SCREENED SUBNET-Firewall Builder (Microtik) - Hyper-V

DESCRIPCIÓN BREVE
Creación de una DMZ (De-Militarized Zone)

funcional administrada por el software Firewall
Builder (elige otro software distinto) y
virtualizada mediante Hyper-V (puedes usar
otros métodos de virtualización)
SCREENED SUBNET
(DMZ)
Screened Subnet Dpto. Informática
Contenido
EL PROBLEMA: LA SEGURIDAD ..................................................................................................... 2

LA SOLUCION: DMZ....................................................................................................................... 3
ESTRUCTURA Y VIABILIDAD .......................................................................................................... 4
PASO 1: HYPER-V .......................................................................................................................... 5
PASO 2: CONMUTADOR VIRTUAL ................................................................................................ 9
PASO 4: ROUTER ......................................................................................................................... 11
PASO 5: ESTRUCTURACIÓN DE LA RED....................................................................................... 14
PASO 6: CONFIGURACION DEL ROUTER ..................................................................................... 17
ESTRUCTURA TERMINADA .............................................................................................................. 22
FIREWALL BUILDER ..................................................................................................................... 23
DEAD END ................................................................................................................................... 29
CONCLUSIONES ........................................................................................................................... 30
BIBLIOGRAFIA ............................................................................................................................. 31
1
EL PROBLEMA: LA SEGURIDAD
Cuando una red corporativa se encuentra interconectada a una red pública, los
peligros de ataque a sus servidores, routers y sistemas internos se multiplican.
Existen multitud de tipos de ataque, como son:
• Ataque de denegación de servicio: también llamado ataque DoS (Deny of

Service), es un caso específico de interrupción de servicio. Causa que un
servicio o recurso sea inaccesible a los usuarios legítimos, normalmente
provocando la perdida de la conectividad de la red por el consumo del ancho
de banda de la red de la víctima o sobrecarga de los recursos computacionales
del sistema de la víctima.
• Sniffing: se trata de una técnica de interceptación, consiste en rastrear
monitorizando el tráfico de una red.
• Man in the middle: a veces abreviado MitM, es un caso específico de
interceptación y modificación de identidad. Un atacante supervisa una
comunicación entre dos partes, falsificando las identidades de los extremos, y
por tanto recibiendo el tráfico en los dos sentidos.
• Spoofing: es una técnica de fabricación, suplantando la identidad o realizando
una copia o falsificación, por ejemplo, encontramos falsificaciones de IP, MAC,
web o mail.
• Pharming: es una técnica de modificación. Mediante la explotación de una
vulnerabilidad en el software de los servidores DNS o en el de los equipos de
los propios usuarios, permite modificar las tablas DNS redirigiendo un nombre
de dominio (domain name) conocido, a otra máquina (IP) distinta, falsificada y
probablemente fraudulenta.
Se dan casos de esos tipos de ataque cada día, suponen desde pequeños
inconvenientes hasta la pérdida o secuestro de datos empresariales.
2
LA SOLUCION: DMZ
Lo primero que se debe tener en cuenta cuando hablamos de seguridad en red es que
la única forma de un equipo o elemento informático sea 100% seguro es que no este
conectado a la red. En internet no existe la seguridad total, todo sistema o equipo es
vulnerable, pero existen diferentes grados de vulnerabilidad. Para un hacker que
busque vulnerabilidades en un sistema no le supone lo mismo hackear un equipo
domestico de una familia sin conocimientos informáticos que acceder a los servidores
de la NASA, esto se debe a las configuraciones de seguridad que añaden filtros y muros
que cada vez son más difíciles de flanquear.
En esta práctica vamos a trabajar sobre un esquema (cuya estructura describiré en el
siguiente punto) en la que aplicaremos una de las soluciones más viables para la
seguridad empresarial; la estructura Screened Subnet.
La arquitectura Screened Subnet, también conocida como red perimétrica o De-
Militarized Zone (DMZ) es la más utilizada hoy en día, ya que añade un nivel extra de
seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las
redes externa e interna, de forma que se consiguen reducir los efectos de un ataque
exitoso al host-bastión. Esto, al igual que otras arquitecturas, no solo aumenta la
seguridad, sino que nos permite crear un filtro entre las tres redes para controlar el
tráfico tanto de entrada como de salida.
Una vez explicado que es una DMZ y como se estructura ha llegado el momento de
hacer un cambio, en lugar de emplear un componente físico como los routers, vamos a
emplear máquinas virtuales que se valdrán del software Firewall Builder el cual, una
vez configurado, nos permitirá administrar la configuración de todos los niveles de
acceso y seguridad.
Firewall Builder es una herramienta gráfica (GUI) que permite configurar firewalls de
forma sencilla sin necesidad de conocer los comandos a ejecutar en el firewall ni su
sintaxis para la creación de reglas.
Las bases de esta herramienta son: simplicidad, flexibilidad y ahorro de tiempo. La

