configuración 01
Post on 21-Aug-2015
2.338 Views
Preview:
TRANSCRIPT
© Index 2005© Index 2005
RouterOSRouterOS
Introducción al sistema operativo Introducción al sistema operativo RouterOS MkRouterOS Mk
© Index 2005© Index 2005
Que es el RouterOS?Que es el RouterOS?
El RouterOS es un sistema operativo y software El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalámbrico o cliente de banda, punto de acceso inalámbrico o cliente y mucho mas…y mucho mas…
El RouterOS puede hacer casi cualquier cosa El RouterOS puede hacer casi cualquier cosa que tenga que ver con tus necesidades de red, que tenga que ver con tus necesidades de red, además de cierta funcionalidad como servidor.además de cierta funcionalidad como servidor.
© Index 2005© Index 2005
Estructura del RouterOSEstructura del RouterOS
Basado en kernel de LinuxBasado en kernel de Linux.. Puede ejecutarse desde Puede ejecutarse desde
discos IDE o módulos de discos IDE o módulos de memoria flashmemoria flash..
Diseño modularDiseño modular.. Módulos actualizablesMódulos actualizables.. Interfase grafica amigableInterfase grafica amigable..
© Index 2005© Index 2005
LicenciamientoLicenciamiento
La Licencia es por instalaciónLa Licencia es por instalación.. Algunas funcionalidades requieren de cierto Algunas funcionalidades requieren de cierto
nivel de licenciamientonivel de licenciamiento.. La Licencia nunca expira , esto significa que el La Licencia nunca expira , esto significa que el
rruteadoruteador funcionara “de por vida” funcionara “de por vida”.. EL ruteador puede ser actualizado durante el EL ruteador puede ser actualizado durante el
periodo de actualización (1 año después de la periodo de actualización (1 año después de la compra de la licencia)compra de la licencia)..
El periodo de actualización puede ser extendido El periodo de actualización puede ser extendido a un 60% del costo de la licenciaa un 60% del costo de la licencia..
© Index 2005© Index 2005
Características de RouterOSCaracterísticas de RouterOS
Ruteo. Estático o dinámico, políticas de Ruteo. Estático o dinámico, políticas de enrutamiento.enrutamiento.
Bridging. Protocolo Spanning tree, interfaces Bridging. Protocolo Spanning tree, interfaces múltiples bridge, firewall en el bridgemúltiples bridge, firewall en el bridge
Servidores y clientes: DHCP, PPPoE, PPTP, Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP.PPP, Relay de DHCP.
Cache: Web-proxy, DNSCache: Web-proxy, DNS Gateway de HotSpotGateway de HotSpot Lenguaje interno de scriptsLenguaje interno de scripts
© Index 2005© Index 2005
Características del RouterOSCaracterísticas del RouterOS
Filtrado de paquetes porFiltrado de paquetes por Origen, IP de destinoOrigen, IP de destino Protocolos, puertosProtocolos, puertos Contenidos (Contenidos (seguimientoseguimiento de conexiones de conexiones P2PP2P))
Puede detectar ataques de denegación de Puede detectar ataques de denegación de servicio (DoS)servicio (DoS) Permite solamente cierto numero de paquetes por Permite solamente cierto numero de paquetes por
periodo de tiempoperiodo de tiempo Que pasa enseguida si el limite es desbordado o Que pasa enseguida si el limite es desbordado o
sobrepasadosobrepasado
© Index 2005© Index 2005
Calidad de Servicio (QoS)Calidad de Servicio (QoS)
Varios tipos de tipos de queue:Varios tipos de tipos de queue: RED, BFIFO, PFIFO, PCQRED, BFIFO, PFIFO, PCQ
Sencillo de aplicar queues simples:Sencillo de aplicar queues simples: Por origen/destino red/dirección ip de cliente, Por origen/destino red/dirección ip de cliente,
interfaseinterfase Árboles de queues mas complejos:Árboles de queues mas complejos:
Por protocolo, puerto, tipo de conexiónPor protocolo, puerto, tipo de conexión..
© Index 2005© Index 2005
Interfaces del RouterOSInterfaces del RouterOS
Ethernet 10/100, GigabitEthernet 10/100, Gigabit Inalámbrica (Atheros, Prism, CISCO/Aironet)Inalámbrica (Atheros, Prism, CISCO/Aironet)
Punto de acceso o modo estación/clientePunto de acceso o modo estación/cliente, WDS, WDS
SSííncronas: V35, T1, Frame Relayncronas: V35, T1, Frame Relay Asíncronas: Onboard serial, 8-port PCIAsíncronas: Onboard serial, 8-port PCI ISDNISDN xDSLxDSL Virtual LAN (VLAN)Virtual LAN (VLAN)
© Index 2005© Index 2005
Como acceder al RouterComo acceder al Router
Los Los ruteadoresruteadores Mk pueden ser accedidos Mk pueden ser accedidos víavía:: Monitor y tecladoMonitor y teclado Terminal SerialTerminal Serial TelnetTelnet Telnet de MACTelnet de MAC SSHSSH Interfase grafica WinBoxInterfase grafica WinBox
© Index 2005© Index 2005
Interface CLIInterface CLI
La primera vez que se entra use ‘admin’ sin La primera vez que se entra use ‘admin’ sin password.password.
