacin debemos crear dos pol ticas de NAT para continuar con la configuracin. Para ello nos dirigimos al men* IP / FIREWALL. Hacemos clic en la pesta'a NAT, luego clic en el icono (+).
email: vdirienzo@gmail.com
102
La primera pol tica de NAT se configura as : Pesta'a General: Chain: srcnat Connection Mark: Salida_Movifonica
email: vdirienzo@gmail.com
103
La segunda pol tica de NAT se configura as : Pesta'a General: Chain: srcnat Connection Mark: Salida_Movifonica
email: vdirienzo@gmail.com
104
Por ultimo para finalizar la configuracin debemos realizar unas *ltimas pol ticas de ruteo. Para ello entramos en el men* NEW TERMINAL. En la terminal que nos aparece tipeamos lo siguiente:
/ip route add dst-address=0.0.0.0/0 gateway=200.45.3.1 scope=255 t arget-scope=10 routing-mark=Marca_Salida_Globalphone comment="" disabled=no
/ip route add dst-address=0.0.0.0/0 gateway=200.45.4.1 scope=255 t arget-scope=10 routing-mark=Marca_Salida_Movifonica disabled=no comment=""
/ip route add dst-address=0.0.0.0/0 gateway=200.45.4.1 scope=255 t arget-scope=10 comment="Gateway por Defecto" disabled=no
email: vdirienzo@gmail.com
105
Para los distintos grupos de usuarios les asignaremos distinto ancho de banda:
email: vdirienzo@gmail.com
106
Para el control del ancho de banda debemos ir al men* QUEUES. All se nos abrir# una ventana de configuracin.
Hacemos clic en el icono (+) de la pesta'a Simple Queues. Se nos abre la nueva para configurar la nueva cola.
Cola Administracin: Pesta'a General: Name: Queue_Administracion Target Address: 192.168.2.0/24 Max Limit: 250M (upload) , 300M (download)
email: vdirienzo@gmail.com
107
Cola Ventas: Pesta'a General: Name: Queue_Ventas Target Address: 192.168.3.0/24 Max Limit: 350M (upload) , 400M (download)
Cola Produccin: Pesta'a General: Name: Queue_Produccion Target Address: 192.168.4.0/24 Max Limit: 400M (upload) , 300M (download)
email: vdirienzo@gmail.com
108
email: vdirienzo@gmail.com
109
A continuacin dentro de la pesta'a mangle hacemos clic nuevamente en el botn (+) para crear una nueva regla. La configuracin para la ventana es:
email: vdirienzo@gmail.com
110
Chan: prerouting Connection Mark: conexin_p2p (la que hab amos creado anterior mente)
email: vdirienzo@gmail.com
111
Ahora deberemos configurar las pol ticas para que nos marque los paquetes p2p para poder bloquearlos en las otras redes. Para ello debemos ir al men* IP /FIREWALL. Hacemos clic en la pesta'a mangle y luego clic en el icono (+). En la pesta'a General de la nueva ventana la configuramos de la siguiente manera:
Action: mark packet Packet mark: (tipeamos) p2p_bloqueado Pass though: (seleccionado)
email: vdirienzo@gmail.com
112
Nos dirigiremos al men* QUEUES. En la ventana que nos aparece, crearemos cuatro nuevas colas para la pol tica de los p2p. Hacemos clic sobre la pesta'a Queue Tree. Y luego clic sobre el botn (+). La configuracin de la cola de entrada ser# la siguiente:
Name: Queue_p2p_in Parent: Global-in Packet Mark: p2p Queue Type: default Priority: 8 Max Limit: 256k
email: vdirienzo@gmail.com
113
Hacemos clic en el botn (+) y generamos una nueva cola La configuracin de la cola de salida ser#:
Name: Queue_p2p_out Parent: global-out Packet Mark: p2p Queue type: default Priority: 8 Max Limit: 256k
email: vdirienzo@gmail.com
114
Para ello lo primero que debemos hacer es una nueva cola que la habilitaremos en los horarios de 20:00hs a 06:00hs. Ir al men* QUEUES en la pesta'a Queues Tree, hacemos clic en el icono (+). Se nos abre la ventana de configuracin. La configuracin de la misma es:
Name: Queue_in_Global_P2P_libre Parent: global-in Packet Mark: p2p Queue Type: Default Priority: 8
Antes de hacer clic sobre aceptar, hacemos clic en DISABLE y luego hacemos clic en aceptar.
Name: Queue_out_Global_P2P_Libre
email: vdirienzo@gmail.com
115
Antes de hacer clic sobre aceptar hacemos clic en DISABLE y luego hacemos clic en aceptar. Vamos al men* SYSTEM / SCRIPTS. Se nos abre la ventana de administracin de scripts. Hacemos clic en el icono (+) y configuramos la ventana nueva con los siguientes datos:
Ahora con nuestro segundo script. Vamos al men* SYSTEM / SCRIPTS. Se nos abre la ventana de administracin de scripts. Hacemos clic en el icono (+) y configuramos la ventana nueva con los siguientes datos:
email: vdirienzo@gmail.com
Siguiendo con la configuracin vamos al men* SYSTEM / SCHEDULER. En la ventana nueva que se nos abre, comenzaremos con la configuracin de nuestros eventos.
