1. ndiceIntroduccin................................................................................. ............................... 3Metodologa........................................................................................ ......................... 6Resultado y discusin............................................................................................... ... 8 Estudio bibliogrfico de Mikrotik RouterOS ............................................................. 8 Caractersticas principales .....................................................................................

8 Caractersticas de ruteo ......................................................................................... 8 Caractersticas del RouterOS................................................................................. 9 Calidad de servicio (QoS) ..................................................................................... 9 Tipos de colas ................................................................................................... 9 Colas simples .................................................................................................... 9 rboles de colas ................................................................................................ 9 Interfases del RouterOS ...................................................................................... 10 Herramientas de manejo de red ........................................................................... 10 Estudio descriptivo de la empresa Royaltech........................................................... 11 Router CBA ........................................................................................................ 13 Sub-red Administracin ...................................................................................... 15 Sub-red Ventas................................................................................................... . 17 Sub-red Produccin............................................................................................ . 19 Sub-red Hotspot

.................................................................................................. 20 Sub-red Servidores............................................................................................. . 21 Diseo de la implementacin virtualizada de la red. ................................................ 22 Instalacin de Mikrotik RouterOS....................................................................... 22 Logueo al Mikrotik ............................................................................................. 26 Backup y Restore de Configuracin .................................................................... 29 Backup de la configuracin. ............................................................................ 29 Restore de la configuracin. ............................................................................ 31 Definicin y configuracin de interfases. ................................................................ 32 Asignacin de nombres a las interfases................................................................ 32 Definicin de Vlans ............................................................................................ 39 Asignacin de Direcciones IPs a las interfases .................................................. 42 Definimos UPnP para las interfases:.................................................................... 47 Configuracin Pools de Direcciones de IP........................................................... 49 Definir DNS...................................................................................................... .. 51 Nat Masquerade para todas las redes ................................................................... 52 Configuracin Servidor DHCP................................................................................ 53 Asignacin de direcciones de ip fijas a partir de direcciones MAC. ..................... 58 Configuracin Servidor - Cliente NTP: ................................................................... 60 Servidor NTP...................................................................................................... 60 Cliente NTP ........................................................................................................ 60 Servidor y Cliente PPPoE ....................................................................................... 63

Configuracin Servidor PPPoE ........................................................................... 63 Configuracin Cliente PPPoE: ............................................................................ 65 Servidor Cliente PPTP ......................................................................................... 68 Configuracin Servidor PPTP: ............................................................................ 68 Configuracin Cliente PPTP ............................................................................... 71 1 2. Servidor Web Proxy................................................................................................ 79 Bloqueo Pornografa ........................................................................................... 86 Bloqueo paginas que brinden el servicio de Web Messenger ............................... 88 Bloqueo del Live Messenger A Travs del Proxy ................................................ 90 Bloqueo de pginas que brinden webmail............................................................ 91 Bloqueo descarga directa de archivos MP3 y AVI............................................... 92 Bloqueo descarga directa de archivos RAR, ZIP, EXE ........................................ 93 Bloqueo Archivos RAR................................................................................... 93 Bloqueo Archivos ZIP..................................................................................... 94 Bloqueo Archivos EXE ................................................................................... 94 Balanceo de carga ................................................................................................... 95 Control de ancho de banda .................................................................................... 105 Asignacin de ancho de banda por sub red ........................................................ 105 Traffic Shaping de (P2P)................................................................................... 108 Liberacin del ancho de banda fuera del horario de trabajo ............................... 114 Firewall

.............................................................................................................. .. 118 Bloqueo de los P2P para redes de ventas y produccin ...................................... 118 Bloqueo del cliente MSN Live Messenger......................................................... 120 Redireccionamiento de puertos.......................................................................... 124 Puerto 80 WEB ............................................................................................. 124 Puerto 110 POP3........................................................................................... 125 Puerto 25 SMTP............................................................................................ 126 Puerto 1723 PPTP ......................................................................................... 127 Descartar conexiones invlidas.......................................................................... 130 Aceptar conexiones establecidas ....................................................................... 131 Acepta Trafico UDP.......................................................................................... 132 Acepta icmp Limitados ..................................................................................... 133 Descarta excesivos icmp ................................................................................... 134 Descarta el resto de las conexiones externas ...................................................... 135 Configuracin Hot Spot ........................................................................................ 137 Servidor de SNMP ................................................................................................ 157 Configuracin Servidor SMNP ............................................................................. 158 Servidor Radius .................................................................................................... 163 Configuracin Servidor Radius ......................................................................... 163 Configuracin MySQL...................................................................................... 166

Configuracin dialup admin .............................................................................. 167 Configuracin servidor - cliente Jabber ................................................................. 174 Servidor Jabber ................................................................................................. 174 Cliente Jabber ................................................................................................... 175 Sniffing de Paquetes ............................................................................................. 182 Instalacin Ntop................................................................................................ 182 Instalacin Wireshark........................................................................................ 185Conclusin...................................................................................... ......................... 196Bibliografa ............................................................................................................. 197 2 3. Introduccin Hoy por hoy la realidad nos dice que las redes informticas, se han vueltoindispensables, tanto para las personas como organizaciones. Les da oportunidad deinteractuar con el resto del mundo, ya sea por motivos comerciales, personales oemergencias. La optimizacin en el uso de los sistemas informticos es uno de los elementosde interaccin y desarrollo que rige los destinos de la ciencia informtica. Es por elloque la aparicin de las plataformas de interconexin de equipos de computacin o redesinformticas. Las mismas resultan ser uno de los elementos tecnolgicos msimportantes al momento de definir un sistema informtico en una organizacin. Entre las principales las ventajas que le brinda a una empresa el uso de redesinformticas, podemos detallar algunas: compartir recursos especialmente informacin(datos), proveer la confiabilidad, permite la disponibilidad de programas y equipos paracualquier usuario de la red que as lo

solicite sin importar la localizacin fsica delrecurso y del usuario. Permite al usuario poder acceder a una misma informacin sinproblemas llevndolo de un equipo a otro. Tambin es una forma de reducir los costosoperativos, compartiendo recursos de hardware y/o de software entre las diversascomputadoras de su empresa. La empresa ROYAL-TECH se encuentra ubicada en la ciudad de Crdoba,dicha empresa cuenta con tres reas, administracin, ventas y produccin. Ademscuenta con una oficina de ventas en la ciudad de Buenos Aires. En los ltimos dos aos la empresa creci abruptamente, paso de tener 200puestos de trabajo a 600 puestos de trabajo; lo cual acarreo una serie de problemasestructurales a nivel informtico. Entonces se decidi disear una nueva red informticala cual pueda soportar la nueva estructura de la empresa. Por medio de esta nueva red laempresa podr contar con dos proveedores de Internet simultneos, los cuales sedistribuirn balaceadamente en el rea de ventas. Esto es debido a la gran utilizacinque se produce en esta sub-red del ancho de banda. Se utilizan dos proveedores distintosdel servicio de Internet debiendo que en el caso que se caiga una de las conexiones, laempresa siempre posea conectividad con el exterior. 3 4. Dicha red informtica deber proveer servicio al total de la empresa con 600puestos de trabajo distribuidos en sus tres reas y se deber crear una red virtual privada(VPN) para interconectar la oficina de ventas ubicada en la ciudad de Buenos Aires, conla oficina de ventas situada en la ciudad de Crdoba. Brindndole una conexin msrpida y segura, considerando aspectos econmicos y tecnolgicos. En el presente trabajo se documenta la configuracin y puesta a punto de una redas como la definicin de las polticas de seguridad de la red para un funcionamientoflexible y ptimo. Tras un anlisis y estudio de las necesidades particulares de cada caso, se crearauna red con cuatro sub-redes: LAN Administracin, LAN Ventas, LAN Produccin,LAN Servidores. Se utilizar un servidor

DHCP para cada una de las sub-redes, con lo cuallogramos asignar automticamente las direcciones IP a cada uno de los puestos de losusuarios dentro de cada sub-red. Para la sub-red de servidores se les asigna unadireccin IP dependiendo del nmero de MAC que tenga el servidor. Se creara servidor ntp y usuario ntp, para sincronizar la hora con todos losusuarios. Tambin se creara un servidor PPTP; que es el servidor VPN con el cual seconecta la oficina de Ventas de Buenos Aires a nuestra red derivndola a la red del reade Ventas. Se configura un servidor SNMP. Dicho servidor nos muestra el estado de lasinterfases, y se utiliza para monitoreo del estado de las interfaces del Mikrotik Se aplicara polticas de control de ancho de banda, por sub-redes o por puesto detrabajo. El control de ancho de banda de los P2P ser aplicado a la red deadministracin por poltica de la empresa. Tambin el filtrado total de los p2p seraplicado a las redes del las reas de Ventas y Produccin Se bloqueara en los puesto de usuario el MSN Live Messenger y se crear unservidor llamado JABBER de mensajera privada de la empresa. La instalacin de un Web Proxy, se utilizar para la optimizacin del ancho debanda utilizado en Internet y filtrado de pginas no aptas. Su funcionamiento consisteen guardar en un disco fijo todas las pginas que se hayan visitado. A propsito para 4 5. que cuando un nuevo usuario desee visitar una de las paginas ya guardadas. Entonces elservidor automticamente le enva la pgina guardada del disco fijo y no la descargadesde la Web. Haciendo este proceso mucho ms rpido y eficiente. Liberacin del ancho de banda fuera del horario de trabajo: Debido a que laempresa no trabaja las 24hs al da, se dispuso la posibilidad de liberar el ancho de bandapara la red de Administracin, en un rango horario determinado. Para ello lo primeroque debemos hacer es una nueva cola que la habilitaremos en los horarios de 20:00hs a06:00hs. Dicha red se implementara con Mikrotik Routeros, el mismo es un

sistemaoperativo y software del router; el cual convierte a una PC Intel un MikrotikRouterBOARD en un router dedicado. Se toma esta decisin ya que estos equiposbrindan seguridad, flexibilidad y son muy econmicos lo cual es un gran beneficio parala empresa, ya que la red es de un tamao considerable. En el presente trabajo se analizara la implementacin de una red simulada conMikrotik en la empresa virtual Royal Tech 5 6. Metodologa1. Estudio Exploratorio bibliogrfico sobre el manual de referencia de Mikrotik y normas internacionales. Se busco informacin en el manual de referencia, se tuvo en cuenta las normativas y reglamentaciones internacionales.2. Estudio descriptivo de la empresa Royal Tech. 2.1. Unidad de Anlisis del entorno organizacional de Royaltech Se re diseo la red teniendo en cuenta. 2.2. Variables Las nuevas reas de la empresa Cantidad de puestos de trabajos Interfaces a utilizar. Redes Virtuales Privadas Servidor de monitoreo SNMP Servidor de autenticacin RADIUS Servidor de mensajera privada JABBER Seguridad. Modelado de colas de trfico. Trfico cursado.3. Diseo de la implementacin virtualizada de la red, para la empresa Royal Tech utilizando mikrotik. Los pasos y procedimientos para la implementacin del Mikrotik fueron: Instalacin Mikrotik Acceso al Mikrotik 6 7. Declaracin de interfaces Definicin Vlans Asignacin de direccin ip por interfaces Asignacin de pools de direcciones ips Configuracin servidor DHCP Instalacin del servidor y cliente NTP. Servidor VPN Balanceo de carga Control de ancho de banda Instalacin servidor SNMP Instalacin servidor RADIUS Instalacin servidor JABBER Instalacin servidor PROXY Configuracin Hotspot. 7 8. Resultado y discusinEstudio bibliogrfico de Mikrotik RouterOS Dicha red se implementara con Mikrotik RouterOS que es el sistema operativoy software del router, el cual convierte a una PC Intel un

