Introducción al sistema operativo RouterOS Mikrotik

Slides:



Advertisements
Presentaciones similares
Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
Advertisements

Sistemas Peer-To-Peer La plataforma JXTA
Que es y su funcionamiento básico
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
Ruteo Dinámico Conexiones de red redundantes por falla y balanceo de cargas de flujo de trafico usando OSPF y BGP © Index 2005.
Conexiones VPN usando RouterOS
Introducción al sistema operativo RouterOS Mikrotik
Calidad de Servicio Quality of Service
Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta
Andrés Camino Rediamerica Telecom Guayaquil-Ecuador
Configuración del acceso a Internet en una red
Seminario vía Internet Configuración de Equipo de Voz sobre IP
DIRECT ACCESS.
Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento
SERVICIOS DE TCP/IP.
Trabajo de programas de simulación de redes
El Modelo OSI El modelo de interconexión de sistema abierto (OSI) es un conjunto de líneas directivas que describe el proceso que debería darse cuando.
Problemas asociados a DHCP. Seguridad.
Unidad 2 Arquitectura de los sistemas de comunicaciones
Redes I Unidad 5.
1. 2 Ruteadores Seriales Familia RCS 3 Solución versátil y compacta. Dirigido al mercado PYME. Proveen acceso de datos por puerto serial síncrono (V.35)
COP. HURTADO EDWIN COS. CACUANGO CESAR
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
Coordinador e Instructor de Academia Cisco
MODELO TCP/IP.
(VIRTUAL PRIVATE NETWORK)
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
Universidad Autónoma de Sinaloa L.I. José David Santana Alaniz
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
FIREWALL.
ELEMENTOS DE UNA RED ( Parte I)
Universidad Nacional de Jujuy – Cátedra de Comunicaciones – Arquitectura de Redes Modelo OSI (Open Systems Interconnect) Interface de Capa 6/7 Interface.
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
III. Protocolo RIP Versión 1.
VPN Red privada virtual.
Desarrolle los temas que se le piden, de la siguiente separata. Desarrolle los temas que se le piden, de la siguiente separata.. ¿Qué es un Firewall? Haga.
VPN - Red privada virtual
Existen dos tipos básicos de redes VPN:
Como Instalar Un Access Point
LISTAS DE CONTROL DE ACCESO (ACL)
66.69 Criptografía y Seguridad Informática FIREWALL.
Filtrado de paquetes y NAT. Aprendizajes esperados Contenidos: Filtrado de paquetes NAT.
MICROSOFT ISA SERVER PRESENTADO A: FABIO LASSO
Proxy Sistemas Operativos y Servicios de Internet U3. P RINCIPALES S ERVICIOS DE I NTERNET.
Enrutamiento IP. Enrutamiento IP El router como una computadora Describa la función básica de un router Son computadoras que se especializan en el.
ESCALABILIDAD DE DIRECCIONES IP Semestre 4 Capítulo 1
©2009 Sistemas TGR S.A. Reservados todos los derechos a Sistemas TGR y Endian firewall. Las anteriores son marcas comerciales o marcas registradas de sus.
DIDACTIFICACION DE IPv6 00. TEREDO. Introducción a IPv6 Mediante esta presentación, mostraremos el funcionamiento de Teredo en cuanto a dar conectividad.
Instituto Tecnológico Superior de Misantla.
Modelo TCP / IP Conjunto de protocolos. La sigla TCP/IP significa "Protocolo de control de transmisión/Protocolo de Internet" y se pronuncia "T-C-P-I-P".
Documentación de una red empresarial:
CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS
CAPA DE RED DEL MODELO OSI.
Configuración de enrutadores Cisco Dúber Pérez. Introducción Vertiginoso crecimiento de Internet Desarrollo de dispositivos de alta escala de integración.
CAPA DE RED PROTOCOLOS.
JUAN ANTONIO GARCIA ADRIAN RIOS HERNANDEZ
5.7 Servicios no orientados a conexión. 5.8 Ruteadores.
N A T Network Address Translation.
Redes virtuales.
Gabriel Montañés León.  El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo. Antes de considerar qué.
Ing. Elizabeth Guerrero V.
Protocolos de comunicación TCP/IP
Ing. Elizabeth Guerrero V.
LMI (interfaz de administración local)
PRACTICA 1: DISPOSITIVOS DE NIVEL 3
Tipos de Redes y sus Topologias. ¿Qué es una red? Una red es la unión de dos o más ordenadores de manera que sean capaces de compartir recursos, ficheros,
Iptables Introduccion Comandos Basicos Ejemplos.
UT7. SEGURIDAD PERIMETRAL
¿Qué es una red? Una red es la unión de dos o más ordenadores de manera que sean capaces de compartir recursos, ficheros, directorios, discos, programas,
66.69 Criptografía y Seguridad Informática FIREWALL.
Transcripción de la presentación:

Introducción al sistema operativo RouterOS Mikrotik RouterOS y MBR Introducción al sistema operativo RouterOS Mikrotik © Index 2005

Que es el RouterOS? El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalámbrico o cliente y mucho mas… El RouterOS puede hacer casi cualquier cosa que tenga que ver con tus necesidades de red, además de cierta funcionalidad como servidor. RouterBoard y RouterOS integrados en un solo producto: MBR. Una total solución de control de tu red, versatil, eficaz. © Index 2005

Estructura del RouterOS Basado en kernel de Linux. Integrado en MBR, adicionalmente puede ejecutarse desde discos IDE o módulos de memoria flash. Diseño modular. Módulos actualizables. Interfase grafica amigable. © Index 2005

Características de RouterOS Ruteo. Estático o dinámico (RIP, OSPF, BGP), políticas de enrutamiento basadas en caracteristicas del paquete. Bridging. Protocolo Spanning tree, interfaces múltiples bridge, firewall en el bridge (capa 2) Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. 500 conexiones de vpn sin necesidad de licenciamiento extra Web-proxy, Cache de DNS Gateway de HotSpot Lenguaje interno de scripts © Index 2005

Características del RouterOS Firewall integrado , configurable por cualquier caracteristica del paquete Filtrado de paquetes por: Origen, IP de destino Protocolos, puertos Contenidos (seguimiento de conexiones P2P) Puede detectar ataques de denegación de servicio (DoS) Permite solamente cierto numero de paquetes por periodo de tiempo Que pasa enseguida si el limite es desbordado o sobrepasado © Index 2005

Interfaces del MBR 3 Ethernet 10/100, Gigabit Interfaces virtuales: Bridge, VLANS, PPPoE, L2TP, PPTP, EoIP. Opcional en MBR: Inalámbrica (Atheros, Prism, CISCO/Aironet) modo AP, cliente, WDS Instalado en servidor: Síncronas: V35, T1, Frame Relay Asíncronas: Onboard serial, 8-port PCI ISDN xDSL VoIP (FXO, FXS) funcionalidad limitada de Gatekeeper. © Index 2005

Interfase bridge Interfaces Bridge son anadidas con el comando: [MikroTik] > /interface bridge add Puede haber mas de una interfase Bridge Tu puedes Cambiar el nombre de la interfase Bridge; Habilitar el STP (Spanning Tree Protocol) y configurarlo Activar los protocolos a pasar de un bridge a otro. © Index 2005

Puertos de Bridge Cada Interfase puede ser configurada para ser miembro de un bridge Interfaces inalámbricas en modo estación no pueden ser parte de un bridge. Prioridad y costo de path pueden ser ajustadas para su uso con STP © Index 2005

Enlaces VPN Internet Corporativo Oficina Regional Bodega MBR MBR Ruteador MBR RouterOS Bodega MBR © Index 2005

Tecnologías VPN PPTP con encriptación de 128bit MPPE L2TP IPsec Aplicaciones: Túneles permanentes entre ruteadores Concentrador de acceso PPTP para muchos clientes (estaciones de trabajo windows) y clientes mobiles (trabajo desde casa o viajando) © Index 2005