simplicidad se consigue gracias a la facilidad de uso de su GUI, que ofrece la gestión
mediante objetos en lugar de comandos.
3
ESTRUCTURA Y VIABILIDAD
La arquitectura Screened Subnet, también conocida como red perimétrica o De-
Militarized Zone (DMZ) es con diferencia la más utilizada e implantada hoy en día, ya
que añade un nivel de seguridad en las arquitecturas de cortafuegos situando una
subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los
efectos de un ataque exitoso.
Screened subnet es la arquitectura más segura, pero también la más compleja; se
utilizan dos routers, denominados exterior o Front-End e interior o Back-End,
conectados ambos a la red perimétrica como se muestra en la figura.
El conjunto de la DMZ junto con los dos Router constituye la estructura principal
de seguridad, para administrarla emplearemos el software Firewall Builder.
Firewall Builder es una GUI multifirewall. No está enfocada únicamente a permitir la
gestión de IPTables en Linux, sino que permite otras funciones como cortafuegos
en Linux, Mac OS X, OpenBSD, Solaris y FreeBSD, entre otros; además permite
gestionar otros cortafuegos como CISCO (ASA/PIX, ACLs en IOS, etc…), HP Procurve
ACL, etc.,
La GUI, permite crear un dispositivo cortafuegos y a partir de ahí, especificar el número
y tipo de interfaces de red que tiene. Podemos partir de una política de cortafuegos en
blanco o ayudarnos de diversas plantillas ya hechas basadas en escenarios típicos con
uno, dos o tres interfaces de red.
Disponemos de un equipo base con Windows donde virtualizaremos mediante Hyper-
V los diferentes routers y servicios para montar nuestra DMZ.
Por último, debemos puntualizar que el objetivo final es que tras la implementación de
la estructura se no exista ningún tipo de conectividad entre la WAN y la LAN.
4
PASO 1: HYPER-V
Hyper-V es una potente herramienta de virtualización incorporada en la mayoría de los
sistemas Windows, no obstante al no ser una herramienta de uso común viene
deshabilitada. Esto nos reduce la preparación de Hyper-V a un simple comando que
debemos introducir en PowerShell.
Empezamos ejecutando PowerShell como administrador.
Esto es imprescindible, ya que de esta forma evitamos un error posterior durante la

instalación (falta de permisos).
Una vez ejecutado, introducimos el siguiente comando para habilitar Hyper-V.
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All
Tras completarse la operación permitimos que se reinicie el sistema.

Una vez efectuado el reinicio podemos comprobar que tenemos habilitado nuestro
Administrador de Hyper-V.
5
Ejecutamos la aplicación y se nos abrirá la ventana principal del programa.
Este programa se puede usar a nivel individual, pero principalmente esta ideado para
administrar las maquinas ubicadas en diferentes equipos (además del nuestro). Si esta
práctica se realizase en un dominio, podríamos agregar equipos del dominio a nuestro
administrador y utilizar sus máquinas de forma remota.
En nuestro caso seleccionamos nuestro equipo (el único visible) y creamos una nueva
máquina (Segunda opción de la barra lateral derecha).
Tras esto se nos ejecutará el asistente para la creación de una máquina virtual.
En la pestaña «Antes de comenzar» presionamos siguiente.
6
Ahora debemos darle un nombre a la máquina y una ubicación en el equipo, en esta

ocasión crearemos una maquina que formará parte de la red interna.1
En la pestaña «Especificar generación» dejamos asignada la Generación 1 y