Mikrotik RouterBOARD enun router dedicado. Se toma esta decisin ya que estos equipos brindan seguridad, flexibilidad y sonmuy econmicos, lo cual es un gran beneficio para la empresa ya que la red es de untamao considerable El RouterOS es un sistema operativo y software que convierte a una PC en unruteador dedicado, bridge, firewall, controlador de ancho de banda, punto de accesoinalmbrico, por lo tanto puede hacer casi cualquier cosa que tenga que ver con lasnecesidades de red, adems de ciertas funcionalidad como servidor. El software RourterOS puede ejecutarse desde un disco IDE memoria tipoFLASH. Este dispositivo se conecta como un disco rgido comn y permite acceder alas avanzadas caractersticas de este sistema operativo.Caractersticas principales El Sistema Operativo es basado en el Kernel de Linux y es muy estable. Puede ejecutarse desde discos IDE o mdulos de memoria flash. Diseo modular Mdulos actualizables Interfaz grafica amigable.Caractersticas de ruteo Polticas de enrutamiento. Ruteo esttico o dinmico. Bridging, protocolo spanning tree, interfaces multiples bridge, firewall en el bridge. 8 9. Servidores y clientes: DHCP, PPPoE, PPTP, PPP, Relay de DHCP. Cache: web-proxy, DNS. Gateway de HotSpot. Lenguaje interno de scripts.Caractersticas del RouterOS Filtrado de paquetes por: Origen, IP de destino. Protocolos, puertos. Contenidos (seguimiento de conexiones P2P). Puede detectar ataques de denegacin de servicio (DoS) Permite solamente cierto nmero de paquetes por periodo de tiempo.Calidad de servicio (QoS)Tipos de colas RED BFIFO PFIFO PCQColas simples Por origen/destino de red. Direccin IP de cliente. Interfaserboles de colas Por protocolo. Por puerto. 9 10. Por tipo de conexin.Interfases del RouterOS Ethernet 10/100/1000 Mbit. Inalmbrica (Atheros, Prism, CISCO/Airones) Punto de acceso o modo estacin/cliente, WDS. Sncronas: V35, E1, Frame Relay. Asncronas: Onboard serial, 8-port PCI. ISDN

xDSL Virtual LAN (VLAN)Herramientas de manejo de red Ping, traceroute. Medidor de ancho de banda. Contabilizacin de trfico. SNMP. Torch. Sniffer de paquetes. Estas son las principales caractersticas del sistema operativo y software MikrotikRouterOS elegido para la implementacin de la red virtualizada. 10 11. Estudio descriptivo de la empresa Royaltech Despus de haber hecho un anlisis exhaustivo de la estructura de Royaltech, sepudo diagramar la estructura de cmo estaba conformada dicha empresa. Tenemos una sub-red de administracin, la cual, cuenta con un servidor dearchivos que se utiliza para brindar dicho servicio a todas las otras redes. Esto acarrea elproblema de que se genera demasiado trfico de datos hacia la red de Administracin, locual produce congestin y altas pedidas de paquetes. Por ende tenemos descontento delpersonal de la empresa al igual que ineficiencia de los mismos. Adems posee unaimpresora en la red del tipo hogarea para que impriman todas las otras sub-redes. Tener una sola impresora le trajo muchos inconvenientes a la empresa debido aque se generan colas interminables de documentos a imprimir. Tambin, la impresorase rompe cotidianamente debido al exceso de carga. Otro inconveniente que se producees el ingreso de personal ajeno al rea de administracin. Esto genera lentitud a la horade trabajar y perdida de tiempo de los empleados para ir a buscar sus documentos a laimpresora en otra rea. Rotura de mobiliario en la zona en cuestin al igual que la faltainjustificada de insumos. Las sub-redes de Ventas y Produccin simplemente poseen pcs conectadas atravs de un switch. Todo este grupo de computadoras acceden al servidor de archivosal igual que la impresora a travs del router principal. 11 12. El router en cuestin, no es un router de alta productividad, con lo cual segeneran grandes problemas de congestin, debido a que no puede administrar la grancantidad y volumen de informacin que

transita por la red. Los switch en cada una de las reas son idnticos. Ninguno posee la habilidad depoder administrar sus puertos, al igual que estn imposibilitados de generar vlan ocualquier otro tipo de poltica que se pueda generar en otro tipo de switch. Debido a esta disposicin de red y los constantes problemas tcnicos que posee,al igual que la pedida de tiempo de los recursos humanos de tener que desplazarse hastaotro piso para buscar sus impresiones. Por eso la empresa decidi la reestructuracin desu red para optimizar y mejorar la produccin de la misma y sus recursos humanos. Luego de examinar dicha situacin se decidi planificar toda unareestructuracin de la red nueva. Lo cual solucionar los problemas de congestin aligual que proveer mayor productividad. Lo cual traer grandes beneficios. 12 13. La nueva red planeada posee dos nuevas sub-redes, una un hotspot y la otra unasub-red de servidores. Tambin en esta nueva reestructuracin se interconectara lasoficinas de ventas que estn ubicadas en la ciudad de Buenos Aires con las oficinas deventas en la ciudad de Crdoba. Asimismo se opto por la utilizacin de dos proveedoresde Internet distintos, debido a que constantemente posean problemas de cada delservicio de ADSL. Se dejo a este ultimo como backup de las dos otras conexiones.Router CBA Nuestro router en las oficinas de Crdoba esta basado en la plataforma Intel condos placas de red que poseen 4 puertos Gigabit Ethernet cada una. El sistema operativopara la implementacin ser Mikrotik RouterOs. El router proveer de varios servicios para la red. En los cuales podemosencontrar Servidor DHCP, Firewall, Servidor PPPoE, Cliente PPPoE, Servidor PPTPServer, Modelado de colas, Cliente NTP, Servidor NTP, Web Proxy, Hotspot. El servidor DHCP, nos brindara las direccion de IP, Gateway, broadcast, dnspara cada una de a las sub redes. 13 14. El Firewall se utilizar para las siguientes actividades: Bloqueo del cliente MSN Live Messenger. Bloqueo P2P para redes

Produccin y Ventas. Redireccionamiento de puertos. o Puerto 80 WEB. o Puerto 110 POP3. o Puerto 25 SMTP. o Puerto 1723 PPTP. Descartar conexiones invlidas. Aceptar conexiones establecidas. Acepta Trafico UDP. Acepta paquetes de icmp Limitados. Descarta excesivos paquetes de icmp Descarta el resto de las conexiones externas El servidor PPTP, ser utilizado para interconectar las oficinas de Buenos Aires yCrdoba. El servidor PPPoE ser utilizado para autenticar a los usuarios que se deseen logueardesde fuera de la red de produccin. El cliente PPPoE se utilizar en el caso improbable que las dos otras conexiones aInternet se caigan. Con lo cual se utilizar como ruta alternativa de backup. El modelado de colas se utilizar para asignarle un determinado ancho de bandaa cada una de las sub redes. Al igual se utilizar el modelado de colas para el control deancho de banda para los clientes P2P El cliente NTP, se utilizar para sincronizar la hora de nuestro mikrotik. El servidorNTP se utilizar para que las computadoras de la red estn sincronizadas. 14 15. El Web Proxy se utilizar para filtrar el contenido que los usuarios realicen alnavegar a travs de Internet. Para ello se aplicaran las siguientes polticas: Bloqueo Pornografa Bloqueo paginas que brinden el servicio de Web Messenger Bloqueo del Live Messenger A Travs del Proxy Bloqueo de pginas que brinden webmail Bloqueo descarga directa de archivos MP3 y AVI Bloqueo descarga directa de archivos RAR, ZIP, EXESub-red Administracin La nueva restructuracin de la sub-red de administracin se dio debido al altotrfico que tenan entre todas las otras redes. A esta sub-red se decidi cambiar el switchque posea para utilizar un switch de alta productividad. 15 16. Nuestra sub-red poseer un pool de impresoras de red para esta sola rea. Estodisminuir el trfico de impresin al igual que el trfico de personal ajeno aAdministracin. Asimismo se le instalar un servidor de archivos propio de administracin en elcual se

encontrar exclusivamente los archivos de dicha ara. Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el routermikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.2.5/24 al192.168.2.254/24. Se decidi dejar las direcciones desde el 192.168.2.2/24 al192.168.2.4/24 fuera de este rango para el caso de que se quieran instalar algn otro tipode servidores en dicha rea en un futuro prximo. Los nmeros de ip asignados a losservidores sern asignado mediante la direccin mac de cada uno. La red de administracin ser conectada a travs del switch al router medianteun backbone de 1Gbit Ethernet. El cual ser limitado mediante teora de colas simples a250M/bits de subida y 300M/bits de bajada. Debido a que dentro del rea de administracin se encuentra gerencia, la mismaautoriz la utilizacin de los P2P para dicha rea. El trafico P2P ser modelado para queno ocupe gran cantidad de ancho de banda. 16 17. Sub-red Ventas A esta sub-red se le decidi cambiar el switch que posea para utilizar un switchde alta productividad. Nuestra subred poseer un pool de impresoras de red para esta sola rea. Estodisminuir el trfico de impresin al igual que el trfico de personal ajeno aAdministracin. Asimismo se le instalar un servidor de archivos propio de ventas en elcual se encontrar exclusivamente los archivos de dicha ara. Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el routermikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.3.5/24 al192.168.3.254/24. Se decidi dejar las direcciones desde el 192.168.3.2/24 al192.168.3.4/24 fuera de este rango para el caso de que se quieran instalar algn otro tipo 17 18. de servidores en dicha rea en un futuro prximo. Los nmeros de ip asignados a losservidores sern asignado mediante la direccin mac de cada uno. La red de ventas ser conectada a travs del switch al router mediante unbackbone de 1Gbit Ethernet. El cual ser limitado mediante teora de colas simples a400M/bits de

subida y 300M/bits de bajada. Esta sub-red albergara tambin las pcs de la oficina de Buenos Aires. Dichaoficina ser conectada a las oficinas de Crdoba mediante una VPN. Se utilizar elprotocolo PPTP para crear el tnel. El trfico de P2P quedar bloqueado absolutamente para esta sub-red. Ya que seprohibi el trafico p2p para esta rea. Para contra restar la carga hacia Internet desde esta red, se decidi realizar unbalanceo de carga entre los dos proveedores de Internet. Lo cual traer grandes 18 19. beneficio ya que no desbordara uno solo de los enlaces. Sino todo el trfico generadoser balanceado entre ambas conexiones.Sub-red Produccin A la sub-red de produccin se decidi cambiarle el switch que posea parautilizar un switch de alta productividad, que nos brinde la posibilidad de administrarpuertos. Nuestra sub-red poseer un pool de impresoras de red para esta sola rea. Estodisminuir el trfico de impresin al igual que el trfico de personal ajeno aAdministracin. Asimismo se le instalar un servidor de archivos propio de produccin en el cualse encontrar exclusivamente los archivos de dicha ara. 19 20. Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el routermikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.4.5/24 al192.168.4.254/24. Se decidi dejar las direcciones desde el 192.168.4.2/24 al192.168.4.4/24 fuera de este rango para el caso de que se quieran instalar algn otro tipode servidores en dicha rea en un futuro prximo. Los nmeros de ip asignados a losservidores sern asignado mediante la direccin mac de cada uno. La red de ventas ser conectada a travs del switch al router mediante unbackbone de 1Gbit Ethernet. El cual ser limitado mediante teora de colas simples a350M/bits de subida y 400M/bits de bajada. Esta sub-red poseer la posibilidad que usuarios que estn en otras reas de laempresa, se puedan conectar a esta subred mediante PPPoE. El trfico de P2P quedarbloqueado

