configuración 01

© Index 2005© Index 2005

RouterOSRouterOS

Introducción al sistema operativo Introducción al sistema operativo RouterOS MkRouterOS Mk


Que es el RouterOS?Que es el RouterOS?

El RouterOS es un sistema operativo y software El RouterOS es un sistema operativo y software que convierte a una PC en un ruteador que convierte a una PC en un ruteador dedicado, bridge, firewall, controlador de ancho dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso inalámbrico o cliente de banda, punto de acceso inalámbrico o cliente y mucho mas…y mucho mas…

El RouterOS puede hacer casi cualquier cosa El RouterOS puede hacer casi cualquier cosa que tenga que ver con tus necesidades de red, que tenga que ver con tus necesidades de red, además de cierta funcionalidad como servidor.además de cierta funcionalidad como servidor.


Estructura del RouterOSEstructura del RouterOS

Basado en kernel de LinuxBasado en kernel de Linux.. Puede ejecutarse desde Puede ejecutarse desde

discos IDE o módulos de discos IDE o módulos de memoria flashmemoria flash..

Diseño modularDiseño modular.. Módulos actualizablesMódulos actualizables.. Interfase grafica amigableInterfase grafica amigable..


LicenciamientoLicenciamiento

La Licencia es por instalaciónLa Licencia es por instalación.. Algunas funcionalidades requieren de cierto Algunas funcionalidades requieren de cierto

nivel de licenciamientonivel de licenciamiento.. La Licencia nunca expira , esto significa que el La Licencia nunca expira , esto significa que el

rruteadoruteador funcionara “de por vida” funcionara “de por vida”.. EL ruteador puede ser actualizado durante el EL ruteador puede ser actualizado durante el

periodo de actualización (1 año después de la periodo de actualización (1 año después de la compra de la licencia)compra de la licencia)..

El periodo de actualización puede ser extendido El periodo de actualización puede ser extendido a un 60% del costo de la licenciaa un 60% del costo de la licencia..


Características de RouterOSCaracterísticas de RouterOS

Ruteo. Estático o dinámico, políticas de Ruteo. Estático o dinámico, políticas de enrutamiento.enrutamiento.

Bridging. Protocolo Spanning tree, interfaces Bridging. Protocolo Spanning tree, interfaces múltiples bridge, firewall en el bridgemúltiples bridge, firewall en el bridge

Servidores y clientes: DHCP, PPPoE, PPTP, Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP.PPP, Relay de DHCP.

Cache: Web-proxy, DNSCache: Web-proxy, DNS Gateway de HotSpotGateway de HotSpot Lenguaje interno de scriptsLenguaje interno de scripts


Características del RouterOSCaracterísticas del RouterOS

Filtrado de paquetes porFiltrado de paquetes por Origen, IP de destinoOrigen, IP de destino Protocolos, puertosProtocolos, puertos Contenidos (Contenidos (seguimientoseguimiento de conexiones de conexiones P2PP2P))

Puede detectar ataques de denegación de Puede detectar ataques de denegación de servicio (DoS)servicio (DoS) Permite solamente cierto numero de paquetes por Permite solamente cierto numero de paquetes por

periodo de tiempoperiodo de tiempo Que pasa enseguida si el limite es desbordado o Que pasa enseguida si el limite es desbordado o

sobrepasadosobrepasado


Calidad de Servicio (QoS)Calidad de Servicio (QoS)

Varios tipos de tipos de queue:Varios tipos de tipos de queue: RED, BFIFO, PFIFO, PCQRED, BFIFO, PFIFO, PCQ

Sencillo de aplicar queues simples:Sencillo de aplicar queues simples: Por origen/destino red/dirección ip de cliente, Por origen/destino red/dirección ip de cliente,

interfaseinterfase Árboles de queues mas complejos:Árboles de queues mas complejos:

Por protocolo, puerto, tipo de conexiónPor protocolo, puerto, tipo de conexión..


Interfaces del RouterOSInterfaces del RouterOS

Ethernet 10/100, GigabitEthernet 10/100, Gigabit Inalámbrica (Atheros, Prism, CISCO/Aironet)Inalámbrica (Atheros, Prism, CISCO/Aironet)

Punto de acceso o modo estación/clientePunto de acceso o modo estación/cliente, WDS, WDS

SSííncronas: V35, T1, Frame Relayncronas: V35, T1, Frame Relay Asíncronas: Onboard serial, 8-port PCIAsíncronas: Onboard serial, 8-port PCI ISDNISDN xDSLxDSL Virtual LAN (VLAN)Virtual LAN (VLAN)


Como acceder al RouterComo acceder al Router

Los Los ruteadoresruteadores Mk pueden ser accedidos Mk pueden ser accedidos víavía:: Monitor y tecladoMonitor y teclado Terminal SerialTerminal Serial TelnetTelnet Telnet de MACTelnet de MAC SSHSSH Interfase grafica WinBoxInterfase grafica WinBox


Interface CLIInterface CLI

La primera vez que se entra use ‘admin’ sin La primera vez que se entra use ‘admin’ sin password.password.