Hacemos clic sobre el botn (+). La configuracin del primer evento es:
Name: Bloquea_Bw State Date: Apr/16/2008 Start Time: 06:00:00 Interval: 1d 00:00:00 On Event: Bloquea_Bw
email: vdirienzo@gmail.com
117
Luego hacemos clic nuevamente en el icono (+) y creamos nuestro segundo evento, cuya configuracin es:
Name: Libera_Bw State Date: Apr/16/2008 Start Time: 20:00:00 Interval: 1d 00:00:00 On Event: Libera_Bw
email: vdirienzo@gmail.com
118
Firewall
Bloqueo de los P2P para redes de ventas y produccin
Debido alas pol ticas implementadas por gerencia solamente en el #rea de administracin se podr# utilizar los P2P. para ello la configuracin para bloquear dicho trafico es la siguiente.
Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el icono (+). A continuacin configuramos de la siguiente manera: Pesta'a general: Chain: forward P2P: all-p2p Out. Interface: Produccin
email: vdirienzo@gmail.com
119
Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el icono (+). A continuacin configuramos de la siguiente manera: Pesta'a general: Chain: forward P2P: all-p2p Out. Interface: Ventas
email: vdirienzo@gmail.com
120
Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el icono (+). A continuacin configuramos de la siguiente manera:
Primera pol tica de firewall: Pesta'a General: o Chain: Forward o Protocol: Tcp (6) o Dst. Port: 1863
email: vdirienzo@gmail.com
121
Segunda pol tica de Firewall: Pesta'a General: o Chain: Forward o Protocol: Tcp (6) o Dst. Port: 5190
email: vdirienzo@gmail.com
122
Pesta'a General: o Chain: Forward o Protocol: Tcp (6) o Dst. Port: 6901
Cuarta pol tica de Firewall: Pesta'a General: o Chain: Forward o Protocol: Tcp (6) o Dst. Port: 6891-6900
email: vdirienzo@gmail.com
123
Quinta pol tica de firewall: Pesta'a General: o Chain: Forward o Protocol: Tcp (6) o Dst. Address: 65.54.239.211
email: vdirienzo@gmail.com
124
Finalizada dicha configuracin ning*n usuario podr# conectarse al MSN Live Messenger. Para que el bloqueo sea completo debemos utilizar una pol tica en el WebProxy que instalaremos mas adelante.
Redireccionamiento de puertos
A continuacin debemos redireccionar puertos para que el tr#fico que se genere hacia adentro de la red obtengan las respuesta deseada. Por ejemplo que nuestro servidor web muestre las p#ginas correspondientes, que el servidor de SMTP y POP3 puedan enviar y recibir mails etc.
Puerto 80 WEB
Para redireccionar el puerto 80 desde el exterior a nuestro servidor web ip: 192.168.1.2 debemos realizar los siguientes pasos. Ir al men* IP / FIREWALL. Hacer clic en la pesta'a NAT. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera. Pesta'a General: Chain:dstnat Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 80
email: vdirienzo@gmail.com
125
email: vdirienzo@gmail.com
126
Puerto 25 SMTP
Para redireccionar el puerto 25 desde el exterior a nuestro servidor pop3 ip: 192.168.1.2 debemos realizar los siguientes pasos. Ir al men* IP / FIREWALL. Hacer clic en la pesta'a NAT. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera. Pesta'a General: Chain:dstnat Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 25
email: vdirienzo@gmail.com
127
La primer politica es para aceptar el trafico al puerto 1723 tcp Pesta'a General: Chain: input Protocol 6 (tcp) Dst. Port: 1723
email: vdirienzo@gmail.com
128
La segunda politica es para aceptar todo el trafico al puerto 1723 UDP Pesta'a General: Chain: input Protocol 17 (udp) Dst. Port: 1723
email: vdirienzo@gmail.com
129
email: vdirienzo@gmail.com
130
email: vdirienzo@gmail.com
131
email: vdirienzo@gmail.com
132
email: vdirienzo@gmail.com
133
email: vdirienzo@gmail.com
134
email: vdirienzo@gmail.com
135
email: vdirienzo@gmail.com
136
Agregamos una pol tica nueva para bloquear el acceso externo desde la internase Movifonica de esta manera: Pesta'a General: Chain: input In. Interface: Movifonica.
email: vdirienzo@gmail.com
137
email: vdirienzo@gmail.com
138
A continuacin le hacemos doble clic a la interfase y comenzamos la configuracin de la misma. La pesta'a General se configura de la siguiente manera.