Túneles EoIP Protocolo propietario MikroTik. Encapsula frames de ethernet dentro de paquetes de IP protocolo 47. Interfase EoIP soporta todas las funcionalidades de cualquier interfase Ethernet. Túnel EoIP puede correr sobre cualquier conexión que soporte IP Numero máximo de túneles de EoIP es de 65535 © Index 2005

EoIP y “Bridging” Las Interfases EoIP puede ser “bridgeada” con cualquier otra interfase EoIP o Interfase Ethernet. Uso principal de túneles EoIP es para transparentemente hacer bridge de redes remotas. Protocolo EoIP no provee encriptación de datos, por tal manera debe correr sobre un túnel encriptado, ejemplo PPTP, L2TP o PPPoE, si es requerida seguridad. © Index 2005

Calidad de Servicio (QoS) Varios tipos de tipos de queue: RED, BFIFO, PFIFO, PCQ Sencillo de aplicar!! Queues mas complejos: Por protocolo, puerto, tipo de conexión, prioridad. Asignación de anchos de banda asegurados, por cualquier característica del paquete. © Index 2005

PCQ en Accion I Pcq-rate=128000 4 ‘usuarios’ 7 ‘usuarios’ 2 ‘usuarios’ queue=pcq-down max-limit=512k 128k 73k 73k 128k 73k 73k 128k 128k 73k 128k 128k 73k 73k © Index 2005

PCQ en Accion II Pcq-rate=0 7 ‘usuarios’ 2 ‘usuarios’ 1 ‘usuario’ 73k queue=pcq-down max-limit=512k 512k 256k 73k 73k 73k 73k 256k 73k 73k 73k © Index 2005

Herramientas de manejo de red RouterOS ofrece un buen numero de herramientas : Ping, traceroute Medidor de ancho de banda Contabilización de trafico SNMP Torch Sniffer de Paquetes © Index 2005

WinBox GUI WinBox es una interfase grafica muy amigable usada para configurar el equipo. winbox.exe es un pequeño programa que se ejecuta desde una estación de trabajo conectada al ruteador. Winbox usa el puerto TCP 8291 para conectarse al ruteador Comunicación entre el winbox y el ruteador esta encriptada © Index 2005

Actualizando el Router Ponga los archivos de las nuevas versiones en el router por medio de FTP usando modo binario de transmision y reinicie el router “/system reboot” Alternativamente puedes usar la instrucción “/system upgrade” para transferir los archivos desde un server FTP o desde otro ruteador si los tienes ahí. © Index 2005

Estructura de firewall © Index 2005

Principios del Firewall Las reglas de firewall están organizadas en cadenas (chains) Reglas en cadenas son procesadas en el orden que aparecen Si una regla la cumple un paquete, la accion especificada es tomada Si el paquete no cumple la regla , o hay una acción=passthrough, la siguiente regla es procesada La acción de default para la cadena es hecha después de haber alcanzado el fin de la cadena © Index 2005

Por default hay 3 cadenas incluidas: input – procesa paquetes que tienen como destino el ruteador output – procesa paquetes que son mandados por el mismo ruteador forward – procesa trafico que ‘pasa’ a través del ruteador Los usuarios pueden añadir sus propias cadenas de firewall y reglas a ellas Reglas en las cadenas añadidas por el usuario pueden ser procesadas usando la opción=jump desde la cadena del usuario a otra regla en otra cadena © Index 2005

Acciones de las reglas de Firewall Si una regla de firewall se cumple para un paquete, una de las siguientes acciones puede hacerse: passthrough – action es ejecutada y la siguiente regla es procesada accept – paquete es aceptado drop – paquete es ignorado reject – paquete es ignorado y se le manda un mensaje ICMP al que lo mando jump – paquete es mandado para su procesamiento a otra cadena return – paquete es retornado a la tabla previa , desde donde fue recibido © Index 2005

Ejemplo de cadena definida por el usuario /ip firewall rule virus add protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm" add protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm" add protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm" add protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm" © Index 2005