Una vez dentro teclee ‘?’ para ver los comandos Una vez dentro teclee ‘?’ para ver los comandos disponibles en este nivel de menúdisponibles en este nivel de menú [Mk] > ?[Mk] > ? [Mk] > interface ?[Mk] > interface ? [Mk] > [Mk] >
Argumentos disponibles para cada comando se Argumentos disponibles para cada comando se obtienen de la misma manera: ‘?’obtienen de la misma manera: ‘?’
© Index 2005© Index 2005
Navegación vía menús CLI Navegación vía menús CLI
Vaya a un nivel diferente de comandos Vaya a un nivel diferente de comandos usando sintaxis absoluta o relativa:usando sintaxis absoluta o relativa: [Mk] > interface {Enter}[Mk] > interface {Enter} [Mk] interface > wireless {Enter}[Mk] interface > wireless {Enter} [Mk] interface wireless > .. eth {Enter}[Mk] interface wireless > .. eth {Enter} [Mk] interface ethernet > print {Enter}[Mk] interface ethernet > print {Enter}
© Index 2005© Index 2005
Comandos mas popularesComandos mas populares
Comandos mas populares en RouterOS Comandos mas populares en RouterOS en los menús CLI son:en los menús CLI son: Print y exportPrint y export set y editset y edit add / removeadd / remove enable / disableenable / disable movemove commentcomment monitormonitor
© Index 2005© Index 2005
‘‘Print’ y ‘Monitor’Print’ y ‘Monitor’
‘‘print’ es uno de los mas usados en CLI. print’ es uno de los mas usados en CLI. Imprime una lista de cosas y puede ser usado Imprime una lista de cosas y puede ser usado con diferentes argumentos,ejemplocon diferentes argumentos,ejemplo print status,print status, print interval=2s,print interval=2s, print without-paging, etc.print without-paging, etc.
Use ‘print ?’ para ver los argumentos disponiblesUse ‘print ?’ para ver los argumentos disponibles ‘‘monitor’ usado repetidamente muestra el monitor’ usado repetidamente muestra el
estatusestatus ‘‘/interface wireless monitor wlan1’/interface wireless monitor wlan1’
© Index 2005© Index 2005
……ContCont
Use ‘add’, ‘set’, o ‘remove’ para adicionar, Use ‘add’, ‘set’, o ‘remove’ para adicionar, cambiar, o remover cambiar, o remover reglasreglas
ReglasReglas pueden ser deshabilitados sin pueden ser deshabilitados sin removerlos, usando el comando ‘disabled’.removerlos, usando el comando ‘disabled’.
AlgunAlgunaas s reglasreglas pueden ser movid pueden ser movidaas con el s con el comando ‘move’.comando ‘move’.
© Index 2005© Index 2005
Instalación del Instalación del ruteadorruteador Mk Mk
El ruteadorEl ruteador Mk puede ser instalado usando: Mk puede ser instalado usando: Floppy disks (Floppy disks (muy tediosomuy tedioso)) CD creado desde una imagen ISO, contiene todos los CD creado desde una imagen ISO, contiene todos los
paquetes.paquetes. Vía red usando netinstall, la pc donde se instalarVía red usando netinstall, la pc donde se instalaráá
debe botear con un floppy, o usando Protocolos PXE debe botear con un floppy, o usando Protocolos PXE o EtherBoot desde algunas ROMS de ciertas tarjetas o EtherBoot desde algunas ROMS de ciertas tarjetas de red.de red.