absolutamente para esta sub-red. Ya que se prohibi el trafico p2p para estarea.Sub-red Hotspot 20 21. La red hot spot es una nueva red que se decidi implementar debido a que laempresa ahora posee un rea de recreacin. La misma red solo poseer la capacidad denavegar a travs de Internet. Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el routermikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.10.2/24 al192.168.10.254/24.Para la proteccin de los datos en la seccin wireless se decidi asegurarlos medianteWPA PSK o WPA2 PSK. Esto nos dar fiabilidad y seguridad en los mismos. Noobstante la seguridad WPAx que se desee implementar, todos los usuarios que seconecten al hotspot debern ser autenticados mediante el servidor radius instalado en lagranja de servidores.Sub-red Servidores 21 22. A la sub-red de Servidores se decidi cambiarle el switch que posea parautilizar un switch de alta productividad, que nos brinde la posibilidad de administrarpuertos. Nuestra sub-red poseer un pool de impresoras de red para esta sola rea. Estodisminuir el trfico de impresin al igual que el trfico de personal ajeno aAdministracin. Los nmeros de ip, Gateway, Broadcast y dns, sern asignados por el routermikrotik mediante DHCP. El Rango de direcciones ser desde 192.168.1.5/24 al192.168.1.254/24. Los nmeros de ip asignados a los servidores sern asignadomediante la direccin mac de cada uno. Asimismo se le instalar un servidor de archivos propio de administracin en elcual se encontrar exclusivamente los archivos de dicha ara. En esta sub-red se instalar un servidor radius para la autenticacin de losusuarios que se conecten desde el hotspot. El servidor de correo de la empresa se encontrar dentro de esta sub-red. Esteservidor se utilizar tanto para correo interno al igual que correo externo. El servidor de SNMP se utilizara para la monitorizacin de la red.Diseo de la implementacin virtualizada de la red.Instalacin de Mikrotik

RouterOS A continuacin vamos a mostrar paso por paso como se realiza la instalacin deMikrotik sobre una plataforma x86. La plataforma cuenta con 2 placas de red pci queposeen 4 bocas de red gigabyte Ethernet. Utilizaremos 2 bocas para conectarnos a dosproveedores de Internet distintos y una tercera para conectarnos a un proveedor de 22 23. ADSL. El resto de las placas se utilizaran para la distribucin de nuestra red interna.Utilizaremos la versin 2.9.27 Nivel 6 del software Mikrotik Router Os. Booteamos con un CD que contenga la imagen del Mikrotik RouterOs ya quemada.Luego nos aparecer el men de instalacin que nos preguntar que paquetes deseamosinstalar. Para desplazarnos por el men utilizamos las tecla P o N o sino las flechas delteclado. Para seleccionar o deseleccionar los paquetes a instalar utilizamos la BarraEspaciadora. Luego presionamos la tecla I para comenzar la instalacin local ennuestra plataforma.Los paquetes seleccionados para nuestra configuracin son los siguientes: System: Paquete principal que posee los servicios bsicos al igual que los drivers bsicos. Ppp: Provee de soporte para PPP, PPTP, L2TP, PPPoE e ISDN PPP. Dhcp: Servidor y cliente DHCP. Hotspot: provee de un hot spot. Hotspot-fix: Provee el parche para actualizar el modulo hot spot que tiene problemas en las versin 2.9.27. Ntp: Servidor y cliente NTP. 23 24. Routerboard: provee de las utilidades para el routerboard. Routing: Provee soporte para RIP, OSPF y BGP4. Rstp-bridge-test: provee soporte para Rapid Spanning Tree Protocol. Security: Provee soporte para IPSEC, SSH y conectividad segura con Winbox. Telephony: Provee soporte para H.323. Ups: provee soporte para UPS APC. User-manager: Servicio de usuario del RouterOs WebProxy: Paquete para realizar un Web Proxy. wireless -legacy: Provee soporte para placas Cisco Aironet, PrismII, Atheros entre otras. Luego la instalacin nos pregunta si deseamos quedarnos con

la configuracinanterior, contestamos que no N. La siguiente pregunta hace referencia a que perderemos todos los datos que seencuentran en el disco fijo le contestamos que si Y. A continuacin comienza el proceso de particionado y formateado del disco fijo quees automtico y no nos hace ningn tipo de preguntas. Luego nos dice que presionemosEnter para que el sistema se reinicie. Seguidamente que se reinicia el sistema, nos pregunta si deseamos chequear lasuperficie del disco fijo le contestamos que si Y. Luego comienza la instalacin de los paquetes seleccionados con anterioridad. Alfinalizar dicho proceso nos pide que presionemos Enter nuevamente para reiniciar elsistema. 24 25. Con el sistema reiniciado e instalado, la consola nos pide el usuario y contrasea.Por defecto dicho nombre de usuario es: admin y para la contrasea se deja el casilleroen blanco y se presiona enter. A continuacin nos da la bienvenida y nos pregunta si deseamos leer la licencia locual contestamos que si Y. 25 26. Luego de haber ledo la licencia ya nos queda la consola para comenzar a configurarnuestro Mikrotik.Logueo al Mikrotik Hay varias maneras para acceder a la administracin del Mikrotik sin haberconfigurado nada en un principio. La primera es directamente desde la consola finalizada la instalacin, otromtodo es utilizando una consola Telnet a travs del el puerto serie o Ethernet por maco ip, sino mediante la utilizacin del software winbox, el cual lo brinda losdesarrolladores de Mikrotik. Debido a la flexibilidad, rapidez y ventajas que presenta la utilizacin de winboxrespecto a los otros mtodos, ste ser la manera con la cual realizaremos laconfiguracin de la red. 26 27. Desde una PC remota con Windows xp instalado. Conectados mediante un cablecruzado al Mikrotik al puerto Ethernet. Hacemos correr el soft Winbox, el cual nosbrindara una ventana para loguearse al Mikrotik. En esta ventana nos deja introducir las

direcciones Mac o ip de la placa delMikrotik a la cual estamos conectados. Debido a que no hemos configurado el Mikrotikdesde la consola. Hacemos clic en () esto har que el software nos devuelva lasdirecciones Mac de las interfases de red que posean un Mikrotik instalado y corriendo.Seleccionamos la interfase y luego utilizaremos de Login: admin y como Password:(nada). Al finalizar esta carga de datos hacemos clic en Connect. Luego cuando el soft se conecta al Mikrotik automticamente empieza adescargar los plugins instalados en el Mikrotik para poder administrarlos remotamente. 27 28. Al finalizar la descarga de los plugins nos aparece la pantalla de configuracindel Mikrotik. En la cual a mano izquierda se encuentra el men de configuracin decada uno de los mdulos instalados. En la barra superior del software nos encontramos con la barra de herramienta.En la misma sobre mano izquierda posee las opciones de undo y redo. Sobre manoderecha podemos encontrar dos iconos, el primero muestra la utilizacin del Mikrotik yel segundo nos indica si la conexin que estamos realizando es segura o no. 28 29. Backup y Restore de Configuracin Debido a los problemas que pueden producirse en los equipamientos, siempre esbuena poltica tener back up de todas las configuraciones de los sistemas. Ahoramostraremos como se realizar un backup de la configuracin y como se recupera.Backup de la configuracin. Primero nos Dirigimos al men FILES all se nos abrir una ventana y nosmostrar los archivos que se encuentran almacenados. Debemos hacer clic sobre elbotn de BACKUP para realizar nuestro backup. Luego de haber hecho clic nos aparece un nuevo archivo en la lista queposeamos, que es nuestro backup de toda la configuracin del Mikrotik. 29 30. Sabiendo que el almacenamiento puede fallar, siempre es bueno tener una copiade resguardo en otro sitio. Para ello debemos hacer lo siguiente. Seleccionamos el archivo de backup que deseamos y

luego hacemos clic sobre elicono de COPY. Esto har que nuestro archivo de configuracin quede almacenado en elporta papeles de Windows. A continuacin creamos una carpeta en el disco fijo de laPC y pegamos el archivo. Nos aparecer y ya tendremos el backup de nuestro archivode configuracin en nuestra PC. 30 31. Restore de la configuracin. Si estamos recuperando el archivo de configuracin que esta dentro delMikrotik. Simplemente debemos ir al men FILES. En la ventana que nos aparecedebemos seleccionar la versin del backup que deseamos recuperar y hacer clic sobre elbotn de RESTORE. Para el caso que el archivo de back up se encuentre en nuestro disco fijo.Seleccionamos el archivo de backup, luego hacemos clic con el botn derecho delmouse y seleccionamos copiar. Luego en el winbox, simplemente debemos ir al menFILES. En la ventana que nos aparece, debemos hacerle clic en el icono de pegar y nosaparecer nuestra nueva configuracin. A continuacin seleccionamos nuestra nuevacon figuracin y apretamos el botn de restore. Se nos abrir una nueva ventana que nosaplicara la nueva configuracin y nos har reiniciar nuestro Mikrotik. 31 32. Definicin y configuracin de interfases. Actualmente las placas de red estn funcionando pero les falta la configuracinbsica para que se pueda acceder a ellas. Para esto deberemos asignarles los IP a cadauna de las interfases.Asignacin de nombres a las interfases. Nos dirigimos al men y elegimos INTERFASES. A continuacin nos aparece lalista de interfases que posee nuestro sistema. Hacemos doble clicks sobre las interfasesy les vamos cambiando el nombre asignndole los nombres correspondientes a cadauna. En nuestro caso utilizaremos: Globalphone, para nuestra conexin dedicada con IP fijo. Movifonica para nuestra conexin dedicada con IP fijo con el otro proveedor. Ventas: Ser la interfase exclusiva de ventas. Administracin: Ser la interfase exclusiva de Administracin. Produccin: Ser la interfase exclusiva de

Produccin. Servers: Ser la interfase para la granja de servidores. 32 33. ADSL: Ser la interfase para conectarse al ADSL de Backup Hotspot: ser la interfase que proveer acceso a la red mediante el hotspotInterfase: Movifonica Pestaa General: o Name: Movifonica o MTU: 1500 o ARP: Enable 33 34. Pestaa Ethernet: 100Mbps: Seleccionado Auto negotiation: seleccionado Full duplex: seleccionado. 34 35. Pestaa Status:En esta ventana podemos ver el estatus la interfase actual.Pestaa Traffic: 1. Vemos la grafica de kbps enviados y recibidos por dicha interfase. 2. Vemos la grafica de p/s enviados y recibidos por la interfase. 35 36. Interfase: ADSL Pestaa General: o Name:ADSL o MTU: 1500 o ARP: EnableInterfase: Administracion Pestaa General: o Name: Adminitracion o MTU: 1500 o ARP: Enable 36 37. Interfase: Globalphone Pestaa General: o Name: Globalphone o MTU: 1500 o ARP: EnableInterfase: Hotspot Pestaa General: o Name: Hotspot o MTU: 1500 o ARP: Enable 37 38. Interfase: Ventas Pestaa General: o Name: Ventas o MTU: 1500 o ARP: EnableInterfase: Produccion Pestaa General: o Name: Produccion o MTU: 1500 o ARP: Enable 38 39. Definicin de Vlans Debido a las caractersticas departamentales de la empresa debemos realizar 3 vlanspara separar las reas de: Administracin Ventas Produccin Para configurar las vlans debemos ir al men Interfases, se nos abrir la ventana deconfiguracin de interfases. Hacemos clic sobre el icono (+) y se nos desplegar unmen, elegimos la opcin Vlan y entramos a la ventana de configuracin de las mismas.Vlan Ventas Pestaa General: o Name: Vlan_Ventas o Type: Vlan o MTU: 1500 o