presionamos siguiente.
En «Asignar memoria» le damos 2048 MB de memoria RAM 2.
La configuración de red la realizaremos posteriormente.
En «Conectar un disco virtual» lo dejamos en crear un disco virtual y le asignamos el
tamaño deseado.
1
Esto puede dar lugar a confusión, es una red interna, pero esto no implica que no tenga acceso a
internet, este acceso se le dará posteriormente mediante las configuraciones de los routers.
2
La memoria RAM es susceptible a ser cambiada en función del rendimiento, ya que mi equipo solo
posee 8 GB de memoria RAM
7
En opciones de instalación vamos a seleccionar manualmente un archivo .iso para que

lo instale en el inicio de la maquina virtual. En este caso instalaremos un Ubuntu 14.04.
Por último se nos mostrará un resumen con las características de la maquina virtual,
presionamos «Finalizar» para que se cree la máquina.
Una vez hecho esto se nos creará una maquina virtual en nuestro equipo, solo
tenemos que darle a conectar y a Iniciar.
Hecho esto procedemos a la instalación del sistema operativo seleccionado. Una vez
terminado este proceso procederemos a la configuración de la Red
8
PASO 2: CONMUTADOR VIRTUAL

Hyper-V se vale se conmutadores virtuales vinculados a nuestra tarjeta de red para permitir la
conexión a internet, esto hace que las conexiones a la red tengan que ser creadas y
administradas de forma independiente a las máquinas.
Para empezar con los conmutadores nos vamos a la quinta opción de la barra lateral
derecha «Administración de conmutadores virtuales»
En esta nueva pestaña creamos un nuevo conmutador.
Lo configuramos según nuestros requisitos, esta red no tendrá acceso a internet hasta
que se configure correctamente el router.
9
Es importante tener marcada la casilla de «permitir al sistema operativo de

administración…» marcada si la red es externa ya que en caso contrario perderíamos la
conexión de red con el sistema anfitrión.
Con esto habremos creado un conmutador, ahora solo debemos enlazarlo a la máquina
virtual.
Dentro de la configuración de la maquina podemos cambiar diversos parámetros pero

el único que nos interesa ahora es el de enlazar un conmutador de red en «Adaptador
de red»
Lo único que debemos configurar aquí es seleccionar el conmutador virtual que se va a

usar.
Una vez hecho esto solo resta la configuración de red dentro del propio sistema
operativo, la cual será preferible realizar después de configurar el router.
10
PASO 4: ROUTER
Existen numerosas imágenes de routers para virtualizar por internet, para esta práctica
emplearé un router virtualizado MicroTik. Sin embargo, no profundizaré en el funcionamiento
de dicho router más allá del lo necesario para el correcto funcionamiento de la DMZ.
La creación de una maquina virtual que actúe de router es similar a la de una que
hospede un sistema operativo de uso (como puede ser Ubuntu). De esta forma solo
puntualizaré las diferencias.
Durante la asignación de memoria solo asignaremos 512MB, un router no necesita
más.
La configuración de red será posterior y en las opciones de disco duro marcamos la

última opción.
Esto se debe a que MicroTik facilita como descarga un archivo de disco duro virtual
donde ya tenemos nuestro router preparado, esto no solo facilita el proceso
eliminando la instalación si no que nos asegura una correcta configuración de inicio.
11
Para cargar el archivo .vhdx debemos crear la carpeta «Virtual Hard Disks» en el
directorio de instalación de la maquina virtual y copiar allí el archivo descargado.
Tras esto nos vamos a configuraciones de la maquina virtual y le asignamos el disco

duro que acabamos de copiar.
Nos vamos a «Controladora IDE 0» y le agregamos aquí la unidad de disco duro.
Y seleccionamos el archivo.
Una vez hecho esto muestro router ya es funcional 3, ahora debemos configurar las dos
interfaces de red que tendrá; una para la red interna y otra para la DMZ
Nota: Por el momento crearé las maquinas indicando los pasos y los requisitos para su
funcionalidad posterior, en el momento en el que tengamos todos los dispositivos
preparados, procederé a estructurarlos.
3
El usuario predeterminado de MicroTik es “admin” y sin contraseña
12
Dentro de las configuraciones de la máquina, en lugar de aprovechar el adaptador de

red ya existente, vamos a eliminarlo y a crear dos adaptadores de red heredados.
Y a estos dos adaptadores de red vamos a incorporarle dos conmutadores en red

interna, uno para Interna y otro para DMZ.
Hecho esto vamos a comprobar que de momento todo funciona correctamente, para
ello vamos a acceder al router y vamos a introducir el siguiente comando.
Interface print
De esta forma obtendremos una visión de las tarjetas de red conectadas. En la

siguiente imagen podemos ver que se ha configurado todo correctamente.
Una vez comprobado, ya tenemos los dos elementos de virtualización esenciales de

nuestra estructura. Ahora nos dispondremos a definir el posicionamiento de cada
elemento para así poder configurar las redes.
Para detener el router apropiadamente debemos introducir el siguiente comando
System shutdown
13
PASO 5: ESTRUCTURACIÓN DE LA RED

