Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ingeniera en Telecomunicaciones
- 2008 -
email: vdirienzo@gmail.com
ndice
Introduccin ................................................................................................................. 4
Metodologa ................................................................................................................. 7
Resultado y discusin ................................................................................................... 9
Estudio bibliogrfico de Mikrotik RouterOS ............................................................. 9
Caractersticas principales ..................................................................................... 9
Caractersticas de ruteo ......................................................................................... 9
Caractersticas del RouterOS............................................................................... 10
Calidad de servicio (QoS) ................................................................................... 10
Tipos de colas ................................................................................................. 10
Colas simples .................................................................................................. 10
rboles de colas .............................................................................................. 10
Interfases del RouterOS ...................................................................................... 11
Herramientas de manejo de red ........................................................................... 11
Estudio descriptivo de la empresa Royaltech........................................................... 12
Router CBA ........................................................................................................ 14
Sub-red Administracin ...................................................................................... 16
Sub-red Ventas.................................................................................................... 18
Sub-red Produccin............................................................................................. 20
Sub-red Hotspot .................................................................................................. 21
Sub-red Servidores.............................................................................................. 22
Diseo de la implementacin virtualizada de la red. ................................................ 23
Instalacin de Mikrotik RouterOS....................................................................... 23
Logueo al Mikrotik ............................................................................................. 27
Backup y Restore de Configuracin .................................................................... 30
Backup de la configuracin. ............................................................................ 30
Restore de la configuracin. ............................................................................ 32
Definicin y configuracin de interfases. ................................................................ 33
Asignacin de nombres a las interfases................................................................ 33
Definicin de Vlans ............................................................................................ 40
Asignacin de Direcciones IPs a las interfases .................................................. 43
Definimos UPnP para las interfases:.................................................................... 48
Configuracin Pools de Direcciones de IP........................................................... 50
Definir DNS........................................................................................................ 52
Nat Masquerade para todas las redes ................................................................... 53
Configuracin Servidor DHCP................................................................................ 54
Asignacin de direcciones de ip fijas a partir de direcciones MAC. ..................... 59
Configuracin Servidor - Cliente NTP: ................................................................... 61
Servidor NTP...................................................................................................... 61
Cliente NTP ........................................................................................................ 61
Servidor y Cliente PPPoE ....................................................................................... 64
Configuracin Servidor PPPoE ........................................................................... 64
Configuracin Cliente PPPoE: ............................................................................ 66
Servidor Cliente PPTP ......................................................................................... 69
Configuracin Servidor PPTP: ............................................................................ 69
Configuracin Cliente PPTP ............................................................................... 72
email: vdirienzo@gmail.com
email: vdirienzo@gmail.com
Introduccin
Hoy por hoy la realidad nos dice que las redes informticas, se han vuelto
indispensables, tanto para las personas como organizaciones. Les da oportunidad de
interactuar con el resto del mundo, ya sea por motivos comerciales, personales o
emergencias.
La optimizacin en el uso de los sistemas informticos es uno de los elementos
de interaccin y desarrollo que rige los destinos de la ciencia informtica. Es por ello
que la aparicin de las plataformas de interconexin de equipos de computacin o redes
informticas. Las mismas resultan ser uno de los elementos tecnolgicos ms
importantes al momento de definir un sistema informtico en una organizacin.
Entre las principales las ventajas que le brinda a una empresa el uso de redes
informticas, podemos detallar algunas: compartir recursos especialmente informacin
(datos), proveer la confiabilidad, permite la disponibilidad de programas y equipos para
cualquier usuario de la red que as lo solicite sin importar la localizacin fsica del
recurso y del usuario. Permite al usuario poder acceder a una misma informacin sin
problemas llevndolo de un equipo a otro. Tambin es una forma de reducir los costos
operativos, compartiendo recursos de hardware y/o de software entre las diversas
computadoras de su empresa.
La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Crdoba,
dicha empresa cuenta con tres reas, administracin, ventas y produccin. Adems
cuenta con una oficina de ventas en la ciudad de Buenos Aires.
En los ltimos dos aos la empresa creci abruptamente, paso de tener 200
puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas
estructurales a nivel informtico. Entonces se decidi disear una nueva red informtica
la cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la
empresa podr contar con dos proveedores de Internet simultneos, los cuales se
distribuirn balaceadamente en el rea de ventas. Esto es debido a la gran utilizacin
que se produce en esta sub-red del ancho de banda. Se utilizan dos proveedores distintos
del servicio de Internet debiendo que en el caso que se caiga una de las conexiones, la
empresa siempre posea conectividad con el exterior.
email: vdirienzo@gmail.com
Dicha red informtica deber proveer servicio al total de la empresa con 600
puestos de trabajo distribuidos en sus tres reas y se deber crear una red virtual privada
(VPN) para interconectar la oficina de ventas ubicada en la ciudad de Buenos Aires, con
la oficina de ventas situada en la ciudad de Crdoba. Brindndole una conexin ms
rpida y segura, considerando aspectos econmicos y tecnolgicos.
En el presente trabajo se documenta la configuracin y puesta a punto de una red
as como la definicin de las polticas de seguridad de la red para un funcionamiento
flexible y ptimo.
Tras un anlisis y estudio de las necesidades particulares de cada caso, se creara
una red con cuatro sub-redes: LAN Administracin, LAN Ventas, LAN Produccin,
LAN Servidores.
Se utilizar un servidor DHCP para cada una de las sub-redes, con lo cual
logramos asignar automticamente las direcciones IP a cada uno de los puestos de los
usuarios dentro de cada sub-red. Para la sub-red de servidores se les asigna una
direccin IP dependiendo del nmero de MAC que tenga el servidor.
Se creara servidor ntp y usuario ntp, para sincronizar la hora con todos los
usuarios. Tambin se creara un servidor PPTP; que es el servidor VPN con el cual se
conecta la oficina de Ventas de Buenos Aires a nuestra red derivndola a la red del rea
de Ventas. Se configura un servidor SNMP. Dicho servidor nos muestra el estado de las
interfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik
Se aplicara polticas de control de ancho de banda, por sub-redes o por puesto de
trabajo. El control de ancho de banda de los P2P ser aplicado a la red de
administracin por poltica de la empresa. Tambin el filtrado total de los p2p ser
aplicado a las redes del las reas de Ventas y Produccin
Se bloqueara en los puesto de usuario el MSN Live Messenger y se crear un
servidor llamado JABBER de mensajera privada de la empresa.
La instalacin de un Web Proxy, se utilizar para la optimizacin del ancho de
banda utilizado en Internet y filtrado de pginas no aptas. Su funcionamiento consiste
en guardar en un disco fijo todas las pginas que se hayan visitado. A propsito para
email: vdirienzo@gmail.com
que cuando un nuevo usuario desee visitar una de las paginas ya guardadas. Entonces el
servidor automticamente le enva la pgina guardada del disco fijo y no la descarga
desde la Web. Haciendo este proceso mucho ms rpido y eficiente.
Liberacin del ancho de banda fuera del horario de trabajo: Debido a que la
empresa no trabaja las 24hs al da, se dispuso la posibilidad de liberar el ancho de banda
para la red de Administracin, en un rango horario determinado. Para ello lo primero
que debemos hacer es una nueva cola que la habilitaremos en los horarios de 20:00hs a
06:00hs.