Pesta'a Wireless:
Radio Name: AP-1 Mode: AP bridge SSID: Royal_Tech_Hotspot Band: 5Ghz Frequency: 5200 Security Profile: default
email: vdirienzo@gmail.com
139
Frequency Mode: manual Txpower County: no_country_set DFS Mode: none Proprietary Extensions: post-2.9.25 Default Authenticate: Seleccionado Default forward: Seleccionado
email: vdirienzo@gmail.com
140
Pesta'a Advanced:
Max Station Count: 2007 Act Timeout: dynamic Periodic Calibration : Default Calibration level: 00:01:00 Antenna mode: antenna a Preamble mode: both Disconnect time out: 00:00:03 On Fail Retry Time:100
email: vdirienzo@gmail.com
141
Pesta'a WDS: WDS Mode: Disable WDS default Bridge: none WDS Default Cost: 100 WDS Cost Range: 50-100
email: vdirienzo@gmail.com
142
Pesta'a Nstreme:
Enable Ntreme: Deseleccionado Enable Polling: Seleccionado Framer Policy: none Framer Limit: 3200
email: vdirienzo@gmail.com
143
Pesta'a compression Status: Esta pesta'a nos muestra el estado de la compresin de datos.
email: vdirienzo@gmail.com
144
Pesta'a Traffic: Nos muestra el tr#fico actual de la interfase en paquetes enviados y recibidos al igual que bits por segundo.
Luego nos dirigimos al men* IP / ADDRESS. En la nueva ventana hacemos clic sobre el icono (+) y configuramos una nueva ip, para la interfase ether1. La configuracin de la misma es:
email: vdirienzo@gmail.com
145
A continuacin configuraremos la interfase wlan1. Para ello nos dirigimos al men* IP / ADDRESSES y hacemos clic sobre el icono (+)
email: vdirienzo@gmail.com
146
A continuacin debemos asignarle al hotspot el default Gateway para ello, nos dirigimos al men* IP / ROUTES. En la nueva ventana le hacemos clic al icono (+) y configuramos la nueva ventana de la siguiente manera.
email: vdirienzo@gmail.com
147
A continuacin deberemos configurar nuestro HotSpot. Para ello nos dirigimos al men* IP / Hotspot. En la nueva ventana dentro de la pesta'a Servers, hacemos clic sobre el botn SETUP.
email: vdirienzo@gmail.com
148
A continuacin le asignamos el pool de ip que nos interesa que dicha interfase nos brinde a los clientes. La configuracin es:
email: vdirienzo@gmail.com
149
Siguiendo nos pide la direccin del servidor STMP de nuestra red local es:
DNS Servers:
192.168.0.3 200.45.191.35
email: vdirienzo@gmail.com
150
Finalizando creamos nuestro usuario administrador. Nuestro hotspot configurado se ve de la siguiente manera.
Le hacemos doble clic al hotspot1 para configurar sus par#metros. La configuracin de los mismos son:
Name: hotspot Interfase: wlan1 Hs-pool-5 Profile hsprofile1 Idel Timeout: 00:05:00 Addresses per Mac: 2
Luego dentro de la pesta'a Servers hacemos clic en profiles. Y luego editamos la configuracin del profile hsprof1. La configuracin del mismo es:
email: vdirienzo@gmail.com
151
Pesta'a General: Name: hsprof1 Hotspot Address: 192.168.10.1 DNS Name: Hotspot.royaltech.com.ar HTML Directory: hotspot SMTP: 192.168.1.1
Pesta'a Login:
HTTP CHAP y Cookie: Seleccionado MAC, HTTP PAP, HTTPS y Trial: deseleccionado. HTTP Cookie Lifetime: 01:00:00
email: vdirienzo@gmail.com
152
Pesta'a RADIUS: Use RADIUS: (seleccionado) Default Domain: 192.168.1.3 NAS PORT Type 19 (Wireless-802.11)
Luego hacemos clic sobre la pesta'a Users hacemos clic en el botn Profile y generamos uno. La configuracin del mismo es:
Name Profile_Hotspot Address Pool: hs-pool-5 Idle Timeout. None Keekalive Timeout: 00:02:00 Shared Users: 1 Rate limit: 128k/256k
email: vdirienzo@gmail.com
153
Pesta'a Advertise:
Advertise: deseleccionado
email: vdirienzo@gmail.com
154
Finalmente generaremos un perfil de seguridad para las conexiones Wireless. Para ello debemos ir al men* WIRELESS, luego hacemos clic en al pesta'a Security Profiles. Y creamos un profile nuevo haciendo clic en el icono (+). Pesta'a General: Name: Royaltech-Secure Mode: dynamic keys WPA PSK, WPA2 PSK: Seleccionados Unicast ciphers o Tkip: Seleccionado o Aes ccm: Seleccionado Group Ciphers o Tkip: Seleccionado o Aes ccm: Seleccionado
WPA Pre-Shared Key: royaltech WPA2 Preshared Key:royaltech RADIUS MAC Authentication (deseleccionado)
email: vdirienzo@gmail.com
155
Pesta'a EAP: EAP Methods: TLS Mode: no certif cate TLS certif cate: none
email: vdirienzo@gmail.com
156
A continuacin debemos as gnale este perfil de seguridad a nuestra interfase wilan1. Para ello nos dirigimos al men* WIRELESS. Dentro de la pesta'a Interfases. Le hacemos doble clic a nuestra interfase wlan1 y modificamos el siguiente valor.
