UNIVERSIDAD BLAS PASCAL Ingenieria en Telecomunicaciones Proyecto de Trabajo Final de Carrera Implementacién de una red para la empresa Royal Tech Autores: Di Rienzo, Victor Pica, Gustavo Roche, Emilio Director: Gallopo, Jose Luis Asesor: Galleguillo, Juan Asesor metodolégico: Ing. Arguello - 2008 - email: vdirienzo@gmail.comIndice Introduccién ... Metodologi: Resultado y discusi Estudio bibliografico de Mikrotik RouterOS Caracteristicas principales... Caracteristicas de ruteo .. Caracteristicas del RouterOS. Calidad de servicio (QoS) Tipos de cola: Colas simples. Arboles de colas. Interfases del RouterOS . Herramientas de manejo de red . Estudio descriptivo de la empresa Royaltec Router CBA... Sub-red Administracién .. Sub-red Ventas. Sub-red Produccié Sub-red Hotspot Sub-red Servidores. Disefio de la implementacién virtualizada de la red. Instalacién de Mikrotik RouterOS Logueo al Mikrotik Backup y Restore de Configuracién .. Backup de la configuracién, Restore de la configuracién. Definicién y configuracién de interfases. terfases. Asignacién de nombres a la Definicién de Vians Asignacién de Direcciones IP’s a las interfases Definimos UPnP para las interfases: Configuracién Pools de Direcciones de I Definir DN 52 Nat Masquerade para todas las redes 53 Configuracién Servidor DHC! 54 Asignacién de direcciones de ip fijas a partir de direcciones MAC. 59 Configuracién Servidor - Cliente NTP: 61 Servidor NTP. Cliente NTP. Servidor y Cliente PPPOE ... 64 Configuracién Servidor PPPoE 64 Configuracién Cliente PPPOE: Servidor ~ Cliente PPTP . Configuracién Servidor PPTP: Configuracién Cliente PPTP .. email: vdirienzo@gmail.com 2Servidor Web Proxy. Bloqueo Pornografia Bloqueo paginas que brinden el servicio de Web Messenger Bloqueo del Live Messenger A Través del Proxy .. Bloqueo de paginas que brinden webmail. Bloqueo descarga directa de archivos MP3 y AVI. Bloqueo descarga directa de archivos RAR, ZIP, EXE... Bloqueo Archivos RAR Bloqueo Archivos ZIP. Bloqueo Archivos EXE Balanceo de carga Control de ancho de banda. 106 Asignaci6n de ancho de banda por sub red . 106 Traffic Shaping de (P2P), 109 Liberacin del ancho de banda fuera del horario de trabajo us Firewall . 119 Bloqueo de los P2P para redes de ventas y produccién 19 Bloqueo del cliente MSN Live Messenge 121 Redireccionamiento de puertos.. 125, Puerto 80 WEB 125 Puerto 110 POP3. 126 Puerto 25 SMT! 127 Puerto 1723 PPTP 128 Descartar conexiones invalida: 131 Aceptar conexiones establecida: 132 Acepta Trafico UDP. 133 Acepta icmp Limitado: 134 Descarta excesivos icmp 135 Descarta el resto de las conexiones externa 136 Configuracién Hot Spot... 138 Servidor de SNMP. 158 Configuraci6n Servidor SMNP .. 159 Servidor Radius 164 Configuracién Servidor Radius . Configuracién MySQL. 167 Configuracién dialup admin 168 Configuracién servidor - cliente Jabber 175, Servidor Jabber 175, Cliente Jabber... 176 Sniffing de Paquetes 183 Instalacién Ntop... 183 186 197 Bibliografia ... 198 email: vdirienzo@gmail.com 3Introduccion Hoy por hoy la realidad nos dice que las redes informaticas, se han vuelto indispensables, tanto para las personas como organizaciones. Les da oportunidad de interactuar con el resto del mundo, ya sea por motivos comerciales, personales 0 emergencias. La optimizacién en el uso de los sistemas informéticos es uno de los elementos de interaccién y desarrollo que rige los destinos de la ciencia informatica. Es por ello que la aparici6n de las plataformas de interconexién de equipos de computacién o redes informaticas. Las mismas resultan ser uno de los elementos tecnolégicos mis importantes al momento de definir un sistema informatico en una organizacién. Entre las principales las ventajas que le brinda a una empresa el uso de redes informaticas, podemos detallar algunas: compartir recursos especialmente informaci6n (datos), prover la confiabilidad, permite la disponibilidad de programas y equipos para cualquier usuario de la red que asi lo solicite sin importar la localizacién fisica del recurso y del usuario, Permite al usuario poder acceder a una misma informacién sin problemas Ilevindolo de un equipo a otro. También es una forma de reducir los costos operativos, compartiendo recursos de hardware y/o de software entre las diversas computadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Cérdoba, dicha empresa cuenta con tres areas, administracién, ventas y produccién. Ademas ‘cuenta con una oficina de ventas en la ciudad de Buenos Aires. En Ios iiltimos dos aftos 1a empresa crecié abruptamente, paso de tener 200 puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemas estructurales a nivel informatico. Entonces se decidié disefiar una nueva red informatica Ja cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red la empresa podré contar con dos proveedores de Internet simultineos, los cuales se distribuiran balaceadamente en el area de ventas. Esto es debido a la gran utilizacién {que se produce en esta sub-red del ancho de banda. Se utilizan dos proveedores distintos del servicio de Internet debiendo que en el caso que se caiga una de las conexiones, la ‘empresa siempre posea conectividad con el exterior. email: vdirienzo@gmail.com 4Dicha red informatica debera proveer servicio al total de la empresa con 600 puestos de trabajo distribuidos en sus tres areas y se debera crear una red virtual privada (VPN) para interconectar la oficina de ventas ubicada en la ciudad de Buenos Aires, con la oficina de ventas situada en la ciudad de Cérdoba. Brindandole una conexién mas rapida y segura, considerando aspectos econémicos y tecnolégicos. Enel presente trabajo se documenta la configuraci6n y puesta a punto de una red asi como la definicién de las politicas de seguridad de la red para un funcionamiento flexible y 6ptimo. Tras un analisis y estudio de las necesidades particulares de cada caso, se creara una red con cuatro sub-redes: LAN Administracién, LAN Ventas, LAN Produccién, LAN Servidores. Se utilizara un servidor DHCP para cada una de las sub-redes, con lo cual logramos asignar automaticamente las direcciones IP a cada uno de los puestos de los usuarios dentro de cada sub-red. Para la sub-red de servidores se les asigna una direccién IP dependiendo del nimero de MAC que tenga el servidor. Se creara servidor ntp y usuario ntp, para sineronizar la hora con todos los usuarios. También se creara un servidor PPTP; que es el servidor VPN con el cual se conecta la oficina de Ventas de Buenos Aires a nuestra red derivandola a la red del area de Ventas. Se configura un servidor SNMP. Dicho servidor nos muestra el estado de las interfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik Se aplicara politicas de control de ancho de banda, por sub-redes o por puesto de trabajo. El control de ancho de banda de los P2P sera aplicado a la red de administraci6n por politica de la empresa, También el filtrado total de los p2p sera aplicado a las redes del las areas de Ventas y Produccién Se bloqueara en los puesto de usuario el MSN Live Messenger y se crear un servidor llamado JABBER de mensajeria privada de la empresa. La instalacién de un Web Proxy, se utilizar para la optimizacién del ancho de banda utilizado en Internet y filtrado de paginas no aptas. Su funcionamiento consiste cen guardar en un disco fijo todas las paginas que se hayan visitado. A propésito para email: vdirienzo@gmail.com 5que cuando un nuevo usuario desee visitar una de las paginas ya guardadas. Entonces el servidor automiticamente le envia la pagina guardada del disco fijo y no la descarga desde la Web. Haciendo este proceso mucho més rapido y eficiente. Liberacién del ancho de banda fuera del horario de trabajo: Debido a que la idad de liberar el ancho de banda ‘empresa no trabaja las 24hs al dia, se dispuso la posibi para la red de Administraci6n, en un rango horario determinado. Para ello lo primero que debemos hacer es una nueva cola que la habilitaremos en los horarios de 20:00hs a 06:00hs. Dicha red se implementara con Mikrotik Routeros, el mismo es un sistema operativo y software del router; el cual convierte a una PC Intel 6 un Mikrotik RouterBOARD en un router dedicado. Se toma esta decisién ya que estos equipos brindan seguridad, flexibilidad y son muy econ6micos lo cual es un gran beneficio para la empresa, ya que la red es de un tamaiio considerable. En el presente trabajo se analizara la implementacién de una red simulada con Mikrotik en la empresa virtual Royal Tech email: vdirienzo@gmail.com 6Metodologia 1. 3. Estudio Exploratorio bibliografico sobre el manual de referencia de Mikrotik y normas internacionales. Se busco informaci6n en el manual de referencia, se tuvo en cuenta las normativas y reglamentaciones internacionales. Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de Analisis del entorno organizacional de Royaltech Se re disefio la red teniendo en cuenta. 2.2. Variables Las nuevas areas de la empresa © Cantidad de puestos de trabajos Interfaces a utilizar. © Redes Virtuales Privadas * Servidor de monitoreo SNMP * Servidor de autenticacién RADIUS * Servidor de mensajeria privada JABBER © Seguridad. © Modelado de colas de trafico. © Trafico cursado. Disefio de la implementacién virtualizada de la red, para la empresa Royal Tech utilizando mikrotil Los pasos y procedimientos para la implementacién del Mikrotik fueron: * _Instalacién Mikrotik © Acceso al Mikrotik email: vdirienzo@gmail.com* Declaracién de interfaces * Definicién Vian’s ‘* Asignacién de direccién ip por interfaces ‘* Asignacién de pools de direcciones ip’s © Configuracién servidor DHCP ‘© Instalacién del servidor y cliente NTP. * Servidor VPN © Balanceo de carga ‘© Control de ancho de banda ‘* Instalaci6n servidor SNMP ‘* _Instalaci6n servidor RADIUS Instalacién servidor JABBER ‘* Instalaci6n servidor PROXY © Configuracién Hotspot. email: vdirienzo@gmail.comResultado y discusioén Estudio bibliografico de Mikrotik RouterOS Dicha red se implementara con Mikrotik RouterOS que es el sistema operativo y software del router, el cual convierte a una PC Intel 6 un Mikrotik RouterBOARD en un router dedicado. Se toma esta decisi6n ya que estos equipos brindan seguridad, flexibilidad y son muy econémicos, lo cual es un gran beneficio para la empresa ya que la red es de un tamafio considerable El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalambrico, por lo tanto puede hacer casi cualquier cosa que tenga que ver con las necesidades de red, ademas de ciertas funcionalidad como servidor. El software RourterOS puede ejecutarse desde un disco IDE memoria tipo FLASH. Este dispositivo se conecta como un disco rigido comin y permite acceder a Jas avanzadas caracteristicas de este sistema operativo. Caracteristicas principales * El Sistema Operativo es basado en el Kernel de Linux y es muy estable. * Puede ejecutarse desde discos IDE 0 médulos de memoria flash. © Disefio modular © Médulos actualizables * Interfaz grafica amigable. Caracteristicas de ruteo * Politicas de enrutamiento. Ruteo estatico 0 dinamico, * Bridging, protocolo spanning tree, interfaces multiples bridge, firewall en el bridge. email: vdirienzo@gmail.com 9* Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. ‘© Cache: web-proxy, DNS. * Gateway de HotSpot. ‘© Lenguaje interno de scripts. Caracteristicas del RouterOS ‘© Filtrado de paquetes por: © Origen, IP de destino. * Protocolos, puertos. * Contenidos (seguimiento de conexiones P2P). ‘© Puede detectar ataques de denegacién de servicio (DoS) ‘* Permite solamente cierto nimero de paquetes por periodo de tiempo. Calidad de servicio (QoS) Tipos de colas « RED * BFIFO * PFIFO * PCQ Colas simples * Por origen/destino de red. © Direccién IP de cliente. © Interfase Arboles de colas * Por protocolo. * Por puerto. email: vdirienzo@gmail.com 10Por tipo de conexi6n, Interfases del RouterOS Ethernet 10/100/1000 Mbit. Inalambrica (Atheros, Prism, CISCO/Airones) Punto de acceso o modo estacién/cliente, WDS. ‘Sincronas: V35, El, Frame Relay. Asincronas: Onboard serial, 8-port PCI. ISDN xDSL Virtual LAN (VLAN) Herramientas de manejo de red Ping, traceroute. Medidor de ancho de banda. Contabilizacién de trafico ‘SNMP. Torch. Sniffer de paquetes. Estas son las principales caracteristicas del sistema operativo y software Mikrotik RouterOS elegido para la implementacién de la red virtualizada. email: vdirienzo@gmail.com ulEstudio descriptivo de la empresa Royaltech Después de haber hecho un anilisis exhaustivo de la estructura de Royaltech, se pudo diagramar la estructura de e6mo estaba conformada dicha empresa. Tenemos una sub-red de administracién, la cual, cuenta con un servidor de archivos que se utiliza para brindar dicho servicio a todas las otras redes. Esto acarrea el problema de que se genera demasiado trafico de datos hacia la red de Administracién, lo cual produce congestién y altas pedidas de paquetes. Por ende tenemos descontento del personal de la empresa al igual que ineficiencia de los mismos. Ademas posee una impresora en la red del tipo hogarefia para que impriman todas las otras sub-redes. Tener una sola impresora le trajo muchos inconvenientes a la empresa debido a que se generan colas interminables de documentos a imprimir. También, la impresora se rompe cotidianamente debido al exceso de carga. Otro inconveniente que se produce es el ingreso de personal ajeno al area de administracién. Esto genera lentitud a la hora de trabajar y perdida de tiempo de los empleados para ir a buscar sus documentos a la impresora en otra area. Rotura de mobiliario en la zona en cuestién al igual que la falta injustificada de insumos. Las sub-redes de Ventas y Produccién simplemente poseen pe’s conectadas a través de un switch. Todo este grupo de computadoras acceden al servidor de archivos al igual que la impresora a través del router principal. email: vdirienzo@gmail.com 12LAN RoyalTech Raise Mowomes El router en cuestién, no es un router de alta productividad, con Io cual se generan grandes problemas de congestidn, debido a que no puede administrar Ia gran cantidad y volumen de informacién que transita por la red. Los switch en cada una de las reas son idénticos. Ninguno posee Ia habilidad de poder admis strar sus puertos, al igual que estén imposibilitados de generar vlan o cualquier otro tipo de politica que se pueda generar en otro tipo de switch. Debido a esta disposicién de red y los constantes problemas técnicos que posee, al igual que la pedida de tiempo de los recursos humanos de tener que desplazarse hasta otro piso para buscar sus impresiones. Por eso la empresa decidié Ia reestructuracién de su red para optimizar y mejorar la produccién de la misma y sus recursos humanos. Luego de examinar dicha situacién se decidié planificar toda una reestructuracién de la red nueva. Lo cual solucionara los problemas de congestién al igual que proveeré mayor productividad. Lo cual traerd grandes beneficios. email: vdirienzo@gmail.com 13nee La nueva red planeada posee dos nuevas sub-redes, una un hotspot y la otra una sub-red de servidores. También en esta nueva reestructuracién se interconectara las oficinas de ventas que estin ubicadas en la ciudad de Buenos Aires con las oficinas de ventas en la ciudad de Cérdoba. Asimismo se opto por la utilizacién de dos proveedores de Internet distintos, debido a que constantemente poseian problemas de caida del servicio de ADSL. Se dejo a este ultimo como backup de las dos otras conexiones. Router CBA Nuestro router en las oficinas de Cérdoba esta basado en la plataforma Intel con dos placas de red que poseen 4 puertos Gigabit Ethernet cada una. El sistema operativo para la implementaci6n sera Mikrotik RouterOs. El router proveera de varios servicios para la red. En los cuales podemos encontrar Servidor DHCP, Firewall, Servidor PPPoE, Cliente PPPoE, Servidor PPTP Server, Modelado de colas, Cliente NTP, Servidor NTP, Web Proxy, Hotspot. El servidor DHCP, nos brindara las direccion de IP, Gateway, broadcast, dns para cada una de a las sub redes. email: vdirienzo@gmail.com 4El Firewall se utilizara para las siguientes actividades: ‘© Bloqueo del cliente MSN Live Messenger. ‘© Bloqueo P2P para redes Produccién y Ventas. * Redireccionamiento de puertos. © Puerto 80 WEB. © Puerto 110 POP3. © Puerto 25 SMTP. © Puerto 1723 PPTP. ‘© Descartar conexiones invalidas. © Aceptar conexiones establecidas. ‘© Acepta Trafico UDP. © Acepta paquetes de icmp Limitados. © Descarta excesivos paquetes de iemp © Descarta el resto de las conexiones externas El servidor PPTP, seré utilizado para interconectar las oficinas de Buenos Aires y Cordoba. El servidor PPPoE sera utilizado para autenticar a los usuarios que se deseen loguear desde fuera de la red de produccién. Elcliente PPPoE se utilizar en el caso improbable que las dos otras conexiones a Internet se caigan. Con lo cual se utilizara como ruta altemativa de backup. El modelado de colas se utilizar para asignarle un determinado ancho de banda acada una de las sub redes. Al igual se utilizara el modelado de colas para el control de ancho de banda para