Dicha red se implementara con Mikrotik Routeros, el mismo es un sistema
operativo y software del router; el cual convierte a una PC Intel un Mikrotik
RouterBOARD en un router dedicado. Se toma esta decisin ya que estos equipos
brindan seguridad, flexibilidad y son muy econmicos lo cual es un gran beneficio para
la empresa, ya que la red es de un tamao considerable.
En el presente trabajo se analizara la implementacin de una red simulada con
Mikrotik en la empresa virtual Royal Tech
email: vdirienzo@gmail.com
Metodologa
1. Estudio Exploratorio bibliogrfico sobre el manual de referencia de Mikrotik y
normas internacionales.
2.2. Variables
Interfaces a utilizar.
Seguridad.
Trfico cursado.
Instalacin Mikrotik
Acceso al Mikrotik
email: vdirienzo@gmail.com
Declaracin de interfaces
Definicin Vlans
Servidor VPN
Balanceo de carga
Configuracin Hotspot.
email: vdirienzo@gmail.com
Resultado y discusin
Estudio bibliogrfico de Mikrotik RouterOS
Dicha red se implementara con Mikrotik RouterOS que es el sistema operativo
y software del router, el cual convierte a una PC Intel un Mikrotik RouterBOARD en
un router dedicado.
Se toma esta decisin ya que estos equipos brindan seguridad, flexibilidad y son
muy econmicos, lo cual es un gran beneficio para la empresa ya que la red es de un
tamao considerable
Caractersticas principales
Diseo modular
Mdulos actualizables
Caractersticas de ruteo
email: vdirienzo@gmail.com
Gateway de HotSpot.
Origen, IP de destino.
Protocolos, puertos.
Tipos de colas
RED
BFIFO
PFIFO
PCQ
Colas simples
Direccin IP de cliente.
Interfase
rboles de colas
Por protocolo.
Por puerto.
email: vdirienzo@gmail.com
10
ISDN
xDSL
Ping, traceroute.
Contabilizacin de trfico.
SNMP.
Torch.
Sniffer de paquetes.
Estas son las principales caractersticas del sistema operativo y software Mikrotik
RouterOS elegido para la implementacin de la red virtualizada.
email: vdirienzo@gmail.com
11
email: vdirienzo@gmail.com
12
Debido a esta disposicin de red y los constantes problemas tcnicos que posee,
al igual que la pedida de tiempo de los recursos humanos de tener que desplazarse hasta
otro piso para buscar sus impresiones. Por eso la empresa decidi la reestructuracin de
su red para optimizar y mejorar la produccin de la misma y sus recursos humanos.
email: vdirienzo@gmail.com
13
La nueva red planeada posee dos nuevas sub-redes, una un hotspot y la otra una
sub-red de servidores. Tambin en esta nueva reestructuracin se interconectara las
oficinas de ventas que estn ubicadas en la ciudad de Buenos Aires con las oficinas de
ventas en la ciudad de Crdoba. Asimismo se opto por la utilizacin de dos proveedores
de Internet distintos, debido a que constantemente posean problemas de cada del
servicio de ADSL. Se dejo a este ultimo como backup de las dos otras conexiones.
Router CBA
Nuestro router en las oficinas de Crdoba esta basado en la plataforma Intel con
dos placas de red que poseen 4 puertos Gigabit Ethernet cada una. El sistema operativo
para la implementacin ser Mikrotik RouterOs.
El servidor DHCP, nos brindara las direccion de IP, Gateway, broadcast, dns
para cada una de a las sub redes.
email: vdirienzo@gmail.com
14
Redireccionamiento de puertos.
o Puerto 80 WEB.
o Puerto 110 POP3.
o Puerto 25 SMTP.
o Puerto 1723 PPTP.
El servidor PPTP, ser utilizado para interconectar las oficinas de Buenos Aires y
Crdoba.
El servidor PPPoE ser utilizado para autenticar a los usuarios que se deseen loguear
desde fuera de la red de produccin.
El cliente PPPoE se utilizar en el caso improbable que las dos otras conexiones a
Internet se caigan. Con lo cual se utilizar como ruta alternativa de backup.
email: vdirienzo@gmail.com
15
El Web Proxy se utilizar para filtrar el contenido que los usuarios realicen al
navegar a travs de Internet. Para ello se aplicaran las siguientes polticas:
Bloqueo Pornografa
Sub-red Administracin
email: vdirienzo@gmail.com
16
Nuestra sub-red poseer un pool de impresoras de red para esta sola rea. Esto
disminuir el trfico de impresin al igual que el trfico de personal ajeno a
Administracin.
Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el router
mikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.2.5/24 al
192.168.2.254/24. Se decidi dejar las direcciones desde el 192.168.2.2/24 al
192.168.2.4/24 fuera de este rango para el caso de que se quieran instalar algn otro tipo
de servidores en dicha rea en un futuro prximo. Los nmeros de ip asignados a los
servidores sern asignado mediante la direccin mac de cada uno.
email: vdirienzo@gmail.com
17
Sub-red Ventas
A esta sub-red se le decidi cambiar el switch que posea para utilizar un switch
de alta productividad.
Nuestra sub-red poseer un pool de impresoras de red para esta sola rea. Esto
disminuir el trfico de impresin al igual que el trfico de personal ajeno a
Administracin. Asimismo se le instalar un servidor de archivos propio de ventas en el
cual se encontrar exclusivamente los archivos de dicha ara.
Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el router
mikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.3.5/24 al
192.168.3.254/24. Se decidi dejar las direcciones desde el 192.168.3.2/24 al
192.168.3.4/24 fuera de este rango para el caso de que se quieran instalar algn otro tipo
email: vdirienzo@gmail.com
18
Esta sub-red albergara tambin las pcs de la oficina de Buenos Aires. Dicha
oficina ser conectada a las oficinas de Crdoba mediante una VPN. Se utilizar el
protocolo PPTP para crear el tnel.
Para contra restar la carga hacia Internet desde esta red, se decidi realizar un
balanceo de carga entre los dos proveedores de Internet. Lo cual traer grandes
email: vdirienzo@gmail.com
19
beneficio ya que no desbordara uno solo de los enlaces. Sino todo el trfico generado
ser balanceado entre ambas conexiones.
Sub-red Produccin
email: vdirienzo@gmail.com
20
Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el router
mikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.4.5/24 al
192.168.4.254/24. Se decidi dejar las direcciones desde el 192.168.4.2/24 al
192.168.4.4/24 fuera de este rango para el caso de que se quieran instalar algn otro tipo
de servidores en dicha rea en un futuro prximo. Los nmeros de ip asignados a los
servidores sern asignado mediante la direccin mac de cada uno.
Sub-red Hotspot
email: vdirienzo@gmail.com
21
La red hot spot es una nueva red que se decidi implementar debido a que la
empresa ahora posee un rea de recreacin. La misma red solo poseer la capacidad de
navegar a travs de Internet.
Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el router
mikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.10.2/24 al
192.168.10.254/24.
Sub-red Servidores
email: vdirienzo@gmail.com
22
Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el router
mikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.1.5/24 al
192.168.1.254/24. Los nmeros
email: vdirienzo@gmail.com
23
ADSL. El resto de las placas se utilizaran para la distribucin de nuestra red interna.
Utilizaremos la versin 2.9.27 Nivel 6 del software Mikrotik Router Os.
Para desplazarnos por el men utilizamos las tecla P o N o sino las flechas del
teclado. Para seleccionar o deseleccionar los paquetes a instalar utilizamos la Barra
Espaciadora. Luego presionamos la tecla I para comenzar la instalacin local en
nuestra plataforma.