Ahora que tenemos un sistema operativo virtualizado y un router es momento de
hablar sobre la imagen de la estructura que vamos a crear.
La máquina virtual llamada Interna será la que se posicione en lo que corresponde a la

LAN o Intranet en la imagen. Esta máquina formaría parte de un conjunto de máquinas
que formarían la red interna, pero para un caso práctico solo necesitamos una para las
comprobaciones.
La mencionada red interna conecta con un Router (primer elemento verde que nos
encontramos conectado a la LAN) este router es el anteriormente creado Back-End.
Fuera de lo que hemos creado hasta ahora tenemos una DMZ y un segundo router.
Estos dos elementos se crean igual que los dos anteriores, de tal forma que este
segundo router seria llamado Front-End y también tendría dos interfaces de red; una
interna a la DMZ y otra externa que saldría a la WAN.
La DMZ puede ser cualquier elemento que ofrezco un servicio, estos servicios pueden
estar ubicados en equipos diferentes, en un mismo equipo o en maquinas virtuales
dentro de un equipo. En nuestro caso vamos a ofrecer servicio web (empleando
apache) y en la misma máquina se alojará el programa Firewall Builder para
administrar la seguridad.
En este momento debemos crear las mencionadas maquinas quedando así nuestro
Administrador de Hyper-V.
14
Ahora tenemos todas las maquinas preparadas, es momento de configurar las redes.
En primer lugar vamos a configurar el router Front-End, para ello lo iniciamos y
nuevamente comprobamos que están las dos interfaces de red con el siguiente
comando.
Interface print
Vemos como efectivamente tenemos las dos interfaces de red, pero a diferencia del
Back-End, el Front-End posee la única interfaz de red externa, por ello debe vamos a
empezar por darle una IP dentro del rango de mi red local mediante el siguiente
comando.
Ip address
Add address=192.168.1.200/24 interface=ether2
De esta forma habremos configurado la interfaz externa (ether2) con una IP dentro del
rango. Para comprobar que se ha configurado correctamente primero salimos del
modo de configuración “ip address” mediante el siguiente comando.
..
Y ahora comprobamos las direcciones IP.
Interface print
Vemos que se ha configurado correctamente, para asegurarnos de su total

funcionalidad vamos a hacer un ping al host.
15
Y de igual forma lo realizamos en sentido inverso.
Realizamos el mismo proceso para asignar una IP a la otra interfaz. De tal forma que:
• Ether1 seria la interfaz hacia la WAN con IP 192.168.1.107 4

• Ether2 seria la interfaz hacia la DMZ con IP 192.168.1.
Una vez llegados a este punto, como ya tenemos acceso al router por IP vamos a
acceder a él mediante su interfaz gráfica vía web y a configurarlo.
4
Cambio realizado posteriormente
16
PASO 6: CONFIGURACION DEL ROUTER

Accedemos mediante nuestro navegador web en la maquina virtual a la IP que le
hemos asignado al router, en circunstancias normales nos solicitaría un usuario y
contraseña, pero al estar con los ajustes de fabrica accede directamente.
Ante nosotros se nos presenta la siguiente interfaz.
Aquí debemos hacer algunas configuraciones:

1. Establecer la Address Acquisicion en automático (esto facilitará pareas
posteriores de configuración).
17
2. Comprobar la configuración de Local network y completarla (por ejemplo

agregando servicio DHCP y un rango, además de habilitar la NAT).
3. Si lo deseamos, podemos establecer una contraseña de acceso5.
Una vez hecho esto debemos pasar a la ventana WebFig, que nos permite configurar
los enrutamientos y las interfaces de forma gráfica.
Aquí podemos ver las interfaces que previamente se llamaban ether1 y ether2, pero al
ser estos nombres bastante equívocos las renombramos de la siguiente manera.
Si nos desplazamos a la pestaña IPs, en Addresses podemos ver las direcciones

previamente configuradas.
5
En mi caso lo dejaré sin contraseña para facilitar la exposición, en un entorno real es obligatorio
establecer un usuario diferente y una contraseña lo más segura posible.
18
Ahora vamos a realizar un paso importante, el enrutamiento. Dentro menú lateral de

