Seguridad Mikrotik

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 27

DPTO.INFORMÁTICA - I.E.S.

LAS GALLETAS
MÓDULO PROYECTO
C.F.G.S.
ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS EN RED

PROYECTO SOBRE MIKROTIK

Autores:
Borja Jesús Casañas Rodríguez
Donato Francisco Liuzzi

Fecha: 14/04/2016

Tutor: Javier Massó Piorno

1
INDICE
FASE DE ANÁLISIS DEL PROYECTO........................................................................... Páginas 3-4.

ANTEPROYECTO.......................................................................................... Página 3

PLANIFICACIÓN MATERIAL......................................................................... Página 4

ALCANCE DEL PROYECTO Y PLANIFICACIÓN TEMPORAL............................ Página 4

FASE DE DISEÑO/DESARROLLO Y FASE DE IMPLATACIÓN Y DESPLIEGUE............... Páginas 5-28

CONFIGURACIÓN PARA QUE EL CLIENTE TENGA SALIDA A INTERNET....... Páginas 5-9

AMARRE IP/MAC POR ARP.......................................................................... Páginas 10-11

ASIGNAR UN ANCHO DE BANDA ESPECÍFICO.............................................. Páginas 12-13

WEBPROXY.................................................................................................. Páginas 13-15

WEBPROXY TRANSPARENTE........................................................... Página 16

LIBERAR LA VELOCIDAD DE WEB PROXY (FULL CACHÉ)................. Páginas 17-18

HOTSPOT (PORTAL CAUTIVO)..................................................................... Páginas 19-22

PESTAÑAS DE HOSTPOT................................................................. Páginas 22-25

ENVIAR MENSAJES HOTSPOT......................................................... Páginas 25-27

2
FASE DE ANALISIS DEL PROYECTO
ANTEPROYECTO
El proyecto consiste en utilizar un dispositivo Routerboard MikroTik para implementar
acciones de seguridad y alta disponibilidad. MikroTik es un Sistema Operativo y
Software que convierte a un Pc en un Router dedicado (es aquel que esta dedicado a la
tarea de enrutamiento). Lo primero que haremos será instalar el WinBox en el equipo
servidor, el cual es un software que se utiliza para acceder y realizar configuraciones
en el Routerboard Mikrotik. Una vez hemos realizado la instalación del WinBox
procedemos a realizar la configuración necesaria en el Mikrotik y en el equipo cliente
para que este tenga acceso a Internet. Ahora vamos a realizar un Amarre IP/MAC por
ARP, esto es una de las medidas de seguridad más básicas que puede ofrecer el
servidor MikroTik, y consiste en tener una lista de relaciones IP/MAC registradas
dentro del servidor; de esa manera, si un intruso con un IP, o MAC, o relación IP/MAC
distinto a los ya registrados intentara tener internet, no tendrá respuesta alguna ya
que no está en la lista de IP/MAC que registramos previamente. Por otra parte, vamos
a realizar un control de Ancho de Banda con el que vamos a asignar un Ancho de
Banda específico para cada cliente, para que estos no puedan sobrepasar el límite
establecido. Además vamos a realizar un WebProxy, que almacenará los elementos de
las páginas que nuestros clientes visitaron, así que cuando estas páginas se vuelvan a
visitar, dichos elementos saldrán de nuestro disco duro y no de Internet, ahorrando así
ancho de banda y mejorando la velocidad de navegación del cliente, ya que los
elementos saldrán del disco duro. Luego, con WebProxy podremos bloquear páginas y
redireccionarlas entre otras cosas. Además vamos a hacer un WebProxy Transparente
para obligar a los clientes a pasar por el WebProxy sin que estos se den cuenta y sin
tocar su navegador. También vamos a Liberar Velocidad de WebProxy (Full Caché) es
utilizado para poder acceder con mayor velocidad a las páginas que el usuario a
accedido anteriormente, ya que han sido almacenadas en el disco duro de nuestro
servidor, y por lo tanto, saldrán del disco duro y no de internet. Por último
configuraremos el Hotspot (Portal Cautivo) es un sistema que permite capturar el
tráfico http (web) de nuestros clientes y redireccionarlo a un Portal para fines de
autenticación. Una vez el clientes es autenticado, este puede acceder a todos los
servicios de internet con "normalidad".