Finalmente Vamos al men* RADIUS. En la ventana nueva que se nos abre la hacemos clic en el icono (+). La nueva ventana la configuramos de la siguiente manera:
email: vdirienzo@gmail.com
157
Servidor de SNMP
Debido a los beneficios que brinda el monitoreo remoto de los servicios de una red. Hemos decidido implementar y habilitarle el servidor de snmp de un router Mikrotik.
Para poder realizar dicha implementacin la dividiremos en dos partes. Primero la habilitacin o activacin del snmp en el router de CBA para la red 192.168.1.0. Luego utilizando la aplicacin mrtg instalada en el servidor de la direccin de ip 192.168.1.2 graficaremos algunos datos obtenidos.
email: vdirienzo@gmail.com
158
Llenando esos casilleros ya tendremos habilitado el servidor de snmp del mikrotik. Luego hay que crear la comunidad snmp, la cual la llamaremos servers. Para ello hacemos clic en el icono (+) y se nos abre la ventana de configuracin de comunidad y le cargamos los siguientes datos:
Para una configuracin b#sica esto nos alcanza para poder obtener cierta informacin del Mikrotik.
email: vdirienzo@gmail.com
159
Dentro de winbox ir al men* New Terminal se nos abre una ventana de terminal. Ah dentro debemos escribir lo siguiente para obtener las oid del sistema
Dicho comando nos mostrara la salida de pantalla con los datos de oid requeridos.
R name=.1.3.6.1.2.1.2.2.1.2.1 mtu=.1.3.6.1.2.1.2.2.1.4.1 mac-address=.1.3.6.1.2.1.2.2.1.6.1 admin-status=.1.3.6.1.2.1.2.2.1.7.1 oper-status=.1.3.6.1.2.1.2.2.1.8.1 bytes-in=.1.3.6.1.2.1.2.2.1.10.1 packets-in=.1.3.6.1.2.1.2.2.1.11.1 discards-in=.1.3.6.1.2.1.2.2.1.13.1 errors-in=.1.3.6.1.2.1.2.2.1.14.1 bytes-out=.1.3.6.1.2.1.2.2.1.16.1 packets-out=.1.3.6.1.2.1.2.2.1.17.1 discards-out=.1.3.6.1.2.1.2.2.1.19.1 errors-out=.1.3.6.1.2.1.2.2.1.20.1
R name=.1.3.6.1.2.1.2.2.1.2.2 mtu=.1.3.6.1.2.1.2.2.1.4.2 mac-address=.1.3.6.1.2.1.2.2.1.6.2 admin-status=.1.3.6.1.2.1.2.2.1.7.2 oper-status=.1.3.6.1.2.1.2.2.1.8.2 bytes-in=.1.3.6.1.2.1.2.2.1.10.2 packets-in=.1.3.6.1.2.1.2.2.1.11.2 discards-in=.1.3.6.1.2.1.2.2.1.13.2 errors-in=.1.3.6.1.2.1.2.2.1.14.2 bytes-out=.1.3.6.1.2.1.2.2.1.16.2 packets-out=.1.3.6.1.2.1.2.2.1.17.2 discards-out=.1.3.6.1.2.1.2.2.1.19.2 errors-out=.1.3.6.1.2.1.2.2.1.20.2
email: vdirienzo@gmail.com
160
R name=.1.3.6.1.2.1.2.2.1.2.7 mtu=.1.3.6.1.2.1.2.2.1.4.7 mac-address=.1.3.6.1.2.1.2.2.1.6.7 admin-status=.1.3.6.1.2.1.2.2.1.7.7 oper-status=.1.3.6.1.2.1.2.2.1.8.7 bytes-in=.1.3.6.1.2.1.2.2.1.10.7 packets-in=.1.3.6.1.2.1.2.2.1.11.7 discards-in=.1.3.6.1.2.1.2.2.1.13.7 errors-in=.1.3.6.1.2.1.2.2.1.14.7 bytes-out=.1.3.6.1.2.1.2.2.1.16.7 packets-out=.1.3.6.1.2.1.2.2.1.17.7 discards-out=.1.3.6.1.2.1.2.2.1.19.7 errors-out=.1.3.6.1.2.1.2.2.1.20.7
R name=.1.3.6.1.2.1.2.2.1.2.10 mtu=.1.3.6.1.2.1.2.2.1.4.10 mac-address=.1.3.6.1.2.1.2.2.1.6.10 admin-status=.1.3.6.1.2.1.2.2.1.7.10 oper-status=.1.3.6.1.2.1.2.2.1.8.10 bytes-in=.1.3.6.1.2.1.2.2.1.10.10 packets-in=.1.3.6.1.2.1.2.2.1.11.10 discards-in=.1.3.6.1.2.1.2.2.1.13.10 errors-in=.1.3.6.1.2.1.2.2.1.14.10 bytes-out=.1.3.6.1.2.1.2.2.1.16.10 packets-out=.1.3.6.1.2.1.2.2.1.17.10 discards-out=.1.3.6.1.2.1.2.2.1.19.10 errors-out=.1.3.6.1.2.1.2.2.1.20.10
Concluida la primera parte de la configuracin, deberemos instalar el software mrtg en el servidor de debian que tenemos en la red. Damos por entendido que el servidor apache ya esta instalado y corriendo.