IP acudimos a la sección firewall y aquí a la pestaña NAT.
Como vemos en la imagen ya hay 3 reglas configuradas, de estas reglas originalmente

solo existía la primera, las otras dos las he creado posteriormente, vamos a explicar
cómo se crean y para qué sirven.
La primera regla se deja tal cual.
La segunda regla se crea dándole a Add New, aquí debemos seleccionar estas opciones
19
Esto quiere decir que todo lo que salga de la IP 192.168.2.0 va a poder salir por la
interfaz que da acceso a internet. Pero esto no basta para que funcione la regla, hay
que añadir una acción.
Una vez configurada la opción de enmascaramiento, agregamos la regla y tendremos

acceso a internet con todas las maquinas que se conecten a la red 192.168.2.0 a través
del router Front-End.
La tercera regla es un redireccionamiento por puertos.
Se resume en que todos los accesos desde la interfaz que da a internet por el puerto
80 se les permitirá y será redirigido a la maquina con IP 192.168.2.100, que es donde
se aloja nuestro servidor web.
Una vez hecho esto ya podemos acceder desde nuestro host al servicio web instalado
en el servidor.
20
El servidor ya hemos dicho previamente que se trata de un Ubuntu donde hemos

instalado el servicio Apache mediante el siguiente comando (En modo superusuario).
Apt-get update
Apt-get install apache2
La misma configuración que hemos realizado en el router Front-End debemos

realizarla en el Back-End, asegurándonos de que hay conectividad y acceso al servicio
web.
Un buen método para ver que todo funciona correctamente es hacer ping desde la
máquina de la red interna a las diferentes IP y analizar los resultados.
Vemos claramente cómo, con cada ping, aumenta el tiempo de los paquetes, esto se
debe al número de saltos que realiza.
21
ESTRUCTURA TERMINADA
Una vez efectuados los pasos anteriores, ya deberíamos tener nuestra estructura
acabada. Vamos a aclarar que tenemos hasta ahora:
• Router Front-End / 2 Interfaces.

o Interfaz 1: Internet – IP: 192.168.1.107 (DHCP).
o Interfaz 2: DMZ – IP: 192.168.2.1 (Estática).
• Maquina DMZ / 1 Interfaz / 1 servicio.
o Interfaz: DMZ – IP: 192.168.2.100(DHCP)
o Servicio web Apache
• Router Back-End / 2 Interfaces.
o Interfaz 1: DMZ – IP: 192.168.2.98 (DHCP).
o Interfaz 2: RED INTERNA – IP: 192.168.3.1 (Estática).
• Maquina cliente / 1 Interfaz
o Interfaz: Red Interna – IP:192.168.3.98 (DHCP)
Con esto concluye la estructura Screened Subnet, en este momento nuestra estructura
tiene un buen nivel de seguridad gracias a los firewalls de ambos routers y a la
dificultad que supone sortear la DMZ.
Si incluyésemos más servicios lo conveniente sería crear una serie de reglas en los
routers para controlar los accesos, pero en lugar de profundizar en ello, ahora que
hemos logrado construir una DMZ, vamos a intentar realizarla empleando el software
Firewall Builder que sustituirá a los routers.
NOTA: He decidido dividir de esta forma la práctica por diversas razones. En

primer lugar el proyecto Firewall Builder lleva años desactualizado. En segundo
lugar, mi objetivo principal era montar la DMZ con dos Router, cosa que el firewall
Builder no permite (permite solo el uso de un firewall de 3 interfaces). Y en tercer
lugar, el Firewall Builder nos presenta la creación de una DMZ de una forma
excesivamente sencilla.
Todo esto me lleva a querer diseñar la estructura de las dos formas para; teniendo
creada una DMZ típica, poder compararla con las capacidades del Firewall Builder
22
FIREWALL BUILDER
En una nueva máquina llamada FW GUARDIAN nos disponemos a instalar el Firewall
Builder. Para ello, en modo superusuario, ejecutamos el siguiente comando.
apt-get install fwbuilder
Una vez instalando lo ejecutamos fácilmente introduciendo el siguiente comando.
fwbuilder
Se nos abrirá la ventana principal del programa, el paso lógico será crear un nuevo
firewall.
Se nos abrirá el asistente de creación de Firewall, aquí le daremos nombre al firewall,