3
PLANIFICACIÓN MATERIAL -> (EXPLICACIÓN DE LOS COMPONENTES
DE MIKROTIK Y MATERIAL NECESARIO).
En la siguiente imagen veremos porque está formado el RouterBoard RB450G y sus
características más importante:

*CPU: Atheros AR7161 680MHz

*Memoria: 256MB DDR SDRAM

*Flash: 64MB onboard NAND

*Ethernet: 5 puertos 10/100 Mbit/s Gigabit


Ethernet, Auto-MDI/X

*Alimentación por PoE: Solo en Ethernet 1,


compatible con IEEE802.3af: 12V a 28V DC.

*Alimentación por Jack: 9V-28V

*Licencia: Level 5

*Fuente recomendada: Fuente 12V 1A –


Switching

Material necesario:

 Routerboard MikroTik.
 Equipo Servidor con WinBox instalado.
 Equipo Cliente.

ALCANCE DEL PROYECTO Y PLANIFICACIÓN TEMPORAL

4
FASE DE DISENO/DESARROLLO Y FASE DE
IMPLATACION Y DESPLIEGUE
1. CONFIGURACIÓN PARA QUE EL CLIENTE TENGA SALIDA A INTERNET.
Lo primero que vamos a hacer es cambiarle el nombre a las interfaces para poder
identificarlas fácilmente. Vamos a INTERFACES y hacemos doble clic sobre la interfaz
que queremos cambiar el nombre.

Aquí tenemos las IPs que tenemos asignadas. Como vemos al router le tenemos
asignado la IP 192.168.88.1/24, para la interfaz LAN que sería la del cliente tenemos la
IP 192.168.100.1/24 y por último, para la interfaz WAN que es la salida a Internet le
asignamos la IP 172.16.0.216/24. Para realizar este paso es necesario ir a: IP 
ADDRESSES

5
Vamos a configurar las DNS la cual pondremos las de Google. Para ello vamos a IP 
DNS.

Ahora lo que vamos a configurar será el Gateway, para ello será necesario ir a IP 
ROUTES y luego hacer clic sobre el signo +, para a continuación agregar como
Gateway la IP del Router que nos proporciona internet

Nota: el resto son las interfaces que tenemos conectada al ROUTERBOARD MIKROTIK.

6
Ahora vamos a configurar NAT para habilitar el acceso a internet para todo el que
acceda por nuestra red LAN, para ello es necesario ir a IP  FIREWALL  NAT. Una
vez ahí debemos de dejar la opción “Chain” tal cual viene por defecto (srcnat), esta
opción significa que nuestro servidor interno puede conectarse con las redes
exteriores . También debemos de poner el rango de IP de nuestros clientes en la
opción Src. Address y por último, en la opción Out. Interface ponemos la interface que
nos da la salida a internet, en nuestro caso se llama WAN.

Ya como última configuración del NAT será necesario ir a la pestaña ACTION, donde
seleccionaremos la opción MASQUERADE, esta opción enmascara toda la red LAN,
permitiendo la salida a Internet.

7
Comprobamos que se ha creado la regla de NAT creada anteriormente.

Como último paso del equipo servidor, vamos a configurar la IP de dicho equipo, la
cual tendrá la siguiente configuración:

8
Del lado cliente, fue necesario configurar una IP dentro del rango de la interface LAN que
configuramos anteriormente:

Nota: como vemos el cliente ya tiene internet.

9
2. AMARRE IP/MAC por ARP.
Lo primero a realizar es mirar cual es la MAC del cliente, con dicha MAC realizaremos
el amarre de IP. Una vez que tenemos la MAC ponemos la IP que le queremos amarrar
al cliente, esto lo haremos en IP  ARP.

Ahora debemos de ir a IP  INTERFACES y seleccionar la interfaz de LAN para activar


la opción de ARP donde pondremos “reply-only”. Este paso es fundamental para poder
realizar el Amarre de IP/MAC.

Nota: El reply-only es para que una MAC responda solo a una dirección IP.