email: vdirienzo@gmail.com
161
###################################################################### # System: 192.168.1.1 # Description: router # Contact: tatubias@server # Location: cba ######################################################################
Target[192.168.1.1_cpu]: 1.3.6.1.2.1.25.3.3.1.2.1&1.3.6.1.2.1.25.3.3.1.2.1:communa@192.168.1.1: AbsMax[192.168.1.1_cpu]: 100 MaxBytes[192.168.1.1_cpu]: 100 Title[192.168.1.1_cpu]: 192.168.1.1 CPU load PageTop[192.168.1.1_cpu]: <H1>192.168.1.1 CPU load</H1> Options[192.168.1.1_cpu]: gauge,growright,nopercent, noo YLegend[192.168.1.1_cpu]: CPU load ShortLegend[192.168.1.1_cpu]: % LegendI[192.168.1.1_cpu]: CPU load (percentage)
Target[192.168.1.1_2]: 1.3.6.1.2.1.2.2.1.11.2&1.3.6.1.2.1.2.2.1.1.17.2:communa@192.168.1.1: MaxBytes[192.168.1.1_2]: 64000 Title[192.168.1.1_2]: Paquetes in / out interfase 1 PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1> <TABLE> <TR><TD>System:</TD> <TD>PMI 192.168.1.1 </TD></TR>
email: vdirienzo@gmail.com
162
</TABLE>
Target[192.168.1.1_2]: 1.3.6.1.2.1.2.2.1.11.3&1.3.6.1.2.1.2.2.1.1.17.3:communa@192.168.1.1: MaxBytes[192.168.1.1_2]: 64000 Title[192.168.1.1_2]: Paquetes in / out interfase 2 PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1> <TABLE> <TR><TD>System:</TD> <TD>PMI 192.168.1.1 </TD></TR>
Target[192.168.1.1_2]: 1.3.6.1.2.1.2.2.1.11.7&1.3.6.1.2.1.2.2.1.1.17.7:communa@192.168.1.1: MaxBytes[192.168.1.1_2]: 64000 Title[192.168.1.1_2]: Paquetes in / out interfase 3 PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1> <TABLE> <TR><TD>System:</TD> <TD>PMI 192.168.1.1 </TD></TR>
Target[192.168.1.1_2]: 1.3.6.1.2.1.2.2.1.11.10&1.3.6.1.2.1.2.2.1.1.17.10:communa@192.168.1.1: MaxBytes[192.168.1.1_2]: 64000 Title[192.168.1.1_2]: Paquetes in / out interfase 4 PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1> <TABLE> <TR><TD>System:</TD> <TD>PMI 192.168.1.1 </TD></TR>
email: vdirienzo@gmail.com
163
Esta configuracin nos mostrara la carga del CPU y los paquetes enviados y recibidos por 4 interfases. A continuacin deber# crear el archivo index.html para que sea visualizada la informacin en forma de gr#ficos en una pagina Web.
Finalmente debe correr 3 veces el comando mrtg para que se generen los archivos de base de datos necesarios.
Redireccionando nuestro navegador a la direccin http://192.168.1.2/mrtg nos dar# las graficas obtenidas.
Servidor Radius
Debido a la gran inseguridad que presentan las redes se ha decidido implementar un servidor radius para autenticar algunos de los usuarios. Para ello se necesitar# instalar software adicional al Mikrotik. Partimos de la base de tener nuestro servidor con debian instalado. Los pasos a seguir son los siguientes:
email: vdirienzo@gmail.com
164
Para confirmar que estn funcionando utilizamos el cliente Web que poseamos y lo redirigimos a la direccin ip del servidor. Ah nos aparecer# una venta que nos informa que el servidor Web esta funcionando.