los clientes P2P El cliente NTP, se utilizar para sincronizar la hora de nuestro mikrotik. El servidor NTP se utilizara para que las computadoras de la red estén sincronizadas. email: vdirienzo@gmail.com 15El Web Proxy se utilizara para filtrar el contenido que los usuarios realicen al navegar a través de Internet. Para ello se aplicaran las siguientes politicas: © Bloqueo Pornografia Bloqueo paginas que brinden el servicio de Web Messenger Bloqueo del Live Messenger A Través del Proxy Bloqueo de paginas que brinden webmail Bloqueo descarga directa de archivos MP3 y AVI Bloqueo descarga directa de archivos RAR, ZIP, EXE Sub-red Administracion Red Administracion ma Impresora cero: 192168 2.4728 — Newort 19266 20, Pe Broadcast 192108 2.255 ‘Switch — ‘Administracion Pe s File Server Pool Adnstacen Rango: 192,168.25 192 1682.256 La nueva restructuracién de la sub-red de administracién se dio debido al alto trafico que tenian entre todas las otras redes. A esta sub-red se decidié cambiar el switch que poseia para utilizar un switch de alta productividad. email: vdirienzo@gmail.com 16Nuestra sub-red poser un pool de impresoras de red para esta sola Area. Esto disminuiré el trafico de impresién al igual que el trafico de personal ajeno a Administracién. Asimismo se le instalara un servidor de archivos propio de administracién en el cual se encontrar exclusivamente los archivos de dicha aréa. Los nimeros de ip, Gateway, Broadcast y dns, serén asignados por el router mikrotik mediante DHCP. El Rango de direcciones sera desde 192.168.2.5/24 al 192.168.2.254/24, Se decidié dejar las direcciones desde el 192.168.2.2/24 al 192.168.2.4/24 fuera de este rango para el caso de que se quieran instalar algin otro tipo de servidores en dicha area en un futuro préximo. Los nimeros. de ip asignados a los servidores seran asignado mediante la direccién mac de cada uno. La red de administracién sera conectada a través del switch al router mediante un backbone de 1Gbit Ethernet. El cual sera limitado mediante teoria de colas simples a 250M/bits de subida y 300M/bits de bajada. Debido a que dentro del area de administracién se encuentra gerencia, la misma autoriz6 la utilizacién de los P2P para dicha area. El trafico P2P sera modelado para que no ocupe gran cantidad de ancho de banda. email: vdirienzo@gmail.com 7Sub-red Ventas Red Ventas | ad Impresora Acero: 192168 3.4228 => Newort 19266 30. Fe Broadcast 192168 3.255 ‘Switch — Ventas Pe s Fle Server Pool vers Rango: 192,108.35 a 192 168.3.256 A esta sub-red se le decidié cambiar el switch que poseia para utilizar un switch de alta productividad. Nuestra sub-red poseerd un pool de impresoras de red para esta sola Area. Esto disminuiré el trafico de impresién al igual que el trafico de personal ajeno a Administraci6n. Asimismo se le instalaré un servidor de archivos propio de ventas en el cual se encontrara exclusivamente los archivos de dicha aréa. Los nimeros de ip, Gateway, Broadcast y dns, serén asignados por el router mikrotik mediante DHCP. El Rango de direcciones sera desde 192.168.3.5/24 al 192.168.3.254/24. Se decidié dejar las direcciones desde el 192.168.3.2/24 al 192.168.3.4/24 fuera de este rango para el caso de que se quieran instalar algin otro tipo email: vdirienzo@gmail.com 18de servidores en dicha area en un futuro proximo. Los nimeros de ip asignados a los servidores serin asignado mediante la direccién mac de cada uno. La red de ventas sera conectada a través del switch al router mediante un backbone de 1Gbit Ethernet. El cual sera limitado mediante teoria de colas simples a 400M/bits de subida y 300M/bits de bajada. Esta sub-red albergara también las pe’s de la oficina de Buenos Aires. Dicha oficina sera conectada a las oficinas de Cérdoba mediante una VPN. Se utilizar el protocolo PPTP para crear el tinel. El trifico de P2P quedara bloqueado absolutamente para esta sub-red. Ya que se prohibié el trafico p2p para esta area. VPN Buenos Aires - Cordoba ISP CBA Novos Router oe Red ‘ee = 5 bss BD, ross -_ * Ip: 200.45.3.10 . emer VPN -_— ‘CBA ry Fi = ISP CBA —_- 192.188.6224 Globalphone Router Bsas agi Ventas BsAs Para contra restar la carga hacia Internet desde esta red, se decidié realizar un balanceo de carga entre los dos proveedores de Internet. Lo cual traeré grandes email: vdirienzo@gmail.com 19beneficio ya que no desbordara uno solo de los enlaces. Sino todo el trafico generado sera balanceado entre ambas conexiones. Sub-red Produccion Red Produccién a, Impresora ig ‘Adaress: 19? 168-4 1/04 eal Network 192.7684.0 Pc Bronceast 192 18842-256 -_ —_ r Router Switch — CBA Produccién Pe a Po Flie Server Poo! Proguccisn Rago. 182.168.45 a 102 1684.25 A la sub-red de produccién se decidié cambiarle el switch que poseia para utilizar un switch de alta productividad, que nos brinde la posibilidad de administrar puertos. Nuestra sub-red poseera un pool de impresoras de red para esta sola area. Esto disminuira el trafico de impresién al igual que el trifico de personal ajeno a Administracién. Asimismo se le instalara un servidor de archivos propio de produccién en el cual se encontrara exclusivamente los archivos de dicha aréa. email: vdirienzo@gmail.com 20Los niimeros de ip, Gateway, Broadcast y dns, serin asignados por el router mikrotik mediante DHCP. El Rango de direcciones sera desde 192.168.4.5/24 al 192.168.4.254/24, Se decidié dejar las direcciones desde el 192.168.4.2/24 al 192.168.4.4/24 fuera de este rango para el caso de que se quieran instalar algin otro tipo de servidores en dicha area en un futuro préximo. Los nimeros_ de ip asignados a los servidores serdn asignado mediante la direccién mac de cada uno. La red de ventas sera conectada a través del switch al router mediante un backbone de IGbit Ethernet. El cual sera limitado mediante teoria de colas simples a 350M/bits de subida y 400M/bits de bajada, Esta sub-red poseera la posibilidad que usuarios que estén en otras areas de la ‘empresa, se puedan conectar a esta sub-red mediante PPPOE. El trafico de P2P quedard bloqueado absolutamente para esta sub-red. Ya que se prohibié el trafico p2p para esta area. Sub-red Hotspot Red Hotspot ‘nddross: 192 108.5.1124 Network: 192.1685 Broadcast 162,168.5 255 4 Aadeoss: 192.188.10.128 Networ 192 108 100 PDA Brondonst 192 168 10255 » Notebook Router J CBA Router Celular Hotspot . ‘Adrose: 192.108.5:924 GateWny 192.188.51 Netware 192.168.50 Broadcast 182.768 5255 Lsot0p Poot HorSp0t Rango:182,188.10.23 "92 168.10254 email: vdirienzo@gmail.com 21La red hot spot es una nueva red que se decidié implementar debido a que la empresa ahora posee un rea de recreacién, La misma red solo poseera la capacidad de navegar a través de Internet. Los nimeros de ip, Gateway, Broadcast y dns, serén asignados por el router mikrotik mediante DHCP. El Rango de direcciones sera desde 192.168.10.2/24 al 192.168.10.254/24. Para la proteccién de los datos en la seccién wireless se decidié asegurarlos mediante WPA PSK 0 WPA2 PSK. Esto nos dari fiabilidad y seguridad en los mismos. No obstante la seguridad WPAx que se desee implementar, todos los usuarios que se conecten al hotspot deberin ser autenticados mediante el servidor radius instalado en la granja de servidores. Sub-red Servidores Red Servidores Impresora Adcross: 192-188 1.1126 Z Network 192.186,10 Base de Broageast. 162.168.1255, Datos Rou ‘Switeh = aod SST ‘SNMP Server Mail File Radius Sever Server Server. Poot Swvisores Range: 192.1081" 2 182 168.1.256 email: vdirienzo@gmail.com 2A la sub-ted de Servidores se decidié cambiarle el switch que poseia para utilizar un switch de alta productividad, que nos brinde la posibilidad de administrar puertos. Nuestra sub-red poseera un pool de impresoras de red para esta sola Area. Esto disminuira el tréfico de impresién al igual que el trifico de personal ajeno a Administracién. Los nimeros de ip, Gateway, Broadcast y dns, serén asignados por el router mikrotik mediante DHCP. El Rango de direcciones sera desde 192.168.1.5/24 al 192.168.1.254/24. Los nimeros de ip asignados a los servidores seran asignado mediante la direccién mac de cada uno. Asimismo se le instalara un servidor de archivos propio de administracién en el cual se encontrara exclusivamente los archivos de dicha aréa. En esta sub-red se instalaré un servidor radius para la autenticacién de los usuarios que se conecten desde el hotspot. El servidor de correo de la empresa se encontrara dentro de esta sub-red. Este servidor se utilizara tanto para correo interno al igual que correo extemno. El servidor de SNMP se utilizara para la monitorizacién de la red. Disefio de la implementacion virtualizada de la red. Instalacion de Mikrotik RouterOS A continuacién vamos a mostrar paso por paso como se realiza la instalacién de Mikrotik sobre una plataforma x86. La plataforma cuenta con 2 placas de red pei que poseen 4 bocas de red gigabyte Ethernet. Utilizaremos 2 bocas para conectarnos a dos proveedores de Internet distintos y una tercera para conectamos a un proveedor de email: vdirienzo@gmail.com 23ADSL. El resto de las placas se utilizaran para la distribucién de nuestra red interna Utilizaremos la versi6n 2.9.27 Nivel 6 del software Mikrotik Router Os. Booteamos con un CD que contenga la imagen de! Mikrotik RouterOs ya quemada. Luego nos aparecera el meni de instalacién que nos preguntara que paquetes deseamos instalar. Para desplazarnos por el meni: utilizamos las tecla ‘P’ o “N’ 0 sino las flechas del teclado. Para seleccionar o deseleccionar los paquetes a instalar utilizamos la Barra Espaciadora, Luego presionamos la tecla I’ para comenzar la instalacién local en nuestra plataforma. Los paquetes seleccionados para nuestra configuracién son los siguientes Ss aS Oe a ee Car elect all with ‘a’, mininun with ‘n’. Press ‘i’ to install locally or Se Recerca meet sae to ct rameter iene race Go amet ntp rants reset Cree) amen eee ett routerboard ramet rey etait ees ern emer: [C1 wireless | Paes Peete ether! are enn eee esmeetaen eet ee * System: Paquete principal que posee los servicios basicos al igual que los drivers basicos. * Ppp: Prove de soporte para PPP, PPTP, L2TP, PPPoE e ISDN PPP. © Dhep: Servidor y cliente DHCP. * Hotspot: provee de un hot spot. © Hotspot-fix: Prove el parche para actualizar el modulo hot spot que tiene problemas en las versién 2.9.27. © Nip: Servidor y cliente NTP. email: vdirienzo@gmail.com 24© Routerboard: prove de las utilidades para el routerboard, ‘* Routing: Provee soporte para RIP, OSPF y BGP4. ‘© Rstp-bridge-test: prove soporte para Rapid Spanning Tree Protocol. © Sec yy: Provee soporte para IPSEC, SSH y conectividad segura con Winbox. ‘* Telephony: Provee soporte para H.323. ‘© Ups: provee soporte para UPS APC. ‘© User-manager: Servicio de usuario del RouterOs © Web-Proxy: Paquete para realizar un Web Proxy. ‘© wireless-legacy: Provee soporte para placas Cisco Aironet, Prismll, Atheros entre otras. Luego Ia instalaci6n nos pregunta si deseamos quedamos con Ia configuracion anterior, contestamos que no “N’. La siguiente pregunta hace referencia a que perderemos todos los datos que se encuentran en el disco fijo le contestamos que si Y’. eon ome meats stare ary (i ee err Ginette a) ‘A continuacién comienza el proceso de particionado y formateado del disco fijo que es automitico y no nos hace ningun tipo de preguntas. Luego nos dice que presionemos Enter” para que el sistema se reinicie. Seguidamente que se reinicia el sistema, nos pregunta si deseamos chequear la superficie del disco fijo le contestamos que si “Y”. Luego comienza Ia instalacién de los paquetes seleccionados con anterioridad. Al finalizar dicho proceso nos pide que presionemos “Enter” nuevamente para reiniciar el sistema. email: vdirienzo@gmail.com 25ferry fener) stale installed foennes fenee| renee ferns) feennee | ronnie installed fetes rent Geers Soe ed virele ry Poteet errno ahep- erin oa ace: rstp-bridge—te: eta reac err E nea resent Pera tet Pete eter feo eee I etme! Con el sistema reini iado e instalado, la consola nos pide el usuario y contrasei Por defecto dicho nombre de usuario es: admin y para la contrasefia se deja el casillero en blanco y se presiona enter. A continuacién nos da la bienvenida y nos pregunta si deseamos leer la licencia lo cual contestamos que si “Y~. oe faeces Zeer cco ra aul rien niente Hn cro ca es ren ret cad co eetaateees KK beaiiuatntas ra ee ita ian iran Ca Ta rr) Ce) Ton Me 7 tr ee an ee OCs Ly ee ea i ee et mca email: vdirienzo@gmail.com 26Luego de haber leido la licencia ya nos queda la consola para comenzar a configurar nuestro Mikrotik, mn ee ee cc eee ee a et ae mC tr ee ccc eT TRIN CMG Ue ie Reta a ns SES erent te ee ee me eee ST See ec mero eet ott emery installed on. Any software provided along with the SOF ae that is associated with a separate end-user License Agreenent kn Ce ec erm rec sae cared OFTUARE or SOFTUARE PRODUCT docs not include the software listed eae ee ee te ee ee Te hm ccc aire ist ete ar ae eee OC ea ee eck eT ea ee eee ae ee eed Se ec eee a a eee rests package and do not install or use the softuare, ae: eee ee eet eee ere ete aes luritten materials that are associated uith this progran to the place Logueo al Mikrotik Hay varias maneras para acceder a la administracién del Mikrotik sin haber configurado nada en un principio. La primera es directamente desde la cons la finalizada la instalacién, otro método es utilizando una consola Telnet a través del el puerto serie o Ethernet por mac © ip, sino mediante la utilizacién del software winbox, el cual lo brinda los desarrolladores de Mikrotik. Debido a la flexibilidad, rapidez y ventajas que presenta la utilizacién de winbox respecto a los otros métodos, éste seré la manera con la cual realizaremos la configuracién de la red. email: vdirienzo@gmail.com 27Desde una PC remota con Windows xp instalado. Conectados mediante un cable cruzado al Mikrotik al puerto Ethernet. Hacemos correr el soft Winbox, el cual nos brindara una ventana para loguearse al Mikrotik. Ginter eee) En esta ventana nos deja introducir las direcciones Mac o ip de la placa del Mikrotik a la cual estamos conectados. Debido a que no hemos configurado el Mikrotik desde la consola, Hacemos clic en (...) esto hard que el software nos devuelva las direceiones Mac de las interfases de red que posean un Mikrotik instalado y corriendo. Seleccionamos la interfase y luego utilizaremos de Login: admin y como Passwor (nada). Al finalizar esta carga de datos hacemos clic en Connect. Luego cuando el soft se conecta al Mikrotik autométicamente empieza a descargar los plugins instalados en el Mikrotik para poder administrarlos remotamente. Sirens Dowload pens ram 0903 FF 00 FE FB a Estimated tne left 2c TEA 62 kb of 1317 SDK cored Trerferale 25624 b/see email: vdirienzo@gmail.com 28Al finalizar la descarga de los plugins nos aparece la pantalla de configuracién del Mikrotik. En la cual a mano izquierda se encuentra el mena de configuracién de cada uno de los médulos instalados. Cait Make Supt Marna bt En la barra superior del software nos encontramos con la barra de herramienta. En la misma sobre mano izquierda posee las opciones de undo y redo, Sobre mano derecha podemos encontrar dos iconos, el primero muestra la utilizacién del Mikrotik y el segundo nos indica si Ia conexi6n que estamos realizando es segura 0 no. email: ydirienzo@gmail.com 29 Google cBackup y Restore de Configuracién Debido a los problemas que pueden producirse en los equipamientos, siempre es buena politica tener back up de todas las configuraciones de los sistemas. Ahora ‘mostraremos como se realizar un backup de la configuracién y como se recupera. Backup de la configuracién. Primero nos Dirigimos al meni FILES alli se nos abriré una ventana y nos mostrara los archivos que se encuentran almacenados. Debemos hacer clic sobre el botén de BACKUP para realizar nuestro backup. Ceres console-dunp it tile 46SE Aa/i4/2 hotspot Giectry OB Apviz2 hinfle 1ea3B Ag22 Ey erochin! hi fle 8968 Ap/iZ2 login hem hie SAB ApI22 logout hin! hie 1813B Ap/22 jradver hind hie 1481 Apri2v2 Bjediect hind i fle 3B ApN22 [B staus hind hile 2B Ap/22 mds isfie ZOKB Ap/Z/2 Bherers tat le ISB Apne Giecty 0B Apviz2 pig fle 4378 ApNZ2 tectry 0B Api2i2 13038 Awizew Luego de haber hecho clic nos aparece un nuevo archivo en la lista que poseiamos, que es nuestro backup de toda la configuracién del Mikrotik. email: vdirienzo@gmail.com 30- bee beckup Greco i fe rindie hin fe Bilogout htm! Jt file Biradvert him chien file B redirect html ‘hte file E\status html tht file Bimd5js js file Blenors.tat tat ile Bimg directory rafie drectoy 1 (Size Sabiendo que el almacenamiento puede fallar, siempre es bueno tener una copia de resguardo en otro sitio, Para ello debemos hacer lo siguiente. Seleccionamos el archivo de backup que deseamos y luego hacemos clic sobre el icono de COPY. Esto haré que nuestro archivo de configuracién quede almacenado en el porta papeles de Windows. A continuacién creamos una carpeta en el disco fijo de la PC y pegamos el archivo. Nos aparecera y