System: Paquete principal que posee los servicios bsicos al igual que los
drivers bsicos.
Ppp: Provee de soporte para PPP, PPTP, L2TP, PPPoE e ISDN PPP.
Hotspot-fix: Provee el parche para actualizar el modulo hot spot que tiene
problemas en las versin 2.9.27.
email: vdirienzo@gmail.com
24
Security: Provee soporte para IPSEC, SSH y conectividad segura con Winbox.
La siguiente pregunta hace referencia a que perderemos todos los datos que se
encuentran en el disco fijo le contestamos que si Y.
email: vdirienzo@gmail.com
25
email: vdirienzo@gmail.com
26
Luego de haber ledo la licencia ya nos queda la consola para comenzar a configurar
nuestro Mikrotik.
Logueo al Mikrotik
Hay varias maneras para acceder a la administracin del Mikrotik sin haber
configurado nada en un principio.
email: vdirienzo@gmail.com
27
En esta ventana nos deja introducir las direcciones Mac o ip de la placa del
Mikrotik a la cual estamos conectados. Debido a que no hemos configurado el Mikrotik
desde la consola. Hacemos clic en () esto har que el software nos devuelva las
direcciones Mac de las interfases de red que posean un Mikrotik instalado y corriendo.
Seleccionamos la interfase y luego utilizaremos de Login: admin y como Password:
(nada). Al finalizar esta carga de datos hacemos clic en Connect.
email: vdirienzo@gmail.com
28
email: vdirienzo@gmail.com
29
Backup de la configuracin.
Primero nos Dirigimos al men FILES all se nos abrir una ventana y nos
mostrar los archivos que se encuentran almacenados. Debemos hacer clic sobre el
botn de BACKUP para realizar nuestro backup.
Luego de haber hecho clic nos aparece un nuevo archivo en la lista que
poseamos, que es nuestro backup de toda la configuracin del Mikrotik.
email: vdirienzo@gmail.com
30
Sabiendo que el almacenamiento puede fallar, siempre es bueno tener una copia
de resguardo en otro sitio. Para ello debemos hacer lo siguiente.
email: vdirienzo@gmail.com
31
Restore de la configuracin.
Si estamos recuperando el archivo de configuracin que esta dentro del
Mikrotik. Simplemente debemos ir al men FILES. En la ventana que nos aparece
debemos seleccionar la versin del backup que deseamos recuperar y hacer clic sobre el
botn de RESTORE.
email: vdirienzo@gmail.com
32
Movifonica para nuestra conexin dedicada con IP fijo con el otro proveedor.
email: vdirienzo@gmail.com
33
Interfase: Movifonica
Pestaa General:
o Name: Movifonica
o MTU: 1500
o ARP: Enable
email: vdirienzo@gmail.com
34
Pestaa Ethernet:
100Mbps: Seleccionado
email: vdirienzo@gmail.com
35
Pestaa Status:
Pestaa Traffic:
email: vdirienzo@gmail.com
36
Interfase: ADSL
Pestaa General:
o Name:ADSL
o MTU: 1500
o ARP: Enable
Interfase: Administracion
Pestaa General:
o Name: Adminitracion
o MTU: 1500
o ARP: Enable
email: vdirienzo@gmail.com
37
Interfase: Globalphone
Pestaa General:
o Name: Globalphone
o MTU: 1500
o ARP: Enable
Interfase: Hotspot
Pestaa General:
o Name: Hotspot
o MTU: 1500
o ARP: Enable
email: vdirienzo@gmail.com
38
Interfase: Ventas
Pestaa General:
o Name: Ventas
o MTU: 1500
o ARP: Enable
Interfase: Produccion
Pestaa General:
o Name: Produccion
o MTU: 1500
o ARP: Enable
email: vdirienzo@gmail.com
39
Definicin de Vlans
Debido a las caractersticas departamentales de la empresa debemos realizar 3 vlans
para separar las reas de:
Administracin
Ventas
Produccin
Para configurar las vlans debemos ir al men Interfases, se nos abrir la ventana de
configuracin de interfases. Hacemos clic sobre el icono (+) y se nos desplegar un
men, elegimos la opcin Vlan y entramos a la ventana de configuracin de las mismas.
Vlan Ventas
Pestaa General:
o Name: Vlan_Ventas
o Type: Vlan
o MTU: 1500
o MAC:00:0C29:76:88:25
o ARP: Enable
o Vlan ID:1
o Interfase: Ventas
email: vdirienzo@gmail.com
40
Pestaa Traffic:
email: vdirienzo@gmail.com
41
Vlan Administracin
Pestaa General:
o Name: Vlan_Administracion
o Type: Vlan
o MTU: 1500
o MAC:00:0C29:76:88:25
o ARP: Enable
o Vlan ID:1
o Interfase: Adminitracion
Vlan Produccion
Pestaa General:
o Name: Vlan_Produccion
o Type: Vlan
o MTU: 1500
o MAC:00:0C29:76:88:25
o ARP: Enable
o Vlan ID:1
o Interfase: Produccion
email: vdirienzo@gmail.com
42
email: vdirienzo@gmail.com
43
Haciendo clic sobre el icono (+) nos abre una ventana que nos deja introducir los datos
necesarios para nuestras interfases.
Interfase Globalphone:
Address: 200.45.3.10/30
Network 200.45.3.0
Broadcast: 200.45.3.255
Interfase: Globalphone
email: vdirienzo@gmail.com
44
Interfase Movofonica:
Address: 200.45.4.10/30
Network: 200.45.4.0
Broadcast: 200.45.4.255
Interfase: Movifonica
Interfase Servers:
Address: 192.168.4.10/24
Network: 192.168.4.0
Broadcast: 192.168.4.255
Interfase: Servers
email: vdirienzo@gmail.com
45
Interfase Administracin:
Address: 192.168.2.1/24
Network: 192.168.2.0
Broadcast: 192.168.2.255
Interfase: Administracin
Interfase Ventas:
Address: 192.168.3.1/24
Network: 192.168.3.0
Broadcast: 192.168.3.255
Interfase: Ventas
email: vdirienzo@gmail.com
46
Interfase Produccin:
Address: 192.168.4.1/24
Network: 192.168.4.0
Broadcast: 192.168.4.255
Interfase: Produccin
Address: 192.168.5.1/24
Network: 192.168.5.0
Broadcast: 192.168.5.255
email: vdirienzo@gmail.com
47
Interfase ADSL
Address: 192.168.0.1/24
Network: 192.168.0.0
Broadcast: 192.168.0.255
Interfase: ADSL
email: vdirienzo@gmail.com
48
Ventas: Interna.
Administracin: Interna
Produccin: Interna
Servers: Interna
Hotspot: Interna
Movifoncia: Externa.
Globalphone: Externa.
ADSL: Externa
email: vdirienzo@gmail.com
49
email: vdirienzo@gmail.com
50
email: vdirienzo@gmail.com
51
Se ha elegido comenzar todos los rangos a partir del ip x.x.x.5 para reservar
nmeros de ip en el caso que se necesite instalar algn tipo de servidor en cada grupo.