Una vez dentro teclee ‘?’ para ver los comandos Una vez dentro teclee ‘?’ para ver los comandos disponibles en este nivel de menúdisponibles en este nivel de menú [Mk] > ?[Mk] > ? [Mk] > interface ?[Mk] > interface ? [Mk] > [Mk] >

Argumentos disponibles para cada comando se Argumentos disponibles para cada comando se obtienen de la misma manera: ‘?’obtienen de la misma manera: ‘?’


Navegación vía menús CLI Navegación vía menús CLI

Vaya a un nivel diferente de comandos Vaya a un nivel diferente de comandos usando sintaxis absoluta o relativa:usando sintaxis absoluta o relativa: [Mk] > interface {Enter}[Mk] > interface {Enter} [Mk] interface > wireless {Enter}[Mk] interface > wireless {Enter} [Mk] interface wireless > .. eth {Enter}[Mk] interface wireless > .. eth {Enter} [Mk] interface ethernet > print {Enter}[Mk] interface ethernet > print {Enter}


Comandos mas popularesComandos mas populares

Comandos mas populares en RouterOS Comandos mas populares en RouterOS en los menús CLI son:en los menús CLI son: Print y exportPrint y export set y editset y edit add / removeadd / remove enable / disableenable / disable movemove commentcomment monitormonitor


‘‘Print’ y ‘Monitor’Print’ y ‘Monitor’

‘‘print’ es uno de los mas usados en CLI. print’ es uno de los mas usados en CLI. Imprime una lista de cosas y puede ser usado Imprime una lista de cosas y puede ser usado con diferentes argumentos,ejemplocon diferentes argumentos,ejemplo print status,print status, print interval=2s,print interval=2s, print without-paging, etc.print without-paging, etc.

Use ‘print ?’ para ver los argumentos disponiblesUse ‘print ?’ para ver los argumentos disponibles ‘‘monitor’ usado repetidamente muestra el monitor’ usado repetidamente muestra el

estatusestatus ‘‘/interface wireless monitor wlan1’/interface wireless monitor wlan1’


……ContCont

Use ‘add’, ‘set’, o ‘remove’ para adicionar, Use ‘add’, ‘set’, o ‘remove’ para adicionar, cambiar, o remover cambiar, o remover reglasreglas

ReglasReglas pueden ser deshabilitados sin pueden ser deshabilitados sin removerlos, usando el comando ‘disabled’.removerlos, usando el comando ‘disabled’.

AlgunAlgunaas s reglasreglas pueden ser movid pueden ser movidaas con el s con el comando ‘move’.comando ‘move’.


Instalación del Instalación del ruteadorruteador Mk Mk

El ruteadorEl ruteador Mk puede ser instalado usando: Mk puede ser instalado usando: Floppy disks (Floppy disks (muy tediosomuy tedioso)) CD creado desde una imagen ISO, contiene todos los CD creado desde una imagen ISO, contiene todos los

paquetes.paquetes. Vía red usando netinstall, la pc donde se instalarVía red usando netinstall, la pc donde se instalaráá

debe botear con un floppy, o usando Protocolos PXE debe botear con un floppy, o usando Protocolos PXE o EtherBoot desde algunas ROMS de ciertas tarjetas o EtherBoot desde algunas ROMS de ciertas tarjetas de red.de red.

Con imagen de DiscoCon imagen de Disco Con Memoria Flash/IDECon Memoria Flash/IDE


Configuración BásicaConfiguración Básica

Interfaces deben estar habilitadas y Interfaces deben estar habilitadas y funcionando (cables conectados, interfase funcionando (cables conectados, interfase inalámbrica configurada)inalámbrica configurada)

Direcciones IP asignadas a las interfaces:Direcciones IP asignadas a las interfaces:[Mk] > /ip address \[Mk] > /ip address \add address=10.1.0.2/24 interface=ether1add address=10.1.0.2/24 interface=ether1

Adicione la ruta de defaultAdicione la ruta de default[Mk] > /ip route \[Mk] > /ip route \add gateway=10.1.0.1add gateway=10.1.0.1


Comando ‘Setup’Comando ‘Setup’

Use el comando ‘setup’ para la Use el comando ‘setup’ para la configuración inicialconfiguración inicial

Algunos otros menús tienen opción de Algunos otros menús tienen opción de setup, entre ellos:setup, entre ellos: HotSpot setupHotSpot setup DHCP server setupDHCP server setup


Laboratorio de Configuración de Laboratorio de Configuración de una Red Privadauna Red Privada