ya tendremos el backup de nuestro archivo de configuracién en nuestra PC. Cee eee sues Ueto Ble Edt lew Favorkes Tools Help Goce - E~ BH Prseach (By raiders fap ‘Address |(63 C:\Documents and Settings\TATUBIAS|Desktop\Back ¥ | EE Go email: ydirienzo@gmail.com 31 GoogRestore de la configuracién. Si estamos recuperando el archivo de configuracién que esta dentro del Mikrotik. Simplemente debemos ir al mend FILES. En la ventana que nos aparece debemos seleccionar la versién del backup que deseamos recuperar y hacer clic sobre el botén de RESTORE. Caress console du bt 46698 Api/i4/2 | MiksoTik-14042008-2321. ba. 2E5KB _Apsla/2 SUE miko bes backup aa sie apiare Bhoispot recto 0B Apy/i2/2 B alogin ind hin file 32838 Apy/i2/2 hin file 8388 ApdIZ2 hin fle 33848 Ap/i2/2 Bilogout hint bi fle 18138 Api22 Bradvert him! fil file 1481 Bo Apr/t2/2. [Biredrect hint hin file 2138 Ap/t2/2 hi file 27758 Ap/i22 isfle 7.0KB Ap/12/2 i fle Ape diectoy Api/t2/2 logobotiom png pa fle Ap/t2/2. B55MB 82GB used _[99%hee Para el caso que el archivo de back up se encuentre en nuestro disco fijo. Seleccionamos el archivo de backup, luego hacemos clic con el botén derecho del mouse y seleccionamos copiar. Luego en el winbox, simplemente debemos ir al menit FILES. En la ventana que nos aparece, debemos hacerle clic en el icono de pegar y nos aparecerd nuestra nueva configuracién. A continuacién seleccionamos nuestra nueva con figuracién y apretamos el bot6n de restore. Se nos abriré una nueva ventana que nos aplicara la nueva configuracién y nos hara reiniciar nuestro Mikrotik. email: vdirienzo@gmail.com 32B) | Backup || Resto [-TRieNane Type Size Creation Tir ‘consol-dumo it tafe 46698 Ap/14/2 Apa ap1272 pii222 p/12/2 api272 Apa Apa/t2/2 apui272 Pa2/2 Apii2z apii2/2 Bing Grestoy OB Apsi22 ES legebattom png gle 43178 apii2/2 ov Giectoy 0B Apri2z) GAME B26 wed eRe Definicion y configuracién de interfases. Actualmente las placas de red estan funcionando pero les falta la configuracién basica para que se pueda acceder a ellas. Para esto deberemos asignarles los IP a cada una de las interfases. Asignacién de nombres a las interfases. Nos dirigimos al ment: y elegimos INTERFAS. S.A continuacién nos aparece la lista de interfases que posee nuestro sistema. Hacemos doble clicks sobre las interfases y les vamos cambiando el nombre asignandole los nombres correspondientes a cada una. En nuestro caso utilizaremos: * Globalphone, para nuestra conexién dedicada con IP fijo. * Movifonica para nuestra conexi6n dedicada con IP fijo con el otro proveedor. Ventas: Seré la interfase exclusiva de ventas. * Administracién: Seré la interfase exclusiva de Administracién, * Produccién: Sera la interfase exclusiva de Produccién. * Servers: Sera la interfase para la granja de servidores. email: vdirienzo@gmail.com 33© ADSL: Seré la interfase para conectarse al ADSL de Backup © Hotspot: sera la interfase que provera acceso a la red mediante el hotspot Eminent Peace ard MIU [TxFole ReRite TxPac_[Rs tomat YHOD Oto 81 face o tart 4500 Oboe 8 five m0 oboe ter EOD 178tipe 81 Mize tert 1500 0bpe 81 Hose Etre 10008: 1 ke Geren [Etre | Stas Tae Noe EET ‘yee ‘eet ww rao Tae Nac Adee (000028768840 Pas Cote Make Supt Mare bt Interfase: Movifonica © Pestaiia General: o Name: Movifonica o MTU: 1500 © ARP: Enable email: ydirienzo@gmail.com 34 Google taiuartissiowonieey Geert Eterm Stas Talo Neme: [IERIEREE ‘Type: Ethemet vrs MAC Addkess: [0000-29-76 8829 ‘ARP: [enabled I Gesbied —_lrnning lnk ok. Pestaiia Ethernet: * 100Mbps: Seleccionado * Auto negotiation: seleccionado * Full duplex: seleccionado. ‘Gereial Ethene |Siake| Tac, as (© 10Mbps @ 100Mbps 1Gbps | Auto Negotiation 1 FullDuplex [icbied running lnk ok email: vditi iLcom 35 Google cPestaiia Status: En esta ventana podemos ver el estatus la interfase actual. Piiteneee nee General Ethernet Status | Trafic ‘Auto Negotiation: incomplete Rate: [unknown OFulDuplex J i5ie4 running lnk ok Pestafia Traffic: 1, Vemos la grafica de kbps enviados y recibidos por dicha interfase. 2. Vemos la grafica de p/s enviados y recibidos por la interfase. Pieces |General Ethemet Status Traffic | ‘bps (BIT: 333 bps pls [IT 1 pis email: vdirienzo@gmail.com 36 Google cInterfase: ADSL © Pestaiia General: o Name:ADSL o MTU: 1500 © ARP: Enable Piittoeens General Ethemet Statue Traffic Nane:f Type: Ethernet wu: [1500 MAC Address: 00,00:28 78.8068 ARP. [enabled Interfase: Administracion © Pestaiia General: o Name: Adminitracion o MTU: 1500 o ARP: Enable Cites Genetal |Ethemet, Staue Talc Name: Type: Ethernet ru: 00 MAC Addkess: [0000-29-76 8843 ‘ARP: [enabled [ised running lnk ok email: ydirienzo@gmail.com 37 Google fInterfase: Globalphone © Pestaiia General: © Name: Globalphone o MTU: 1500 © ARP: Enable Piittmcnetnn: General Ethemet Statue Nene: [EESRIEE ‘Type: Ethemet ru: [1500 MAC Adkkess: [0000-2878 882F ARP: [enabled i Jissbied running [link ok Interfase: Hotspot * Pestaiia General: o Name: Hotspot o MTU: 1500 © ARP: Enable Cie Genetel |Ethemet Statue Trafic Neme: REESE Type: Ethernet ru: [1500 MAC Addkess: /00:00:28:76 8861 ‘ARP: [enabled [i 5ie4 running lnk ok email: vdirienzo@gmail.com 38 Google tInterfase: Ventas © Pestaiia General: o Name: Ventas o MTU: 1500 © ARP: Enable Pitan General Ethemet Statue Traffic Neme: [SESE ‘Type: Ethemet qu: [500 MAC Address: |00,00:28 78.80.25 ARP. [enabled Jissbied running [link ok Interfase: Produccion © Pestaiia General: o Name: Produccion o MTU: 1500 o ARP: Enable General |Ethemet Statue Trafic Name: [i Type: Etheinet tu: [F500 MAC Ades: /00:00:28:76 86-40 ‘ARP: [enabled [ised running lnk ok email: vdirienzo@gmail.com 39 GoogleDefinicién de Vians Debido a las caracteristicas departamentales de la empresa debemos realizar 3 vlans para separar las areas de: © Administracién * Ventas © Produccién Para configurar las vlans debemos ir al meni Interfases, se nos abrir la ventana de configuracién de interfases. Hacemos clic sobre el icono (+) y se nos desplegaré un ment elegimos la opcién Vian y entramos a la ventana de configuracién de las mismas. Vian Ventas * Pestaiia General: © Name: Vian_Ventas © Type: Vian © MTU: 1500 © MAC:00:0C29:76:88:25 © ARP: Enable © Vian ID:1 Interfase: Ventas email: vdirienzo@gmail.com 40Pine kee General Trafic Nene: SEUEEEE Type: [VLAN qu: [1500 MAC Addtess: [O0:00:23:76:88.25 : enabled shies (running Pestafia Traffic: * Ver la grafica de kbps enviados y recibidos por dicha vlan * Ver la grafica de p/s enviados y recibidos por la vlan eee General Tratfic iO pls Tx Op/e jcisabiec [running email: ydirienzo@gmail.com 41 Google cVian Administracién © Pestaiia General: Name: Vian_Administracion o Type: Vian o MTU: 1500 © MAC:00:0€29:76:88:25 o ARP: Enable o Vian ID:1 ©. Interfase: Admi oo0n 23768843 enabled | [Adninistacion | Vian Produccion © Pestaiia General: o Name: Vlan_Produccion Type: Vian o MTU: 1500 © MAC:00:0€29:76:88:25 o ARP: Enable o Vian ID:1 © Interfase: Produccion email: vdirienzo@gmail.comPiensa correer 000028768840 np. [enabled VLAN ID: fT Interface: Gesbied —_(rnning ieee MTU [Tafa |ReRte _[TePac. [Ree | @ADSL Ethemet 1800 0 bps Obps eAdministiacion Ethernet 1500 0 bps Obps @Vlan_Admi.. VLAN 1500 0 bps Obps ‘@rGlobalphone Ethernet 1500 0 bps Obps ‘@pHotspot Ethemet 1800 13.7 kbps 3.8 kbps {¢Movionica Ethernet 1500 0 bps Obps ‘fp Produccion 1500 0 bps Obps @Vlan Prod... VLAN 1800 0 bps Obps ep Servers: Ethemet 1500 O bps Obps qpVertas Ethernet 1500 0 bps Obps @Vlan_Ventas VLAN 1500 0 bps Obps Asignacién de Direcciones |P’s a las interfases Con los nombres asignados a las interfases, debemos asignarle el IP a las mismas. Para ello debemos ir al meni IP / Addresses. email: vdirienzo@ gmail.com 4B GooglePee Pree ees omens dace PISSED. 1SDTBSOD TSR TER2S Moth Ader: [EEA — Naw [TO9— Brondeat: 152.168 0.255 ater [Re Haciendo clic sobre el icono (+) nos abre una ventana que nos deja introducir los datos necesarios para nuestras interfases. Interfase Globalphone: © Address: 200.45.3.10/30 © Network 200.45.3.0 © Broadcast: 200.45.3.255 ‘* Interfase: Globalphone Eee edie: SEAT —— Network: ¥[200.45.3.8 Broadcast [200.4531 Interface: [Globalphone email: vdirienzo@gmail.com 44 GoogleInterfase Movofonica: Address: 200.45.4. 10/30, * Network: 200.45.4.0 © Broadcast: 200.45.4.255 © Interfase: Movifonica Cea nons Interfase Servers: © Address: 192.168.4.10/24 © Network: 192.168.4.0 © Broadcast: 192.168.4.255 © Interfase: Servers Pyne ‘teox (EERE — Network: [[182.168.1.0 Broadcast: [¥|192.168.1.255 Interface: [Severs = email: vdirienzo@gmail.com 45 Google cInterfase Administracion: © Address: 192.168.2.1/24 © Network: 192.168.2.0 © Broadcast: 192.168.2.255 Interfase: Administraci6n: Ciera ene Addess: [EAISERPAL Network fv [182 16820 Broadcast W182. 1682258 Intettace: [Rdminiekacion >| Interfase Ventas: © Address: 192.168.3.1/24 © Network: 192.168.3.0 © Broadcast: 192.168.3.255, «Interfase: Ventas Pei Adee: [ERENT — Network: [¥[18216830 Broadcast (7152 163.3255 Interface: [Ventas = email: vdirienzo@gmail.com 46 GoogleInterfase Produccin: © Address: 192.168.4.1/24 © Network: 192.168.4.0 © Broadcast: 192.168.4.255 Interfase: Produccién viet eee ‘Addkess: (EEIEEERIAD Nelwenk [#182 16840 Broadcast (¥[192 1684258 Intettace: [Preduccion =] Interfase Hot spot: © Address: 192.168.5.1/24 © Network: 192.168.5.0 * Broadcast: 192.168.5.255 Interfase: Hot spot Cee dion: EREERIET — Network: [¥ [192.1685.0 Broadcast (¥]1921835.225 Interface: [Hotspot = email: vdirienzo@ gmail.com 4a GoogleInterfase ADSL © Address: 192.168.0.1/24 © Network: 192.168.0.0 © Broadcast: 192.168.0.255 © Interfase: ADSL Peete neo Adtess: [TSO TEBOI726 Network: I] Broadcast (¥| oo TT =| fis. 168.00 fis. 168.0256 La configuracién final se ve de la siguiente manera: ep 1s2 801724 192.16800 “Broadcast #P192.168.1.1/24 192.168 1.0 192,168 1.255 F192168.21/24 — 192.168.2.0 192,168.2.255 $P192168.3.1/24 192 1683.0 192,168.3.255 $192, V2d 192.1884.0 192.188.4255 #P192168.5.1/24 192.168 5.0. 192.1685.255 20045.3.10/24 200.4530 200.45.3.255 sp 20045.4.10/24 — 200.45.4.0 20.45.4255 Definimos UPnP para las interfases: 192.168.0255 Ve En este segmento simplemente tenemos que definir cuales de nuestras interfases van a “mirar hacia Internet” y cuales van a estar dentro de nuestra red. Nosotros configuraremos a las conexiones como: email: vdirienzo@gmail.com 48© Ventas: Interna. © Administracién: Interna * Produccién: Interna © Servers: Interna © Hotspot: Interna © Movifoncia: Externa. * Globalphone: Externa. ADSL: Externa Para realizar dicha configuracién debemos ir en el meni a: JP / UNPnP. Hacemos clic sobre el icono (+) y asignamos a cada una de las interfases si es interna o externa, eee Tope TaRoie [ReRisie THF veri: tort YHOD Obps 15538 Spseree Evora 1500 Obpe 15338 gPiodecin —Ethamet DN AT sbNodonceADSL——Elherel NHID 78hipe 1553p pSiotahhone ter 1500 Obpe 19098 pierce Etre 100 0b: | 1SR3bpr [|= |v xe) | sours | ‘ietace ies ar Gibakhene vara ShoercoA0sL Sion SPokecn pond ‘Soren Fer Tee a = Catiode Make Sipe Menu Luego de haber asignado los tipos de interfase debemos configurar un ultimo detalle en settings. Le deseleccionamos la opcién “allow to disable External Interfase” email: ydirienzo@gmail.com 49 Google f_lintertace 9 ADSL 9 Admission @ Globsiphone 2 Hotspot 2 Moviorica 9 Produccion 2 Servers 9 Ventas Configuracién Pools de Direcciones de IP En una primera instancia hay que crear los pool's de ip’s que van a poseer los grupos de administracién, ventas y produccién y servers. Para ello Vamos al meni IP / POOL. Se nos abre la ventana de configuracién de pool y hacemos clic en el icono (+). En la nueva ventana creamos cada pool para cada una de los grupos. La configuracién de los mismos es: © Nombr © Rango de ip: 192.168.1.5 a 192.168.1254 ool Servers email: vdirienzo@gmail.com 50Preis Nome: (NGI Addesses: ['92 168 161921681. Next Poot [none =) © Nombre: Pool Ventas © Rango de ip: 192.168.2.5 a 192.168.2.254 eal Adiesses: [ISETOBI61SEIOBS & Newt Poot [none =] © Nombre: Pool Produccién © Rango de ip: 192.168.4.5 a 192.168.4.254 Pree s2T68 6191S = a email: vdiri icom 3 Google c* Nombre: Pool Administracin © Rango de ip: 192.168.2.5 a 192.168.2.254 Cero scuee ieee Nave Addesses: [TSLT68 261921682 Nest Poot [rene a Se ha elegido comenzar todos los rangos a partir del ip x.x.x.5 para reservar numeros de ip en el caso que se necesite instalar algi tipo de servidor en cada grupo. Pia Pools UsedAddessee + = [Name @ Pool Admmetracion Pool Produecion Pool Servers "FPoolVentas Definir DNS Thais 192.168.2.6-192 168.2254 {192 188.4.6192 168.4 258 92.168 16-192 1681.254 192.168.36-192 168.3258 Para definir los DNS simplemente hay que ir al menu IP / DNS. Se nos abre una ventana de configuracién. Hacemos clic en Settings y escribimos los dns del proveedor de Internet, email: vdirienzo@gmail.com 52Elmina Pinay vs: FEE Secon DNS: [aT 1 Al Pant Ret cate Sex [Ok cate ied [FF @ Los datos que ingresamos son: Primary DNS: 200.45.191.35 Secondary DNS: 200.45.191.40 Nat Masquerade para todas las redes Par realizar el nat transparente entre todas las redes debemos ir al ment IP/FIREWALL. Ahi en la nueva ventana nos dirigimos a la pestafia NAT hacemos clic sobre el icono (+). A continuacién aparece una ventana nueva de configuracién para politicas de NAT y la configuramos de la siguiente manera: Pestafia General: © Chan: srenat Geneial Advanced Extis Action Statistics OK Chain: (SET “z) | | Cancel Pestafia Action: email: vdirienzo@ gmail.com 53 Google* Action: masquerade General Advanced Extta Acton | Statics Ok Action: [masquerade a eae Aasly Configuracién Servidor DHCP A continuaci6n daremos de alta el servidor de DHCP en si. Para ello debemos ir al meni IP/ DHCP Server. Se nos abriré una ventana de configuracién de servidores dhcp. Hacemos clic en el icono (+) y creamos nuestros servidores de dhep para cada una de las areas ya mencionadas. Ventana de configuracién DHCP: En esta ventana iremos introduciendo todos los requisitos necesario para ir levantado Jos servidores de dhep. La configuracién para cada uno de los servidores dhep fue la siguiente: DHCP Produccién: * Nombre: DHCP Produccién © Interfase: Produccién * Address Pool: Pool Produccién email: vdirienzo@gmail.com 54fatter 2 delay Bootp Support I AGIARP For Leaves I Always Broadcast 1 Use RADIUS fated [ ~+| DHCP Administracién: * Nombre: DHCP Administraci6n Interfase: Administracién * Address Pool: Pool Administracién Cedar usa ates 2s delay Bootp Support I AddARP For Leaves Always Broadcast F Use RADIUS ef email: vdirienzo@gmail.com 55 GoogleDHCP Servers: * Nombre: DHCP Servers «Interfase: Servers * Address Pool: Pool Servers Ml DHCP Server Interface: Relay: Lease Time Adgeess Poot Ste. Address Delay Threshold Authortaive: DHCP Ventas: * Nombre: DHCP Ventas. «Interfase: Ventas. * Address Pool: Pool Ventas. Interface: Relay: Lease Tine Adéeess Poot Ste. Address: Delay Threshold Authoritative: Cancel Ay Disable Cony | Remove: | ate 2c delay =] [Vernae Cencel r Apeby 0000.00 = fPoaventas =] | Copy rp [Rev a [ater2s deley =] F Bootp Suppor email: vdirienzo@ gmail.com 56 Google cNo obstante los servidores de dhep estan configurados, necesitamos configurar las ‘redes’. Para ello en la ventana de DHCP Server hacemos clic en la pestafia ‘Network. Luego hacemos clic en el icono (+) y cargamos los datos de la red. Een ee Piet Pra eee Adéeos: MAT Gotewar ITRETERAT TOIT TaRIeSTT DTH Aisziesz0% sereaz1 ates] Nema Arszieo30e4 13216931 13210803) onsseners [SCTE — © po sez en doves rset 5 Dams: FP ‘wins Senes:| NP Senet | HCP Opt | Cate Make Supt Marea bt Configuracién: Red Servers: © Address: 192.168.1.0/24 © Gateway: 192.168.1.1 © Dns Server: 192.168.0.3 Addess: (EEE [ak Gateway: [192168171 Cancel Netmask: I ‘Apely ONS Servers: 20045191.95 fo onas1840 Sg. ony DNS Domaire IT | email: vdirienzo@gmail.com ST GoogleRed Administracion: © Address: 192.168.2.0/24 © Gateway: 192.168.2.1 © Dns Server: 192.168.0.3 Im DIICP Network «192,166.2.0/24> ‘Aedes: [ET — Gotomay. 17[152. 