Definir DNS
Para definir los DNS simplemente hay que ir al men IP / DNS. Se nos abre una
ventana de configuracin. Hacemos clic en Settings y escribimos los dns del proveedor
de Internet.
email: vdirienzo@gmail.com
52
Pestaa General:
Chan: srcnat
Pestaa Action:
email: vdirienzo@gmail.com
53
Action: masquerade
En esta ventana iremos introduciendo todos los requisitos necesario para ir levantado
los servidores de dhcp. La configuracin para cada uno de los servidores dhcp fue la
siguiente:
DHCP Produccin:
Interfase: Produccin
email: vdirienzo@gmail.com
54
DHCP Administracin:
Interfase: Administracin
email: vdirienzo@gmail.com
55
DHCP Servers:
Interfase: Servers
DHCP Ventas:
Interfase: Ventas.
email: vdirienzo@gmail.com
56
Configuracin:
Red Servers:
Address: 192.168.1.0/24
Gateway: 192.168.1.1
email: vdirienzo@gmail.com
57
Red Administracin:
Address: 192.168.2.0/24
Gateway: 192.168.2.1
Red Ventas:
Address: 192.168.3.0/24
Gateway: 192.168.3.1
email: vdirienzo@gmail.com
58
Red Produccin:
Address: 192.168.4.0/24
Gateway: 192.168.4.1
Los pasos de configuracin son los siguientes. Nos dirigimos al men IP / DHCP
Server. En la ventana que nos aparece hacemos clic en la pestaa LEASES. En
mencionada pestaa hacemos clic en el icono (+). La configuracin de la ventanuela es:
email: vdirienzo@gmail.com
59
Server RADIUS:
o Address: 192.168.1.3
o MAC Address: 00:0C:29:C6:59:DA (MAC del servidor)
o Servers: all
Luego para que esta asignacin quede esttica debemos hacer clic en el botn de
MAKE STATIC. De la pestaa LEASES.
email: vdirienzo@gmail.com
60
Servidor NTP
Para el servidor nos dirigimos al men SYSTEM / NTP SERVER. En la nueva ventana
Seleccionamos solamente la opcin MANYCAST y hacemos clic en el botn de
ENABLE
Ahora Con esta configuracin del servidor podemos hacer que todas las computadoras
de la red estn sincronizadas con nuestro servidor de tiempo.
Cliente NTP
Para configurar nuestro cliente NTP, para que nos sincronice nuestra hora del
Mikrotik conjuntamente con la de un reloj nuclear. Debemos ir al men SYSTEM / NTP
CLIENT. Se nos abrir la ventana de configuracin del cliente NTP y le asignamos los
calores siguientes:
Mode: Unicast
email: vdirienzo@gmail.com
61
time-a.nist.gov
129.6.15.28
NIST, Gaithersburg, Maryland
time-b.nist.gov
129.6.15.29
NIST, Gaithersburg, Maryland
Date: Apr/04/2008
Time: 16:17:00
Utilizamos -03:00 para la Time Zone ya que nosotros en Cordoba tenemos ese uso
horario que es el mismo de Buenos Aires respecto a Greenwich.
email: vdirienzo@gmail.com
62
Habilitando esta opcin nos ahorramos todos los inconvenientes de cambiar los
horarios de todas las polticas que se hayan generado.
email: vdirienzo@gmail.com
63
Luego nos dirigimos a la pestaa Profiles. Ah hacemos clic en el icono (+) para
generar el perfil de usuario que necesitamos. A continuacin se nos abre una ventana y
la llenamos con los siguientes datos:
Name: PPPoE_Produccion
email: vdirienzo@gmail.com
64
Name: Usuario_Produccion
Password: Usuario_Produccion
Service: pppoe
Profile PPPoE_Produccion
Nos dirigimos nuevamente al men PPP. En la ventana nueva hacemos clic sobre el
botn PPPoE Server. En la nueva ventana que se nos abre configuraremos el nuevo
servidor de PPPoE. Para ello debemos hacer clic en el botn (+). La configuracin del
mismo ser:
Interfase: Hotspot
email: vdirienzo@gmail.com
65
En la pestaa General:
Max MTU:1480
email: vdirienzo@gmail.com
66
User: royaltech@ciudanet-cordoba-apb
Password: royaltech
Profile: Default
email: vdirienzo@gmail.com
67
El tipo de codificacin
Tamao MTU
Tamao MRU
El AC Name
AC MAC Address
email: vdirienzo@gmail.com
68
Name: Profile_VPN
email: vdirienzo@gmail.com
69
Con el profile ya generado para VPN debemos crear el usuario que utilizara dicho
profile. Para ello vamos al men PPP, hacemos clic en la pestaa SECRESTS.
Hacemos clic sobre el icono (+) y en la nueva ventana la configuramos de la
siguiente manera:
Name: vpn
Password: vpn
Service: pptp
Profile: Profile_VPN
email: vdirienzo@gmail.com
70
Finalmente debemos dar de alta el servidor de PPTP. Para ello nos dirigimos al
men PPP, en la pestaa Interfases hacemos clic sobre el botn PPTP Server.
En la nueva ventana la configuramos de la manera siguiente:
Enable (seleccionado)
Keepalive Timeout:30
email: vdirienzo@gmail.com
71
email: vdirienzo@gmail.com
72
email: vdirienzo@gmail.com
73
Seleccionamos que no nos disque una conexin inicial. Para el caso de que
utilicemos el ip fijo en nuestras oficinas en Buenos Aires. Luego clic en Siguiente
email: vdirienzo@gmail.com
74
Address: royaltech.com.ar
Contrasea: victor
email: vdirienzo@gmail.com
75
email: vdirienzo@gmail.com
76
email: vdirienzo@gmail.com
77
email: vdirienzo@gmail.com
78
email: vdirienzo@gmail.com
79
Port: 3128
Hostname: Proxy
email: vdirienzo@gmail.com
80
Como segundo paso debemos generar un una regla en el firewall para que haga un
redireccionamiento al servidor Proxy. Para ello nos dirigimos al men IP / FIREWALL
en nuestra ventana de configuracin hacemos clic en la pestaa NAT, luego clic en el
botn (+). La ventana la configuramos de la siguiente manera.
Interfase Produccin:
Chain: dstnat
Protocol: 6 (tcp)
Interfase produccin.
email: vdirienzo@gmail.com
81
Action: Redirect
To ports: 3128
Realizamos esta misma configuracin para cada una de las interfases de nuestra
red. La configuracin de las mismas es:
Interfase Administracin:
Pestaa General:
Chain: dstnat
Protocol: 6 (tcp)
Interfase: administracin
email: vdirienzo@gmail.com
82
Pestaa Action:
Action: Redirect
To ports: 3128
Interfase Ventas:
Pestaa General:
Chain: dstnat
Protocol: 6 (tcp)
Interfase: ventas
email: vdirienzo@gmail.com
83
Pestaa Action:
Action: Redirect
To ports: 3128
Por ultimo configuraremos el NAT para el ruteo entre todas las subredes de la
empresa .Para ello nos dirigimos al men IP / FIREWALL en nuestra ventana de
configuracin hacemos clic en la pestaa NAT, luego clic en el botn (+). La ventana la
configuramos de la siguiente manera.
Pestaa General:
Chain: srcnat
email: vdirienzo@gmail.com
84
Pestaa Action:
Action: Masquerade
Pestaa: General:
Chain: input
Protocol: 6 (tcp)
email: vdirienzo@gmail.com
85
Pestaa Action:
Action: Drop
email: vdirienzo@gmail.com
86
Bloquearemos algunas pginas con la utilizacin del Web Proxy. Para ello se
defini que no se podr ingresar a sitios pornogrficos desde la red ni la utilizacin de
pginas que tengan el servicio de Web Messenger al igual que Yahoo u otros.