MAC:00:0C29:76:88:25 o ARP: Enable o Vlan ID:1 o Interfase: Ventas 39 40. Pestaa Traffic: Ver la grafica de kbps enviados y recibidos por dicha vlan Ver la grafica de p/s enviados y recibidos por la vlan 40 41. Vlan Administracin Pestaa General: o Name: Vlan_Administracion o Type: Vlan o MTU: 1500 o MAC:00:0C29:76:88:25 o ARP: Enable o Vlan ID:1 o Interfase: AdminitracionVlan Produccion Pestaa General: o Name: Vlan_Produccion o Type: Vlan o MTU: 1500 o MAC:00:0C29:76:88:25 o ARP: Enable o Vlan ID:1 o Interfase: Produccion 41 42. Asignacin de Direcciones IPs a las interfasesCon los nombres asignados a las interfases, debemos asignarle el IP a las mismas. Paraello debemos ir al men IP / Addresses. 42 43. Haciendo clic sobre el icono (+) nos abre una ventana que nos deja introducir los datosnecesarios para nuestras interfases.Interfase Globalphone: Address: 200.45.3.10/30 Network 200.45.3.0 Broadcast: 200.45.3.255 Interfase: Globalphone 43 44. Interfase Movofonica: Address: 200.45.4.10/30 Net work: 200.45.4.0 Broadcast: 200.45.4.255 Interfase: MovifonicaInterfase Servers: Address: 192.168.4.10/24 Network: 192.168.4.0 Broadcast: 192.168.4.255 Interfase: Servers 44 45. Interfase Administracin: Address: 192.168.2.1/24 Network: 192.168.2.0 Broadcast: 192.168.2.255 Interfase: AdministracinInterfase Ventas: Address: 192.168.3.1/24 Network: 192.168.3.0 Broadcast: 192.168.3.255 Interfase: Ventas 45 46. Interfase Produccin: Address: 192.168.4.1/24 Network: 192.168.4.0 Broadcast: 192.168.4.255 Interfase:

ProduccinInterfase Hot spot: Address: 192.168.5.1/24 Network: 192.168.5.0 Broadcast: 192.168.5.255 Interfase: Hot spot 46 47. Interfase ADSL Address: 192.168.0.1/24 Network: 192.168.0.0 Broadcast: 192.168.0.255 Interfase: ADSLLa configuracin final se ve de la siguiente manera:Definimos UPnP para las interfases: En este segmento simplemente tenemos que definir cuales de nuestras interfasesvan a mirar hacia Internet y cuales van a estar dentro de nuestra red. Nosotrosconfiguraremos a las conexiones como: 47 48. Ventas: Interna. Administracin: Interna Produccin: Interna Servers: Interna Hotspot: Interna Movifoncia: Externa. Globalphone: Externa. ADSL: Externa Para realizar dicha configuracin debemos ir en el men a: IP / UNPnP. Hacemosclic sobre el icono (+) y asignamos a cada una de las interfases si es interna o externa. Luego de haber asignado los tipos de interfase debemos configurar un ltimodetalle en settings. Le deseleccionamos la opcin allow to disable External Interfase 48 49. Configuracin Pools de Direcciones de IP En una primera instancia hay que crear los pools de ips que van a poseer losgrupos de administracin, ventas y produccin y servers. Para ello Vamos al men IP / POOL. Se nos abre la ventana de configuracin depool y hacemos clic en el icono (+). En la nueva ventana creamos cada pool para cadauna de los grupos. La configuracin de los mismos es: Nombre: Pool Servers Rango de ip: 192.168.1.5 a 192.168.1.254 49 50. Nombre: Pool Ventas Rango de ip: 192.168.2.5 a 192.168.2.254 Nombre: Pool Produccin Rango de ip: 192.168.4.5 a 192.168.4.254 50 51. Nombre: Pool Administracin Rango de ip: 192.168.2.5 a 192.168.2.254 Se ha elegido comenzar todos los rangos a partir del ip x.x.x.5 para reservarnmeros de ip en el caso que se necesite

instalar algn tipo de servidor en cada grupo.Definir DNSPara definir los DNS simplemente hay que ir al men IP / DNS. Se nos abre unaventana de configuracin. Hacemos clic en Settings y escribimos los dns del proveedorde Internet. 51 52. Los datos que ingresamos son:Primary DNS: 200.45.191.35Secondary DNS: 200.45.191.40Nat Masquerade para todas las redes Par realizar el nat transparente entre todas las redes debemos ir al menIP/FIREWALL. Ah en la nueva ventana nos dirigimos a la pestaa NAT y hacemos clicsobre el icono (+). A continuacin aparece una ventana nueva de configuracin parapolticas de NAT y la configuramos de la siguiente manera:Pestaa General: Chan: srcnatPestaa Action: 52 53. Action: masqueradeConfiguracin Servidor DHCP A continuacin daremos de alta el servidor de DHCP en si. Para ello debemos iral men IP / DHCP Server. Se nos abrir una ventana de configuracin de servidoresdhcp. Hacemos clic en el icono (+) y creamos nuestros servidores de dhcp para cada unade las reas ya mencionadas.Ventana de configuracin DHCP:En esta ventana iremos introduciendo todos los requisitos necesario para ir levantadolos servidores de dhcp. La configuracin para cada uno de los servidores dhcp fue lasiguiente:DHCP Produccin: Nombre: DHCP Produccin Interfase: Produccin Address Pool: Pool Produccin 53 54. DHCP Administracin: Nombre: DHCP Administracin Interfase: Administracin Address Pool: Pool Administracin 54 55. DHCP Servers: Nombre: DHCP Servers Interfase: Servers Address Pool: Pool ServersDHCP Ventas: Nombre: DHCP Ventas. Interfase: Ventas. Address Pool: Pool Ventas. 55 56. No obstante los servidores de dhcp estn configurados, necesitamos configurarlas redes. Para ello en la ventana de DHCP

Server hacemos clic en la pestaaNetwork. Luego hacemos clic en el icono (+) y cargamos los datos de la red.Configuracin:Red Servers: Address: 192.168.1.0/24 Gateway: 192.168.1.1 Dns Server: 192.168.0.3 56 57. Red Administracin: Address: 192.168.2.0/24 Gateway: 192.168.2.1 Dns Server: 192.168.0.3Red Ventas: Address: 192.168.3.0/24 Gateway: 192.168.3.1 Dns Server: 192.168.0.3 57 58. Red Produccin: Address: 192.168.4.0/24 Gate way: 192.168.4.1 Dns Server: 192.168.0.3Asignacin de direcciones de ip fijas a partir de direcciones MAC. Debemos asignarle ip fijo a nuestros servidores para que sea mas simple nuestraconfiguracin del sistema. Para ello la asignacin de ip fijo la hacemos mediante elservidor de dhcp, asignando una direccin de ip fija a una Mac. Los pasos de configuracin son los siguientes. Nos dirigimos al men IP / DHCPServer. En la ventana que nos aparece hacemos clic en la pestaa LEASES. Enmencionada pestaa hacemos clic en el icono (+). La configuracin de la ventanuela es: Server de snmp, jabber: o Address: 192.168.1.2 o MAC Address: 00:0C:29:64:45:9E (MAC del servidor snmp, jabber) o Servers: all 58 59. Server RADIUS: o Address: 192.168.1.3 o MAC Address: 00:0C:29:C6:59:DA (MAC del servidor) o Servers: all Luego para que esta asignacin quede esttica debemos hacer clic en el botn deMAKE STATIC. De la pestaa LEASES. 59 60. Configuracin Servidor - Cliente NTP: Debido a que utilizaremos polticas referenciadas a tiempo debemos ser precisoscon el mismo. Para ello debemos instalar un cliente en nuestro Mikrotik para tener lahora precisa y un servidor para brindarles dicha hora a los clientes. Consecuentementedebemos seguir los siguientes pasos.Servidor NTPPara el servidor nos dirigimos al men SYSTEM / NTP SERVER. En la nueva ventanaSeleccionamos solamente la opcin MANYCAST y hacemos clic en el botn deENABLEAhora Con esta

configuracin del servidor podemos hacer que todas las computadorasde la red estn sincronizadas con nuestro servidor de tiempo.Cliente NTP Para configurar nuestro cliente NTP, para que nos sincronice nuestra hora delMikrotik conjuntamente con la de un reloj nuclear. Debemos ir al men SYSTEM / NTPCLIENT. Se nos abrir la ventana de configuracin del cliente NTP y le asignamos loscalores siguientes: Mode: Unicast Primary NTP Server: 129.6.15.28 Secondary NTP Server: 129.6.15.29 60 61. Luego hacemos clic en ENABLE.Dichos servidores son: timea.nist.gov 129.6.15.28 NIST, Gaithersburg, Maryland timeb.nist.gov 129.6.15.29 NIST, Gaithersburg, Maryland A continuacin nos dirigimos al men SYSTEM / CLOCK. En la nueva ventana lecargamos los datos de fecha, hora, y uso horario. Para nuestro caso los mismos son: Date: Apr/04/2008 Time: 16:17:00 Time Zone: -03:00 Utilizamos -03:00 para la Time Zone ya que nosotros en Cordoba tenemos ese usohorario que es el mismo de Buenos Aires respecto a Greenwich. 61 62. En la pestaa DST, configuraremos cambios del uso horario por ejemplo: en elhorario de verano que tenemos 1 hora de diferencia. Par ello hacemos clic en DST. Losdatos que utilizaremos como ejemplo son los siguientes: DST Delta: +:01:00 DST Start: Dec/01/2007 DST Start Time: 00:00:00 DST End: Mar/16/2008 DST End Time:00:00:00 Habilitando esta opcin nos ahorramos todos los inconvenientes de cambiar loshorarios de todas las polticas que se hayan generado. 62 63. Servidor y Cliente PPPoEConfiguracin Servidor PPPoE Debido a que la sub red de produccin se podr acceder desde otras subredes dela empresa se decidi por cuestiones de seguridad acceder mediante una conexinPPPoE. Debemos habilitarle el servidor de PPPoE. Para ello nos dirigimos al menPPP. Se nos abre la ventana de configuracin de PPP. Luego nos dirigimos a la

pestaa Profiles. Ah hacemos clic en el icono (+) paragenerar el perfil de usuario que necesitamos. A continuacin se nos abre una ventana yla llenamos con los siguientes datos: Name: PPPoE_Produccion Local Address: Pool_Produccion Remote Address: Pool_ProduccionLuego toda la otra informacin la dejamos por defecto. A Continuacin nos dirigimos nuevamente al men PPP y en la ventana que seabri nos dirigimos a la pestaa Secrets. Ah hacemos clic en el icono (+) y 63 64. generaremos nuestro usuario. Para ello llenaremos la ventana con la siguienteinformacin: Name: Usuario_Produccion Password: Usuario_Produccion Service: pppoe Profile PPPoE_Produccion Nos dirigimos nuevamente al men PPP. En la ventana nueva hacemos clic sobre elbotn PPPoE Server. En la nueva ventana que se nos abre configuraremos el nuevoservidor de PPPoE. Para ello debemos hacer clic en el botn (+). La configuracin delmismo ser: Service Name: PPPoE Server Interfase: Hotspot Max MUT: 1488 Min MUT: 1488 Keep Alive time out: 10 64 65. Default Profile: PPPoE_Produccion Autenticaciones: PAP, chap mschap1 y mschap2Configuracin Cliente PPPoE: Para configurar la conexin a Internet mediante el ADSL debemos generar laconexin con el proveedor, para ello debemos ir al men y seleccionar PPP. Se nos abreuna ventana y debemos presionar en el (+) y elegir PPPoE Client. Para configurar laconexin de ADSL seguimos los siguientes pasos.En la pestaa General: Introducimos el nombre de la conexin Ciudanet Max MTU:1480 Max MRU: 1480 Seleccionamos la interfase por donde queremos realizar la conexin de Adel ADSL. 65 66. En la pestaa Dial Out: User: royaltech@ciudanet -cordoba-apb Password: royaltech Profile: Default Add default Route PAP, chap, Mschap, mschap2: (seleccionados) 66