10
Del lado del Cliente vamos a comprobar que ha funcionado correctamente el amarre
de IP/MAC.

1) Si se conecta con la IP que tiene amarrada la MAC , entonces tendrá acceso a


Internet:

2) Si se conecta con una IP distinta a la que tiene amarrada la MAC , entonces no


tendrá acceso a Internet:

11
3. Asignar un ancho de banda especifico.
Para asignar un ancho de banda a un cliente es necesario que vayamos a QUEUES,
luego en la pestaña “Simple Queues” hacemos clic sobre +. Se nos abrirá la siguiente
ventana, en la cual agregaremos el nombre del cliente (NAME), luego su IP (Target
Address) y por último, especificaremos la velocidad máxima de subida y de descarga
en “Max. Limit”.

Aquí como vemos ya tenemos configurado el ancho de banda de nuestro cliente.

Nota: Los colores del icono del cliente cambiaran dependiendo del uso que le dé el cliente a su ancho de
banda asignado; entonces, si el cliente usa de un 0% a 50% de su ancho de banda, su regla estará de
color verde, si usa del 50% a 70%, se volverá de color amarillo, y si se sobrepasa del 70% se volverá de
color rojo.

12
Comprobamos las velocidades de subida y de bajada en el cliente.

4. WebProxy.
Para iniciar la configuración del WebProxy, vamos a: IP  Web Proxy  pestaña
ACCESS  botón Web Proxy Settings.

En la ventana que aparecerá iremos a la pestaña General.

Una vez allí, habilitamos el WebProxy dando clic en “Enabled”, en “Port” dejamos el
puerto por defecto que usa MikroTik (8080), para escuchar las peticiones al WebProxy.
En “Cache Administrator” dejamos la página de error que viene por defecto, la cual es
la que le aparecerá al cliente. Luego en “Max. Cache Size” colocaremos “none”, ya que
nuestro RouterBoard no nos permite almacenar ningún tipo de caché.

13
Con esto el WebProxy ya estaría configurado. Ahora vamos al navegador de nuestro
cliente para configurar el Servidor Proxy en la cual ponemos la puerta de enlace
(192.168.100.1) y el puerto (8080).

Una vez configurado el WebProxy, lo que haremos será agregar reglas de bloqueo y
redireccionamiento, para ello es necesario ir a la pestaña “Access” de WebProxy y
pulsar sobre “+” para agregar las reglas.

Nota: en la ventana de la izquierda tenemos bloqueado el acceso a las páginas cuyo PATH
incluya la palabra “sex”, y en la ventana de la derecha tenemos hecha una redirección de la
página “www.as.com” a la página “www.marca.com”.

14
Aquí vemos el bloqueo de la palabra “sex”:

En el caso del redireccionamiento fue imposible demostrarlo con capturas.

En IP  Web Proxy  Connections vemos las conexiones de la IP de nuestro cliente.

15
4.1. WebProxy Transparente.
Para esto nos vamos a IP  Firewall  pestaña NAT y agregamos una nueva regla
pulsando sobre “+”.

En la ventana que aparecerá iremos a la pestaña General.

Luego vamos a la pestaña Action.

Por último, vemos las reglas de NAT, donde tenemos la de redirección a WebProxy

16
4.2. Liberar la Velocidad de Web Proxy (Full Caché)
Una de las ventajas de utilizar el WebProxy es que podemos acelerar la velocidad de
navegación, para ello, vamos a configurar el “FULL Cache” en el servidor. Vamos
entonces a IP -> Firewall -> pestaña Mangle y añadimos una nueva regla en el “+”.
Veremos una ventana como en la imagen de abajo, e iremos a la pestaña General. En
la pestaña General vamos a poner Chain=Output, esta cadena especifica todo lo que
tenga como origen el mismo servidor (ya que el caché saldrá del mismo servidor
MikroTik).

Luego vamos a la pestaña Advanced. En la cual solo debemos de colocar el número 4


en DSCP (TOS), ya que ese es el valor que vino por defecto en la configuración de
WebProxy.

Ahora vamos a la pestaña Action. En la cual vamos a poner lo siguiente: Action=mark


packet, en el cual seleccionamos mark packet de la lista, ya que lo que haremos será
"marcar paquetes". New Packet Mark, aquí escribiremos el nombre con el que
identificaremos a nuestra marca de paquetes, en nuestro caso le colocamos el nombre

17
de "FULL-Cache". Y por último, quitaremos este check del Passthrough, y así
evitaremos que los paquetes marcados se vuelvan a marcar por cualquier otra regla
que este debajo de esta.