Bloqueo Pornografa
Nos dirigimos al men IP / Web Proxy. En la nueva ventana dentro de la pestaa
Access hacemos clic en el icono (+). Las nuevas polticas se configuran de la siguiente
manera:
URL: *porn*
Method: any
Action: deny
Este filtro nos bloqueara cualquier site que posea la palabra *porn* en su
nombre. Tambin nos sirve debido a que si el usuario busca algo con la palabra porn en
Google o cualquier otro buscador tambin nos bloquee la bsqueda.
email: vdirienzo@gmail.com
87
Poltica 2
URL: *sex*
Method: any
Action: deny
Poltica 3
URL: *xxx*
Method: any
Action: deny
email: vdirienzo@gmail.com
88
URL: *webmessenger.yahoo.com*
Method: any
Action: deny
Site: webmessenger.msn.com
URL: *webmessenger.msn.com*
Method: any
Action: deny
email: vdirienzo@gmail.com
89
Sitio: www.ebuddy.com
URL: * ebuddy.com*
Method: any
Action: deny
Site: meebo.com
URL: *meebo.com*
email: vdirienzo@gmail.com
90
Method: any
Action: deny
Bloqueo Messenger
o Src. Address: 0.0.0.0/0
o Dst. Address: 0.0.0.0/0
o URL: *Gateway.messenger.*
o Method: any
o Action: deny
email: vdirienzo@gmail.com
91
URL: *mail*
Method: any
Action: deny
email: vdirienzo@gmail.com
92
URL: *.mp3
Method: any
Action: deny
URL: *.avi*
Method: any
Action: deny
email: vdirienzo@gmail.com
93
URL: *.rar*
Method: any
Action: deny
email: vdirienzo@gmail.com
94
URL: *.zip*
Method: any
Action: deny
URL: *.exe*
Method: any
Action: deny
email: vdirienzo@gmail.com
95
Balanceo de carga
Debido a que poseemos dos conexiones a los proveedores de Internet
utilizaremos el balanceo de carga para optimizar el trfico en la red. Debido a que la sub
red ventas genera grandes volmenes de trafico hacia Internet el balanceo de carga Ser
aplicado a ella.
email: vdirienzo@gmail.com
96
Pestaa General:
Chain: prerouting
Pestaa Extra:
Every: 1
Counter: 1
Packet:0
email: vdirienzo@gmail.com
97
Pestaa Action:
Pestaa General:
Chain: prerouting
email: vdirienzo@gmail.com
98
Pestaa Action:
Pestaa General:
Chain: prerouting
In. Interfase
email: vdirienzo@gmail.com
99
Pestaa Extra:
Every: 1
Counter:1
Packet:1
email: vdirienzo@gmail.com
100
Pestaa Action:
Chain: prerouting
email: vdirienzo@gmail.com
101
Pestaa Action:
email: vdirienzo@gmail.com
102
Pestaa General:
Chain: srcnat
Pestaa Action:
Action: src-nat
To addresses: 200.45.4.10
To Ports: 0-65535
email: vdirienzo@gmail.com
103
Pestaa General:
Chain: srcnat
Pestaa Action:
Action: src-nat
To Addresses: 200.45.4.10
0-65535
email: vdirienzo@gmail.com
104
comment=""
disabled=no
email: vdirienzo@gmail.com
105
Para los distintos grupos de usuarios les asignaremos distinto ancho de banda:
Administracin :
email: vdirienzo@gmail.com
106
Produccin:
Ventas:
Para el control del ancho de banda debemos ir al men QUEUES. All se nos
abrir una ventana de configuracin.
Hacemos clic en el icono (+) de la pestaa Simple Queues. Se nos abre la nueva
para configurar la nueva cola.
Cola Administracin:
Pestaa General:
Name: Queue_Administracion
email: vdirienzo@gmail.com
107
Cola Ventas:
Pestaa General:
Name: Queue_Ventas
Cola Produccin:
Pestaa General:
Name: Queue_Produccion
email: vdirienzo@gmail.com
108
email: vdirienzo@gmail.com
109
Chain: prerouting
P2P: all-p2p
Action: mark_connection
Passthough (seleccionado).
email: vdirienzo@gmail.com
110
Chan: prerouting
email: vdirienzo@gmail.com
111
Ahora deberemos configurar las polticas para que nos marque los paquetes p2p para
poder bloquearlos en las otras redes.
Chain: prerouting
email: vdirienzo@gmail.com
112
Name: Queue_p2p_in
Parent: Global-in
Priority: 8
email: vdirienzo@gmail.com
113
Name: Queue_p2p_out
Parent: global-out
Priority: 8
email: vdirienzo@gmail.com
114
Para ello lo primero que debemos hacer es una nueva cola que la habilitaremos en
los horarios de 20:00hs a 06:00hs. Ir al men QUEUES en la pestaa Queues Tree,
hacemos clic en el icono (+). Se nos abre la ventana de configuracin. La configuracin
de la misma es:
Name: Queue_in_Global_P2P_libre
Parent: global-in
Priority: 8
Antes de hacer clic sobre aceptar, hacemos clic en DISABLE y luego hacemos clic en
aceptar.
Name: Queue_out_Global_P2P_Libre
email: vdirienzo@gmail.com
115
Parent: global-out
Priority: 8
Antes de hacer clic sobre aceptar hacemos clic en DISABLE y luego hacemos
clic en aceptar.
Name: Bloquea_Bw
Source:
/queue tree enable Queue_In_Global_P2P_Limitado
/queue tree disable
Queue_In_Global_P2P_Libre
Queue_Out_Global_P2P_Libre
Ahora con nuestro segundo script. Vamos al men SYSTEM / SCRIPTS. Se nos abre
la ventana de administracin de scripts. Hacemos clic en el icono (+) y configuramos la
ventana nueva con los siguientes datos:
Name: Libera_Bw
email: vdirienzo@gmail.com
116
Source:
/queue tree disable Queue_In_Global_P2P_Limitado
/queue tree enable
Queue_In_Global_P2P_Libre
Queue_Out_Global_P2P_Libre
Hacemos clic sobre el botn (+). La configuracin del primer evento es:
Name: Bloquea_Bw
Interval: 1d 00:00:00
On Event: Bloquea_Bw
email: vdirienzo@gmail.com
117
Luego hacemos clic nuevamente en el icono (+) y creamos nuestro segundo evento,
cuya configuracin es:
Name: Libera_Bw
Interval: 1d 00:00:00
On Event: Libera_Bw
email: vdirienzo@gmail.com
118
Firewall
Bloqueo de los P2P para redes de ventas y produccin
Debido alas polticas implementadas por gerencia solamente en el rea de
administracin se podr utilizar los P2P. para ello la configuracin para bloquear dicho
trafico es la siguiente.