67. En la pestaa Status Podemos: Ver el tiempo activo de la conexin Ver el tiempo que estuvo inactivo la conexin El tipo de codificacin Tamao MTU Tamao MRU El nombre del servicio El AC Name AC MAC AddressEn la pestaa Traffic podemos: Ver la grafica que los bps enviados y recibidos. Ver la grafica de p/s enviados y recibidos. 67

68. Servidor Cliente PPTPConfiguracin Servidor PPTP: Debido a que tenemos oficinas de ventas fuera de crdoba, surgi la necesidadde realizar una VPN entre Buenos Aires y Crdoba. Para ello se necesita configurar elservidor de PPTP en la ciudad de Crdoba. Los pasos para dicha con figuracin son:Debemos ir al men PPP, se nos abrir la ventana de configuracin de conexionesPPPx. Luego hacemos clic en la pestaa PROFILES. A continuacin hacemos clic enicono (+). Con la nueva ventana de profiles abierta la configuramos de la siguientemanera: Name: Profile_VPN Local Address: Pool_Ventas Remote Address: Pool_Ventas Use compresin: Default Use Vj Compression: Default User Encryption: Yes Change TCP MMS: Yes 68

69. Con el profile ya generado para VPN debemos crear el usuario que utilizara dichoprofile. Para ello vamos al men PPP, hacemos clic en la pestaa SECRESTS.Hacemos clic sobre el icono (+) y en la nueva ventana la configuramos de lasiguiente manera: Name: vpn Password: vpn Service: pptp Profile: Profile_VPN 69

70. Finalmente debemos dar de alta el servidor de PPTP. Para ello nos dirigimos almen PPP, en la pestaa Interfases hacemos clic sobre el botn PPTP Server.En la nueva ventana la configuramos de la manera siguiente: Enable (seleccionado) Max MTU: 1460 Max MRU: 1460 Keepalive Timeout:30 Default Profile: Profile_VPN Mschap1 y mschap2 (seleccionados) 70

71. Configuracin Cliente PPTP Utilizaremos la conexin de vpn de Windows Xp para el ejemplo. En elescritorio de Windows nos

dirigimos a INICIO / PANEL DE CONTROL /CONEXIONES DE RED. Creamos una conexin nueva siguiendo los prximos pasos.Hacemos clic en siguiente 71 72. Seleccionamos Connect to the network at my placeSeleccionamos Virtual Private Network Connection 72 73. Escribimos el nombre de la conexin: Royaltech Seleccionamos que no nos disque una conexin inicial. Para el caso de queutilicemos el ip fijo en nuestras oficinas en Buenos Aires. Luego clic en Siguiente 73 74. Finalmente escribimos la direccin web de nuestro servidor. Address: royaltech.com.ar A continuacin hay que configurar el tipo de autenticacin que vamos a utilizarpara ello nos paramos sobre la conexin Royaltech, la abrimos.A la ventana la configuramos de la siguiente manera: Nombre de usuario: victor Contrasea: victor Guardar nombre de usuario y contrasea (seleccionado) 74 75. Luego hacemos clic en propiedades. 75 76. Hacemos clic en la pestaa Seguridad.Seleccionamos Avanzado y luego clic en Settings. En nuestra ventana de configuracin avanzada de seguridad la seteamos de lasiguiente manera: Allow this Protocols: Seleccionado Uncrypted Password: Deseleccionado Shiva Autenticacin Password Protocol : Deseleccionado Chalenge handshake authentication protocol: Deseleccionado Microsoft CHAP : Seleccionado Microsoft CHAP Versin 2 : SeleccionadoLuego hacemos clic en OK 76 77. Luego hacemos clic en la pestaa Networking y Editamos las propiedades deInternet Protocol (TCP/IP) 77 78. En dicha ventana hacemos clic en Avanzado.En la ventana de avanzado la configuramos as: User default Gateway on remote network: Deseleccionado. 78

79. Servidor Web Proxy Se decidi utilizar un servidor Web Proxy para ahorrar ancho de banda utilizadopor los usuarios en Internet. Para ello nos dirigimos al men IP / WEB-PROXY. En nuestra ventana de configuracin hacemos clic en SETTINGS. Se esta maneraentramos a la ventana de configuracin del servidor Proxy. Dicha ventana laconfiguraremos de la siguiente manera. Src. Address: La dejamos en blanco Port: 3128 Hostname: Proxy Transparent Proxy: Seleccionado. Parent Proxy: lo dejamos en blanco Parent Proxy Port: lo dejamos en blanco Cache Administrator: adminitrador@royaltech.com.ar Maximum Object size: 4096 Cache Drive: system Maximum cache Size : 2000000 Maximum Ram Cache Size 128000 79

80. A continuacin hacemos clic en ENABLE. Se nos abre una ventanita y le hacemosclic en ok. Como segundo paso debemos generar un una regla en el firewall para que haga unredireccionamiento al servidor Proxy. Para ello nos dirigimos al men IP / FIREWALLen nuestra ventana de configuracin hacemos clic en la pestaa NAT, luego clic en elbotn (+). La ventana la configuramos de la siguiente manera.Interfase Produccin: Chain: dstnat Protocol: 6 (tcp) Interfase produccin. 80

81. Luego hacemos clic sobre la pestaa ACTION y la configuramos de la siguiente manera: Action: Redirect To ports: 3128 Realizamos esta misma configuracin para cada una de las interfases de nuestrared. La configuracin de las mismas es:Interfase Administracin:Pestaa General: Chain: dstnat Protocol: 6 (tcp) Interfase: administracin 81

82. Pestaa Action: Action: Redirect To ports: 3128Interfase Ventas:Pestaa General: Chain: dstnat Protocol: 6 (tcp) Interfase: ventas 82

83. Pestaa Action: Action: Redirect To ports: 3128 Por ultimo configuraremos el NAT para el ruteo entre todas las subredes de

laempresa .Para ello nos dirigimos al men IP / FIREWALL en nuestra ventana deconfiguracin hacemos clic en la pestaa NAT, luego clic en el botn (+). La ventana laconfiguramos de la siguiente manera.Pestaa General: Chain: srcnat 83 84. Pestaa Action: Action: MasqueradeNuestra configuracin de polticas de NAT se ven de la siguiente manera: A continuacin debemos proteger nuestro servidor de cualquier utilizacin desdeel exterior de la red. Para ello nos dirigimos al men IP / FIREWALL. En la ventananueva hacemos clic en la pestaa FILTER RULES, a continuacin hacemos clic en elicono (+). Nuestra nueva poltica de filtrado de paquetes la configuramos as:Pestaa: General: Chain: input Protocol: 6 (tcp) Dst. Port.: 3128 In. Interfase: Ciudanet 84 85. Pestaa Action: Action: DropNuestras polticas de filtrado se ven de la siguiente manera: 85 86. Bloquearemos algunas pginas con la utilizacin del Web Proxy. Para ello sedefini que no se podr ingresar a sitios pornogrficos desde la red ni la utilizacin depginas que tengan el servicio de Web Messenger al igual que Yahoo u otros.Bloqueo Pornografa Nos dirigimos al men IP / Web Proxy. En la nueva ventana dentro de la pestaaAccess hacemos clic en el icono (+). Las nuevas polticas se configuran de la siguientemanera: Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *porn* Method: any Action: deny Este filtro nos bloqueara cualquier site que posea la palabra *porn* en sunombre. Tambin nos sirve debido a que si el usuario busca algo con la palabra porn enGoogle o cualquier otro buscador tambin nos bloquee la bsqueda. 86 87. Poltica 2 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *sex* Method: any Action: denyPoltica 3 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *xxx* Method: any Action: deny 87

88. Bloqueo paginas que brinden el servicio de Web Messenger El Bloqueo de las pginas que brindan el servicio de Web Messenger tambin serbloqueado. Para dicha configuracin realizamos los siguientes pasos. Nos dirigimos almen IP / Web Proxy. En la nueva ventana dentro de la pestaa Access hacemos clic enel icono (+). Las nuevas polticas se configuran de la siguiente manera: Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *webmessenger.yahoo.com* Method: any Action: denyLa configuracin se repite para los siguientes sites:Site: webmessenger.msn.com Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *webmessenger.msn.com* Method: any Action: deny 88

89. Sitio: www.ebuddy.com Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: * ebuddy.com* Method: any Action: denySite: meebo.com Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *meebo.com* 89

90. Method: any Action: denyBloqueo del Live Messenger A Travs del Proxy Para e bloqueo del Messenger utilizamos la siguiente poltica en el Web Proxy parabloquearlo. Para ello realizamos los siguientes pasos. Nos dirigimos al men IP / WebProxy. En la nueva ventana dentro de la pestaa Access hacemos clic en el icono (+).Las nuevas polticas se configuran de la siguiente manera: Bloqueo Messenger o Src. Address: 0.0.0.0/0 o Dst. Address: 0.0.0.0/0 o URL: *Gateway.messenger.* o Method: any o Action: deny 90

91. Bloqueo de pginas que brinden webmail Para e bloqueo de pginas que brinden webmail como mail.yahoo.com,Hotmail.com, etc. debemos utilizamos la siguiente poltica en el Web Proxy parabloquearlo. Para ello realizamos los siguientes pasos. Nos dirigimos al men IP / WebProxy. En la nueva ventana dentro de la pestaa Access hacemos clic en el icono (+).Las nuevas polticas se

configuran de la siguiente manera: Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *mail* Method: any Action: deny 91 92. Bloqueo descarga directa de archivos MP3 y AVI Para e bloqueo de descarga directa de archivos MP3 y avi debemos utilizamos lasiguiente poltica en el Web Proxy para bloquearlo. Para ello realizamos los siguientespasos. Nos dirigimos al men IP / Web Proxy. En la nueva ventana dentro de la pestaaAccess hacemos clic en el icono (+). Las nuevas polticas se configuran de la siguientemanera:Bloqueo archivos Mp3 Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.mp3 Method: any Action: denyBloqueo Archivos Avi Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.avi* Method: any Action: deny 92 93. Bloqueo descarga directa de archivos RAR, ZIP, EXE Para e bloqueo de descarga directa de archivos MP3 y avi debemos utilizamos lasiguiente poltica en el Web Proxy para bloquearlo. Para ello realizamos los siguientespasos. Nos dirigimos al men IP / Web Proxy. En la nueva ventana dentro de la pestaaAccess hacemos clic en el icono (+). Las nuevas polticas se configuran de la siguientemanera:Bloqueo Archivos RAR Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.rar* Method: any Action: deny 93 94. Bloqueo Archivos ZIP Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.zip* Method: any Action: denyBloqueo Archivos EXE Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL: *.exe* Method: any Action: deny 94 95. Las politicas del servidor web Proxy se ven de la siguiente manera.Balanceo de carga Debido a que poseemos dos conexiones a los proveedores de Internetutilizaremos el balanceo de carga para optimizar el trfico en la red. Debido a que la subred ventas genera grandes volmenes de trafico hacia Internet el balanceo de carga Seraplicado a ella. Para configurar nuestro balanceo debemos realizar los siguientes pasos. No sdirigimos al men IP / FIREWALL.