Con imagen de DiscoCon imagen de Disco Con Memoria Flash/IDECon Memoria Flash/IDE
© Index 2005© Index 2005
Configuración BásicaConfiguración Básica
Interfaces deben estar habilitadas y Interfaces deben estar habilitadas y funcionando (cables conectados, interfase funcionando (cables conectados, interfase inalámbrica configurada)inalámbrica configurada)
Direcciones IP asignadas a las interfaces:Direcciones IP asignadas a las interfaces:[Mk] > /ip address \[Mk] > /ip address \add address=10.1.0.2/24 interface=ether1add address=10.1.0.2/24 interface=ether1
Adicione la ruta de defaultAdicione la ruta de default[Mk] > /ip route \[Mk] > /ip route \add gateway=10.1.0.1add gateway=10.1.0.1
© Index 2005© Index 2005
Comando ‘Setup’Comando ‘Setup’
Use el comando ‘setup’ para la Use el comando ‘setup’ para la configuración inicialconfiguración inicial
Algunos otros menús tienen opción de Algunos otros menús tienen opción de setup, entre ellos:setup, entre ellos: HotSpot setupHotSpot setup DHCP server setupDHCP server setup
© Index 2005© Index 2005
Laboratorio de Configuración de Laboratorio de Configuración de una Red Privadauna Red Privada
Conecta tu ruteador vía cable cruzadoConecta tu ruteador vía cable cruzado Ejecuta Mac-Telnet para conectarte a elEjecuta Mac-Telnet para conectarte a el Remueve todas las direcciones de las Remueve todas las direcciones de las
interfainterfasseses Selecciona una red privada para tiSelecciona una red privada para ti
10…., or 192.168…., or 172.16….10…., or 192.168…., or 172.16…. Asigna una dirección privada para la Asigna una dirección privada para la
ether1ether1
© Index 2005© Index 2005
Principios del FirewallPrincipios del Firewall
Las reglas de firewall están organizadas en Las reglas de firewall están organizadas en cadenas (chains)cadenas (chains)
Reglas en cadenas son procesadas en el orden Reglas en cadenas son procesadas en el orden que aparecenque aparecen Si una regla la cumple un paquete, la accion Si una regla la cumple un paquete, la accion
especificada es tomadaespecificada es tomada Si el paquete no cumple la regla , o hay una Si el paquete no cumple la regla , o hay una
acción=passthrough, la siguiente regla es procesadaacción=passthrough, la siguiente regla es procesada
La acción de default para la cadena es hecha La acción de default para la cadena es hecha después de haber alcanzado el fin de la cadenadespués de haber alcanzado el fin de la cadena
© Index 2005© Index 2005
Protegiendo el ruteadorProtegiendo el ruteador
El acceso al router es controlado por las El acceso al router es controlado por las reglas de filtrado de la cadena input.reglas de filtrado de la cadena input.
Nota, Los filtros de IP no filtran Nota, Los filtros de IP no filtran comunicaciones de nivel 2 OSI, por comunicaciones de nivel 2 OSI, por ejemplo MAC Telnetejemplo MAC Telnet Deshabilite el MAC-Server al menos en la Deshabilite el MAC-Server al menos en la
interfase publica para asegurar buena interfase publica para asegurar buena seguridad.seguridad.
© Index 2005© Index 2005
Ejemplo de cadena InputEjemplo de cadena Input
/ip firewall rule input/ip firewall rule inputadd connection-state=established comment="Established connections"add connection-state=established comment="Established connections"add connection-state=related comment="Related connections"add connection-state=related comment="Related connections"add protocol=udp comment=“Allow UDP" add protocol=udp comment=“Allow UDP" add protocol=icmp limit-count=50 limit-time=5s limit-burst=2 \add protocol=icmp limit-count=50 limit-time=5s limit-burst=2 \ comment="Allow limited pings"comment="Allow limited pings"add protocol=icmp action=drop \add protocol=icmp action=drop \ comment="Drop excess pings"comment="Drop excess pings"add src-addr=159.148.147.192/28 comment="From trusted network“add src-addr=159.148.147.192/28 comment="From trusted network“add src-addr=192.168.1.0/24 comment="From our private network"add src-addr=192.168.1.0/24 comment="From our private network"add protocol=tcp tcp-options=syn-only dst-port=1723 \add protocol=tcp tcp-options=syn-only dst-port=1723 \ comment="Allow PPTP"comment="Allow PPTP"add protocol=47 comment="Allow PPTP"add protocol=47 comment="Allow PPTP"add action=drop log=yes comment="Log and drop everything else"add action=drop log=yes comment="Log and drop everything else"
© Index 2005© Index 2005
Ejemplo de cadena definida por Ejemplo de cadena definida por el usuarioel usuario
/ip firewall rule virus/ip firewall rule virus
add protocol=tcp dst-port=135-139 action=drop add protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"
add protocol=udp dst-port=135-139 action=drop add protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"comment="Drop Messenger Worm"
add protocol=tcp dst-port=445 action=drop add protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"
add protocol=udp dst-port=445 action=drop add protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"
© Index 2005© Index 2005
Filtrado de virus conocidosFiltrado de virus conocidos Paquetes iniciados por virus conocidos, pueden ser Paquetes iniciados por virus conocidos, pueden ser
filtrados por reglas en alguna cadena definida por el filtrados por reglas en alguna cadena definida por el usuario:usuario:/ip firewall rule virus/ip firewall rule virusadd protocol=tcp dst-port=135-139 action=drop \add protocol=tcp dst-port=135-139 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=135-139 action=drop \add protocol=udp dst-port=135-139 action=drop \ comment="Drop Messenger Worm"comment="Drop Messenger Worm"add protocol=tcp dst-port=445 action=drop \add protocol=tcp dst-port=445 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=445 action=drop \add protocol=udp dst-port=445 action=drop \ comment="Drop Blaster Worm“comment="Drop Blaster Worm“add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=12345 action=drop comment="NetBus"add protocol=tcp dst-port=12345 action=drop comment="NetBus"
top related