Pestaa general:
Chain: forward
P2P: all-p2p
Pestaa Action:
Action: drop
email: vdirienzo@gmail.com
119
Pestaa general:
Chain: forward
P2P: all-p2p
Pestaa Action:
Action: drop
email: vdirienzo@gmail.com
120
Pestaa General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 1863
Pestaa General:
o Action: Drop
email: vdirienzo@gmail.com
121
Pestaa General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 5190
Pestaa Action
o Action: Drop
email: vdirienzo@gmail.com
122
Pestaa General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 6901
Pestaa Action:
o Action: Drop
Pestaa General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 6891-6900
email: vdirienzo@gmail.com
123
Pestaa Action:
o Action: Drop
Pestaa General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Address: 65.54.239.211
Pestaa Action:
o Action: Drop
email: vdirienzo@gmail.com
124
Redireccionamiento de puertos
A continuacin debemos redireccionar puertos para que el trfico que se genere
hacia adentro de la red obtengan las respuesta deseada. Por ejemplo que nuestro
servidor web muestre las pginas correspondientes, que el servidor de SMTP y POP3
puedan enviar y recibir mails etc.
Puerto 80 WEB
Para redireccionar el puerto 80 desde el exterior a nuestro servidor web ip:
192.168.1.2 debemos realizar los siguientes pasos. Ir al men IP / FIREWALL. Hacer
clic en la pestaa NAT. Luego hacer clic en el icono (+). A la nueva ventana la
configuramos de la siguiente manera.
Pestaa General:
Chain:dstnat
Protocol: 6 (tcp)
Dst. Port: 80
email: vdirienzo@gmail.com
125
Pestaa Action:
Action: dst-nat
To Addresses: 192.168.1.2
To Port: 80
Pestaa General:
Chain: dstnat
Protocol: 6 (tcp)
email: vdirienzo@gmail.com
126
Pestaa Action:
Action: dst-nat
To Addresses: 192.168.1.2
To Port: 110
Puerto 25 SMTP
Para redireccionar el puerto 25 desde el exterior a nuestro servidor pop3 ip: 192.168.1.2
debemos realizar los siguientes pasos. Ir al men IP / FIREWALL. Hacer clic en la
pestaa NAT. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de
la siguiente manera.
Pestaa General:
Chain:dstnat
Protocol: 6 (tcp)
Dst. Port: 25
email: vdirienzo@gmail.com
127
Pestaa Action:
Action: dst-nat
To Addresses: 192.168.1.2
To Port: 25
Pestaa General:
Chain: input
Protocol 6 (tcp)
email: vdirienzo@gmail.com
128
Pestaa Action:
Action: accept
Pestaa General:
Chain: input
Protocol 17 (udp)
email: vdirienzo@gmail.com
129
Pestaa General:
Chain: input
Pestaa Action:
Action: accept
email: vdirienzo@gmail.com
130
Pestaa General:
Chain: input
Pestaa Action:
Action: drop
email: vdirienzo@gmail.com
131
Pestaa General:
Chain: input
email: vdirienzo@gmail.com
132
Pestaa Action:
Action: accept
Pestaa General:
Chain: input
Protocol: 17 (udp)
Pestaa Action:
Action: Accept
email: vdirienzo@gmail.com
133
Pestaa General:
Chain: input
Protocol: 1 (icmp)
Pestaa Extra:
Rate: 50 / 5
Burst: 2
email: vdirienzo@gmail.com
134
Pestaa Action:
Action: accept
Pestaa General:
Chain: input
Protocol: 1 (icmp)
Pestaa Action:
Action: Drop
email: vdirienzo@gmail.com
135
Pestaa General:
Chain: input
Pestaa Action:
Action: drop
email: vdirienzo@gmail.com
136
Agregamos una poltica nueva para bloquear el acceso externo desde la internase
Movifonica de esta manera:
Pestaa General:
Chain: input
Pestaa Action:
Action: drop
email: vdirienzo@gmail.com
137
email: vdirienzo@gmail.com
138
Name: wlan1
MTU: 1500
Arp: enabled
Pestaa Wireless:
Mode: AP bridge
SSID: Royal_Tech_Hotspot
Band: 5Ghz
Frequency: 5200
email: vdirienzo@gmail.com
139
County: no_country_set
email: vdirienzo@gmail.com
140
Pestaa Advanced:
email: vdirienzo@gmail.com
141
Pestaa WDS:
email: vdirienzo@gmail.com
142
Pestaa Nstreme:
Pestaa Tx Power:
email: vdirienzo@gmail.com
143
Pestaa Status:
email: vdirienzo@gmail.com
144
Pestaa Traffic:
Nos muestra el trfico actual de la interfase en paquetes enviados y recibidos al
igual que bits por segundo.
Address: 192.168.5.3/24
Network: 192.168.5.0
Broadcast: 192.168.5.255
Interfase: ether1
email: vdirienzo@gmail.com
145
Address: 192.168.10.1/24
Network: 192.168.10.0
Broadcast: 192.168.10.255
Interfase: wlan
email: vdirienzo@gmail.com
146
Destination: 0.0.0.0/0
Gateway: 192.168.5.1
email: vdirienzo@gmail.com
147
email: vdirienzo@gmail.com
148
email: vdirienzo@gmail.com
149
Siguiendo nos pide la direccin del servidor STMP de nuestra red local es:
DNS Servers:
192.168.0.3
200.45.191.35
email: vdirienzo@gmail.com
150
Name: hotspot
Interfase: wlan1
Hs-pool-5
Profile hsprofile1
email: vdirienzo@gmail.com
151
Pestaa General:
Name: hsprof1
SMTP: 192.168.1.1
Pestaa Login:
email: vdirienzo@gmail.com
152
Pestaa RADIUS:
Luego hacemos clic sobre la pestaa Users hacemos clic en el botn Profile y
generamos uno. La configuracin del mismo es:
Name Profile_Hotspot
Shared Users: 1
email: vdirienzo@gmail.com
153
Pestaa Advertise:
Advertise: deseleccionado
Pestaa Script:
No se genera ningn script y queda configurada por default.
email: vdirienzo@gmail.com
154
Pestaa General:
Name: Royaltech-Secure
Unicast ciphers
o Tkip: Seleccionado
o Aes ccm: Seleccionado
Group Ciphers
o Tkip: Seleccionado
o Aes ccm: Seleccionado
email: vdirienzo@gmail.com
155
Pestaa EAP:
EAP Methods:
email: vdirienzo@gmail.com
156
Address: 192.168.0.3
email: vdirienzo@gmail.com
157
Secret: Radius
Authentication port:1812
Accounting:1813
Servidor de SNMP
Debido a los beneficios que brinda el monitoreo remoto de los servicios de una
red. Hemos decidido implementar y habilitarle el servidor de snmp de un router
Mikrotik.
email: vdirienzo@gmail.com
158
Enabled (marcado)
Location: cba
Name: communa
Address: 192.168.1.0/24
Para una configuracin bsica esto nos alcanza para poder obtener cierta informacin
del Mikrotik.
email: vdirienzo@gmail.com
159
Dentro de winbox ir al men New Terminal se nos abre una ventana de terminal.
Ah dentro debemos escribir lo siguiente para obtener las oid del sistema
Dicho comando nos mostrara la salida de pantalla con los datos de oid requeridos.