De ah vamos a la pestaa Mangle. Hacemos clic enel icono (+) y comenzamos nuestra configuracin de las polticas para el balaceo decargas. A la nueva ventana la configuramos de la siguiente manera. 95 96. Pestaa General: Chain: prerouting In. Interfase Ventas Connection State: newPestaa Extra: Every: 1 Counter: 1 Packet:0 96 97. Pestaa Action: Action: mark connection New Connection Mark: Salida_Movifonica Pass thought: seleccionadoCreamos una segunda poltica y la configuramos as:Pestaa General: Chain: prerouting In. Interfase: Ventas Connection mark: Salida_Movifonica 97 98. Pestaa Action: Action: mark routing New Routing Mark: Marca_Salida_MovifonicaTercera poltica de mangle. Se configura as:Pestaa General: Chain: prerouting In. Interfase 98 99. Connection State: NewPestaa Extra: Every: 1 Counter:1 Packet:1 99 100. Pestaa Action: Action: mark connection New Connection Mark: Salida_globalphone Pass thought (seleccionado)Cuarta poltica de mangle se configura as:Pestaa general: Chain: prerouting In. Interfase: Ventas Connection mark: Salida Globalphone 100 101. Pestaa Action: Action: mark routing New routing Mark: Marca_Salida_Globalphone Pass Thought: (No Seleccionado)Nuestras polticas de Mangle se ven as: A continuacin debemos crear dos polticas de NAT para continuar con laconfiguracin. Para ello nos dirigimos al men IP / FIREWALL. Hacemos clic en lapestaa NAT, luego clic en el icono (+). 101

102. La primera poltica de NAT se configura as:Pestaa General: Chain: srcnat Connection Mark: Salida_MovifonicaPestaa Action: Action: src-nat To addresses: 200.45.4.10 To Ports: 0-65535 102

103. La segunda poltica de NAT se configura as:Pestaa General: Chain: srcnat Connection Mark: Salida_MovifonicaPestaa Action: Action: src-nat To Addresses: 200.45.4.10 0-65535 103

104. Nuestras polticas de NAT se vern asi: Por ultimo para finalizar la configuracin debemos realizar unas ltimaspolticas de ruteo. Para ello entramos en el men NEW TERMINAL. En la terminal quenos aparece tipeamos lo siguiente:/ip route add dstaddress=0.0.0.0/0 gateway=200.45.3.1 scope=255 target-scope=10 routing-mark=Marca_Salida_Globalphone comment=""disabled=no/ip route add dst-address=0.0.0.0/0 gateway=200.45.4.1 scope=255 target-scope=10 routingmark=Marca_Salida_Movifonica comment=""disabled=no/ip route add dst-address=0.0.0.0/0 gateway=200.45.4.1 scope=255 targetscope=10 comment="Gateway por Defecto" disabled=no 104

105. Nuestras polticas de Ruteo se ven de la siguiente manera:Control de ancho de bandaAsignacin de ancho de banda por sub red Debido a que muchas veces los usuarios realizan malos usos de los anchos debanda, hemos decidido agregarle polticas al router para poder controlar dichoproblema.Para los distintos grupos de usuarios les asignaremos distinto ancho de banda: Administracin : Subida 250 M/Bits Bajada 300 M/Bits 105

106. Produccin: Subida 400 M/bits Bajada 300 M/bits Ventas: Subida 350 M/bits Bajada 400 M/bits Para el control del ancho de banda debemos ir al men QUEUES. All se nosabrir una ventana de configuracin. Hacemos clic en el icono (+) de la pestaa Simple Queues. Se nos abre la nuevapara configurar la nueva cola.Cola Administracin:Pestaa General: Name: Queue_Administracion

Target Address: 192.168.2.0/24 Max Limit: 250M (upload) , 300M (download) 106 107. Cola Ventas:Pestaa General: Name: Queue_Ventas Target Address: 192.168.3.0/24 Max Limit: 350M (upload) , 400M (download)Cola Produccin:Pestaa General: Name: Queue_Produccion Target Address: 192.168.4.0/24 Max Limit: 400M (upload) , 300M (download) 107 108. Las colas configuradas se vern de la siguiente manera:Traffic Shaping de (P2P) Polticas internas de la empresa plantearon que solamente en el rea deadministracin se pueda utilizar los p2p. Anteriormente habamos asignado un ciertoancho de banda para administracin ahora deberemos modelar las colas del trafico paraque los p2p no se consuman todo el trafico. Debemos ir al men IP / FIREWALL. Ah se nos abrir nuestra ventana deconfiguracin de polticas del firewall. Hacemos clic sobre la pestaa Mangle, acontinuacin hacemos clic sobre el botn (+). 108 109. En la ventana de mangle con figuramos lo siguiente: Chain: prerouting P2P: all-p2pA continuacin hacemos clic en la pestaa Action. All la configuracin es la siguiente: Action: mark_connection New Connection Mark: (tipeamos) connexion_p2p Passthough (seleccionado). A continuacin dentro de la pestaa mangle hacemos clic nuevamente en el botn (+) para crear una nueva regla. La configuracin para la ventana es: 109 110. Chan: prerouting Connection Mark: conexin_p2p (la que habamos creado anterior mente)Luego nos dirigimos a la pestaa Action, en la misma la configuramos de lasiguiente manera: Action: Mark Packet New Packet Mark: (tipeamos) p2p 110 111. Ahora deberemos configurar las polticas para que nos marque los paquetes p2p para poder bloquearlos en las otras redes. Para ello debemos ir al men IP /FIREWALL. Hacemos clic en la pestaa

mangle y luego clic en el icono (+). En la pestaa General de la nueva ventana la configuramos de la siguiente manera: Chain: prerouting Connection Mark: conexin_p2pLuego nos dirigimos a la pestaa Action y la configuramos de la siguiente manera: Action: mark packet Packet mark: (tipeamos) p2p_bloqueado Pass though: (seleccionado) 111 112. Las reglas creadas se vern de la siguiente manera. Nos dirigiremos al men QUEUES. En la ventana que nos aparece, crearemoscuatro nuevas colas para la poltica de los p2p. Hacemos clic sobre la pestaa QueueTree. Y luego clic sobre el botn (+).La configuracin de la cola de entrada ser la siguiente: Name: Queue_p2p_in Parent: Global-in Packet Mark: p2p Queue Type: default Priority: 8 Max Limit: 256k 112 113. Hacemos clic en el botn (+) y generamos una nueva colaLa configuracin de la cola de salida ser: Name: Queue_p2p_out Parent: global-out Packet Mark: p2p Queue type: default Priorit y: 8 Max Limit: 256k 113 114. Liberacin del ancho de banda fuera del horario de trabajo Debido a que la empresa no trabaja las 24hs al da, se dispuso la posibilidad deliberar el ancho de banda para la red de Administracin, en un rango horariodeterminado. Para ello lo primero que debemos hacer es una nueva cola que la habilitaremos enlos horarios de 20:00hs a 06:00hs. Ir al men QUEUES en la pestaa Queues Tree,hacemos clic en el icono (+). Se nos abre la ventana de configuracin. La configuracinde la misma es: Name: Queue_in_Global_P2P_libre Parent: global-in Packet Mark: p2p Queue Type: Default Priority: 8Antes de hacer clic sobre aceptar, hacemos clic en DISABLE y luego hacemos clic enaceptar.La segunda cola que debemos realizar es de la siguiente manera: Name: Queue_out_Global_P2P_Libre 114

115. Parent: global-out Packet Mark: p2p Queue Type: Default Priority: 8 Antes de hacer clic sobre aceptar hacemos clic en DISABLE y luego hacemosclic en aceptar. Vamos al men SYSTEM / SCRIPTS. Se nos abre la ventana de administracin descripts. Hacemos clic en el icono (+) y configuramos la ventana nueva con lossiguientes datos: Name: Bloquea_Bw Policy: Write y Read Source: /queue tree enable Queue_In_Global_P2P_Limitado /queue tree disable Queue_In_Global_P2P_Libre /queue tree enable Queue_Out_Global_P2P_Limitado /queue tree disable Queue_Out_Global_P2P_Libre Ahora con nuestro segundo script. Vamos al men SYSTEM / SCRIPTS. Se nos abrela ventana de administracin de scripts. Hacemos clic en el icono (+) y configuramos laventana nueva con los siguientes datos: Name: Libera_Bw 115

116. Policy: Write y Read Source: /queue tree disable Queue_In_Global_P2P_Limitado /queue tree enable Queue_In_Global_P2P_Libre /queue tree disable Queue_Out_Global_P2P_Limitado /queue tree enable Queue_Out_Global_P2P_LibreDe la siguiente manera se ve como queda configurada nuestra lista de scripts: Siguiendo con la configuracin vamos al men SYSTEM / SCHEDULER. En laventana nueva que se nos abre, comenzaremos con la configuracin de nuestros eventos.Hacemos clic sobre el botn (+). La configuracin del primer evento es: Name: Bloquea_Bw State Date: Apr/16/2008 Start Time: 06:00:00 Interval: 1d 00:00:00 On Event: Bloquea_Bw 116

117. Luego hacemos clic nuevamente en el icono (+) y creamos nuestro segundo evento,cuya configuracin es: Name: Libera_Bw State Date: Apr/16/2008 Start Time: 20:00:00 Interval: 1d 00:00:00 On Event: Libera_BwAs es como se ve configurada nuestra lista de scripts: 117

118. FirewallBloqueo de los P2P para redes de ventas y produccinDebido alas polticas implementadas por gerencia solamente en el rea deadministracin se podr utilizar los P2P. para ello la configuracin para bloquear dichotrafico es la siguiente. Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic enel icono (+). A continuacin configuramos de la siguiente manera:Pestaa general: Chain: forward P2P: all-p2p Out. Interface: ProduccinPestaa Action: Action: drop 118

119. Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic enel icono (+). A continuacin configuramos de la siguiente manera:Pestaa general: Chain: forward P2P: all-p2p Out. Interface: VentasPestaa Action: Action: drop 119

120. Bloqueo del cliente MSN Live Messenger Debido a que los empleados de la empresa suelen perder demasiado tiempoutilizando el MSN Live Messenger, la empresa decidi bloquear dicho programa. Paraello se establecieron las siguientes polticas de firewall. Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic enel icono (+). A continuacin configuramos de la siguiente manera:Primera poltica de firewall: Pestaa General: o Chain: Forward o Protocol: Tcp (6) o Dst. Port: 1863 Pestaa General: o Action: Drop 120

121. Segunda poltica de Firewall: Pestaa General: o Chain: Forward o Protocol: Tcp (6) o Dst. Port: 5190 Pestaa Action o Action: DropTercera poltica de Firewall: 121

122. Pestaa General: o Chain: Forward o Protocol: Tcp (6) o Dst. Port: 6901 Pestaa Action: o Action: Drop .Cuarta poltica de Firewall: Pestaa General: o Chain: Forward o Protocol: Tcp (6) o Dst. Port: 6891-6900 122

123. Pestaa Action: o Action: DropQuinta poltica de firewall: Pestaa General: o Chain: Forward o Protocol: Tcp (6) o Dst. Address: 65.54.239.211 Pestaa Action: o Action: Drop 123

124. Finalizada dicha configuracin ningn usuario podr conectarse al MSN LiveMessenger. Para que el bloqueo sea completo debemos utilizar una poltica en el Web-Proxy que instalaremos mas adelante.Redireccionamiento de puertos A continuacin debemos redireccionar puertos para que el trfico que se generehacia adentro de la red obtengan las respuesta deseada. Por ejemplo que nuestroservidor web muestre las pginas correspondientes, que el servidor de SMTP y POP3puedan enviar y recibir mails etc.Puerto 80 WEB Para redireccionar el puerto 80 desde el exterior a nuestro servidor web ip:192.168.1.2 debemos realizar los siguientes pasos. Ir al men IP / FIREWALL. Hacerclic en la pestaa NAT. Luego hacer clic en el icono (+). A la nueva ventana laconfiguramos de la siguiente manera.Pestaa General: Chain:dstnat Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 80 124