Para verificar que el servidor MySQL este funcionando simplemente desde la consola del servidor tipeamos:
#mysql
Esto nos mostrara que se pudo conectar al servidor de base de datos. Para salir de cliente de MySQL escribimos:
#exit
Seguido de la instalacin de servidor nos toca la configuracin del mismo. Para ello editamos el archivo /etc/freeradius/clients.conf
#nano /etc/freeradius/clients.conf En dicho archivo agregaremos el ip del Mikrotik y el secreto o contrase'a que se eligi radius.
email: vdirienzo@gmail.com
165
#nano /etc/freeradius/naslist
Al mismo le agregamos la siguiente l nea, que nos dice el numero de ip de nuestro Mikrotik el un nombre corto para identificarlo y el tipo.
Type ---mikrotik
#vi /etc/freeradius/radiusd.conf En el mismo buscamos las siguientes l neas dentro de la seccin Unix, si est#n comentadas las descomentamos como esta a continuacin. De lo contrario las agregamos.
Buscamos en el archivo freeradius.conf dentro de la seccin Authorize. La secuencia # sql. La descomentamos y tambin buscamos dentro de la misma seccin suffix y files a los mismos los comentamos
Buscamos dentro de la seccin modules dentro de pap la siguiente secuencia encryption_scheme= cryp la cambiamos por encryption_scheme = clear. Esto har# que cuando el freeradius nos lea la contrase'a de la base de dato, la lea sin ning*n tipo de encriptacin como md5 u otra.
email: vdirienzo@gmail.com
166
Dentro de la seccin modules nos dirigimos a la sub seccin de mschap ah descomentamos las siguientes l neas.
Finalizada la configuracin del archivo /etc/freeradius/radiusd.conf. Ahora debemos configurar el archivo /etc/freeradius/sql.conf.
#nano /etc/freeradius/sql.conf
Configuracin MySQL
Para configurar la base de datos donde tendremos toda la informacin que utilizaremos para la autenticacin del servidor radius. Debemos realizar los siguientes pasos.
#mysql u root p root Recordamos que nuestro usuario y contrase'a de root es simplemente root.
Ahora nos encontramos dentro del Shell del MySQL, debemos crear la base de datos para luego generar las tablas.
email: vdirienzo@gmail.com
167
Esto nos creo la base de datos radius vac a escribimos exit y salimos del Shell de MySQL.
Por suerte el servidor freeradius tiene el archivo SQL que nos genera las tablas necesarias. Para agregar dichas tablas solo debemos hacer lo siguiente.
A continuacin debemos darle los privilegios al usuario radius para que pueda administrar la base de datos radius.
# mysql -u root p
mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'radius'; mysql> FLUSH PRIVILEGES; mysql> quit;
Realizamos un link simblico del directorio donde se encuentran la interfase Web del dialup admin freeradius a nuestro directorio ra z del servidor Web
email: vdirienzo@gmail.com
168
A continuacin debemos agregarle algunas otras tablas a nuestra base de datos radius para la utilizacin del soft dialup admin. Para ellos realizamos l o siguiente:
# mysql uradius pradius radius < /usr/share/freeradiusdialupdamin/sql/baduser.sql # mysql -uradius radius radius < /usr/share/freeradiusdialupdamin/sql mtotacct.sql # mysql -uradius pradius radius < /usr/share/freeradiusdialupdamin/sql totacct.sql # mysql uradius pradius radius < dialupdamin/sql userinfo.sql /usr/share/freeradius-
#nano /etc/freeradius-dialupadmin/admin.conf
A continuacin debemos crear alg*n nuevo usuario para que nuestro servidor radius nos autentique. Para ello en nuestro navegador Web redirigimos a la direccin del servidor radius de la siguiente manera:
En nuestra ventana de configuracin de usuarios debemos hacer clic en nuestro men* en la opcin New Gorup
email: vdirienzo@gmail.com
170
A continuacin nos dirigimos a la men* a la opcin New User all la configuramos de la siguiente manera.
email: vdirienzo@gmail.com
171
Final mente ya tenemos nuestro grupo y usuario creado. A continuacin debemos configurar el Mikrotik para que nos autentique los usuarios PPPoE contra el servidor radius. Logueados con winbox al Mikrotik nos dirigimos al men* RADIUS. En la nueva ventana hacemos clic en el icono (+). Configuramos a nuestro servidor radius de la siguiente manera: Pesta'a General: Ppp, login, wireless, hotspot, telephony, dhcp (seleccionados) Address: 192.168.1.3 172
email: vdirienzo@gmail.com
Secret: radius Authentication port :1812 Accounting Port: 1813 Time out : 300
En la pesta'a Status podemos ver mucha informacin valiosa acerca de los intentos de logueo respecto a pendientes, pedidos, aceptados, rechazados, etc.
email: vdirienzo@gmail.com
173
Luego vamos al men* PPP. En la nueva ventana hacemos clic sobre la pesta'a Secret. Luego clic en el botn AAA. All la configuramos:
Finalmente ya hemos terminado de configura nuestro servidor radius, ahora simplemente queda configurar la conexin del cliente que se realiza de la siguiente manera.
email: vdirienzo@gmail.com
174
La instalacin del servidor Jabber la hacemos en el servidor nuestro de la empresa que esta en la direccin de ip 192.168.1.2. Para instalarlo y configurarlos debemos realizar los siguientes pasos.