seleccionaremos el tipo de software que soportará y que se creará en un Linux.
Además seleccionaremos emplear plantillas de firewall preconstruido, esto nos
facilitará enormemente el trabajo.
23
Tras aceptar se nos abre la selección de plantillas, si seleccionamos la tercera plantilla

ponemos ver que se trata de una DMZ totalmente configurada
Vamos a traducir parte de la descripción para tener una mejor visión de que nos
ofrece:
Este firewall tiene 3 interfaces:
• Eth0 da al exterior y está configurada de forma estática.

• Eth1 da a la red interna.
• Eth2 da a la subred DMZ.
Incluye reglas básicas para permitir el acceso de salida no restringido y reglas anti-
Spoofing. El acceso al firewall solo se permite desde la red interna y solo con SSH. El
firewall usa una de las maquinas de red interna para las DNS.
La red interna está configurada con la dirección 192.168.1.0/24. La DMZ está
configurada con la dirección 192.168.2.0/24. Al ser una IP privada requiere de NAT
(…)
Las reglas permiten la conexión SMTP desde internet (…) Se deniega todo acceso a
la red interna desde la DMZ
24
Tras leer esto vemos que nos ofrece un perfil prácticamente configurado para su uso.
Presionamos en siguiente y en esta ventana vamos a cambiar la IPs a gusto personal.
Eth0 la dejamos en dinámica
Eth1 la configuramos con la 10.0.0.1
Y Eth2 con la 20.0.0.1
25
Una vez hecho esto, aceptamos y se nos genera nuestro firewall Guardian.
Como vemos en la imagen, a la derecha de la estructura podemos ver todas las

políticas preconfiguradas de acceso, estas políticas podemos modificarlas o
eliminarlas, así como crear nuevas políticas según nuestras necesidades.
Antes de continuar es momento de preparar las otras dos máquinas, una la DMZ y otra
la red interna y configurarles las nuevas IPs (además de las tarjetas de red de
Guardian).
26
Vamos a probar a instalar esta configuración.
Como solo tenemos una configuración la aplicamos directamente.
Se nos aplicarán las políticas de seguridad configuradas.
27
Tras esto debemos configurar el acceso a nuestro firewall, tanto usuario como IP de
acceso.
28
DEAD END
Tristemente hemos llegado a un punto muerto en nuestra configuración del software
Firewall Builder.
Podemos crear a voluntad el esquema del firewall, sin embargo el esquema se niega a
aplicarse.
El proyecto Firewall Builder fue abandonado en 2012 y la última versión sobrevive
fuera de su página oficial pero ya no tiene versiones nuevas ni mantenimiento.
Desconozco si el problema se debe al programa en sí, a algún tipo de incompatibilidad
con el sistema operativo, algún problema de la red o incluso al aplicar la configuración
estando virtualizado en Hyper-V.
Las guías y manuales están terriblemente anticuados, los foros y las páginas de la
comunidad están llenas de fallos similares de otros usuarios.
La funcionalidad del Firewall Builder es la creación de un firewall en el cual se pueden
configurar diversas políticas y enrutamientos. Este firewall ya ha sido creado
previamente mediante la estructura anterior. Dado que solo nos daba una forma
grafica y más cómoda de gestionar las redes, no es una pérdida que no hayamos
solventado ya.
29
CONCLUSIONES
Firewall Builder ha demostrado ser una herramienta muy potente en el pasado, pero el
abandono del proyecto ha hecho que quede anticuada.
La alternativa de configurar routers MikroTik ha sido muy motivante, estos routers
poseen un enorme potencial además de ser un proyecto que se actualiza con mucha
regularidad.
La conclusión final es que, a pesar de los filtros, los firewalls y las subredes, no existe la
seguridad total cuando un dispositivo está conectado a la red, pero podemos aislarlo
tanto como podamos y ponérselo difícil a aquellos que deseen vulnerar nuestra
seguridad. La DMZ es quizás la mejor opción para este propósito.
30
BIBLIOGRAFIA
• Seguridad y Alta disponibilidad - RA-MA