125. Pestaa Action: Action: dst-nat To Addresses: 192.168.1.2 To Port: 80Puerto 110 POP3 Para redireccionar el puerto 110 desde el exterior a nuestro servidor pop3 ip:192.168.1.2 debemos realizar los siguientes pasos. Ir al men IP / FIREWALL. Hacerclic en la pestaa NAT. Luego hacer clic en el icono (+). A la nueva ventana laconfiguramos de la siguiente manera.Pestaa General: Chain: dstnat Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 110 125

126. Pestaa Action: Action: dst-nat To Addresses: 192.168.1.2 To Port: 110Puerto 25 SMTPPara redireccionar el puerto 25 desde el exterior a nuestro servidor pop3 ip: 192.168.1.2debemos realizar los siguientes pasos. Ir al men IP / FIREWALL. Hacer clic en lapestaa NAT. Luego hacer clic en el icono (+). A la nueva ventana la configuramos dela siguiente manera.Pestaa General:

Chain:dstnat Dst. Address: 200.45.3.10 Protocol: 6 (tcp) Dst. Port: 25 126 127. Pestaa Action: Action: dst-nat To Addresses: 192.168.1.2 To Port: 25Puerto 1723 PPTPPara aceptar conexiones al puerto 1723 desde el exterior debemos realizar los siguientespasos. Ir al men IP / FIREWALL. Hacer clic en la pestaa FILTER RULES. Luegohacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera.La primer politica es para aceptar el trafico al puerto 1723 tcpPestaa General: Chain: input Protocol 6 (tcp) Dst. Port: 1723 127 128. Pestaa Action: Action: acceptLa segunda politica es para aceptar todo el trafico al puerto 1723 UDPPestaa General: Chain: input Protocol 17 (udp) Dst. Port: 1723Por ultimo aceptaremos todas las comunicaciones que estn establecidas. 128 129. Pestaa General: Chain: input Connection State: establishedPestaa Action: Action: accept 129 130. Descartar conexiones invlidas Para descartar las conexiones invlidas desde el exterior debemos realizar lossiguientes pasos. Ir al men IP / FIREWALL. Hacer clic en la pestaa FILTER RULES.Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguientemaneraPestaa General: Chain: input Connection State: InvalidPestaa Action: Action: drop 130 131. Aceptar conexiones establecidas Para aceptar las conexiones establecidas desde el exterior debemos realizar lossiguientes pasos. Ir al men IP / FIREWALL. Hacer clic en la pestaa FILTER RULES.Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguientemaneraPestaa General: Chain: input Connection State: established 131

132. Pestaa Action: Action: acceptAcepta Trafico UDP Para aceptar las conexiones UDP establecidas desde el exterior debemos realizarlos siguientes pasos. Ir al men IP / FIREWALL. Hacer clic en la pestaa FILTERRULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de lasiguiente maneraPestaa General: Chain: input Protocol: 17 (udp)Pestaa Action: Action: Accept 132

133. Acepta icmp Limitados Para aceptar icmp limitados desde el exterior debemos realizar los siguientespasos. Ir al men IP / FIREWALL. Hacer clic en la pestaa FILTER RULES. Luegohacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente maneraPestaa General: Chain: input Protocol: 1 (icmp)Pestaa Extra: Rate: 50 / 5 Burst: 2 133

134. Pestaa Action: Action: acceptDescarta excesivos icmp Para descartar excesivos icmp desde el exterior debemos realizar los siguientespasos. Ir al men IP / FIREWALL. Hacer clic en la pestaa FILTER RULES. Luegohacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente maneraPestaa General: Chain: input Protocol: 1 (icmp)Pestaa Action: Action: Drop 134

135. Descarta el resto de las conexiones externas Para descartar el resto de las conexiones desde el exterior debemos realizar lossiguientes pasos. Ir al men IP / FIREWALL. Hacer clic en la pestaa FILTER RULES.Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la siguientemaneraPestaa General: Chain: input In. Interface: GlobalphonePestaa Action: Action: drop 135

136. Agregamos una poltica nueva para bloquear el acceso externo desde la internaseMovifonica de esta manera:Pestaa General: Chain: input In. Interface: Movifonica.Pestaa Action: Action: drop 136

137. El orden de las polticas se ven en la siguiente grafica.Configuracin Hot Spot Debido a que nuestra rea de esparcimiento no esta cercana al router principal.Se ha decido instalar una red wireless. Para ello se utilizara un router AP MikrotikRB600. Logueados al Mikrotik mediante Winbox. Nos dirigimos al men INTERFASES.En la ventana que nos aparece hacemos clic sobre la interfase wlan1 y la habilitamosapretando el botn derecho del Mouse y elegimos la opcin Enable 137

138. A continuacin le hacemos doble clic a la interfase y comenzamos la configuracinde la misma. La pestaa General se configura de la siguiente manera. Name: wlan1 MTU: 1500 MAC Address: 00:0C:42:05:A9:A3 Arp: enabledPestaa Wireless: Radio Name: AP-1 Mode: AP bridge SSID: Royal_Tech_Hotspot Band: 5Ghz Frequency: 5200 Security Profile: default 138

139. Frequency Mode: manual Txpower County: no_country_set DFS Mode: none Proprietary Extensions: post-2.9.25 Default Authenticate: Seleccionado Default forward: Seleccionado 139

140. Pestaa Data Rates:No se le modificara la configuracin Standard. Pestaa Advanced: Max Station Count: 2007 Act Timeout: dynamic Periodic Calibration : Default Calibration level: 00:01:00 Antenna mode: antenna a Preamble mode: both Disconnect time out: 00:00:03 On Fail Retry Time:100 140

141. Pestaa WDS: WDS Mode: Disable WDS default Bridge: none WDS Default Cost: 100 WDS Cost Range: 50-100 141

142. Pestaa Nstreme: Enable Ntreme: Deseleccionado Enable Polling: Seleccionado Framer Policy: none Framer Limit: 3200Pestaa Tx Power: Tx Power Mode: default 142

143. Pestaa Status:Esta pestaa nos muestra el Status de la interfase Wireless.Pestaa compression Status: Esta pestaa nos muestra el estado de la compresin de datos. 143

144. Pestaa Traffic: Nos muestra el trfico actual de la interfase en paquetes enviados y recibidos aligual que bits por segundo. Luego nos dirigimos al men IP / ADDRESS. En la nueva ventana hacemos clicsobre el icono (+) y configuramos una nueva ip, para la interfase ether1. Laconfiguracin de la misma es: Address: 192.168.5.3/24 Network: 192.168.5.0 Broadcast: 192.168.5.255 Interfase: ether1 144

145. A continuacin configuraremos la interfase wlan1. Para ello nos dirigimos almen IP / ADDRESSES y hacemos clic sobre el icono (+) Address: 192.168.10.1/24 Network: 192.168.10.0 Broadcast: 192.168.10.255 Interfase: wlan 145

146. Las interfases configuradas se ven de la siguiente manera. A continuacin debemos asignarle al hotspot el default Gateway para ello, nosdirigimos al men IP / ROUTES. En la nueva ventana le hacemos clic al icono (+) yconfiguramos la nueva ventana de la siguiente manera. Destination: 0.0.0.0/0 Gateway: 192.168.5.1 146

147. Las rutas se ven configuradas de la siguiente manera: A continuacin deberemos configurar nuestro HotSpot. Para ello nos dirigimosal men IP / Hotspot. En la nueva ventana dentro de la pestaa Servers, hacemosclic sobre el botn SETUP.En la ventana que nos aparece la configuramos de la siguiente manera. HotSpot interfase: wlan1 En la ventana siguiente elegimos la direccin de ip para la interfase de hotspot.La configuracin es: Local Address of Network 192.168.10.1/24 Masquerade Network: Seleccionado 147

148. A continuacin le asignamos el pool de ip que nos interesa que dicha interfasenos brinde a los clientes. La configuracin es:

Address Pool of Network: 192.168.10.2-192.168.10.254Luego no le seleccionamos ningn certificado SSL 148 149. Siguiendo nos pide la direccin del servidor STMP de nuestra red local es:IP Address of SMTP Server: 192.168.1.1Luego le asignamos los dns correspondientes.DNS Servers: 192.168.0.3 200.45.191.35Seguimos con el nombre de nuestro servidor dns el cual es: DNS Name: hotspot.royaltech.com.ar 149 150. Finalizando creamos nuestro usuario administrador. Nuestro hotspot configurado seve de la siguiente manera. Le hacemos doble clic al hotspot1 para configurar sus parmetros. La configuracin de los mismos son: Name: hotspot Interfase: wlan1 Hs-pool-5 Profile hsprofile1 Idel Timeout: 00:05:00 Addresses per Mac: 2 Luego dentro de la pestaa Servers hacemos clic en profiles. Y luego editamos la configuracin del profile hsprof1. La configuracin del mismo es: 150 151. Pestaa General: Name: hsprof1 Hotspot Address: 192.168.10.1 DNS Name: Hotspot.royaltech.com.ar HTML Directory: hotspot SMTP: 192.168.1.1Pestaa Login: HTTP CHAP y Cookie: Seleccionado MAC, HTTP PAP, HTTPS y Trial: deseleccionado. HTTP Cookie Lifetime: 01:00:00 151 152. Pestaa RADIUS: Use RADIUS: (seleccionado) Default Domain: 192.168.1.3 NAS PORT Type 19 (Wireless-802.11) Luego hacemos clic sobre la pestaa Users hacemos clic en el botn Profile ygeneramos uno. La configuracin del mismo es: Name Profile_Hotspot Address Pool: hs-pool-5 Idle Timeout. None Keekalive Timeout: 00:02:00 Shared Users: 1 Rate limit: 128k/256k 152 153. Pestaa Advertise: Advertise: deseleccionadoPestaa Script:No se genera ningn script y queda configurada por default. 153

154. Finalmente generaremos un perfil de seguridad para las conexiones Wireless.Para ello debemos ir al men WIRELESS, luego hacemos clic en al pestaa SecurityProfiles. Y creamos un profile nuevo haciendo clic en el icono (+).Pestaa General: Name: Royaltech-Secure Mode: dynamic keys WPA PSK, WPA2 PSK: Seleccionados Unicast ciphers o Tkip: Seleccionado o Aes ccm: Seleccionado Group Ciphers o Tkip: Seleccionado o Aes ccm: Seleccionado WPA Pre-Shared Key: royaltech WPA2 Preshared Key:royaltech RADIUS MAC Authentication (deseleccionado) 154

155. Pestaa EAP: EAP Methods: TLS Mode: no certifcate TLS certifcate: nonePestaa Static Keys:No utilizaremos llaves estticas. 155

156. A continuacin debemos asgnale este perfil de seguridad a nuestra interfasewilan1. Para ello nos dirigimos al men WIRELESS. Dentro de la pestaa Interfases.Le hacemos doble clic a nuestra interfase wlan1 y modificamos el siguiente valor. Security Profile: royaltech-Secure. Finalmente Vamos al men RADIUS. En la ventana nueva que se nos abre lahacemos clic en el icono (+). La nueva ventana la configuramos de la siguientemanera: Ppp, hotspot, login, wireless, telephony, dhcp: Seleccionados Address: 192.168.0.3 156

157. Secret: Radius Authentication port:1812 Accounting:1813 Time out : 600Servidor de SNMP Debido a los beneficios que brinda el monitoreo remoto de los servicios de unared. Hemos decidido implementar y habilitarle el servidor de snmp de un routerMikrotik. Para poder realizar dicha implementacin la dividiremos en dos partes. Primerola habilitacin o activacin del snmp en el router de CBA para la red 192.168.1.0.Luego utilizando la aplicacin mrtg instalada en el servidor de la direccin de ip192.168.1.2 graficaremos algunos datos obtenidos. 157