168.21 oe ONS Severs: ROOTS fm = DNS Domain: | WINS Servers: NIP Servers: DHCP Options: Red Ventas: © Address: 192.168.3.0/24 © Gateway: 192.168.3.1 © Dns Server: 192.168.0.3 [eae eRe ees Gatonay [isa 68a Netmask: DNS Servers: [20045181 35 2004519140 DNS Domain: I WINS Servers: NIP Servers: DHCP Options: email: vdirienzo@ gmail.com 58 GoogleRed Produccién: © Address: 192.168.4.0/24 © Gateway: 192.168.4.1 © Dns Server: 192.168.0.3 Piece tyne ecal Whisoteaa7 i 20085 151.35 foams = DNS Domain: | WINS Servers: NIP Servers: DHCP Options: Asignacién de direcciones de ip fijas a partir de direcciones MAC. Debemos asignarle ip fijo a nuestros servidores para que sea mas simple nuestra configuracién del sistema. Para ello la asignacién de ip fijo la hacemos mediante el servidor de dhep, asignando una direccién de ip fija a una Mac. Los pasos de configuracién son los siguientes. Nos dirigimos al mena IP / DHCP Server. En la ventana que nos aparece hacemos clic en la pestafia LEASES. En ‘mencionada pestaita hacemos clic en el icono (+). La configuracién de la ventanuela es: Server de snmp, jabber: © Address: 192.168.1.2 © MAC Address: 00:0€:29:64:45:9E (MAC del servidor snmp, jabber) ©. Servers: all email: vdirienzo@gmail.com 59Genetal Active ok. Addess: [IERIE = Cancel MAC Adstess:F [0000-29 64 4596 Apply T UseSte MACAdess | Client 1D: | Comment Sewer [al 3] Copy Lease Tine: aoe © Server RADIUS: o Address: 192.168.1.3 © MAC Address: 00:0C:29:C6:59:DA (MAC del servidor) © Servers: all Genel (Acti Ades: S016873 >] NAC Addess: [ODOCTSCEERDA I Use Ste. MAC Address Client bs | Sever: [Dhen Servers =] Lease Tine: Luego para que esta asignacién quede estatica debemos hacer clic en el bot6n de MAKE STATIC. De la pestaiia LEASES. Options Alerts Wake Sac || heck Stas 60 email: vdirienzo@ gmail.com GoogleConfiguracién Servidor - Cliente NTP: Debido a que utilizaremos politicas referen das a tiempo debemos ser precisos con el mismo. Para ello debemos instalar un cliente en nuestro Mikrotik para tener la hora precisa y un servidor para brindarles dicha hora a los clientes. Consecuentemente debemos seguir los siguientes pasos. Servidor NTP Para el servidor nos dirigimos al mena SYSTEM / NIP SERVER. En la nueva ventana Seleccionamos solamente la opcién MANYCAST y hacemos clic en el botén de ENABLE Cue Ahora Con esta configuracién del servidor podemos hacer que todas las computadoras de la red estén sincronizadas con nuestro servidor de tiempo. Cliente NTP Para configurar nuestro cliente NTP, para que nos sincronice nuestra hora del Mikrotik conjuntamente con la de un reloj nuclear. Debemos ir al ment SYSTEM / NTP CLIENT. Se nos abrir la ventana de configuracién del cliente NTP y le asignamos los calores siguientes: * Mode: Unicast © Primary NTP Server: 129.6.15.28 * Secondary NTP Server: 129.6.15.29 email: vdirienzo@gmail.com 61Luego hacemos clic en ENABLE. Dichos servidores son: + time-anist.gov 129.6.15.28 NIST, Gaithersburg, Maryland © time-b.nist.gov 129.6.15.29 NIST, Gaithersburg, Maryland Prien ee ST -] Primay NTP Server [129615 28 Seconday NTP Server: [1286.15.23 A continuacién nos dirigimos al mena SYSTEM / CLOCK. En la nueva ventana le cargamos los datos de fecha, hora, y uso horario. Para nuestro caso los mismos son: © Date: Apr/04/2008 © Time: 16:17:00 * Time Zone: 00 Utilizamos -03:00 para la Time Zone ya que nosotros en Cordoba tenemos ese uso horario que es el mismo de Buenos Aires respecto a Greenwich. email: vdirienzo@gmail.com 62Tine 05T Date: RARE Time: [21-2805 F300 ODST Active. En la pestafta DST, configuraremos cambios del uso horario por ejemplo: en el horario de verano que tenemos 1 hora de diferencia. Par ello hacemos clic en DST. Los datos que utilizaremos como ejemplo son los siguientes: DST Delta: +:01:00 © DST Start: Dec/01/2007 DST Start Time: 00:00:00 * DST End: Mar/16/2008 © DST End Time:00:00:00 Tine DST | DST Deh: DST Stat [Dee70172007 DST Stat Tine: [00:00:00 DST End. [Mer716/2008 DST End Time: [000000 Habilitando esta opcién nos ahorramos todos los inconvenientes de cambiar los horarios de todas las politicas que se hayan generado. email: vdirienzo@gmail.com 63Servidor y Cliente PPPoE Configuracién Servidor PPPoE Debido a que la sub red de produccién se podra acceder desde otras subredes de ite una conexién la empresa se decidi6 por cuestiones de seguridad acceder m PPPoE. Debemos habilitarle el servidor de PPPoE. Para ello nos dirigimos al menu PPP. Se nos abre la ventana de configuracién de PPP. Luego nos dirigimos a la pestaiia Profiles. Ahi hacemos clic en el icono (+) para generar el perfil de usuario que necesitamos. A continuacién se nos abre una ventana y la llenamos con los siguientes datos: * Name: PPPoE_Produccion * Local Address: Pool_Produccion * Remote Address: Pool_Produccion Luego toda la otra informacién la dejamos por defecto. General Links ‘Ok Localéddess: [Pool Produccion +] = | | Apply Remote Addiess: [Pool Produccion _v] @ = Incoming Fiter: | - el ‘Dutgoing Fite: | bee i eure DNS Server | * ‘A Continuacién nos dirigimos nuevamente al meni PPP y en la ventana que se abrié nos dirigimos a la pestafia Secrets. Ahi hacemos clic en el icono (+) y email: vdirienzo@gmail.com 64generaremos nuestro usuario. Para ello Menaremos la ventana con Ia siguiente informacién: ‘© Name: Usuario_Produceion * Password: Usuario_Produccion ‘© Service: pppoe * Profile PPPoE_Produccion Cee Name: [usuario_produccion Password: [¥ [usuano_produccior| Service: [ppp0 Caler 1D: (| Profile: Local Address: | Reemote Address: Routes: [| Limit Bytes ine | Limit Bytes Out: | fested Nos dirigimos nuevamente al menu PPP. En la ventana nueva hacemos clic sobre el bot6n PPPoE Server. En la nueva ventana que se nos abre configuraremos el nuevo servidor de PPPoE. Para ello debemos hacer clic en el bot6n (+). La configuracién del mismo sera: © Service Name: PPPoE Server Interfase: Hotspot * Max MUT: 1488 © Min MUT: 1488 © Keep Alive time out: 10 email: vdirienzo@gmail.com 65‘© Default Profile: PPPoE_Produccion ‘* Autenticaciones: PAP, chap mschap! y mschap2 Pee evan Seve Nene [ESE Ineece: [Haspat a Max MTU: [1488 Mex MAU: [FAB Keepatve Timeout: [10 Delaut Prof: [PPPCE_Produccion =] IM One Session Per Host MaxSessions: [SS Authentication pap FF mochapt Configuracion Cliente PPPoE: Para configurar la conexi6n a Internet mediante el ADSL debemos generar la conexién con el proveedor, para ello debemos ir al menti y seleccionar PPP. Se nos abre una ventana y debemos presionar en el (+) y elegir PPPoE: Client. Para configurar la conexién de ADSL seguimos los siguientes pasos. En la pestaita General: ‘© Introducimos el nombre de la conexién “Ciudanet” © Max MTU:1480 Max MRU: 1480 © Seleccionamos la interfase por donde queremos realizar la conexién de Adel “ADSL”. email: vdirienzo@gmail.com 66General DiaiOut Status Traffic OK Nome: [Gadanet Cancel Type: [PPPOE out ‘cy Mae MTU: [7480 Disab Max MAU: [1480 Saat ‘neioce: SMMC ~] | | Com _| Remove En la pestafia Dial Out: * User: royaltech @ciudanet-cordoba-apb * Password: royaltech © Profile: Default * Add default Route * PAP, chap, Mschap, mschap2: (seleccionados) Ml Interface Joyaltech@ciudanet-cordobs- abel I royatech [defaur a I DialOn Demand I AddDefaut Route F Use Peer ONS chap (unring __ [disconnected email: ydirienzo@gmail.com 67 Google tEn la pestafia Status Podemos: Ver el tiempo activo de la conexién ‘Ver el tiempo que estuvo inactivo la conexién * Eltipo de codificacién © Tamafio MTU © Tamafio MRU * El nombre del servicio * EIAC Name * AC MAC Address Ciceeemin General DislOut Status | Trafic Uptine: | le Tine on0000 Encodes | MTU: | RU: | Service Name: | ‘AC Name: | ACMAC Adchess: | fanning En la pestafia Traffic podemos: * Ver la grafica que los bps enviados y recibidos. * Ver la grafica de p/s enviados y recibidos. email: vdirienzo@gmail.com 68ieee General DiaiOut Status Tatfic ‘unning _|diaing.. Servidor - Cliente PPTP Configuracién Servidor PPTP: Debido a que tenemos oficinas de ventas fuera de c6rdoba, surgié la necesidad de realizar una VPN entre Buenos Aires y Cérdoba. Para ello se necesita configurar el servidor de PPTP en la ciudad de Cérdoba. Los pasos para dicha con figuracién son: Debemos ir al mena PPP, se nos abriré la ventana de configuracién de conexiones PPPx. Luego hacemos clic en la pestafia PROFILES. A continuacién hacemos clic en icono (+). Con la nueva ventana de profiles abierta la configuramos de la siguiente manera: Name: Profile_VPN Local Address: Pool_Ventas Remote Address: Pool_Ventas Use compresién: Default Use Vj Compression: Default User Encryption: Yes Change TCP MMS: Yes email: vdirienzo@gmail.com 69[Peper eae ae LocalAddess: [Pool Ventas Remote Address: [Pool_Ventas Incoming Fite: ‘Dutgoing Fite: DNS Serve: WINS Server: Use Compression © default C no C yes — Use WI Compression — © detaut C no C yes - Use Encryption © default Cone yee Change TCP MSS © default Coro yes Con el profile ya generado para VPN debemos crear el usuario que utilizara dicho profile. Para ello vamos al meni PPP, hacemos clic en la pestafia SECRESTS. Hacemos clic sobre el icono (+) y en la nueva ventana la configuramos de la siguiente manera: © Name: vpn Password: vpn * Service: pptp * Profile: Profile_VPN email: vdirienzo@gmail.com 70Peon Local Addiess: Remote Address: Routes: | Lint Bytes irc I~} Lima Bytes Out | Finalmente debemos dar de alta el servidor de PPTP. Para ello nos dirigimos al meni PPP, en Ia pestafia Interfases hacemos clic sobre el botén PPTP Server. En la nueva ventana la configuramos de la manera siguiente: © Enable (seleccionado) Max MTU: 1460 © Max MRU: 1460 © Keepalive Timeout:30 ‘* Default Profile: Profile_VPN ‘© Mschap y mschap2 (seleccionados) Pr Enabled Max MTU: [1460 Max MAU: [1460 Keepalive Timeout: [30 Profle_VPN 1% mechapt 1% mschap2 email: vdirienzo@gmail.com 1Configuracién Cliente PPTP Utilizaremos la conexién de vpn de Windows Xp para el ejemplo. En el escritorio de Windows nos dirigimos a INICIO / PANEL DE CONTROL / CONEXIONES DE RED. Creamos una conexién nueva siguiendo los préximos pasos. Hacemos clic en siguiente Welcome to the New Connection Wizard This vieard helps you * Connect tothe Intemet. * Connect to 8 pivate network, such 2s your woikplace rework, * Setup a home or small ofice network To continue, click Nev email: vdirienzo@gmail.com 2Seleccionamos Connect to the network at my place Remetneeumureene! Network Connection Type ‘What do you want to do? © Connect to the Internet Connect tothe Intemet so you can browse the Web and read emai © Connect to the network at my workplace Connect o a business network (using dakup or VPN] 0 you can werk fom home, ‘field tice, anathe acaen © Set up a home or small office network Connect to an existing home or smal ofice network of set up 2 new one O Set up an advanced connection Connect directly to another computer using your serial. pale. rinftred port. of setup this Computer so that other computers can connect to Seleccionamos Virtual Private Network Connection How do you vant to connect tothe network at your werkplace? Create the flowing connection: ODiatup connection Connect using a modem and a regular phone ine or an Inlegrated Services Digtal Network (ISDN) phone line. Virtual Private Network connection Connect tothe netwok sing vidual vet netwak VPN) connection over the Intemet email: vdirienzo@gmail.com 73Escribimos el nombre de la conexién: Royaltech Mien Specily a name for this connection to your workplace, Type a name for this connection in the folowing bor. Company Name RoyaltecH Fes example, yu coud te the name of ox woigtace or he name of a server you connect to. Seleccionamos que no nos disque una conexién inicial. Para el caso de que utilicemos el ip fijo en nuestras oficinas en Buenos Aires. Luego clic en Siguiente Public Network ‘Windows can make sue the pubic network is connected fist ‘Windows can automatically cal te irtal connection tothe Intemet or other public network, before establishing the vitual connection. © Do not ia the intial connection (© Automaticaly di this tial connection: email: vdirienzo@gmail.com 74Finalmente escribimos la direccién web de nuestro servidor. ‘© Address: royaltech.com.ar VPN Server Selection ‘Whats the name ot adress ofthe VPN server? Type the host name ot Interet Prctocel IP] addiess ofthe computer to which you are connecting, Host name or IP address (for example, microsoft com of 157.54.0:1 soyaltech.com.at A continuacién hay que configurar el tipo de autenticacién que vamos a utilizar para ello nos paramos sobre la conexién Royaltech, la abrimos. A la ventana la configuramos de la siguiente manera: * Nombre de usuario: victor © Contrasefia: victor * Guardar nombre de usuario y contraseiia (seleccionado) email: vdirienzo@gmail.com 15iene [To change the saved passmord clck hese) [7] Save this user name and parsword forthe folowing wets QMe ony CO Arwone who uses tis computer Luego hacemos clic en propiedades. Cm ea Host name or IP address of destination (such as microsoft com oF 187.5401} Fist connect \Windows can fist connect the public network, such as the Internet, before tying to establish ths vatual connection. T1Dial another connection fst: Show icon in notification area when connected email: vdirienzo@gmail.com 76Hacemos clic en la pestaiia Seguridad. © vpn Properti | Generalll Options [ Security [Networking || Advanced] Secuiy options ‘© Typical recommended settings) {Sadar me deo 3 sows Aaomaticaby use ay Windows logon nase and Daveword fod deans fy Feequee dats srerypon Idconnect if none) ‘@ Advanced (custom settings) Using these settings requres a knowledge of securiy protocol. Settings IPSec Settings Seleccionamos Avanzado y luego clic en Settings. En nuestra ventana de configuracién avanzada de seguridad la seteamos de la siguiente manera: * Allow this Protocols: Seleccionado * Uncrypted Password: Deseleccionado * Shiva Autenticacién Password Protocol : Deseleccionado * Chalenge handshake authentication protocol: Deseleccionado * Microsoft CHAP : Seleccionado © Microsoft CHAP Versin 2 : Seleccionado Luego hacemos clic en OK email: vdirienzo@gmail.com 1Advanced Security Setti Data encryption. Logon secutity Use Estensble Authentication Protocol (EAP) © Allow these protocols [1Uneneypted password (PAP) Shiva Password Authentication Protocol (SPAP) [Challenge Handshake Authentication Protocol (CHAP) croeeft CHAP (MS-CHAP) [Cll older MS-CHAP version for Windows 95 servers [2Mictosott CHAP Version 2(MS-CHAP v2} [ClFer MS-CHAP based protocols, automaticaly use my ‘Windows logon name and patsword fand doman i 29) Luego hacemos clic en la pestafia Networking y Editamos las propiedades de Internet Protocol (TCP/IP) Naworking {a5 Packet Schediier Fle and Pinter Shing fo Microsoft Networks 18 Vituel Machine Network Services ABS vitware Bridge Protocol Install Uemtat Propertios Desetipion email: vdirienzo@gmail.com BEn dicha ventana hacemos clic en Avanzado. teenie oe korreeat ‘You can get IP settings assigned automaticaly if your network ‘suppers this capably. Otherwise, you need to ack your network _administato: forthe appropriate IP settings © Oban an IP addtess automaticaly QUse the following IP address: IF sete © Obtain DNS server adstess automaticaly ‘OUse the following DNS server adskesses ete DNS ‘Advanced. En la ventana de avanzado la configuramos asi: © User default Gateway on remote network: Deseleccionado. enous This checkbox only applies when you are connected to a local network and a da-up network simultaneously. When checked, data that cannot be sent onthe local network is forwasced to the ciahup network. C)Use default gotenay on rate network email: vdirienzo@gmail.com a)Servidor Web Proxy Se decidi6 utilizar un servidor Web Proxy para ahorrar ancho de banda utilizado por los usuarios en Internet. Para ello nos dirigimos al meni IP / WEB-PROXY. ‘Access | Cache Direct + || (ea) © setinge Fa SeAaten Danan [oa Pot [unt [Acton Block et & spam ema elayng RT fe “po0000 aoown BE deny En nuestra ventana de configuracién hacemos clic en SETTINGS. Se esta manera entramos a la ventana de configuracién del servidor Proxy. Dicha ventana la configuraremos de la siguiente manera, * Ste, Address: La dejamos en blanco © Port: 3128 © Hostname: Proxy * Transparent Proxy: Seleccionado. * Parent Proxy: lo dejamos en blanco * Parent Proxy Port: lo dejamos en blanco * Cache Administrator: adminitrador@royaltech.com.ar * Maximum Object size: 4096 © Cache Drive: yystem © Maximum cache Size : 2000000 * Maximum Ram Cache Size 128000 email: vdirienzo@gmail.com 80Pimms General | Status Src Adéess Post Hostname Parent Prony Parent Prony Pot Cache Adminsratr, Maximum Object Size: Cache Drive Maximum Cache Size: Maxinum RAM Cache Size | a poe Transparent Proxy | A continuacién hacemos clic en ENABLE. Se nos abre una ventanita y le hacemos clic en ok. Como segundo paso debemos generar un una regia en el firewall para que haga un redireccionamiento al servidor Proxy. Para ello nos dirigimos al menu IP / FIREWALL en nuestra ventana de configuracién hacemos clic en la pestafia NAT, luego clic en el botén (+). La ventana la configuramos de la siguiente manera. Interfase Produccisn: © Chain: dstnat * Protocol: 6 (tep) Interfase produccién. email: vdirienzo@gmail.com 81Genetal Advanced Extra Acton Statistics OK Chain: 1} |_Laneet Ste Adtess > | [pew Det Address: 7) epieebia Protocol: ~ [ we Comment Ste. Pott: ind Copy Dst Pott FO Pg | LeBarse) In metace: ["[Freduccin >] Luego hacemos clic sobre la pestaiia ACTION y la configuramos de la siguiente manera: * Action: Redirect © To ports: 3128 General Advanced Extra Action Statistics | ‘OK Action |redrect =| Cancel | ToPote: [2 a Disable Comment | Realizamos esta misma configuracién para cada una de las interfases de nuestra red. La configuracién de las mismas es: Interfase Administracién: Pestafia General: © Chain: dstnat * Protocol: 6 (tep) Interfase: administracién email: vdirienzo@gmail.com 82General Advanced Extra Action Stalstics ‘OK Chain Fsnat S| (ice Ste. Addess + | bsoi Det Addess = Protecot I~ [Btcp) sw] = | | Comment SPotf | | L_ Soy DstPot fo SS | | Remove: In Intettace: I~ [Adminsiacion *“ Pestafia Action: * Action: Redirect © To ports: 3128 on Acton: AA =] [cares To Potts: [2128 my Interfase Ventas: Pestaita General: © Chain: dstnat * Protocol: 6 (tcp) © Interfase: ventas email: ydirienzo@gmail.com 83 GoogGeneral Advanced Ena Action Statics OK Chain: [ESR | concer Sic. Addeess: | i Apply Dst Address: am Disable Protocol [~ [Sites vse Comment SiePot) LC Dat. Pott: [0 eae In Intertace: [~ [Ventas w+ Pestafia Action: * Action: Redirect © To ports: 3128 | Geneial| Advanced |Ewia Acton | Statice | ok Action: [rediect x Cancel ToPorts: [3128 Por ultimo configuraremos el NAT para el ruteo entre todas las subredes de la ‘empresa .Para ello nos dirigimos al mena JP / FIREWALL en nuestra ventana de configuracién hacemos clic en la pestaiia NAT, luego clic en el botdn (+). La ventana la configuramos de la siguiente manera. Pestafia General: © Chain: srenat General Advanced | Ewtia Action Statistics Ok Chain: renat od | (Leoreat_ Sic Addiess: | y | Apo email: vdirienzo@gmail.com 84Pestaiia Action: * Action: Masquerade General | Advanced |Evtia Actin |statsice| [ox Action: [masquerade =) Cancel A500 Nuestra configuraciGn de politicas de NAT se ven de la siguiente maner Feuer NAT |More Senet | Canes Aen Lit © oo Reet Cares | 00 ese “Tien [chan Sie Actes (Ste Poe. [0m adders Dat Poe [Oahu [Poo. [ner [Paces SUS dat Pia. @ “Ete see er Shred dd Vests * Bie OB ° fed. dat ate 2 Stee) OB ° A continuacién debemos proteger nuestro servidor de cualquier utilizacién desde el exterior de la red. Para ello nos dirigimos al meni JP / FIREWALL. En la ventana nueva hacemos clic en la pestaita FILTER RULES, a continuacién hacemos clic en el icono (+). Nuestra nueva politica de filtrado de paquetes la configuramos asi: Pestafia: General: © Chain: input * Protocol: 6 (tcp) © Dst, Port.: 3128 © In. Interfase: Ciudanet email: vdirienzo@gmail.com 85General Advanced | Extra Action Statistics ok Chair: [input ) | Cancel Ste. Addess + | Aoi Det. Address: ~ | | Dizable Protocot (Sten) em | Comment SePotf | Ly DstPot fate s—i(“‘é‘é | * Remove ppf Ininetoce: [eeecccat SSS Quinte Pestafia Action: * Action: Drop Piece eee “Geneal Advanced Evia) Acion | Stace | = Ar (ALT — | | Cancel | App Nuestras politicas de filtrado se ven de la siguiente manera: FlerFl>|NAT) Mah Sen Pats | Conoco |e ‘Ste Adee Sie Pot In tm. [Oat Aces Ost Pet 8 [Poo Bet 1063 Seo) 2074607. tes) S10 tee) en tee) saeco ee) fe dedep foward Pro, op o {Pap ck Veron | 3c foward _ erie oe o lagu icon dela Gee Ta Weed Deep rea RPO 3 et OB ° email: vdirienzo@gmail.com 86 Google cBloquearemos algunas paginas con la utilizacién del Web Proxy. Para ello se definié que no se podra ingresar a sitios pornograficos desde la red ni la utilizacién de paginas que tengan el servicio de Web Messenger al igual que Yahoo u otros. Bloqueo Pornografia Nos dirigimos al meni JP / Web Proxy. En la nueva ventana dentro de la pestaita Access hacemos clic en el icono (+). Las nuevas politicas se configuran de la siguiente manet Ste, Address: 0.0.0.0/0 © Dst. Address: 0.0.0.0/0 © URL: *pom* © Method: any © Action: deny PR oee rene Ste Adstess: [0000 Det Adress: [- [00.0070 Dst Pott F Invert Dst Post Local Pott I~ URL: [| Method: ‘ction: Este filtro nos bloqueara cualquier site que posea la palabra *porn* en su nombre. También nos sirve debido a que si el usuario busca algo con la palabra porn en Google o cualquier otro buscador también nos bloquee la biisqueda, email: vdirienzo@gmail.com 87Politica 2 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *sex* Method: any Action: deny CMa eres Ste. Addess: & [0.00070 Dat Addess: - [00.0070 Ost Pott > F Invert Det. Port Looal Pat: TT] URL: i fser Method Action cisabied Politica 3 Sre. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *xxx* Method: any Action: deny Dee cal Invert Dst. Post a = Poa lary deny email: vdirienzo@gmail.com 88 GoogleBloqueo paginas que brinden el servicio de Web Messenger El Bloqueo de las paginas que brindan el servicio de Web Messenger también sera bloqueado. Para dicha configuracién realizamos los siguientes pasos. Nos dirigimos al meni IP / Web Proxy. En la nueva ventana dentro de la pestaita Access hacemos clic en el icono (+). Las nuevas politicas se configuran de la siguiente manera: Ste. Address: 0.0.0.0/0 © Dst. Address: 0.0.0.0/0 © URL: *webmessenger. yahoo.com* © Method: any * Action: deny Rint nee) Ste, Address: (5 [000.070 Det. Addhess: [~[000.00/0 Dst. Port + F Invert Det Port Local Pat I~ | URL: I [Twebmessenger yaho Methoe: [ary = deny x La configuraci6n se repite para los siguientes sites: Site: webmessenger.msn.com * Ste. Address: 0.0.0.0/0 Dat. Address: 0.0.0.0/0 URL: *webmessenger.msn.com* Method: any Action: deny email: vdirienzo@gmail.com 89PT ek ena Ste, Address: I [00.0070 Det Address: I~ [00.0070 Det Pott Invert Dst. Port a | I Forebmessenger msn r i Local Pott aw deny Sit www.ebuddy.com © Ste, Address: 0.0.0.0/0 © Dst. Address: 0.0.0.0/0 © URL: * ebuddy.com* © Method: any * Action: deny PE eich ee Oe Renee Te 1 Febicon? ef l=» =] Site: meebo.com * Src. Address: 0.0.0.0/0 © Dst. Address: 0.0.0.0/0 * URL: *meebo.com* email: ydirienzo@gmail.com 90 Google c© Method: any © Action: deny PRs Ste, Address: [EF Det Address: J Det Pat F Invert Det. Part LocalPot Ff URL I¥[meebo.com Metrod [ay] Action [dey obied Bloqueo del Live Messenger A Través del Proxy Para e bloqueo del Messenger utilizamos la siguiente politica en el Web Proxy para bloquearlo, Para ello realizamos los siguientes pasos. Nos dirigimos al mena IP / Web Proxy. En la nueva ventana dentro de la pestafia Access hacemos clic en el icono (+). Las nuevas politicas se configuran de la siguiente manera: * Bloqueo Messenger © Ste. Address: 0.0.0.0/0 © Dst, Address: 0.0.0.0/0 © URL: *Gateway.messenger.* ‘© Method: any © Action: deny email: vdirienzo@gmail.com 1Pranes Ste. Address: Det Addhese: Ie oT ® joao00 joan 070 Det Pott: | ri Local Port I~ URL | Method: Action ay ‘deny Invert Det Post | lasteway messenger” Bloqueo de paginas que brinden webmail Para e bloqueo de paginas que brinden webmail como mail.yahoo.com, Hotmail.com, etc. debemos utilizamos la siguiente politica en el Web Proxy para bloquearlo. Para ello realizamos los siguientes pasos. Nos dirigimos al meni JP / Web Proxy. En la nueva ventana dentro de la pestafla Access hacemos clic en el icono (+). Las nuevas politicas se configuran de la siguiente manera: Sre. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *mail* Method: any Action: deny [eee ‘Sto. Address: I~ Dst. Address: I Dat Pot | = Local Pot [~ UAL IV] Method lary cio TAT | Invert Dst. Pst | ‘mail email: vdirienzo@gmail.com 92Bloqueo descarga directa de archivos MP3 y AVI Para € bloqueo de descarga directa de archivos MP3 y avi debemos utilizamos la siguiente politica en el Web Proxy para bloquearlo. Para ello realizamos los siguientes pasos. Nos dirigimos al meni JP / Web Proxy. En la nueva ventana dentro de la pestafia Access hacemos clic en el icono (+). Las nuevas politicas se configuran de la siguiente manera: Bloqueo archivos Mp3 Sre. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.mp3 Method: any Action: deny Ml Vieb Proxy Rule <0.0,0,0/0->0,0.0.... ) Ste, Address: [EF Det Address: J Det Pat = Invert Det. Part Local Port I~ T| URL: FFF mp3 Method: [ary = Bloqueo Archivos Avi Sre. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.avi* Method: any Action: deny email: vdirienzo@gmail.com 93Teint eek ee Ste Adstess: 5 [00000 Det, Addess: [000.0070 Dat Patt F Invert Det. Port Local Pott Bloqueo descarga directa de archivos RAR, ZIP, EXE Para e bloqueo de descarga directa de archivos MP3 y avi debemos utilizamos la siguiente politica en el Web Proxy para bloquearlo. Para ello realizamos los siguientes pasos. Nos dirigimos al mena /P / Web Proxy. En la nueva ventana dentro de la pestafia Access hacemos clic en el icono (+). Las nuevas politicas se configuran de la siguiente manet Bloqueo Archivos RAR * Src. Address: 0.0.0.0/0 © Dst. Address: 0.0.0.0/0 URL: *.rar* © Method: any © Action: deny PR ice nme S10, Address: (5 [00.0070 Det Address: [000.0070 Dat Pat | T Invert Dst. Port Local Pott [~ URL I) Method: Action: Seabed email: vdirienzo@gmail.com 94Bloqueo Archivos ZIP © Ste. Address: 0.0.0.0/0 © Dst. Address: 0.0.0.0/0 © URL: *zip* © Method: any © Action: deny PR nome Bloqueo Archivos EXE © Ste. Address: 0.0.0.0/0 © Dst. Address: 0.0.0.0/0 © URL: *.exe* © Method: any © Action: deny PR nome r PF email: vdirienzo@gmail.com 95, GooalLas politicas del servidor web Proxy se ven de la siguiente manera. ae) Access |Cache Direct Sic. Addiess __Dst Address Dat Pot ‘Boek telnet spem ermal relaying Yooo0 — oao0n 2B Bloqueo Pagnas Web Messenger ooo0 0000 webmessengety ooo © oa00”0 *yebmessenger. Foo000 00.0070 “meebe.com" $oo000 — ooo0n “ebuddy com 2 Bloqueo Pomnogitia Yoo —oa00n "pom" ooo — oooom “se Pocono .00.0/0 ‘ee +: Bloqueo gateway Messenger Yoo oooon "astenay messen, 2 Bloquea paginas de webmail aooo9 §— o.o000 :Bloqueo MP3 y AVL ooo0 © oao0n fooovo coco Bloquea descarga archivos RAR, ZIP, EXE f ooo §— aooon I ooo 000% (a Balanceo de carga Debido a que poseemos dos conexiones a los proveedores de Internet utilizaremos el balanceo de carga para optimizar el trifico en la red. Debido a que la sub red ventas genera grandes volimenes de trafico hacia Internet el balanceo de carga Sera aplicado a ella. Para configurar nuestro balanceo debemos realizar los siguientes pasos. No s irigimos al mena IP / FIREWALL. De ahi vamos a la pestaiia Mangle. Hacemos clic en el icono (+) y comenzamos nuestra configuracién de las politicas para el balaceo de cargas. A la nueva ventana la configuramos de la siguiente manera. email: vdirienzo@gmail.com 96Pestaita General: © Chain: prerouting © In. Interfase Ventas * Connection State: new Prirmone Pestafia Extra: © Every: 1 © Counter: 1 © Packet:0 email: vdirienzo@gmail.com o7 vores, GoogleGeneral Advanced Extia Action Statistics | OK Connection Liit cal ae ——s | (riay = Nth Disable Even: fi : $$ Comment caneeft —— Ce Packet [0 om 3 Remove Time = “Y Stc. Addkess Type ~y> Dat. Ades Type $$$ re Hotspot SIP Fragment Pestaiia Action: © Action: mark connection ‘* New Connection Mark: Salida_Movifonica ‘Pass thought: seleccionado ‘Geneial Advanced Extra Acton | staicice| Beeston of Nen Comecin Mok: EEE >] Pessthrough Creamos una segunda politica y la configuramos asi: Pestafia General: * Chain: prerouting «In. Interfase: Ventas * Connection mark: Salida_Movifonica ok Cancel Disable Pay email: vdirienzo@gmail.com 98 GoogPestafta Action: © Action: mark routing * New Routing Mark: Marca_Salida_Movifonica ‘Tercera politica de mangle. Se configura asi: Pestafia General: Chain: prerouting «In. Interfase email: vdirienzo@gmail.com 99 vores, Google* Connection State: New General Advanced Extra Action | Statistics Chain: Sto. Address Det Address: Protocol: In Interface: Out Inteface: Packet Mark: Connection Mark: outing Mark Connection State: esate Pestafta Extra: © Every: 1 © Counter:1 © Packets! Prono General Advanced Extra Acton | Staisics -¥ Connection Lint > Lint Dot Lint 6 — ————— Ey Bi Counter: [1 Packet [i email: vdirienzo@gmail.comPestafta Action: * Action: mark connection ‘* New Connection Mark: Salida_globalphone ‘* Pass thought (seleccionado) Prien ‘Gereral Advanced | Ewa) Acton |Statsics a Acton: (SEES T=] | cancel | New Connection Mask: [SEIEEMEIESSTsiec: ~ Apply Ce Disable Comment Copy Cuarta politica de mangle se configura asi: Pestafia general: © Chain: prerouting * In. Interfase: Ventas * Connection mark: Salida Globalphone Genetal Advanced Extra Action Stalistice OK Chein: EERE Caneel Ste Adéess >| [som Det Adéese ees | ipa Ge SS | siePot [SOS = Le pupaef > | [Remove Pe. oe In Intettace: I |Ventas ~ ‘Out Intertace: i Packet Mak m Connection Matk: email: vdirienzo@ gmail.com 101 GoogPestaita Action: © Action: mark routing New routing Mark: Marca_Salida_Globalphone ‘* Pass Thought: (No Seleccionado) ‘Genetal| Advanced Extra Acton | Staisios | OK Actor: ATTA] | [Cancel New Rouing Mark: [Marca_Saida Giobabhone ~] | Apehy E leedieai Disable EES Nuestras politicas de Mangle se ven asi: Cima (00 Reset Couriers || 00 Reset Al Counters ‘Action Je |Ste.Addess (Ste. Por_|In.Inteface Det. Addess (Dat. Port Dut. Ir. Fm. precouing | na. peoaeg | saree de Cage 1 preoutng precuting preuting «= peecoutng A continuacién debemos crear dos politicas de NAT para continuar con la configuracién. Para ello nos dirigimos al meni IP / FIREWALL. Hacemos clic en la pestaiia NAT, luego clic en el icono (+). email: ydirienzo@gmail.com 102 GoogLa primera politica de NAT se configura asi: Pestafia General: © Chain: srenat * Connection Mark: Salida_Movifonica Genetal Advanced Extta Action Statisics OK Chin: [acne >] | [cancel Sic Adekess ~ | | Aol Det Addtoss fall rooms + | Comment ~ | Cony Dat Pot | | Remove In Intetace: + Out Intertace + Pocket Maik: + Connection Mark: [~[Saida Movionica =] 4 Routing Matk: Pestafia Action: © Action: sre-nat © To addresses: 200.45.4.10 © To Ports: 0-65535, ‘Geneial Advanced Extia Action Statistics FT monet ToAdiesses: [20045410 ToPots: [065535 email: vdirienzo@gmail.com 103 GoogLa segunda politica de NAT se configura asi: Pestaiia General: Chain: srenat ‘Connection Mark: Salida_Movifonica General Advanced Extra Action Statistics ok Chai rcnat Cancel Sic Ades: + | [Anew Detaddes: [| Tsai pea > | Comment re Pett za) cee Det Pat ee In Ietace: | a Ouintetece:| PacketMake | Connection Mak Routing Matk oa Pestafia Action: Action: sre-nat To Addresses: 200.45.4.10 0-65535, “Genet Advanced Entra Acton Staitce OK Action: | sic-nat Cancel, ToAddesses: [20045470 ‘cob To Pots: [CO aa Comment | email: vdirienzo@gmail.com io4 Goog‘Nuestras politicas de NAT se veran asi: Cries: Pret Souce _[Dinance |iveace [Rowing Mak | 20045 40/24 20045410 Moviocica 20045 30/24 200.4810 Glbalphone Pisz168 2020726 192168.2822 eer 192 168.40/24 13216841 Produccion p192,168.3.0/24 192.168.3.1 Ventas 19216820724 19216821 Adtieietacion b1s21681.0/24 19216811 Servers «Gateways Balanceo de carga pooo00 200.4531 Globaphone Marca, Salida poo 20.45.41 Moviiorica Marca, Salida «3 Gateway por Defecto poooo0 700.4541 Moviterica Por ultimo para finalizar la configuracién debemos realizar unas tltimas politicas de ruteo. Para ello entramos en el meni: NEW TERMINAL. En la terminal que nos aparece tipeamos lo siguiente: 7ip route add dst-address=0.0.0.0/0 gateway=200.45.3.1 scope=255 t arget-scope=10 routing-mark-Marca_Salida_Globalphone comment="" disabled=no /ip route add dst-address=0.0.0.0/0 gateway=200.45.4.1 scope=255 t arget-scope=10 routing-mark-Marca_Salida Movifonica comment="" disabled=no /ip route add dst-address=0.0.0.0/0 gateway=200.45.4.1 scope=255 t arget-scope=10 comment="Gateway por Defecto™ disabled=no email: vdirienzo@gmail.com 105Nuestras politicas de Ruteo se ven de la siguiente manera: Cries: (ESE | |. Desinaion ‘Gateway [Pref Source [Distance _lInteface (Routing Mak | DAC. 200.45 4.0/24 045.410 Mowitonica ac 2004530/28 20048310 Boban Dac prseteazezor isores.2022 he Dac prsetenaoree 21641 Frediecin Dac preeienaaze 19216031 Verae DAC p1s216820/24 19216821 Adtieietacion DAC p 192.1681.0/24 19216811 Servers «Gateways Balanceo de carga as” poa000 200.4531 Globaphone Marca, Salida as poooa” 20.45.41 Moviiorica Marca, Salida «3 Gateway por Defecto as poooa 700.4541 Moviterica Control de ancho de banda Asignacién de ancho de banda por sub red Debido a que muchas veces los usuarios realizan malos usos de los anchos de banda, hemos decidido agregarle politicas al router para poder controlar dicho problema. Para los distintos grupos de usuarios les asignaremos distinto ancho de banda: © Administracién : © Subida 250 M/Bits ‘© Bajada 300 M/Bits email: vdirienzo@gmail.com 106* Produecién: © Subida 400 M/bits. © Bajada 300 Mibits * Ventas: © = Subida 350 M/bits © Bajada 400 M/bits Para el control del ancho de banda debemos ir al men QUEUES. Alli se nos abrira una ventana de configuracién. ‘Serie Guia eface Dum Ques Tine Gun Tee =) 1) (oe Ret come a0 Resta Cot | Nore _Tagtadire Pace .MatUpose., Mas Don [UpbadRe Onwicd.. Ouued ee |Upsite.Downbaie Hacemos clic en el icono (+) de la pestafia Simple Queues. Se nos abre la nueva para configurar la nueva cola. Cola Administracién: Pestaita General: ‘* Name: Queue_Administracion © Target Address: 192.168.2.0/24 ‘50M (upload) , 300M (download) Max Limi email: vdirienzo@gmail.com 107Pore Ciinirenimeernemoze ns Genetal Advanced Statice Traffic Total Total Statice OK Nome: [ESTER Cancel Tasget Address: [19216820724 = | Aly J Target Upload (Target Download Disable Mox Lint [4 =] fae =] bees | F copy | R oy Tine — Cola Ventas: Pestaiia General: * Name: Queue_Ventas © Target Address: 192.168.3.0/24 50M (upload) , 400M (download) © Max Limi PS ei a nme Ree General | Advanced | Statics Trafic Total Total Staisics| a Nove: [ETSRELED Cancel Tanpet Addese [TSE TSBIOI SS | pony TagstUpload FF Target Download Disable Maxine [3506 =] foo I tas/s | | any y Bust ame -yTine Cola Produccién: Pestafia General: ‘+ Name: Queue_Produceion © Target Address: 192.168.4,0/24 © Max Limit: 400M (upload) , 300M (download) email: vdirienzo@gmail.comPorno cnnnty niece Geneial Advanced Statistce Tralfic Total Total Statistice OK Name: [Queue.Ventas Cancel Tasget Address: [19216830724 = | poo J Target Upload (Target Dowload Disable Mas Limit. [400 =] roo a] tiers | [Cony y Bust eae Tine Las colas configuradas se veran de la siguiente manera: Simple Queues |inteoce Gueves | Queve Tee | Queue Types [=| v7) 2| [00 Restarts | 09 Fest Alaris ait Tage Adee Packet. MoxUpoed. MaxDowrl. Upled ste Dowioed | | ‘Queve_Acministraci,, 152168,2.0/24 250M ‘300M Obps ‘ObY I BOveve Vertes 192.160.30/24 soo 00 Ob Ob | {B.Oveve Produccion | 182168.4.0/24 oom 200M Ob: 0b | Traffic Shaping de (P2P) Politicas internas de la empresa plantearon que solamente en el area de administraci6n se pueda utilizar los p2p. Anteriormente habiamos asignado un cierto ancho de banda para administracién ahora deberemos modelar las colas del trafico para que los p2p no se consuman todo el trafico. Debemos ir al mena /P / FIREWALL. Ahi se nos abriré nuestra ventana de configuracién de politicas del firewall. Hacemos clic sobre la pestaiia Mangle, a continuacién hacemos clic sobre el bot6n (+). email: vdirienzo@gmail.com 109En la ventana de mangle con figuramos lo siguiente: © Chain: prerouting © PoP: all-p2p eee General Advanced Exta Action Stalstios ‘OK Chain: [prerouting 1 | |_ Cancel Ste, Address > | | Aon Diaddes: [| (bea Gee | es co ae | ow, psPor| =: || amo re aT | < = A continuacién hacemos clic en la pestafia Action. Alli la configuracién es la siguiente: * Action: mark_connection * New Connection Mark: (tipeamos) connexion_p2p * Passthough (seleccionado). CU eenseies SEGRE Ao SEE |_ox Actin: [mek conection >] | Cancel New Connection Maik: [conenion_p2> =] | Apniy IF Passtrough ia Comment Cony ‘A continuacién dentro de la pestafia mangle hacemos clic nuevamente en el botén (+) para crear una nueva regla. La configuracién para la ventana es: email: vdirienzo@gmail.com 110© Chan: prerouting ‘* Connection Mark: conexi6n_p2p (la que habiamos creado anterior mente) General |Advanced | Esa Action Statics aK. Chain: [prerouting = Cancel Sic. Addtove > | Ano Det Adetooe ~ | (ioiatie ae > | Comment Sic: Pott bo Dat Pot pal niener ee = In interac: ba Out Intetace Ea Pocket Mask: be Connection Mask: se Routing Mak Me Luego nos dirigimos a la pestatia Action, en la misma la configuramos de la siguiente manera: © Action: Mark Packet © New Packet Mark: (tipeamos) p2p General Advanced Extra Action | Statistics OK Acton: [ark packet ance! New Packet Mark: [2d 0b 1 Passthrough Disable Comment email: vdirienzo@gmail.com il GoogAhora deberemos configurar las politicas para que nos marque los paquetes p2p para poder bloquearlos en las otras redes. Para ello debemos ir al ment JP /FIREWALL. Hacemos clic en la pestafia mangle y Iuego eli en el icono (+). En la pestafia General de la nueva ventana la configuramos de la siguiente manera: © Chain: prerouting * Connection Mark: conexién_p2p Geneial | Advanced |x Action | Stalsics | OK Chain: ~ Cancel Ste, Address: | by Apply Det Adress: ml EDEaE Protocot > | | Somment Sic. Pot: > Copy Dat Pot: ~ [Remove PoP: + In Inieace: y Out Imetace: Y Packet Mark y Connection Mark: [~ [SSSR z+ Resting Mark ¥ Luego nos dirigimos a la pestafia Action y la configuramos de la siguiente manera: ‘* Action: mark packet ‘© Packet mark: (tipeamos) p2p_bloqueado * Pass though: (seleccionado) email: vdirienzo@gmail.com 112General Advanced Extra Action Stalstics ‘OK ‘Action: [mark packet x NewPacket Male EOGERIESE =] Passthough Las reglas creadas se verdn de la siguiente manera. Faeries WAT Mr Sanna Ade ‘7m! || (v0 Remar | 08 Rotana Chan _Se Aes Se Pat Ini, DAs Om Pat Ou, Pt. Newt. wns Ea pea Nos dirigiremos al meni’ QUEUES. En la ventana que nos aparece, crearemos ‘cuatro nuevas colas para la politica de los p2p. Hacemos clic sobre la pestafta Queue Tree. Y luego clic sobre el bot6n (+). La configuraci6n de la cola de entrada sera la siguiente: © Name: Queue_p2p_in * Parent: Global-in © Packet Mark: p2p © Queue Type: default © Priority: 8 © Max Limit: 256k email: vdirienzo@gmail.com 113General | Statistics | ok Name: [Queue_p2p Cancel Perent: [gobatin =] | Apoy Pocket Maik: [pap liens Queue Type: [defout 3) bee Paioity, [& Remove: Uinta [sass Max Limit: fv [256K bits/s Hacemos clic en el botén (+) y generamos una nueva cola, La configuracién de la cola de salida sera: ‘+ Name: Queue_p2p_out © Parent: global-out © Packet Mark: p2p © Queue type: default © Priority: 8 © Max Limit: 256k General Statics OK Name: [Guave_pep_Ou Cancel Parent [gobatout Sire Packet Mark: [p2> =) | [pia Queue Type: [asta Se] OY Priory: [8 Remove. Limit at: | bits/s ‘Max Limit: 4 [256K bits/s email: vdirienzo@gmail.com 114 GoogleLiberacion del ancho de banda fuera del horario de trabajo Debido a que la empresa no trabaja las 24hs al dia, se dispuso la posibilidad de liberar el ancho de banda para la red de Administracién, en un rango horario determinado. Para ello lo primero que debemos hacer es una nueva cola que Ia habilitaremos en los horarios de 20:00hs a 06:00hs. Ir al mena QUEUES en la pestaia Queues Tree, hacemos clic en el icono (+). Se nos abre la ventana de configuracién. La configuraci6n de la misma es: ‘© Name: Queue_in_Global_P2P_libre © Parent: global-in © Packet Mark: p2p © Queue Type: Default © Priority: 8 Yoram mena l eons General | Stattice Ok Name: |Queue_In_Global_P2P_libre Cancel Parent: [gobaln =] | [Taso Packet Mark: [pap Sines Queve Type: [defeat =] Lc SS Sesser Hes imine = tae Antes de hacer clic sobre aceptar, hacemos clic en DISABLE y luego hacemos clic en aceptar. La segunda cola que debemos realizar es de la siguiente manera: © Name: Queue_out_Global_P2P_Libre email: vdirienzo@gmail.com 115© Parent: global-out © Packet Mark: p2p © Queue Type: Default © Priority: 8 MM Queue General Statics OK Name: [Gueue_Out_ Global P2P_Libee Cancel Parent: [gobstout ‘Aoely Packet Mai: [2p =| Eemnee| Queue Type: [detauit = Copy Prioiy: [8 Fomove. init ar hieis Antes de hacer clic sobre aceptar hacemos clic en DISABLE y luego hacemos clic en aceptar. Vamos al meni SYSTEM / SCRIPTS. Se nos abre la ventana de administracién de scripts. Hacemos clic en el icono (+) y configuramos la ventana nueva con los siguientes datos: * Name: Bloquea_Bw * Policy: Write y Read * Source: /queue tree enable Queue_In_Global_P2P_Limitado /queue tree disable Queue_In_Global_P2P_Libre /queue tree enable Queue_Out_Global_P2P_Limitado /queue tree disable Queue_Out_Global_P2P_Libre Ahora con nuestro segundo script. Vamos al ment SYSTEM / SCRIPTS. Se nos abre Ja ventana de administracién de scripts. Hacemos clic en el icono (+) y configuramos la ventana nueva con los siguientes datos: © Name: Libera_Bw email: vdirienzo@gmail.com 116* Policy: Write y Read © Source: /queue tree disable Queue_In_Global_P2P_Limitado /queue tree enable Queue_In_Global_P2P_Libre Jqueue tree disable Queue_Out_Global_P2P_Limitado /queue tree enable Queue_Out_Global_P2P_Libre De la siguiente manera se ve como queda configurada nuestra lista de scripts: Rr Fas Sc aT Lbs Se ac povi4/208 05145 I Bloquea_Bw admin Api/14/2008 20:51:42 19 Siguiendo con la configuracién vamos al mena SYSTEM / SCHEDULER. En la ventana nueva que se nos abre, comenzaremos con la configuracién de nuestros eventos. Hacemos clic sobre el bot6n (+). La configuracién del primer evento es: © Name: Bloquea_Bw * State Date: Apr/16/2008 © Start Time: 06:00:00 * Interval: 14 00:00:00 * On Event: Bloquea_Bw email: vdirienzo@gmail.com 17PRieea tess Start Date: [2pr716/2008 Cancel Start Time: [050000 Apply Invervat {14.00.0000 Trae On Event pe na se Coos ‘Luego hacemos clic nuevamente en el icono (+) y creamos nuestro segundo evento, cuya configuracién es: * Name: Libera_Bw © State Date: Apr/16/2008 © Start Time: 20:00:00 © Interval: 1d 00:00:00 © On Event: Libera_Bw Stat Date: [Apr/18/2008 Start Time; [20:00:00 Appl Intervat [Te 00:00:00 Ain Fvnnt Disable Asi es como se ve configurada nuestra lista de scripts: Stat At Interval___[On Evert Run Count | wee Bw Ape/16/2006 05.0000 14 00:00:00 Bloques, Bw 0 bere 8 /Ap16/2008 20.0000 | 1400.00:00 Libera Bw 0 email: vdirienzo@gmail.com 118 GoogleFirewall Bloqueo de los P2P para redes de ventas y produccién Debido alas politicas implementadas por gerencia solamente en el area de administraci6n se podra utilizar los P2P. para ello la configuracién para bloquear dicho trafico es la siguiente. Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el icono (+). A continuacién configuramos de la siguiente manera: Pestafia general: © Chain: forward + P2 all-p2p © Out. Interface: Produccién ce |e | | OK CoE Sd | [care] SieAddess De Adee =| rom] er | icra 0 Po ~ | [Sony Det, Por + | [Remove | P2P. [| alkp2p_ Ae ee : ou Ittace: F [Pedaodoe =] = Pestaiia Action: * Action: drop email: vdirienzo@gmail.com 119‘General Advanced | Evra AcSon | Stace ok =| Action: [drop =] | Cancel —— Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el icono (+). A continuaci6n configuramos de la siguiente manera: Pestafia general: © Chain: forward © PoP: all-p2p © Out. Interface: Ventas Genes Advanced | Ext Acton| Stasis | Chin —C«s SAdtess[ Da Ades | Proto | - Sto. Pott: aa Copy Dst Port: ~ Remove PoP: FS [apap =l~ In Intesface: ¥ (Out. Intetace: I~ [Venter EE Pestaiia Action: * Action: drop ‘Genera Advanced Extra Acton | Statistics | OK cic OT | [ Cerce email: ydirienzo@gmail.com 120 GoogBloqueo del cliente MSN Live Messenger Debido a que los empleados de la empresa suelen perder demasiado tiempo utilizando el MSN Live Messenger, la empresa decidié bloquear dicho programa. Para ello se establecieron las siguientes politicas de firewall. Nos dirigimos a /P / FIREWALL. En la ventana que se nos abre hacemos clic en el icono (+). A continuacién configuramos de la siguiente manera: Primera politica de firewall: © Pestaita General: © Chain: Forward © Protocol: Tep (6) © Dst. Port: 1863 Genetal Advanced Eata Action Statics ok Che =] [cancel Sie. Addis: bd Det Adders: ~ | [oat Protocol [SET x] = | | Comment Sie Pat [mmm > | tow Dst Por: [[iess Sm | | Remove £25 | iaeomettiat | © Pestaiia General: © Action: Drop email: vdirienzo@gmail.com 121Genel Advanced Ema) Acton | Statics | ‘co: a | Segunda politica de Firewall: © Pestaiia General: © Chain: Forward © Protocol: Tep (6) ©. Dst. Port: 5190 Cine General | Advanced | Extra Action Statistics | Chain forward a SeAddess DstAddess Protocot [Stes] ___w] = ene | Dat Pot 7 — © Pestafia Action ©. Action: Drop Copy Remove [ears aaron (eal Acton [am] [ox ‘Action: [drop x] | Cancel opi ‘Tercera politica de Firewall: email: vdirienzo@gmail.com 122 Google© Pestaiia General: © Chain: Forward © Protocol: Tep (6) © Dst. Port: 6901 ees Genel Advanced Esta Aston Staiscs| [ox Chain: [Forward =] | Cancet Ste. Address: he Apply Dst Address: Es Disable Protocot ~ [Btes) 19) | ener ‘Ste, Port: ae Copy st. Port [6801 fag peer © Pestaiia Action: © Action: Drop Piece General Advanced Extra Action Statice OK ‘Action: [drop ‘Cuarta politica de Firewall: © Pestaita General: o Chain: Forward © Protocol: Tep (6) © Dst. Port: 6891-6900 Cancel Apply email: vdirienzo@gmail.com 123 GooalMees Genel Advanced Ea Acton Staves! [ok Chain: (EME) [tances Sie Ades Sls Det Adders = Proocot (ET ae See Pat . bs, Pa: [5651-6500 a | Remove © Pestaiia Action: © Action: Drop Taree ees General Advanced, Extra Action | Stacics ok Action: [crop Cancel ply Quinta politica de firewall: * Pestaiia General: © Chain: Forward © Protocol: Tep (6) © Dst. Address: 65.54.239.211 © Pestafia Action: © Action: Drop email: vdirienzo@gmail.com 124Piao eereanie Genetal Advanced Extia Acton | Statistics OK Action: [drop Cancel | awl Finalizada dicha configuraci6n ningin usuario podra conectarse al MSN Live Messenger. Para que el bloqueo sea completo debemos utilizar una politica en el Web- Proxy que instalaremos mas adelante. Redireccionamiento de puertos A continuacién debemos redireccionar puertos para que el trafico que se genere hacia adentro de Ja red obtengan las respuesta deseada. Por ejemplo que nuestro servidor web muestre las paginas correspondientes, que el servidor de SMTP y POP3 puedan enviar y recibir mails etc. Puerto 80 WEB Para redireccionar el puerto 80 desde el exterior a nuestro servidor web ip: 192.168.1.2 debemos realizar los siguientes pasos. Ir al meni IP / FIREWALL. Hacer clic en la pestafia NAT. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera. Pestafia General: © Chain:dstnat © Dst. Address: 200.45.3.10 * Protocol: 6 (tep) © Dst. Port: 80 email: vdirienzo@gmail.com 125Geneial Advanced Extia Action | Statistics Chain: [EERE ~ Cancel Ste. Address: + | Apoly Det Address: [20045310 a inscaa Protooot I~ = ‘Ste. Port: % aa Dst.Pott I~ [60 ———— | | Remove | Pestafia Action: * Action: dst-nat * To Addresses: 192.168.1.2 * To Port: 80 General Advanced Extia Acton Stalisios OK Action: [dtrat Cancel ToAdthesses: [75216812 Apo | ToPots: [50 ik Conant Puerto 110 POP3 Para redireccionar el puerto 110 desde el exterior a nuestro servidor pop3 ip: 192.168.1.2 debemos realizar los siguientes pasos. Ir al mena /P / FIREWALL. Hacer clic en la pestafia NAT. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera, Pestafia General: © Chain: dstnat © Dst. Address: 200.45.3.10 * Protocol: 6 (tep) © Dst. Port: 110 email: vdirienzo@gmail.com 126Genetal Advanced Extta Action Stalstice OK Chain: ~ Cancel She Adds: > | (ae Dst Address: [~ [200.45.310 va Disab | Protooot I~ a+ J Ste. Port + Dst. Port [110 «| | Remove | Pestafia Action: * Action: dst-nat * To Addresses: 192.168.1.2 © To Pont: 110 “Gereal Advanced Ewa Acton | Staiics - T ~ ToAdéesses [fso16612 | ee Puerto 25 SMTP Para redireccionar el puerto 25 desde el exterior a nuestro servidor pop3 ip: 192.168.1.2 debemos realizar los siguientes pasos. Ir al meni IP / FIREWALL. Hacer clic en la pestafia NAT. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera. Pestafia General: © Chainsdstnat © Dst. Address: 200.45.3.10 * Protocol: 6 (tep) © Dst. Port: 25 email: vdirienzo@gmail.com 127Genetal Advanced Extta Action Stalstice ok Chain [_cancel_| Sie Ades > | Ac | Det Address: I [20045310 ahaa Protocol: ~ (SNES a+ SePot DaPot[ = Pestaiia Action: * Action: dst-nat © To Addresses: 192.168.1.2 © To Port: 25 General Advanced Extia Action | Statistics OK Action [dstnat =] [cance ToAddresses: [152,168.12 Apnly Torey si Comment Puerto 1723 PPTP Para aceptar conexiones al puerto 1723 desde el exterior debemos realizar los siguientes pasos. Ir al ment. /P / FIREWALL. Hacer clic en la pestaiia FILTER RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera. La primer politica es para aceptar el trafico al puerto 1723 tep Pestafia General: © Chain: input © Protocol 6 (tcp) © Dst. Port: 1723 email: vdirienzo@gmail.com 128General Advanced Extia Action Statistics OK Chair [input “) | Cancel geadiess| | Ay Det. Address: g Disable Powe “Ite x] [Comment SePot[ ti‘ YS Eee fe eee sO Pestafia Action: * Action: accept ‘General Advanced Eta Acton |Siaistics im ‘cio: OT | [Cone | ol La segunda politica es para aceptar todo el trafico al puerto 1723 UDP Pestafia General: © Chain: input * Protocol 17 (udp) * Dst. Port: 1723 General | Advanced Ewa Action Statistics Chair: foot Sto, Address: Det Address: Por ultimo aceptaremos todas las comunicaciones que estén establecidas. email: vdirienzo@gmail.com 129 Google cPestafia General: © Chain: input © Connection State: established eas Pestafia Action: * Action: accept Pies email: vdirienzo@gmail.com 130 vores, GoogleDescartar conexiones invalidas Para descartar las conexiones invalidas desde el exterior debemos realizar los siguientes pasos. Ir al meni IP / FIREWALL. Hacer clic en la pestafia FILTER RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera Pestaiia General: © Chain: input * Connection State: Invalid iene General |Advanced | Eta Action Staisics Chan [f= >] Sto, Address: + Dit Adds: - Protocol ~ Pop. Re In Interface: > (Out Interface: ~ Packet Mark Me Connection Mark: ’ Routing Mark: ¥ Connection State: [invakd w+ Connection Type: Si Pestafia Action: * Action: drop Disable | email: vdirienzo@gmail.com 131General Advanced Extra Action Statistics OK cr: OT | [Conce Aceptar conexiones establecidas Para aceptar las conexiones establecidas desde el exterior debemos realizar los, siguientes pasos. Ir al mena /P / FIREWALL. Hacer clic en la pestafia FILTER RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera Pestafia General: © Chain: input * Connection State: established General | Advanced Extia Action Statistics Chain: [EE > Ste, Addiess: | + Det. Address: + Piotocot | - pat | Pop [ In Inteface: | Out Interface: Packet Mate | Connection Marks | Routing Mark: | Connection State: [estabished Connection Type: email: vdirienzo@gmail.com 132Pestaiia Action: * Action: accept ‘General Advanced Extia Action Statistics Acepta Trafico UDP Para aceptar las conexiones UDP establecidas desde el exterior debemos