• https://www.ibiblio.org
• http://www.securitybydefault.com
• https://ubuntu-tutorials.com
• https://mikrotik.com/
• https://wiki.mikrotik.com
31

SCREENED SUBNET-Firewall Builder (Microtik) - Hyper-V

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SCREENED SUBNET-Firewall Builder (Microtik) - Hyper-V

Cargado por

Copyright:

Formatos disponibles

DESCRIPCIÓN BREVE

Creación de una DMZ (De-Militarized Zone)

EL PROBLEMA: LA SEGURIDAD ..................................................................................................... 2

• Ataque de denegación de servicio: también llamado ataque DoS (Deny of

Las bases de esta herramienta son: simplicidad, flexibilidad y ahorro de tiempo. La

Esto es imprescindible, ya que de esta forma evitamos un error posterior durante la

Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All

Tras completarse la operación permitimos que se reinicie el sistema.

Ejecutamos la aplicación y se nos abrirá la ventana principal del programa.

Ahora debemos darle un nombre a la máquina y una ubicación en el equipo, en esta

En la pestaña «Especificar generación» dejamos asignada la Generación 1 y

En opciones de instalación vamos a seleccionar manualmente un archivo .iso para que

PASO 2: CONMUTADOR VIRTUAL

En esta nueva pestaña creamos un nuevo conmutador.

Es importante tener marcada la casilla de «permitir al sistema operativo de

Dentro de la configuración de la maquina podemos cambiar diversos parámetros pero

Lo único que debemos configurar aquí es seleccionar el conmutador virtual que se va a

La configuración de red será posterior y en las opciones de disco duro marcamos la

Tras esto nos vamos a configuraciones de la maquina virtual y le asignamos el disco

Nos vamos a «Controladora IDE 0» y le agregamos aquí la unidad de disco duro.

Dentro de las configuraciones de la máquina, en lugar de aprovechar el adaptador de

Y a estos dos adaptadores de red vamos a incorporarle dos conmutadores en red

De esta forma obtendremos una visión de las tarjetas de red conectadas. En la

Una vez comprobado, ya tenemos los dos elementos de virtualización esenciales de

PASO 5: ESTRUCTURACIÓN DE LA RED

La máquina virtual llamada Interna será la que se posicione en lo que corresponde a la

Add address=192.168.1.200/24 interface=ether2

Y ahora comprobamos las direcciones IP.

Vemos que se ha configurado correctamente, para asegurarnos de su total

Y de igual forma lo realizamos en sentido inverso.

• Ether1 seria la interfaz hacia la WAN con IP 192.168.1.107 4

PASO 6: CONFIGURACION DEL ROUTER

Aquí debemos hacer algunas configuraciones:

2. Comprobar la configuración de Local network y completarla (por ejemplo

3. Si lo deseamos, podemos establecer una contraseña de acceso5.

Si nos desplazamos a la pestaña IPs, en Addresses podemos ver las direcciones

Ahora vamos a realizar un paso importante, el enrutamiento. Dentro menú lateral de

Como vemos en la imagen ya hay 3 reglas configuradas, de estas reglas originalmente

Una vez configurada la opción de enmascaramiento, agregamos la regla y tendremos

El servidor ya hemos dicho previamente que se trata de un Ubuntu donde hemos

Apt-get install apache2

La misma configuración que hemos realizado en el router Front-End debemos

• Router Front-End / 2 Interfaces.

NOTA: He decidido dividir de esta forma la práctica por diversas razones. En

apt-get install fwbuilder

Una vez instalando lo ejecutamos fácilmente introduciendo el siguiente comando.

Se nos abrirá el asistente de creación de Firewall, aquí le daremos nombre al firewall,

Tras aceptar se nos abre la selección de plantillas, si seleccionamos la tercera plantilla

Este firewall tiene 3 interfaces:

• Eth0 da al exterior y está configurada de forma estática.

Eth1 la configuramos con la 10.0.0.1

Y Eth2 con la 20.0.0.1

Como vemos en la imagen, a la derecha de la estructura podemos ver todas las

Vamos a probar a instalar esta configuración.

Como solo tenemos una configuración la aplicamos directamente.

Se nos aplicarán las políticas de seguridad configuradas.

• Seguridad y Alta disponibilidad - RA-MA

También podría gustarte