R name=.1.3.6.1.2.1.2.2.1.2.1 mtu=.1.3.6.1.2.1.2.2.1.4.1
mac-address=.1.3.6.1.2.1.2.2.1.6.1 admin-status=.1.3.6.1.2.1.2.2.1.7.1
oper-status=.1.3.6.1.2.1.2.2.1.8.1 bytes-in=.1.3.6.1.2.1.2.2.1.10.1
packets-in=.1.3.6.1.2.1.2.2.1.11.1 discards-in=.1.3.6.1.2.1.2.2.1.13.1
errors-in=.1.3.6.1.2.1.2.2.1.14.1 bytes-out=.1.3.6.1.2.1.2.2.1.16.1
packets-out=.1.3.6.1.2.1.2.2.1.17.1 discards-out=.1.3.6.1.2.1.2.2.1.19.1
errors-out=.1.3.6.1.2.1.2.2.1.20.1
R name=.1.3.6.1.2.1.2.2.1.2.2 mtu=.1.3.6.1.2.1.2.2.1.4.2
mac-address=.1.3.6.1.2.1.2.2.1.6.2 admin-status=.1.3.6.1.2.1.2.2.1.7.2
oper-status=.1.3.6.1.2.1.2.2.1.8.2 bytes-in=.1.3.6.1.2.1.2.2.1.10.2
packets-in=.1.3.6.1.2.1.2.2.1.11.2 discards-in=.1.3.6.1.2.1.2.2.1.13.2
errors-in=.1.3.6.1.2.1.2.2.1.14.2 bytes-out=.1.3.6.1.2.1.2.2.1.16.2
packets-out=.1.3.6.1.2.1.2.2.1.17.2 discards-out=.1.3.6.1.2.1.2.2.1.19.2
errors-out=.1.3.6.1.2.1.2.2.1.20.2
R name=.1.3.6.1.2.1.2.2.1.2.3 mtu=.1.3.6.1.2.1.2.2.1.4.3
mac-address=.1.3.6.1.2.1.2.2.1.6.3 admin-status=.1.3.6.1.2.1.2.2.1.7.3
oper-status=.1.3.6.1.2.1.2.2.1.8.3 bytes-in=.1.3.6.1.2.1.2.2.1.10.3
email: vdirienzo@gmail.com
160
packets-in=.1.3.6.1.2.1.2.2.1.11.3 discards-in=.1.3.6.1.2.1.2.2.1.13.3
errors-in=.1.3.6.1.2.1.2.2.1.14.3 bytes-out=.1.3.6.1.2.1.2.2.1.16.3
packets-out=.1.3.6.1.2.1.2.2.1.17.3 discards-out=.1.3.6.1.2.1.2.2.1.19.3
errors-out=.1.3.6.1.2.1.2.2.1.20.3
R name=.1.3.6.1.2.1.2.2.1.2.7 mtu=.1.3.6.1.2.1.2.2.1.4.7
mac-address=.1.3.6.1.2.1.2.2.1.6.7 admin-status=.1.3.6.1.2.1.2.2.1.7.7
oper-status=.1.3.6.1.2.1.2.2.1.8.7 bytes-in=.1.3.6.1.2.1.2.2.1.10.7
packets-in=.1.3.6.1.2.1.2.2.1.11.7 discards-in=.1.3.6.1.2.1.2.2.1.13.7
errors-in=.1.3.6.1.2.1.2.2.1.14.7 bytes-out=.1.3.6.1.2.1.2.2.1.16.7
packets-out=.1.3.6.1.2.1.2.2.1.17.7 discards-out=.1.3.6.1.2.1.2.2.1.19.7
errors-out=.1.3.6.1.2.1.2.2.1.20.7
R name=.1.3.6.1.2.1.2.2.1.2.10 mtu=.1.3.6.1.2.1.2.2.1.4.10
mac-address=.1.3.6.1.2.1.2.2.1.6.10 admin-status=.1.3.6.1.2.1.2.2.1.7.10
oper-status=.1.3.6.1.2.1.2.2.1.8.10 bytes-in=.1.3.6.1.2.1.2.2.1.10.10
packets-in=.1.3.6.1.2.1.2.2.1.11.10 discards-in=.1.3.6.1.2.1.2.2.1.13.10
errors-in=.1.3.6.1.2.1.2.2.1.14.10 bytes-out=.1.3.6.1.2.1.2.2.1.16.10
packets-out=.1.3.6.1.2.1.2.2.1.17.10 discards-out=.1.3.6.1.2.1.2.2.1.19.10
errors-out=.1.3.6.1.2.1.2.2.1.20.10
packets-in=.1.3.6.1.2.1.2.2.1.11.10
packets-out=.1.3.6.1.2.1.2.2.1.17.10
packets-in=.1.3.6.1.2.1.2.2.1.11.7
packets-out=.1.3.6.1.2.1.2.2.1.17.7
packets-in=.1.3.6.1.2.1.2.2.1.11.3
packets-out=.1.3.6.1.2.1.2.2.1.17.3
packets-in=.1.3.6.1.2.1.2.2.1.11.2
packets-out=.1.3.6.1.2.1.2.2.1.17.2
email: vdirienzo@gmail.com
161
EnableIPv6: no
WorkDir: /var/www/mrtg
######################################################################
# System: 192.168.1.1
# Description: router
# Contact: tatubias@server
# Location: cba
######################################################################
Target[192.168.1.1_cpu]:
1.3.6.1.2.1.25.3.3.1.2.1&1.3.6.1.2.1.25.3.3.1.2.1:communa@192.168.1.1:
AbsMax[192.168.1.1_cpu]: 100
MaxBytes[192.168.1.1_cpu]: 100
Title[192.168.1.1_cpu]: 192.168.1.1 CPU load
PageTop[192.168.1.1_cpu]: <H1>192.168.1.1 CPU load</H1>
Options[192.168.1.1_cpu]: gauge,growright,nopercent, noo
YLegend[192.168.1.1_cpu]: CPU load
ShortLegend[192.168.1.1_cpu]: %
LegendI[192.168.1.1_cpu]: CPU load (percentage)
Target[192.168.1.1_2]:
1.3.6.1.2.1.2.2.1.11.2&1.3.6.1.2.1.2.2.1.1.17.2:communa@192.168.1.1:
MaxBytes[192.168.1.1_2]: 64000
Title[192.168.1.1_2]: Paquetes in / out interfase 1
PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1>
<TABLE>
<TR><TD>System:</TD>
email: vdirienzo@gmail.com
162
</TABLE>
Target[192.168.1.1_2]:
1.3.6.1.2.1.2.2.1.11.3&1.3.6.1.2.1.2.2.1.1.17.3:communa@192.168.1.1:
MaxBytes[192.168.1.1_2]: 64000
Title[192.168.1.1_2]: Paquetes in / out interfase 2
PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1>
<TABLE>
<TR><TD>System:</TD>
Target[192.168.1.1_2]:
1.3.6.1.2.1.2.2.1.11.7&1.3.6.1.2.1.2.2.1.1.17.7:communa@192.168.1.1:
MaxBytes[192.168.1.1_2]: 64000
Title[192.168.1.1_2]: Paquetes in / out interfase 3
PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1>
<TABLE>
<TR><TD>System:</TD>
Target[192.168.1.1_2]:
1.3.6.1.2.1.2.2.1.11.10&1.3.6.1.2.1.2.2.1.1.17.10:communa@192.168.1.1:
MaxBytes[192.168.1.1_2]: 64000
Title[192.168.1.1_2]: Paquetes in / out interfase 4
PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1>
<TABLE>
<TR><TD>System:</TD>
email: vdirienzo@gmail.com
163
Esta configuracin nos mostrara la carga del CPU y los paquetes enviados y
recibidos por 4 interfases. A continuacin deber crear el archivo index.html para que
sea visualizada la informacin en forma de grficos en una pagina Web.
Finalmente debe correr 3 veces el comando mrtg para que se generen los
archivos de base de datos necesarios.