Desde la consola del servidor logueado como root escribimos el siguiente comando.
#apt-get install jabber Autom#ticamente se baja los paquetes necesarios para la instalacin. Con el servidor funcionando. Debemos detenerlo para comenzar la simple configuracin.
# /etc/init.d/jabber stop
Con la confirmacin de que el servidor esta detenido. Editamos el archivo de configuracin del servidor /etc/jabber/jabber.cfg. Al mencionado archivo le agregamos la siguiente l nea.
JABBER_HOSTNAME=royaltech.com.ar
Con nuestro servidor Jabber instalado y configurado, lo que nos resta de la instalacin simplemente es reiniciar el servidor de mensajer a. Para ello desde la consola:
email: vdirienzo@gmail.com
175
# /etc/init.d/jabber start
Cliente Jabber
Para la instalacin del cliente Jabber se ah elegido el cliente Pandion. Esto es debido a la facilidad de utilizacin que posee y la versatilidad del mismo. Para la instalacin seguimos los siguientes pasos:
Nos dirigimos al site http://www.pandion.be/download/ y descargamos el producto. Ejecutamos el instalador Pandion-2.5.exe Hacemos Clic En siguiente
email: vdirienzo@gmail.com
176
email: vdirienzo@gmail.com
177
Dejamos el lugar de instalacin tal cual como nos lo propone el software y hacemos clic en siguiente.
Autom#ticamente comenzara la instalacin, solo hay que aguardar algunos segundos para que finalice la misma.
email: vdirienzo@gmail.com
178
Dejamos seleccionado la opcin Ejecutar Pandion y hacemos Clic en Terminar. Esto har# que el software se ejecute autom#ticamente despus de finalizar la instalacin.
Se nos abre la ventana de configuracin de conexin. En la misma Hacemos clic en el botn CREAR CUENTA.
email: vdirienzo@gmail.com
179
Ingresamos el nombre con el que queremos que nos reconozcan nuestros colegas. Para nuestro caso Gustavo. Luego hacemos clic en siguiente.
email: vdirienzo@gmail.com
180
En la ventana de direccin la configuramos de la siguiente manera. Servidor: royaltech.com.ar Nombre de usuario: Gustavo Contrase'a: Gustavo Confirmar Contrase'a: Gustavo Recodar contrase'a= Deseleccionar
A continuan comienza la registracin de nuestro nuevo usuario en nuestro servidor. Luego hacemos clic en siguiente.
email: vdirienzo@gmail.com
181
email: vdirienzo@gmail.com
182
El Cliente ya estar# corriendo y conectado al servidor, solo falta agregar contactos. Para ello Haga clic en A'adir contacto.-
Sniffing de Paquetes
Siempre es bueno tener una herramienta de an#lisis de paquetes para saber que es lo que esta ocurriendo en nuestra red. Para ello utilizaremos la aplicacin ntop y Wireshark conjuntamente con la utilidad de sniffing de paquetes que posee el mikrotik.
Instalacin Ntop
La insolacin simplemente consta de estar logueado como root en nuestra consola de debian y tipeamos el siguiente comando
email: vdirienzo@gmail.com
183
Este comando ya nos habr# instalado el ntop en nuestro servidor. Para acceder a la p#gina web para ver el an#lisis de paquetes realizado por ntop, simplemente debemos redireccionar a nuestro explorador de Internet a la direccin de ip:
http://192.168.1.2:3000 El programa stop nos mostrar# con gran cantidad de detalles toda la informacin que esta circulando por nuestra red. Una de las cl#sicas vistas del ntop puede ser la siguiente.
A continuacin hay que configurar el mikrotik para que nos espeje todo el tr#fico a nuestro ntop, para ello vamos al men* TOOLS / PACKET SNIFFER. En la nueva ventana hacemos clic en el botn SETTINGS y comienza nuestra configuracin. Pesta'a General: Interface: all Memory Limit 10kb 184
email: vdirienzo@gmail.com
Pesta'a Streaming: Streaming Enable: (Seleccionado) Server: 192.168.1.2 Filter Stream: (Seleccionado)
email: vdirienzo@gmail.com
185
Instalacin Wireshark
Para el an#lisis mas fino de los paquetes se utilizar# la aplicacin Wireshark la misma tiene muchas funcionalidades que el ntop no posee. Para instalar la misma aplicacin en un cliente Windows debemos Sergui los siguientes pasos.
Dejamos los componentes por default que viene con la instalacin y hacemos clic en siguiente.
email: vdirienzo@gmail.com
187
email: vdirienzo@gmail.com
188
email: vdirienzo@gmail.com
189
Luego nos aparece la ventana de instalacin del wincap. Hacemos clic en siguiente.