De esta manera ya tenemos marcados los paquetes que salieron del disco duro, el
paquete marca se llama "FULL-Cache" y ahora solo tenemos que utilizarla para liberar
este tráfico. Para eso vamos a Queue -> pestaña Queue Tree y añadimos una regla
en “+”. En la ventana que aparecerá vamos a la pestaña General. En la que
añadiremos lo siguiente: Name, aquí colocaremos un nombre para reconocer a la regla.
En Parent, seleccionaremos global-out, ya que según el packet flow, global-out es la
salida general de este sistema. En Packet Marks, elegiremos la marca que creamos
hace un paso atrás, en nuestro caso es "FULL-Cache". Por último, el Max-Limit, es un
opcional; si no colocamos ningún valor, entonces los elementos que hagan HIT saldrán
a una velocidad "ilimitada", donde el límite lo pondrá la propia infraestructura que
utilicemos.

18
5. HotSpot (Portal Cautivo).
Para comenzar con la configuración del HotSpot iremos a IP  Hotspot  pestaña
Servers  botón Hotspot Setup.

Una vez le hayamos dado clic sobre el botón Hotspot Setup se nos iniciará el asistente
de configuración automática, para así configurar "correctamente" nuestro Hotspot.

En la primera ventana debemos especificar la interfaz donde se configurará el Hotspot


server, elegiremos la tarjeta de red de los clientes, que en este caso es LAN.

Local Address of Network, aparecerá automáticamente la puerta de enlace de los


clientes, que en este caso es 192.168.100.1/24; estos datos los toma del IP de LAN que
especificamos en el paso anterior.

Nota: Masquerade Network, lo desmarcamos ya que tenemos el servidor funcionando, por lo


tanto, ya contamos con el enmascarado. Si lo activamos creará otro enmascarado, pero en este
caso será por rango de red.

Address Pool of Network, aparecerá un rango de IP's que serán asignados a los
clientes para que así obtengan un IP automáticamente. En este caso apareció un rango
ya definido, ya que al no tener un servidor DHCP funcionando, este paso activaría uno
obligatoriamente.

19
Select Certificate, de momento sólo vamos a elegir none, ya que no contamos con un
certificado SSL. Estos certificados son utilizados para validar una página web (como
nuestro portal cautivo) cuando se utiliza el protocolo.

IP Address of SMTP Server, lo dejamos tal cual viene: 0.0.0.0 ya que no contamos con
un servidor SMTP.

DNS Servers, si ya tuviéramos configurado el DNS Cache estos valores aparecerán


automáticamente, sino, pues lo tendremos que agregar manualmente.

20
DNS Name, aquí colocaremos un DNS para nuestra red de Hotspot; es decir, cuando
Hotspot ya esté funcionando y queramos abrir una página, este nos redireccionará al
portal cautivo para que nos autentiquemos con nuestro usuario y clave, ese portal
tendrá dirección http://login.DonatoBorja.net/ ya que ese es el DNS que escribimos;
en todo caso, si este valor se deja en blanco, Hotspot usará directamente la puerta de
enlace de los clientes, o sea, el
http://192.168.100.1/

Name of Local Hotspot User, por defecto, el nombre de usuario administrador para el
logueo en el Hotspot es "admin", aunque si lo queremos cambiar, podríamos hacerlo
pero no podemos olvidarnos de él, ya que es el nombre con el que nos autenticaremos
al Hotspot por primera vez.
Password for the User, el password de logueo, en este caso el password será test, lo
pueden cambiar por el gusten, pero al igual que la opción anterior, es necesario
recordarlo.

21
Una vez hecho esto comprobamos que nuestro Hotspot fue configurado
satisfactoriamente.

5.1. Pestañas de Hostpot.


Además de la pestaña Server que hemos configurado en el paso anterior, Hostpot
tiene otras pestañas las cuales vamoa a explicar:

Pestaña Active.

En IP  Hotspot  pestaña Active, veremos la relación de los cliente que se


autenticaron en Hotspot, ya sea escribiendo usuario y clave o autenticándose por
MAC.