Filtrado de virus conocidos Paquetes iniciados por virus conocidos, pueden ser filtrados por reglas en alguna cadena definida por el usuario: /ip firewall rule virus add protocol=tcp dst-port=135-139 action=drop \ comment="Drop Blaster Worm" add protocol=udp dst-port=135-139 action=drop \ comment="Drop Messenger Worm" add protocol=tcp dst-port=445 action=drop \ add protocol=udp dst-port=445 action=drop \ comment="Drop Blaster Worm“ add protocol=tcp dst-port=4444 action=drop comment="Worm" add protocol=tcp dst-port=12345 action=drop comment="NetBus" © Index 2005

Jump a la cadena definida por el usuario Jump a la cadena definida por el usuario desde las cadenas input y forward despues de las primeras dos reglas: add connection-state=established \ comment="Established connections" add connection-state=related \ comment="Related connections" add action=jump jump-target=virus \ comment=“Checando por virus“ … © Index 2005

Marcado de paquetes Paquetes pueden cambiar sus parámetros iniciales, ejemplo, sus direcciones dentro del firewall, de la misma manera los paquetes pueden ser marcados para identificarlos después dentro del router © Index 2005

‘ Tracking’ de Conexiones Connection Tracking (CONNTRACK) es un sistema que crea una tabla de conexiones activas Un status es asignado para cada paquete: Invalid – paquete ya no forma parte de ninguna conexión conocida New – el paquete esta abriendo una nueva conexión Established – el paquete pertenece a una conexión establecida Related – el paquete crea una nueva conexión relativa a alguna conexion ya abierta El status no es necesario solamente para conexiones TCP. De cualquier manera ‘connection’ es considerada aquí como un intercambio de datos de dos vias Status es usado en los filtros de firewall CONNTRACK es usado para marcar los paquetes CONNTRACK es necesario para hacer NAT © Index 2005

Nat de origen SRC-NAT permite el cambio de dirección origen y puerto a la dirección local y puerto del ruteador (enmascaramiento), o algún otra dirección y puerto especificado Aplicación típica de SRC-NAT es esconder una red privada detrás de una o mas direcciones publicas La dirección origen trasladada debe pertenecer al ruteador, a menos que otras medidas sean tomadas para asegurar el uso de diferentes direcciones. © Index 2005

Ejemplo de SRC-NAT Especifique la dirección origen a ser enmascarada: /ip firewall src-nat add src-address=192.168.0.0/24 action=masquerade O, Especifique la interfase de salida, cuando enmascaramiento deba ser usado: add out-interface=Public action=masquerade © Index 2005

Laboratorio SRC-NAT Configura tu ruteador para enmascarar trafico originado desde tu red privada, cuando esta salga del ruteador por la interfase publica. Usa el diagrama como guía © Index 2005

DST-NAT DST-NAT permite cambiar la dirección y el puerto del receptor a alguna otra dirección y puerto conocido localmente por el ruteador o se llegue a el vía ruteo Típicamente usado para acceder servicios en una red privada desde direcciones publicas accediendo las direcciones publicas que enmascaran alguna red © Index 2005

Ejemplo de Destination NAT Redireccione el puerto TCP 2323 al puerto 23 del router: /ip firewall dst-nat add protocol=tcp dst-address=10.5.51/32:2323 action=redirect to-dst-port=23 O, haga NAT al puerto interno (23) del server: add protocol=tcp dst-address=10.5.51/32:2323 action=nat to-dst-port=23 to-dst-address= 192.168.0.250 © Index 2005

Laboratorio de DST-NAT Configura tu ruteador para trasladar paquetes con destino la ip publica y puerto 81 hacia la dirección interna y puerto 80 del servidor local use el diagrama como guía © Index 2005

Mas acerca de DST-NAT DST-NAT permite mandar datos a algún servidor a otro servidor y puerto. DST-NAT permite esconder varios servidores detrás de una dirección IP. Los servidores son seleccionados por puerto, o por algún otro parámetro, como origen del paquete, etc. © Index 2005

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.