Clic en siguiente.
Aceptamos el contrato
email: vdirienzo@gmail.com
190
email: vdirienzo@gmail.com
191
email: vdirienzo@gmail.com
192
En la *ltima ventana de instalacin de wireshark seleccionamos run wireshark y hacemos clic en finalizar.
Con el programa corriendo ahora consta simplemente de configurarlo para que nos capture los paquetes enviados por el mikrotik.
email: vdirienzo@gmail.com
193
Hacemos clic en nuestro primer icono comenzando de mano izquierda. Que nos abre una ventana la cual nos muestra todas las interfaces de red que poseemos en el equipo.
Hacemos clic en la interfase que deseamos capturar la informacin y comenzamos la captura del mismo.
Para capturar tr#fico de toda la red desde otro cliente que no sea el 192.168.1.2 debemos reconfigurar el mikrotik de la siguiente manera. Vamos al men* TOOLS /
email: vdirienzo@gmail.com
194
PACKET SNIFFER. En la nueva ventana hacemos clic en el botn SETTINGS y comienza nuestra configuracin. Pesta'a General: Interface: all Memory Limit 10kb Only Headers: (deseleccionado) File Limit: 10
Pesta'a Streaming: Streaming Enable: (Seleccionado) Server: 192.168.2.253 Filter Stream: (Seleccionado)
email: vdirienzo@gmail.com
195
email: vdirienzo@gmail.com
196
Conclusin
Del an#lisis de los resultados se concluye que Royal Tech deber a re estructurar su red inform#tica. Debido al ineficiencia de la misma, ya que estaba siendo desbordada por los nuevos requerimientos de la empresa en pleno crecimiento. Para la implementacin de la red se utiliz el sistema operativo Mikrotik RouterOS basado en Linux. El mismo convierte una pc Standard en un router de dedicado de alto rendimiento. Se defini la configuracin de las interfaces. Asignando nombres, direcciones de IP a las mismas y definicin de las Vlan. Se configur el servidor de DHCP para cada una de las sub redes. En el cual se definieron los pools de ip para cada una. Tambin la asignacin direcciones de IP fijas a partir de direcciones MAC de los servidores. Se configur un servidor NTP para sincronizar la hora en dentro de toda la red. Tambin se configuro un cliente NTP para sincronizar la hora de la red con otros servidores de tiempo. Se configuro un servidor PPPoE para autenticar usuarios que se deseen loguear al #rea de produccin. El cliente de PPPoE se configur para que la red tenga un tercer acceso a Internet mediante Adsl de backup. Se configur un servidor de VPN para comunicar las oficinas de ventas de crdoba con las de ventas de Buenos Aires. Se configur un servidor de Web Proxy para optimizar la utilizacin de los recursos hacia Internet. En el mismo se configuro politicas de bloqueo de tr#fico hacia ciertas p#ginas al igual que el bloqueo de descarga de ciertos archivos. Se realiz un balanceo de carga entre los dos proveedores de Internet seleccionados. Para la optimizacin del recurso. Se realizaron pol ticas de control de ancho de banda para los clientes P2P. Se implemento pol ticas de firewall como bloqueo de p2p, bloqueo del Msn Messenger, redireccionamiento de puertos y bloqueo de paquetes no deseados. Se configur un Hot Spot para el #rea de recreamiento de la empresa en la cual los usuarios se autentican mediante un servidor Radius. Se configuro un servidor de mensajer a jabber para que los usuarios no mal dispongan su tiempo.
email: vdirienzo@gmail.com
197
Bibliograf#a
Chris Hurley, Russ Rogers, Frank Thornton, and Daniel Connelly. (2006).Wardriving & Wireless Penetration Testing. 1ra Edidcion. Estados Unidos: Syngress (431 Pag.) Freeraduis 2008. Wiki site < http://wiki.freeradius.org/Main_Page> [04/2008] Mallery, John; Zann, Jason; Kelly, Patrick. Blindaje de Redes. 1ra Edicion. Espa'a. Anaya Multimedia. (720 pag) Mikrotik. (2006) MikroTik RouterOS v2.9 Reference Manual, 1ra Edicion, Estados unidos: Mikrotik SIA. (695 pag) Mikrotik 2007. Manual de referencia. < http://www.mikrotik.com/testdocs/ros/2.9/> [04/2008] Mikrotik 2008. Mikrotik Forum.< http://forum.mikrotik.com> [04/2008] Mikrotik. 2008. Wiki Site.<http://wiki.mikrotik.com> . [04/2008] Mrtg 2008. Documentation Site <http://oss.oetiker.ch/mrtg/doc/index.en.html> [04/2008] Scrimger, Rob (Wiley John + Sons).Tcp/Ip Bible.2da Edicin. Estados Unidos: Hungry Minds. (626 pag)
email: vdirienzo@gmail.com
198