22
Pestaña Hosts.

En IP  Hotspot  pestaña Hosts, veremos la relación de todos las dispositivos que


están conectadas a Hotspot, ya sea que estén autenticados o no, con o sin internet, e
incluso los usuarios bloqueados.

Nota: Veremos al lado izquierdo de cada cliente, una letra o una combinación de letras, estas
quieren decir.

A = Cliente Autenticado.
H = Cliente con IP obtenida por DHCP.
D = Cliente con IP fija o no obtuvo su IP por DHCP (del servidor).
P = Cliente Bypassed, que se le dió "tarjeta verde" para no pasar por hotspot, esto lo
veremos en IP -> Hotspot -> pestaña IP Bindings.
B = Bloqueado por User Profile o por su propio User, ya sea porque su Session Time se
ha acabado, porque fue bloqueado desde Advertise.

Debemos tener en cuenta que únicamente tendrán internet los clientes que tengan la letra A o
la letra P, ya sea que estén solas, o acompañados de otra letra.

Pestaña IP Bindings.

En IP  Hotspot  pestaña IP Bindings, aqui podemos configurar que un cliente no


necesite autenticación alguna, por ejemplo, supongamos que tenemos conectado un
aparato VoIP y como estos no pueden escribir usuario y password, sería conveniente
utilizar IP Bindings.

MAC Address, aquí colocaremos la MAC del dispositivo al que le daremos carta verde,
ya sea un PC, un VoIP, un PS3, etc. (Este paso puede ser opcional)

Address y To Address, colocaremos 2 veces la misma IP del cliente al que le daremos la


carta verde.

23
Type, elegiremos bypassed (hacer bypass al portal del hotspot).

Pestaña Walled Garden y Walled Garden IP List.

En IP  Hotspot  pestaña Walled Garden, ya sabemos que al tener portal cautivo,


todas las páginas que intentemos visitar serán redireccionadas al portal cautivo, pero
con Walled Garden podemos dar excepciones y asignar páginas permitidas para poder
navegar en ellas sin estar autenticados. Aquí sólo nos limitamos a http y https.

En IP  Hotspot  pestaña Walled Garden IP List, Es lo mismo que lo anterior, salvo


que aquí ya no trabajamos con http ó https, sino con directamente con IP's.

24
Pestaña Cookies.

En IP  Hotspot  pestaña Cookies, si la opción cookie está activada en Server


Profile, entonces veremos la lista de cookies generadas por todos los clientes
autenticados. Si quisieramos quitarle la autenticación a un cliente, tendríamos que
empezar borrando su cookie y luego sacarlo de IP  Hotspot  pestaña Active.

5.2. Enviar Mensajes Hotspot.


Para enviar mensajes a los clientes mediante Hotspot, vamos a ir a IP  Hotspot 
User Profile.

Una vez que estemos en User Profile vamos a crear un nuevo perfil en la pestaña
General:

Name, es el nombre del profile, en este caso es 'Notice':

Transparent Proxy, Activado, los mensajes necesitan sí o sí tener esta opción activada.

25
En el mismo profile hay que ir a la pestaña Advertise para proceder a configurar el
mensaje a enviar.

Hay que activar el check Advertise para que podamos empezar a configurar el
mensaje.

Advertise URL, la imagen muestra la ruta: http://www.ryohnosuke.net/varios/bill.html

Advertise Interval, esta opción es el intervalo de tiempo en el que serán mostrados los
mensajes. En el ejemplo los mensajes serán mostrados cada 20segundos.

Nota: Tener en cuenta que este intervalo empieza a funcionar cada vez que el cliente se
loguea.

Advertise Timeout, es el tiempo que se le da al cliente para que vea el mensaje antes
de cortarle el internet. En el ejemplo, está configurado a 00:01:00, eso quiere decir
que el cliente tiene 1 minuto para ver el mensaje, en caso contrario, se le cortará el
internet hasta que vea el mensaje.

Si nuestros usuarios se loguean con usuario y clave, entonces esto ya es bastante


conocido. Para cargar un profile a un usuario vamos a: IP  Hotspot  Users y
abrimos la regla del usuario al que se le quiere enviar el mensaje.

26
En la siguiente imagen veremos cómo se le ha cortado correctamente el acceso a
Internet al cliente:

27

También podría gustarte