realizar los siguientes pasos. Ir al men JP / FIREWALL. Hacer clic en la pestafia FILTER RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera Pestafia General: © Chain: input * Protocol: 17 (udp) General | Advanced Extia Action Statistics Ok cx Ts} | [Fea] Ste, Address: | be Apply Dat Ades: liga roma Poco (ET Sw = | Comment, Ste. Port | Cony —C SSS cae Pestafia Action: * Action: Accept ‘Geneial Advanced Extra Action Statisies et email: vdirienzo@gmail.com 133Acepta icmp Limitados Para aceptar icmp limitados desde el exterior debemos realizar los siguientes pasos. Ir al mena IP / FIREWALL. Hacer clic en la pestaia FILTER RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera Pestaiia General: © Chain: input * Protocol: 1 (icmp) Geral |Advercd | Esta | Actin | Stotis ok Chae [EE “z] |. Cancel Ste Adess | > [Ae Det Ades: I [oes Protocot ~ (iGiE Te] | | comment se Pot | ~ [coor Pestafia Extra: © Rate: 50/5 © Burst: 2 iene General Advanced Extie Action Stalistos Ok Connection Limit — Cancel a Lint, —— Rate: [50 WB =] | 4 J Burst [2 Disable Det. Limt Comment email: vdirienzo@gmail.com 134Pestaiia Action: * Action: accept ‘General Advanced Extia Action Statistics Descarta excesivos icmp Para descartar excesivos icmp desde el exterior debemos realizar los siguientes pasos. Ir al meni IP / FIREWALL. Hacer clic en la pestaita FILTER RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera Pestafia General: © Chain: input * Protocol: I (iemp) General | Advanced Extia Action Stalisics Ok Choi: [EE =] [cance Ste Addtess | > | Ano Dat Ades: i ier Protocol (NET wm | Comet 1c Pa. | ~ | (cow carne Pestafia Action: * Action: Drop ‘General ‘Advanced | Eta Acton | Stasis ok ele ee email: vdirienzo@gmail.com 135Descarta el resto de las conexiones externas Para descartar el resto de las conexiones desde el exterior debemos realizar los, siguientes pasos. Ir al mena JP / FIREWALL. Hacer clic en la pestafia FILTER RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera Pestafia General: © Chain: input * In. Interface: Globalphone Genera Advanced Extra Action Staistice Chain: [THE J Sto. Address: + Dat Address: In Intetace: I~ [Glebalphone w+ Out Interface: y Pestaiia Action: Action: drop Genera Advanced Extra Acton | Statistics OK tion: Cancel email: vdirienzo@gmail.com 136‘Agregamos una politica nueva para bloquear el acceso externo desde la internase Movifonica de esta manera: Pestafia General: © Chain: input © In. Interface: Movifonica. Geneia Advanced Evra Acton Statistics | Chain: [rot 1 [Movionica ~w* Pestaiia Action: * Action: drop ‘Geneial| Advanced | Evra AcSon | Staite | a email: vdirienzo@gmail.com 137 GoogEl orden de las politicas se ven en la siguiente grafica, Fite Fes [NAT Mande. Sevce Pte Cinmactane Aerie |] [oo Restores |[00 Reet at Comes | fa ‘Acton [Chan [Sic Adtese [Sra Pot [In ner. JDst Addess [De Pat_|[Out int [Prtocal c= Aceptar Conexiones Related accept input 1 AeeparConesoneStabished ‘ sccept put DeseatarConesines Invades XM doo input 1 Aeeplar Trace VEN Weccept input Gitcp) V eccept input 17 (udp) sAeepla UDP accept input 17 (udp) sepa pings itados W accept input 1 ficmp) sz DeseatarExeesivos pings drop input 1 ficmp) Bock Messenger op foward 1859 Step) doo forward 5190, Bitep) X drop forward 6901 Gitep) XM doo forward 65.54.2329. Bitcp) X drop forward 6831-6300 Bitep) 1: P2P_Block Produesion deen foward P2P Block Vertas X doo forward Blog ulzecon del roy desde fete dele Xo rput Xoo it 2p Detestia ol resio de las coneaiones op rput Configuracién Hot Spot Debido a que nuestra area de esparcimiento no esta cercana al router principal. Se ha decido instalar una red wireless. Para ello se utilizara un router AP Mikrotik RB600. Logueados al Mikrotik mediante Winbox. Nos dirigimos al meni INTERFASES. En la ventana que nos aparece hacemos clic sobre la interfase wlan! y la habilitamos apretando el bot6n derecho del Mouse y elegimos la opeién Enable email: vdirienzo@gmail.com 138EI Name ‘ype MTU TPs [Rafat [Tx Poc. Fx Poo Ro dipethert Ethernet 800 5.7 Kbps 1457 bps 4 2 Ro pete Ethernet 1500 Dbps—“Obps 0 0 Ro dbeerd Ethernet 1800 Obps —Obps 0 0 eoudant ‘Weeless (Atheros ARS#13) 1500 Obps —Obps 0 a A continuacién le hacemos doble clic a la interfase y comenzamos la configuracién de la misma, La pestafia General se configura de la siguiente manera. Name: wlan! MTU: 1500 MAC Address: 00:0€:42:05:A9:A3 Arp: enabled General |Wreless | DataRlates Advanced WDS .. OK Name: | | Cancel Type: | Wireless (Atheros AR5413} | Apply mtu: [7500 hoe MAC Addess: [OD0C205A9.43 cael ARP. [enabled Se es ve ina6:Ona/0¥5, BFVOWBT, 35:0063, 22000. | Fran Henne: Pestaiia Wireless: Radio Name: AP-1 Mode: AP bridge SSID: Royal_Tech_Hotspot Band: 5Ghz Frequency: 5200 Security Profile: default email: |: vdirienzo@ gmail.com 139Frequency Mode: manual Txpower © County: no_country_set ‘* DFS Mode: none Proprietary Extensions: post-2.9.25 ‘* Default Authenticate: Seleccionado Default forward: Seleccionado MB Interface avian jeneral Wireless Data Rlates Advanced WDS aio Name: [AP Mode: [ap bridge 7 SSID: I¥ Royal Techo Hotspot Band: [5GH= Frequency: [5200 Scan List: Secuity Pile, aa Freq Usage. Frequency Mode: County Anteena Gain DFS Mode: [rane Propietay Extensions: [post 29.25 = Defaut AP Tx Rate: [| bps Defauit Client Tx Rate: [| bps Detauk Authenticate FF Detouk Forward F Hide $si0. email: vdirienzo@ gmail.com 140 GooglePestaita Data Rates: No se le modificara la configuracién Standard. Eimoce ‘Witeless DataRiates Advanced WDS | Netieme Rate © detaut © configued ~ Suppotted Rates 8 FF tMbps 7 2Mbps Supported Rates A/S F Mtoe Mb FF 2avibps 7 36Mbos FF 48M — Basic ales B FF iMbps © Mbps 55M FF 55Mbps 7 T1Mbpe FF 1aMto: WF SiMe: TF 11Mbe: Sean. Pestafia Advanced: © Max Station Count: 2007 * Act Timeout: dynamic © Periodic Calibration : Default * Calibration level: 00:01:00 © Antenna mode: antenna a ‘* Preamble mode: both * Disconnect time out: 00:00:03 © On Fail Retry Time:100 ~ Basic Rates A/G FF Mbps SMbps I 12Mbe 7 18Mbps Sri. T 2énop: IF aettos T° 48Mbpe I StMpe aaa email: vdirienzo@gmail.com 141 GoogleDatafiates Advanced WDS Netieme TxPower OK nee: FI Cancel Wax Staion Curt: [2807 re ‘Ack Timeout: zi) Disable Noise Floor Theesholt I~) = Petiode Calbration: Scan. Calbation interval: [O07 00 Freq. Usage.. Bust Tine FP | Align. ‘Antenna Mode: | antenna a > a Preamble Mode: long short both T Compieson Steepel Disconnect Timeout: [00:00:03 On Fail Flety Time: [100 me Pestaiia WDS: * WDS Mode: Disable ‘© WDS default Bridge: none * ~WDS Default Cost: 100 ‘© WDS Cost Range: 50-100 ‘Advanced WDS Nsteme TxPower Status OK WDS Mode: [cisabied =] Cancel WS DefautBidge: [rene a roa ‘WDS Defauk Cost |100 Disable 'WDS Cost Range: |50-150 Comment WPS Ignore $810 Ear Fran Hearne email: vdirienzo@gmail.com 142 GooglePestaiia Nstreme: ‘Enable Nireme: Deseleceionado « Enable Polling: Seleccionado © Framer Policy: none © Framer Limit: 3200 MB Interface Genera |Login RADIUS | oe Hotspot Address: ¥ [192.168.1017 ONS Name: [¥ [hotspot ioyatech com. HIM. Otel: (EET >] Fate Lit (xtot HTTP Prow: [| HTTP Prony Post: SMTP Server. [¥ [192.168 1.1 Pestaita Login: * HTTP CHAP y Cookie: * MAC, HTTP PAP, HTTPS y Tri * HTTP Cookie Lifetime: 01:00:00 jeleccionado |: deseleccionado. Geneial Losin RADIUS | HTTPS FHTTPPAP =F Trial HTTP Cookie Lietine: [01-00-00 email: vdirienzo@gmail.com 152 GooalPestaita RADIUS: * Use RADIUS: (seleccionado) © Default Domain: 192.168.1.3 * NAS PORT Type 19 (Wireless-802.11) Caspian eon Genera Login RADIUS Pu Default Domain: 64 [192,1681.3 Location ID: | Location Name: aaa Accounting Intern Update: | NAS Pot Type: {i Luego hacemos clic sobre la pestafia Users hacemos clic en el botén Profile y generamos uno. La configuracién del mismo es: ‘+ Name Profile_Hotspot ‘* Address Pool: hs-pool-5 ‘Idle Timeout. None * Keekalive Timeout: 00:02:00 © Shared Users: 1 © Rate limit: 128k/256k email: vdirienzo@gmail.com 153General | Advertise Sctpts Name Addtess Poot [he-pook5 = Session Timeout: Ide Timeout: [ene a] | [Remove Keepalve Timeout [¥[00:0200 a Status Auteefresh: [000-00 Shared Users: [¥[T Fate Limit (o/ost ¥ [1 2472564 Incoming Filter: Pestafia Advertise: © Advertise: deseleccionado ‘Gereial Advise | Seip P Bike Adverie URL: | Advetise interval | + Advetise Tirecut [ZEEE —_ a Pestafia Script: No se genera ningiin script y queda configurada por default. email: ydirienzo@gmail.com 154 GoogleFinalmente generaremos un perfil de seguridad para las conexiones Wireless. Para ello debemos ir al meni WIRELESS, luego hacemos clic en al pestafia Security Profiles. Y creamos un profile nuevo haciendo clic en el icono (+). Pestafia General: * Name: Royaltech-Secure © Mode: dynamic keys * WPA PSK, WPA2 PSK: Seleccionados © Unicast ciphers © Tkip: Seleccionado © Aes cem: Seleccionado © Group Ciphers © Tkip: Seleccionado © Aes cem: Seleccionado * WPA Pre-Shared Key: royaltech * WPA? Preshared Key:royaltech * RADIUS MAC Authentication (deseleccionado) (ences General | EAP | Static Keyo | ‘one LF = = == Mode: [dynamic keys Authentication Types 7 WPAPSK 7 wrapsk T WPAEAP I> WrA2eAP Unicast Ciphers F he F a9s.cem Group Ciphers: i kip F aes cem WPA Pre Shaved Key: [reyakech ‘\WPA2 Pre-Shared Key: [royalech Group Key Update: 00-06-00 [7 RADIUS MAC Authentication email: vdirienzo@gmail.com 155Pestaita EAP: * EAP Methods: * TLS Mode: no certificate © TLS certificat none Ceemieaarn eae Genetal EAP | StaticKeys Pestaita Static Keys: No utilizaremos Ilaves estaticas. Ronee em eememnre Geneial EAP) Static Keys OK I =] oxf Cancel foe DOT SOS~C* =] of [Mceny, I =] of | Remove a , =] of email: vdirienzo@gmail.com 156A continuacién debemos asignale este perfil de seguridad a nuestra interfase wilan1. Para ello nos dirigimos al menu WIRELESS. Dentro de la pestafia Interfases. Le hacemos doble clic a nuestra interfase wlan! y modificamos el siguiente valor. ‘Security Profile: royaltech-Secure. i interface [Roya Techo-Hotepot Band: Frequency: Sean List Secuiily Profi: Frequency Mode: Defaut AP Tx Rate: bps | Default Cent Tx Rate: | be | Detaut Authenticate Detaut Forward F Hide SSID frarning Finalmente Vamos al meni RADIUS. En la ventana nueva que se nos abre la hacemos clic en el icono (+). La nueva ventana la configuramos de la siguiente ‘manera: ‘© Ppp, hotspot, login, wireless, telephony, dhep: Seleccionados © Address: 192.168.0.3 email: vdirienzo@gmail.com 157© Secret: Radius ‘© Authentication port:1812 * Accounting: 1813 © Time out : 600 Pee ee Genera Status Service F ioe. 3 login hotspot viteless telephony dhep Caled 1D: I~} Domaire Adeess: [192.168.1.3 Secast: [edhe Authentication Pott [1812 Accounting Pott [1813 Timeout [600 ms TF Accounting Backup Servidor de SNMP Debido a los beneficios que brinda el monitoreo remoto de los servicios de una red. Hemos decidido implementar y habilitarle el servidor de snmp de un router Mikrotik. Para poder realizar dicha implementaci6n la dividiremos en dos partes. Primero la habilitacién 0 activacién del snmp en el router de CBA para la red 192.168.1.0. Luego utilizando la aplicacién mrtg instalada en el servidor de la direceién de ip 192.168.1.2 graficaremos algunos datos obtenidos. email: vdirienzo@gmail.com 158Configuracién Servidor SMNP Dentro del winbox, nos dirigimos al meni SNMP, se nos abre la ventana de configuraci6n, hacemos clic en el bot6n Settings y le cargamos los siguientes datos. * Enabled (marcado) * Contact info: tatubias@server © Location: cba aed | [ sets | Contact infor [ritrador@e Location: {cba Llenando esos casilleros ya tendremos habilitado el servidor de snmp del mikrotik. Luego hay que crear la comunidad snmp, la cual la lamaremos servers. Para ello hacemos clic en el icono (+) y se nos abre la ventana de configuracién de comunidad y le cargamos los siguientes datos: * Name: communa © Address: 192.168.1.0/24 * Read Access (marcado) Para una co1 del Mikrotik. suraci6n basica esto nos aleanza para poder obtener cierta informacién email: vdirienzo@gmail.com 159@rivate noo comm... [®) hers Ok a Addess: [192 1681.02 | Cancel F ReadAccess | Apel Leer) [Remove Dentro de winbox ir al meni New Terminal se nos abre una ventana de terminal. Ahi dentro debemos escribir lo siguiente para obtener las oid del sistema # Tinterfase print oid Dicho comando nos mostrara la salida de pantalla con los datos de oid requeridos. [admin@MikroTikjinterfase print oid © Rnamo=.2.3.6.1-2.162.2-2-201 meues1-3,6:1-2.162.2-10401 mac-addrese=.1.3-6.1,2.1-2.21-6.1 admin-statuse.2,3.6.1.21:2.21.7-1 oper-statu: A13.6.1-21.2.2168.1 bytes-ine.1.3.6.162.2-2.2.162061 e121. 2.2DeMLd discards ina. 1.3.6.1-21.2.2-1 131 errorsnine.1.3.6.1-21.2.2.21401 bytesmout~.1.3.6.1.2.1.2.2.1.261 2,3.61.2.1.2.2.1-17-1 discarde-out=.1,3.6.1-21.2.2.119.1 26966.1-20162.2:1,2001 packets-ine.1.3. packets-ou! 1 R nam e361. 2162.2616202 mt 9 61-2.162026264.2 12.3,6.1.21.2.2.1.6.2 adnin-status 213. 6.1.2:1.2.2.1.8.2 bybes-ine.1.3.6.16201-2-2.161062 ac-addres! 2B602.201:2.226702 oper-statu: packetenin=.1.3.6.1-2.1.2.2,111.2 discards-in=.1.3.6.1-2-142.2-1013-2 errorenine.1.3.6-1-21.2.2.1/14.2 bytesmout=,1.3.6,1.2.1-2.2.1-16.2 errors-out=.163,6.1.2.142.2.1620-2 2 R nami e361. 2.162.26162.3 mt 1.3.61.2.162.2.1-4.3 12.36601.21.2.2.1.6.9 admin-statuen.2.3,6.1.2.1.2.2.1.7.3 -13.6.1.2:1.2.2.1.8.3 bytes-ine.1.3.6.162.2.2.2.1.10.3 ac-addres! eper-statu: email: ydirienzo@gmail.com 160 Google tpacketsdne Ph GLa DL a bis discardstend STP Ta DIS orrors-in=.1.9) 2.1.2.2.1.14.3 bytes-out=.1.3.6 2,2.2:162663 packets-oute.2.3.6.1.2:1.2.2.1.17.3 discards-eut~.1.3.6.1.2.1.2.2.1.19.3 oper-statue=.1.3.6.1.2.1.2.2.1.8.7 bytes-in~ ree 262026162067 1.3,6.1-2.142.2.1614.7 bytos-out 3.616 261622,1-16-7 packets~out~.1.3.6.1.2.1-2.2.1.17.7 discards-out~.1.3.6.1.2.1.2.2.1.19-7 orrors-out=.1-3,6.1-2.142.2.1-20-7 oper-status=.1-3.6.1.2.142.2-1.8:10 bytesmina.1-3,6,1-2-2+2.2-1-10-10 errors-in=.1.3.6-1-2.1.2.2.1,14.10 bytes-out=.1.3.6-1-21.2-2.1.16.10 packeto-out~.1.3.6.1.2.1-2:2.1.17.10 discards-out~.1.3.6.1.2.1.2.2.1.19.10 errors-out=.1.3,6.1.2.1-2.2.1-20-10 ‘Observemos los valores obtenidos: © packets-in=.1.3.6.1.2.1.2.2.1.11.10 1.2.1.2.2.1.17.10 1.3.6.1.2.1.2.2.1.11.7 © packets-out=.1,3.6.1.2.1.2.2.1.17.7 1.3.6.1.2.1.2.21.11.3 © packets-oul 2.1.2.2.1.17.3 © packets-in=.1.3.6.1.2.1.2.2.1.11.2 1.3.6.1.2,1.2.2.1.17.2 © packets-oul © packets-i © packets: © packets-out= Dichos valores los utilizaremos mas adelante en la configuracién del mrtg Concluida la primera parte de la configuracién, deberemos instalar el software mrtg en el servidor de debian que tenemos en la red. Damos por entendido que el servidor apache ya esta instalado y corriendo. email: vdirienzo@gmail.com 161Para la instalacién seguiremos los siguientes pasos. # apt-get install mrtg Con el software ya instalado editamos el archivo de configuracién que se encuentra en Jetelmnig.efg. EnableIPve: no WorkDir: /var/www/metg AUAAUROURAHHROUROEAEEAOOEUEE REE HUAOUEO ERE OHROEROE REE AUA EEO EEE HERO PRES # System: 192.168.1.1 # Description: router # Contact: tatubias@server # Location: cba AURTER EER TRR OER OE REO TOO EEEE TRADER DEERE REDERO ERO REE TEA TEEEE RET DEEEE Target (192.168.1.1_cpu]: 1,3.6.1.2.1.25.3.3.1.2.161.3.6.1.2.1.25.3.3.1.2.1:communa@192.168.1.1: AbsMax[192.168.1.1_cpu]: 100 MaxBytes[192.168.1.1_cpu]: 100 Title (192.168.1.1_cpu]: 192.168.1.1 CPU load PageTop[192.168.1.1_cpu]:

192.168.1.1 CPU load

options [192.168.1.1_cpu]: gauge, growright,nopercent, noo YLegend[192.168.1.1_cpu]: CPU load ShortLegend(192.168.1.1_cpu]: % Legendr[192.168.1.1_cpu]: CPU load (percentage) ### Paquetes in out ### target (192.168.1.1_2]: 1.3.6.1.2,1,2.2,1,11.261,3,6.1,2.1.2.2.1,1,17,2:communa@192.168.1.11 Maxpytes (192.168.1.1_2]: 64000 ritie(192.168.1.1_2]: Paquetes in / out interfase 1 PageTop[192.168.1.1_2]:

Paquetes in / out

‘ email: vdirienzo@gmail.com 162

System:	PMI_192.168.1.1
Description:	Paquetes in / out

### Paquetes in out ### Target (192.168.1.1_2 W3.6.1.2.1,2.2.1.11, 361.3. 661.2.1.2.2.1.117. MaxBytes(192.168.1.1_2]: 64000 Title(192.168.1.1_2]: Paquetes in / out interfase 2 Pagetop[192.168.1.1_2]: Paquetes in / out sommuna@192.168.1.1:

System:	PMI_192.168.1.1
Description:	Paquetes in / out

#¥# Paquetes in out #4 target [192.168.1.1_2]: 1,3,6.1.2,1.2.2.1,11,761,3.6.1,2.1.2.2.1,1,17, 7: communa@192.168.1.1: MaxBytes(192.168.1.1_2]: 64000 Title (192.168.1.1_2]: Paquetes in / out interfase 3 PageTop[192.168.1.1_2]: Paquetes in / out

System:	PMI 192.168.1.1
Description:	Paquetes in / out

f¥# Paquetes in out ### target (192.168.1.1_2]: 1.3.6.1.2.1.2.2.1,11.1061.3.6.1.2.1.2.2.1.1.17.10:communa@192.168.1.1: Maxpytes (192.168.1.1_2]: 64000 Title [192.168.1.1_2]: Paquetes in / out interfase 4 PageTop[192.168.1.1_2]: Paquetes in / out -

System:	PMI._192.168.1.1
Description:	Paquetes in / out