#mrtg
Servidor Radius
Debido a la gran inseguridad que presentan las redes se ha decidido implementar
un servidor radius para autenticar algunos de los usuarios. Para ello se necesitar
instalar software adicional al Mikrotik. Partimos de la base de tener nuestro servidor
con debian instalado. Los pasos a seguir son los siguientes:
email: vdirienzo@gmail.com
164
Para confirmar que estn funcionando utilizamos el cliente Web que poseamos y
lo redirigimos a la direccin ip del servidor. Ah nos aparecer una venta que nos
informa que el servidor Web esta funcionando.
#mysql
Esto nos mostrara que se pudo conectar al servidor de base de datos. Para salir
de cliente de MySQL escribimos:
#exit
#nano /etc/freeradius/clients.conf
email: vdirienzo@gmail.com
165
#nano /etc/freeradius/naslist
# NAS Name
Short Name
Type
#----------
------------
----
192.168.1.1
mikrotik
mikrotik
#vi /etc/freeradius/radiusd.conf
passwd = /etc/passwd
shadow = /etc/shadow
group = /etc/group
email: vdirienzo@gmail.com
166
Require_encryption = yes
Require_strong = yes
#nano /etc/freeradius/sql.conf
#connect info
server = "localhost"
login = "radius"
password = "radius"
Configuracin MySQL
Para configurar la base de datos donde tendremos toda la informacin que
utilizaremos para la autenticacin del servidor radius. Debemos realizar los siguientes
pasos.
Ahora nos encontramos dentro del Shell del MySQL, debemos crear la base de
datos para luego generar las tablas.
email: vdirienzo@gmail.com
167
Esto nos creo la base de datos radius vaca escribimos exit y salimos del Shell de
MySQL.
Por suerte el servidor freeradius tiene el archivo SQL que nos genera las tablas
necesarias. Para agregar dichas tablas solo debemos hacer lo siguiente.
A continuacin debemos darle los privilegios al usuario radius para que pueda
administrar la base de datos radius.
# mysql -u root p
email: vdirienzo@gmail.com
168
/usr/share/freeradius-
dialupdamin/sql userinfo.sql
#nano /etc/freeradius-dialupadmin/admin.conf
#antes
general_encryption_method = md5
# Despus
general_encryption_method = clear
sql_username: radius
sql_password: radius
sql_debug = false
#/etc/init.d/freeradius restart
email: vdirienzo@gmail.com
169
A continuacin debemos crear algn nuevo usuario para que nuestro servidor
radius nos autentique. Para ello en nuestro navegador Web redirigimos a la direccin del
servidor radius de la siguiente manera:
http://192.168.1.3/rad_config
email: vdirienzo@gmail.com
170
Username: gustavo
Password: gustavo
Group: Production
email: vdirienzo@gmail.com
171
Pestaa General:
Address: 192.168.1.3
email: vdirienzo@gmail.com
172
Secret: radius
email: vdirienzo@gmail.com
173
Luego vamos al men PPP. En la nueva ventana hacemos clic sobre la pestaa
Secret. Luego clic en el botn AAA. All la configuramos:
Accounting: Seleccionado
email: vdirienzo@gmail.com
174
# /etc/init.d/jabber stop
JABBER_HOSTNAME=royaltech.com.ar
email: vdirienzo@gmail.com
175
# /etc/init.d/jabber start
Cliente Jabber
Para la instalacin del cliente Jabber se ah elegido el cliente Pandion. Esto es debido a
la facilidad de utilizacin que posee y la versatilidad del mismo. Para la instalacin
seguimos los siguientes pasos:
email: vdirienzo@gmail.com
176
email: vdirienzo@gmail.com
177
email: vdirienzo@gmail.com
178
email: vdirienzo@gmail.com
179
email: vdirienzo@gmail.com
180
Servidor: royaltech.com.ar
Contrasea: Gustavo
email: vdirienzo@gmail.com
181
email: vdirienzo@gmail.com
182
Sniffing de Paquetes
Siempre es bueno tener una herramienta de anlisis de paquetes para saber que
es lo que esta ocurriendo en nuestra red. Para ello utilizaremos la aplicacin ntop y
Wireshark conjuntamente con la utilidad de sniffing de paquetes que posee el mikrotik.
Instalacin Ntop
La insolacin simplemente consta de estar logueado como root en nuestra
consola de debian y tipeamos el siguiente comando
email: vdirienzo@gmail.com
183
Este comando ya nos habr instalado el ntop en nuestro servidor. Para acceder a
la pgina web para ver el anlisis de paquetes realizado por ntop, simplemente debemos
redireccionar a nuestro explorador de Internet a la direccin de ip:
http://192.168.1.2:3000
El programa stop nos mostrar con gran cantidad de detalles toda la informacin
que esta circulando por nuestra red. Una de las clsicas vistas del ntop puede ser la
siguiente.
A continuacin hay que configurar el mikrotik para que nos espeje todo el
trfico a nuestro ntop, para ello vamos al men TOOLS / PACKET SNIFFER. En la
nueva ventana hacemos clic en el botn SETTINGS y comienza nuestra configuracin.
Pestaa General:
Interface: all
email: vdirienzo@gmail.com
184
File Limit: 10
Pestaa Streaming:
Server: 192.168.1.2
email: vdirienzo@gmail.com
185
Pestaa Filter:
Instalacin Wireshark
Para el anlisis mas fino de los paquetes se utilizar la aplicacin Wireshark la misma
tiene muchas funcionalidades que el ntop no posee. Para instalar la misma aplicacin en
un cliente Windows debemos Sergui los siguientes pasos.
186
Dejamos los componentes por default que viene con la instalacin y hacemos clic en
siguiente.
email: vdirienzo@gmail.com
187
email: vdirienzo@gmail.com
188
email: vdirienzo@gmail.com
189
Luego nos aparece la ventana de instalacin del wincap. Hacemos clic en siguiente.
Clic en siguiente.
Aceptamos el contrato
email: vdirienzo@gmail.com
190
email: vdirienzo@gmail.com
191
email: vdirienzo@gmail.com
192
email: vdirienzo@gmail.com
193
Hacemos clic en nuestro primer icono comenzando de mano izquierda. Que nos
abre una ventana la cual nos muestra todas las interfaces de red que poseemos en el
equipo.
Para capturar trfico de toda la red desde otro cliente que no sea el 192.168.1.2
debemos reconfigurar el mikrotik de la siguiente manera. Vamos al men TOOLS /
email: vdirienzo@gmail.com
194
Pestaa General:
Interface: all
File Limit: 10
Pestaa Streaming:
Server: 192.168.2.253
email: vdirienzo@gmail.com
195
Pestaa Filter:
email: vdirienzo@gmail.com
196
Conclusin
Del anlisis de los resultados se concluye que Royal Tech debera re estructurar
su red informtica. Debido al ineficiencia de la misma, ya que estaba siendo desbordada
por los nuevos requerimientos de la empresa en pleno crecimiento.
Se configur el servidor de DHCP para cada una de las sub redes. En el cual se
definieron los pools de ip para cada una. Tambin la asignacin direcciones de
IP fijas a partir de direcciones MAC de los servidores.
email: vdirienzo@gmail.com
197
Bibliografa
Mallery, John; Zann, Jason; Kelly, Patrick. Blindaje de Redes. 1ra Edicion.
Espaa. Anaya Multimedia. (720 pag)
email: vdirienzo@gmail.com
198