Conecta tu ruteador vía cable cruzadoConecta tu ruteador vía cable cruzado Ejecuta Mac-Telnet para conectarte a elEjecuta Mac-Telnet para conectarte a el Remueve todas las direcciones de las Remueve todas las direcciones de las

interfainterfasseses Selecciona una red privada para tiSelecciona una red privada para ti

10…., or 192.168…., or 172.16….10…., or 192.168…., or 172.16…. Asigna una dirección privada para la Asigna una dirección privada para la

ether1ether1


Estructura de firewallEstructura de firewall


Principios del FirewallPrincipios del Firewall

Las reglas de firewall están organizadas en Las reglas de firewall están organizadas en cadenas (chains)cadenas (chains)

Reglas en cadenas son procesadas en el orden Reglas en cadenas son procesadas en el orden que aparecenque aparecen Si una regla la cumple un paquete, la accion Si una regla la cumple un paquete, la accion

especificada es tomadaespecificada es tomada Si el paquete no cumple la regla , o hay una Si el paquete no cumple la regla , o hay una

acción=passthrough, la siguiente regla es procesadaacción=passthrough, la siguiente regla es procesada

La acción de default para la cadena es hecha La acción de default para la cadena es hecha después de haber alcanzado el fin de la cadenadespués de haber alcanzado el fin de la cadena


Protegiendo el ruteadorProtegiendo el ruteador

El acceso al router es controlado por las El acceso al router es controlado por las reglas de filtrado de la cadena input.reglas de filtrado de la cadena input.

Nota, Los filtros de IP no filtran Nota, Los filtros de IP no filtran comunicaciones de nivel 2 OSI, por comunicaciones de nivel 2 OSI, por ejemplo MAC Telnetejemplo MAC Telnet Deshabilite el MAC-Server al menos en la Deshabilite el MAC-Server al menos en la

interfase publica para asegurar buena interfase publica para asegurar buena seguridad.seguridad.


Ejemplo de cadena InputEjemplo de cadena Input

/ip firewall rule input/ip firewall rule inputadd connection-state=established comment="Established connections"add connection-state=established comment="Established connections"add connection-state=related comment="Related connections"add connection-state=related comment="Related connections"add protocol=udp comment=“Allow UDP" add protocol=udp comment=“Allow UDP" add protocol=icmp limit-count=50 limit-time=5s limit-burst=2 \add protocol=icmp limit-count=50 limit-time=5s limit-burst=2 \ comment="Allow limited pings"comment="Allow limited pings"add protocol=icmp action=drop \add protocol=icmp action=drop \ comment="Drop excess pings"comment="Drop excess pings"add src-addr=159.148.147.192/28 comment="From trusted network“add src-addr=159.148.147.192/28 comment="From trusted network“add src-addr=192.168.1.0/24 comment="From our private network"add src-addr=192.168.1.0/24 comment="From our private network"add protocol=tcp tcp-options=syn-only dst-port=1723 \add protocol=tcp tcp-options=syn-only dst-port=1723 \ comment="Allow PPTP"comment="Allow PPTP"add protocol=47 comment="Allow PPTP"add protocol=47 comment="Allow PPTP"add action=drop log=yes comment="Log and drop everything else"add action=drop log=yes comment="Log and drop everything else"


Ejemplo de cadena definida por Ejemplo de cadena definida por el usuarioel usuario

/ip firewall rule virus/ip firewall rule virus

add protocol=tcp dst-port=135-139 action=drop add protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"

add protocol=udp dst-port=135-139 action=drop add protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"comment="Drop Messenger Worm"

add protocol=tcp dst-port=445 action=drop add protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"

add protocol=udp dst-port=445 action=drop add protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"comment="Drop Blaster Worm"


Filtrado de virus conocidosFiltrado de virus conocidos Paquetes iniciados por virus conocidos, pueden ser Paquetes iniciados por virus conocidos, pueden ser

filtrados por reglas en alguna cadena definida por el filtrados por reglas en alguna cadena definida por el usuario:usuario:/ip firewall rule virus/ip firewall rule virusadd protocol=tcp dst-port=135-139 action=drop \add protocol=tcp dst-port=135-139 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=135-139 action=drop \add protocol=udp dst-port=135-139 action=drop \ comment="Drop Messenger Worm"comment="Drop Messenger Worm"add protocol=tcp dst-port=445 action=drop \add protocol=tcp dst-port=445 action=drop \ comment="Drop Blaster Worm"comment="Drop Blaster Worm"add protocol=udp dst-port=445 action=drop \add protocol=udp dst-port=445 action=drop \ comment="Drop Blaster Worm“comment="Drop Blaster Worm“add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=4444 action=drop comment="Worm"add protocol=tcp dst-port=12345 action=drop comment="NetBus"add protocol=tcp dst-port=12345 action=drop comment="NetBus"

configuración 01

Education