email: vdirienzo@gmail.com 163 GoogEsta configuracién nos mostrara la carga del CPU y los paquetes enviados y recibidos por 4 interfases. A continuacién deberd crear el archivo index.html para que sea visualizada la informaci6n en forma de grificos en una pagina Web. # indexmaker /ete/mrtg.cfg --columns=1 --output \ Jvar /wwn/metg/index hem) Finalmente debe corer 3 veces el comando mrtg para que se generen los archivos de base de datos necesarios. #mrig, Esta configuracién sera ejecutada cada 5 minutos mediante el cron Redireccionando nuestro navegador a la direccién http:/192.168.1.2/mrtg nos dard las graficas obtenidas. Servidor Radius Debido a la gran inseguridad que presentan las redes se ha decidido implementar un servidor radius para autenticar algunos de los usuarios. Para ello se necesitara instalar software adicional al Mikrotik. Partimos de la base de tener nuestro servidor con debian instalado. Los pasos a seguir son los siguientes: Configuracién Servidor Radius Debemos instalar el servidor de base de datos MySQL y el servidor Web Apache. #apt-get install apache2 mysql-server mysql-common email: vdirienzo@gmail.com 164Para confirmar que estén funcionando utilizamos el cliente Web que poseamos y lo redirigimos a la direccién ip del servidor. Ahi nos apareceré una venta que nos informa que el servidor Web esta funcionando, Para verificar que el servidor MySQL este funcionando simplemente desde la consola del servidor tipeamos: #mysql Esto nos mostrara que se pudo conectar al servidor de base de datos. Para salir de cliente de MySQL escribimos: Hexit A continuacién debemos instalar el servidor radius en si y algunos otros componentes. # apt-get install freeradius freeradius-mysq] freeradius-dialupadmin Seguido de la instalacién de servidor nos toca la configuracién del mismo. Para ello editamos el archivo /etc/freeradius/clients.conf #nano /etc/freeradius/clients.conf En dicho archivo agregaremos el ip del Mikrotik y el secreto 0 contrasefia que se eligi6 “radius”. # Client Name Key i. 192.168.1.1 radius email: vdirienzo@gmail.com 165A continuacién debemos configurar el archive /etc/freeradius/naslist. #nano /etc/freeradius/naslist Al mismo le agregamos la sigt nte linea, que nos dice el numero de ip de nuestro Mikrotik el un nombre corto para identificarlo y el tipo. # NAS Name Short Name Type = 192.168.1.1 mikrotik mikrotik Editamos el archivo /ete/freeradius/radiusd.conf. #vi /etc/freeradius/radiusd.conf En el mismo buscamos las siguientes lineas dentro de la seccién Unix, si estan comentadas las descomentamos como esta a continuacién. De lo contrario las agregamos. passwd = /etc/passwd shadow = /etc/shadow group = /ete/group Buscamos en el archivo freeradius.conf dentro de la seccién “Authorize”. La secuencia “# sql”. La descomentamos y también buscamos dentro de la misma seccién “suffix” y “files” a los mismos los comentamos Buscamos luego la seccién “accounting” la secuencia “# sql” y la descomentamos Buscamos dentro de la seccién “modules” dentro de pap la siguiente secuencia encryption_scheme= cryp la cambiamos por encryption_scheme = clear. Esto haré que cuando el freeradius nos lea la contrasefia de la base de dato, la lea sin ningun tipo de encriptacién como md5 u otra. email: vdirienzo@gmail.com 166Dentro de la seccién “modules” nos dirigimos a la sub seccién de mschap ahi descomentamos las siguientes lineas. Require_encryption = yes Require_strong = yes Finalizada la configur: del archivo /etc/freeradius/radiusd.conf. Ahora debemos configurar el archivo /etc/freeradius/sql.conf. #nano /ete/freeradius/sql.conf En el mismo buscamos la seccin connect info y la dejamos de la siguiente manera, Heonnect info server = "localhost" login = "radius" password = "radius" Configuracién MySQL Para configurar la base de datos donde tendremos toda la informacién que utilizaremos para la autenticacién del servidor radius. Debemos realizar los siguientes pasos. mysql —u root =p root Recordamos que nuestro usuario y contrasefia de root es simplemente root. Ahora nos encontramos dentro del Shell del MySQL, debemos crear la base de datos para luego generar las tablas. CREATE DATABASE radius; email: vdirienzo@gmail.com 167Esto nos creo la base de datos radius vacia escribimos exit y salimos del Shell de MySQL. Por suerte el servidor freeradius tiene el archivo SQL que nos genera las tablas necesarias. Para agregar dichas tablas solo debemos hacer lo siguiente. +# zeat /usr/share/doc/freeradius/examples/db_mysql.sql.gz.| mysql -u root radius ~p root mysql -uroot -proot USE radius; SHOW TABLES; A continuacién debemos darle los privilegios al usuario radius para que pueda administrar la base de datos radius. # mysql -u root —p mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@' localhost’ IDENTIFIED BY 'radius'; mysql> FLUSH PRIVILEGES; mysql> quit; Configuracién dialup admin Utilizamos dicho software para simplificar la administraci6n de los usuarios del servidor radius. Para la configuracién realizamos los siguientes pasos. Realizamos un link simbélico del directorio donde se encuentran la interfase Web del dialup admin freeradius a nuestro directorio raiz del servidor Web #in —s /ust/share/freeradius-diaupadmin/htdocs /var/www/radconfig email: vdirienzo@gmail.com 168A continuacién debemos agregarle algunas otras tablas a nuestra base de datos radius para la utilizaci6n del soft dialup admin, Para ellos realizamos 1o siguiente: ¥ mysql ~uradius ~pradius radius < /usr/share/freeradius- dialupdamin/sql/baduser «sql # mysql -uradius -radius radius < /usr/share/freeradius- dialupdamin/sqi mtotacct sql # mysql -uradius -pradius radius < /usr/share/freeradius- dialupdamin/sql totacct sql # mysql -uradius -pradius radius < /usr/share/freeradius- dialupdamin/sqi userinfo.sql. Finalmente realizamos la ultima configuraci6n del archive /ete/freeradius- dialupadmin/admin.conf #nano /etc/freeradius-dialupadmin/admin.conf Buscamos General_encryption_mode y lo cambiamos a clear ‘antes general_encryption_method = mdS # Después general_encryption_method = clear Buscamos sq|_username, sql_password, sql_debug. Y los modificamos de la siguiente manera. sqlLusername: radius sql_password: radius sql_debug = false Para finalizar reiniciamos nuestro radius server. #etc/init.d/freeradius restart email: vdirienzo@gmail.com 169‘A continuaci6n debemos crear algiin nuevo usuario para que nuestro servidor radius nos autentique. Para ello en nuestro navegador Web redirigimos a la direccién del servidor radius de la siguiente manera: En nuestra ventana de configuracién de usuarios debemos hacer clic en nuestro ‘meni en la opcién New Gorup En dicha ventana la configuramos de la siguiente manera: Group Name: Produccién email: ydiric iLcom - 170 dygizessy Google <aDtus ctent Bed Users Foiled Logins Fed User et User ‘Show Groups Ft Group ew Group chesk Serv bout sad users Failed Logins it user El IL ew User == 2 : J ‘show oroupe edt Group ew Group Check Server [eat mesos = me a About A continuacién nos dirigimos a la mend a la opcién New User alli la configuramos de la siguiente manera. Username: gustavo Password: gustavo Group: Production email: vdiri jl.com 171 » Google ‘[RADIUS chin Bad Users Failed Logins Find User ee user eect ony =) — emus | ————————— ‘Show Groups: a ak crow vp scminkracon © ew Group ‘check Server ep about Bad Users Failed Loains Find user eat user how Groups edit Group New Group AIL ] al J Cheek server Helo abo Final mente ya tenemos nuestro grupo y usuario creado. A continuacién debemos configurar el Mikrotik para que nos autentique los usuarios PPPoE contra el servidor radius. Logueados con winbox al Mikrotik nos dirigimos al meni RADIUS. En la nueva ventana hacemos clic en el icono (+). Configuramos a nuestro servidor radius de la siguiente manera: Pestafia General: * Ppp, login, wireless, hotspot, telephony, dhep (seleccionados) © Address: 192.168.1.3 email: wirienzo @gmaiLeom 172 dygizessy Google ‘© Secret: radius ‘© Authentication port :1812 * Accounting Port: 1813 © Time out : 300 Antes de hacer clic en Ok debemos hacer clic en ENABLE Teieaan meee ees Secret [radius Reeset Status ‘Authentication Port [7812 ‘Accounting Port [1813 Timeout [300 me = | En la pestaiia Status podemos ver mucha informacién valiosa acerca de los, intentos de logueo respecto a pendientes, pedidos, aceptados, rechazados, etc. email: vdirienzo@gmail.com 173General Status | ok Pending: [0 Cancel Requests: |120 ‘Apply eee |e Disable Reject: [35 ay Resende: [80 ca Timeouts: [15 Remove Bad Replies: [0 Reset Status Last Request ATT: [20 Luego vamos al meni: PPP. En la nueva ventana hacemos clic sobre la pestafia Secret. Luego clic en el bot6n AAA. Alli la configuramos: ‘* Use radius: Seleccionado ‘* Accounting: Seleccionado Prien enecmntns (Use Feds — Accounting inten Update: I] Finalmente ya hemos terminado de configura nuestro servidor radius, ahora simplemente queda configurar la conexién del cliente que se realiza de la siguiente manera. email: vdirienzo@gmail.com 174Configuracién servidor - cliente Jabber Servidor Jabber Debido a que constantemente los empleados pierden tiempo valioso de trabajo por utilizar el servicio de mensajeria MSN Messenger 0 Yahoo Messenger entre otros. La empresa tomo la decisién de bloquear dichos servicio e instalar un servidor de mensajeria privada para los empleados de la empresa y clientes. La instalacién del servidor Jabber la hacemos en el servidor nuestro de la ‘empresa que esta en la direccién de ip 192.168.1.2. Para instalarlo y configurarlos debemos realizar los siguientes pasos. Desde Ia consola del servidor logueado como root escribimos el siguiente comando. #apt-get install jabber Automiticamente se baja los paquetes necesarios para la instalacién. Con el servidor funcionando. Debemos detenerlo para comenzar la simple configuracién. ¥ /etc/init.d/jabber stop Con la confirmacién de que el servidor esta detenido. Editamos el archivo de configuracién del servidor /etc/jabber/jabber.cfg. Al mencionado archivo le agregamos la siguiente linea. ‘JABBER _HOSTNAME=royaltech.com.ar Con nuestro servidor Jabber instalado y configurado, lo que nos resta de la instalacién simplemente es reiniciar el servidor de mensajeria. Para ello desde la consola: email: vdirienzo@gmail.com 175¥ /etc/init.d/jabber start Cliente Jabber Para la instalacién del cliente Jabber se ah elegido el cliente Pandion, Esto es debido a Ja facilidad de utilizacién que posee y la versatilidad del mismo. Para la instalaci6n seguimos los siguientes pasos: ‘* Nos dirigimos al site http://www.pandion.be/download/ y descargamos el producto. © Ejecutamos el instalador Pandion-2.5.exe * Hacemos Clic En siguiente een Bienvenido al Asistente de Instalaci6n de Pandion Este programa instalaré Pandion en su ordenador. ‘Se recomienda que clerre todas las demés aplicaciones antes de iniar Ia instalacin, Esto harS posible actualzar archivos relacienades can al sistema sin tener que reniciar su ‘ordenador resionw Siguiente para continua. email: vdirienzo@gmail.com 176Aceptamos la licencia de pandion Bion enin ‘Acuerdo de licencia or Favor revise los términos de la licencia antes de instaler Pandion Presione Avanzer Pagina para ver e esto del acuerdo. his License governs use of the accompanying Software. Use of the ‘Software constitutes acceptance of ths license, ‘You may use and modify this Software for any purpose, commercial or non-commercial, subject to the restrictions in this license. 'You may distribute this Software or any derivative works in any form for non-commercial purposes, [Examples of non-commercial purposes are teaching, academic research, ¥ ‘5. acepta todos ls términos del acuerdo, selecdone Acepto para continuar. Debe aceptar ef ‘acuerdo para instar Pann, Nuleott Bioeneenin Seleccién de componentes Seleccione qué caracterstcas de Pandion desea instar ‘Marque los componentes que desea insaler y desmnarque ls componentes que na desea instaler.Presione siguente para contrat. ‘Seleccione ls componentes a [| Pandion 2.5 instaler: | Lanzar Pandion en el inicio Besaipaba cra email: vdirienzo@gmail.com 17Dejamos el lugar de instalacién tal cual como nos lo propone el software y hacemos clic en siguiente. Bioeneenin Elegir lugar de instalacién Eija el crectorio pars instar Pendion. £Elprograma de instslacén instalard Pandion en el siouente drectoro, Parainstalar en un eves Seo Ash email: vdirienzo@gmail.com 193Hacemos clic en nuestro primer icono comenzando de mano izquierda. Que nos abre una ventana la cual nos muestra todas las interfaces de red que poseemos en el equipo. Toes Dessiston Pacts Pats |@. Adapter tor gone lun and VPN capture [ak AMD PCNET Family Ethernet Adapter (Microsoft's Packet Scheduler) 192.168.0.160 83 ah Vhoare virtual Ethernet Adapter 169.254.167.167 a vnere ws het Ait wsoice2es a Hacemos clic en Ja interfase que deseamos capturar la informacién y ‘comenzamos la captura del mismo. Me Be ER Yen Se Sots snare aes to Seeee saxe2e .esoF2 BIS/QAQ9Q5 WMS » 7 owes eer dot Poca ne 52 Ssaisso vwareattac:s0 COP/ViP/OTR/exge/UDLD Coe Device 1b: Isp 55 61025192 ireliie.eb:7aida — Wewlett—02:f5t¢S ARP who ‘has 192.168.0. 54 6.025220 Mewleet-co2ifsits pireliieceb:7aida ARP _—_‘192.188.0.160.15 3 w Frame 1 C140 byes on wire, 140 bytes captured) ® Ethernet 11, sre: Pirell16.eb:7a:da (OO:19:3e:eb:7azda), Ost: Hewlett B Internet Protocol, src: 123.114.141.156 (123.114.141.456), dst: 192,168. 0.160 (192.168.0 y 09 10 2 38 0 7 7h 2 83 3 Padts soupy sled 0 Para capturar trafico de toda la red desde otto cliente que no sea el 192.168.1.2 debemos reconfigurar el mikrotik de la siguiente manera. Vamos al ment. TOOLS / email: vdirienzo@gmail.com 194PACKET SNIFFER. En la nueva ventana hacemos clic en el botén SETTINGS y comienza nuestra configuracién, Pestafia General: * Interface: all © Memory Limit 10kb * Only Headers: (deseleccionado) © File Limit: 10 Tens Genet | tearing | Fite Interface: Memary Lit: Pestafia Streaming: ‘* Streaming Enable: (Seleccionado) © Server: 192.168.2253 * Filter Stream: (Seleccionado) Prono Genetal Steaming Fiter_ 9 Stiesming Enabled Sever [192.1682.259 I Filter Steam email: vdirienzo@gmail.com 195, GooalPestaiia Filter: * Protocol: all frames. Pre hiorns (Genet | Steaning Fite | Protocol: [all ames Adhere 1: [TOO Post 1: F| Addiess 2 [TOOO/0 Pot 2 F| 196 email: vdil iLcom » Google fiConclusi6n Del anilisis de los resultados se concluye que Royal Tech deberia re estructurar su red informatica. Debido al ineficiencia de la misma, ya que estaba siendo desbordada por los nuevos requerimientos de la empresa en pleno crecimiento. Para la implementacién de la red se utiliz6 el sistema operativo Mikrotik RouterOS basado en Linux. El mismo convierte una pe Standard en un router de dedicado de alto rendimiento. Se definié la configuracién de las interfaces. Asignando nombres, direcciones de IP a las mismas y definiciGn de las Vian. Se configuré el servidor de DHCP para cada una de las sub redes. En el cual se definieron los pools de ip para cada una. También la asignaci6n direcciones de IP fijas a partir de direcciones MAC de los servidores. Se configuré un servidor NTP para sincronizar la hora en dentro de toda la red. ‘También se configuro un cliente NTP para sincronizar la hora de la red con otros servidores de tiempo. Se configuro un servidor PPPoE para autenticar usuarios que se deseen loguear al area de produccién, El cliente de PPPoE se configuré para que la red tenga un tercer acceso a Internet mediante Adsl de backup. Se configuré un servidor de VPN para comunicar las oficinas de ventas de cérdoba con las de ventas de Buenos Aires. Se configuré un servidor de Web Proxy para optimizar la utilizacién de los recursos hacia Internet. En el mismo se configuro politicas de bloqueo de trafico hacia ciertas paginas al igual que el bloqueo de descarga de ciertos archivos. Se realiz6 un balanceo de carga entre los dos proveedores de Intemet seleccionados. Para la optimizacién del recurso. Se realizaron politicas de control de ancho de banda para los clientes P2P. Se implemento politicas de firewall como bloqueo de p2p, bloqueo del Msn Messenger, redireccionamiento de puertos y bloqueo de paquetes no deseados. Se configuré un Hot Spot para el area de recreamiento de la empresa en la cual Jos usuarios se autentican mediante un servidor Radius. Se configuro un servidor de mensajeria jabber para que los usuarios no mal dispongan su tiempo. email: vdirienzo@gmail.com 197Bibliografia Chris Hurley, Russ Rogers, Frank Thornton, and Daniel Connelly. (2006).”Wardriving & Wireless Penetration Testing”. Ira Edidcion. Estados Unidos: Syngress (431 Pag.) Freeraduis 2008. “Wiki site” < http://wiki.freeradius.org/Main Page> [04/2008] Mallery, John; Zann, Jason; Kelly, Patrick. "Blindaje de Redes”. Ira Edicion. Espafta. Anaya Multimedia. (720 pag) Mikrotik. (2006) “MikroTik RouterOS™ y2.9 Reference Manual”, Ira Edicion, Estados unidos: Mikrotik SIA. (695 pag) Mikrotik 2007. “Manual de referencia”. < http://www mikrotik.com/testdocs/ros/2.9/> [04/2008] Mikrotik 2008. “Mikrotik Forum”.< http://forum.mikrotik.com> [04/2008] Mikrotik. 2008. “Wiki Site”. . [04/2008] Mrtg 2008. “Documentation Site” [04/2008] Scrimger, Rob (Wiley John + Sons).”Tep/Ip Bible”.2da Edicién. Estados Unidos: Hungry Minds. (626 pag) email: vdirienzo@gmail.com 198