158. Configuracin Servidor SMNP Dentro del winbox, nos dirigimos al men SNMP, se nos abre la ventana deconfiguracin, hacemos clic en el botn Settings y le cargamos los siguientes datos. Enabled (marcado) Contact info: tatubias@server Location: cbaLlenando esos casilleros ya tendremos habilitado el servidor de snmp del mikrotik.Luego hay que crear la comunidad snmp, la cual la llamaremos servers. Para ellohacemos clic en el icono (+) y se nos abre la ventana de configuracin de comunidad yle cargamos los siguientes datos: Name: communa Address: 192.168.1.0/24 Read Access (marcado)Para una configuracin bsica esto nos alcanza para poder obtener cierta informacindel Mikrotik. 158

159. Dentro de winbox ir al men New Terminal se nos abre una ventana de terminal.Ah dentro debemos escribir lo siguiente para obtener las oid del sistema# /interfase print oidDicho comando nos mostrara la salida de pantalla con los datos de oid requeridos.[admin@MikroTik]interfase print oid0 R name=.1.3.6.1.2.1.2.2.1.2.1 mtu=.1.3.6.1.2.1.2.2.1.4.1 macaddress=.1.3.6.1.2.1.2.2.1.6.1 admin-status=.1.3.6.1.2.1.2.2.1.7.1 oper-status=.1.3.6.1.2.1.2.2.1.8.1 bytes-in=.1.3.6.1.2.1.2.2.1.10.1 packets-in=.1.3.6.1.2.1.2.2.1.11.1 discards-in=.1.3.6.1.2.1.2.2.1.13.1 errors-in=.1.3.6.1.2.1.2.2.1.14.1 bytes-out=.1.3.6.1.2.1.2.2.1.16.1 packets-out=.1.3.6.1.2.1.2.2.1.17.1 discardsout=.1.3.6.1.2.1.2.2.1.19.1 errors-out=.1.3.6.1.2.1.2.2.1.20.1 1 R name=.1.3.6.1.2.1.2.2.1.2.2 mtu=.1.3.6.1.2.1.2.2.1.4.2 macaddress=.1.3.6.1.2.1.2.2.1.6.2 admin-status=.1.3.6.1.2.1.2.2.1.7.2 oper-status=.1.3.6.1.2.1.2.2.1.8.2 bytes-in=.1.3.6.1.2.1.2.2.1.10.2 packets-in=.1.3.6.1.2.1.2.2.1.11.2 discards-in=.1.3.6.1.2.1.2.2.1.13.2 errors-in=.1.3.6.1.2.1.2.2.1.14.2 bytes-out=.1.3.6.1.2.1.2.2.1.16.2 packets-out=.1.3.6.1.2.1.2.2.1.17.2 discardsout=.1.3.6.1.2.1.2.2.1.19.2 errors-out=.1.3.6.1.2.1.2.2.1.20.2 2 R name=.1.3.6.1.2.1.2.2.1.2.3 mtu=.1.3.6.1.2.1.2.2.1.4.3 macaddress=.1.3.6.1.2.1.2.2.1.6.3 admin-status=.1.3.6.1.2.1.2.2.1.7.3

oper-status=.1.3.6.1.2.1.2.2.1.8.3 bytes-in=.1.3.6.1.2.1.2.2.1.10.3 159 160. packets-in=.1.3.6.1.2.1.2.2.1.11.3 discardsin=.1.3.6.1.2.1.2.2.1.13.3 errors-in=.1.3.6.1.2.1.2.2.1.14.3 bytesout=.1.3.6.1.2.1.2.2.1.16.3 packets-out=.1.3.6.1.2.1.2.2.1.17.3 discards-out=.1.3.6.1.2.1.2.2.1.19.3 errors-out=.1.3.6.1.2.1.2.2.1.20.3 3 R name=.1.3.6.1.2.1.2.2.1.2.7 mtu=.1.3.6.1.2.1.2.2.1.4.7 macaddress=.1.3.6.1.2.1.2.2.1.6.7 admin-status=.1.3.6.1.2.1.2.2.1.7.7 oper-status=.1.3.6.1.2.1.2.2.1.8.7 bytes-in=.1.3.6.1.2.1.2.2.1.10.7 packets-in=.1.3.6.1.2.1.2.2.1.11.7 discards-in=.1.3.6.1.2.1.2.2.1.13.7 errors-in=.1.3.6.1.2.1.2.2.1.14.7 bytes-out=.1.3.6.1.2.1.2.2.1.16.7 packets-out=.1.3.6.1.2.1.2.2.1.17.7 discardsout=.1.3.6.1.2.1.2.2.1.19.7 errors-out=.1.3.6.1.2.1.2.2.1.20.7 4 R name=.1.3.6.1.2.1.2.2.1.2.10 mtu=.1.3.6.1.2.1.2.2.1.4.10 macaddress=.1.3.6.1.2.1.2.2.1.6.10 admin-status=.1.3.6.1.2.1.2.2.1.7.10 oper-status=.1.3.6.1.2.1.2.2.1.8.10 bytes-in=.1.3.6.1.2.1.2.2.1.10.10 packets-in=.1.3.6.1.2.1.2.2.1.11.10 discardsin=.1.3.6.1.2.1.2.2.1.13.10 errors-in=.1.3.6.1.2.1.2.2.1.14.10 bytesout=.1.3.6.1.2.1.2.2.1.16.10 packets-out=.1.3.6.1.2.1.2.2.1.17.10 discards-out=.1.3.6.1.2.1.2.2.1.19.10 errorsout=.1.3.6.1.2.1.2.2.1.20.10Observemos los valores obtenidos: packets-in=.1.3.6.1.2.1.2.2.1.11.10 packetsout=.1.3.6.1.2.1.2.2.1.17.10 packets-in=.1.3.6.1.2.1.2.2.1.11.7 packets-out=.1.3.6.1.2.1.2.2.1.17.7 packetsin=.1.3.6.1.2.1.2.2.1.11.3 packets-out=.1.3.6.1.2.1.2.2.1.17.3 packets-in=.1.3.6.1.2.1.2.2.1.11.2 packetsout=.1.3.6.1.2.1.2.2.1.17.2Dichos valores los utilizaremos mas adelante en la configuracin del mrtg Concluida la primera parte de la configuracin, deberemos instalar el softwaremrtg en el servidor de debian que tenemos en la red. Damos por entendido que elservidor apache ya esta instalado y corriendo. 160

161. Para la instalacin seguiremos los siguientes pasos.# apt-get install mrtgCon el software ya instalado editamos el archivo de configuracin que se encuentra en/etc/mrtg.cfg.EnableIPv6: noWorkDir: /var/www/mrtg########################################### ############################ System: 192.168.1.1# Description: router# Contact: tatubias@server# Location: cba#################################################### ##################Target[192.168.1.1_cpu]:1.3.6.1.2.1.25.3.3.1.2 .1&1.3.6.1.2.1.25.3.3.1.2.1:communa@192.168.1.1:AbsMax[192.168 .1.1_cpu]: 100MaxBytes[192.168.1.1_cpu]: 100Title[192.168.1.1_cpu]: 192.168.1.1 CPU loadPageTop[192.168.1.1_cpu]: <H1>192.168.1.1 CPU load</H1>Options[192.168.1.1_cpu]: gauge,growright,nopercent, nooYLegend[192.168.1.1_cpu]: CPU loadShortLegend[192.168.1.1_cpu]: %LegendI[192.168.1.1_cpu]: CPU load (percentage)### Paquetes in out ###Target[192.168.1.1_2]:1.3.6.1.2.1.2.2.1.11.2&1.3.6.1.2.1.2.2.1.1. 17.2:communa@192.168.1.1:MaxBytes[192.168.1.1_2]: 64000Title[192.168.1.1_2]: Paquetes in / out interfase 1PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1> <TABLE> <TR><TD>System:</TD> <TD>PMI 192.168.1.1 </TD></TR> <TR><TD>Description:</TD><TD> Paquetes in / out </TD></TR> 161

162. </TABLE>### Paquetes in out ###Target[192.168.1.1_2]:1.3.6.1.2.1.2.2.1.11.3&1.3.6.1.2.1.2.2.1.1. 17.3:communa@192.168.1.1:MaxBytes[192.168.1.1_2]: 64000Title[192.168.1.1_2]: Paquetes in / out interfase 2PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1><TABLE> <TR><TD>System:</TD> <TD>PMI 192.168.1.1 </TD></TR> <TR><TD>Description:</TD><TD> Paquetes in / out </TD></TR></TABLE>### Paquetes in out

###Target[192.168.1.1_2]:1.3.6.1.2.1.2.2.1.11.7&1.3.6.1.2.1.2.2.1.1. 17.7:communa@192.168.1.1:MaxBytes[192.168.1.1_2]: 64000Title[192.168.1.1_2]: Paquetes in / out interfase 3PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1><TABLE> <TR><TD>System:</TD> <TD>PMI 192.168.1.1 </TD></TR> <TR><TD>Description:</TD><TD> Paquetes in / out </TD></TR></TABLE>### Paquetes in out ###Target[192.168.1.1_2]:1.3.6.1.2.1.2.2.1.11.10&1.3.6.1.2.1.2.2.1.1 .17.10:communa@192.168.1.1:MaxBytes[192.168.1.1_2]: 64000Title[192.168.1.1_2]: Paquetes in / out interfase 4PageTop[192.168.1.1_2]: <H1>Paquetes in / out</H1><TABLE> <TR><TD>System:</TD> <TD>PMI 192.168.1.1 </TD></TR> <TR><TD>Description:</TD><TD> Paquetes in / out </TD></TR></TABLE> 162 163. Esta configuracin nos mostrara la carga del CPU y los paquetes enviados yrecibidos por 4 interfases. A continuacin deber crear el archivo index.html para quesea visualizada la informacin en forma de grficos en una pagina Web.# indexmaker /etc/mrtg.cfg --columns=1 --output /var/www/mrtg/index.html Finalmente debe correr 3 veces el comando mrtg para que se generen losarchivos de base de datos necesarios.#mrtgEsta configuracin ser ejecutada cada 5 minutos mediante el cron Redireccionando nuestro navegador a la direccin http://192.168.1.2/mrtg nosdar las graficas obtenidas.Servidor Radius Debido a la gran inseguridad que presentan las redes se ha decidido implementarun servidor radius para autenticar algunos de los usuarios. Para ello se necesitarinstalar software adicional al Mikrotik. Partimos de la base de tener nuestro servidorcon debian instalado. Los pasos a seguir son los siguientes:Configuracin Servidor RadiusDebemos instalar el servidor de base de datos MySQL y el servidor Web Apache.#apt-get install apache2 mysqlserver mysql-common 163

164. Para confirmar que estn funcionando utilizamos el cliente Web que poseamos ylo redirigimos a la direccin ip del servidor. Ah nos aparecer una venta que nosinforma que el servidor Web esta funcionando. Para verificar que el servidor MySQL este funcionando simplemente desde laconsola del servidor tipeamos:#mysql Esto nos mostrara que se pudo conectar al servidor de base de datos. Para salirde cliente de MySQL escribimos:#exit A continuacin debemos instalar el servidor radius en si y algunos otroscomponentes.# aptget install freeradius freeradius-mysql freeradius-dialupadmin Seguido de la instalacin de servidor nos toca la configuracin del mismo. Paraello editamos el archivo /etc/freeradius/clients.conf#nano /etc/freeradius/clients.conf En dicho archivo agregaremos el ip del Mikrotik y el secreto o contrasea que seeligi radius.# Client Name Key#---------------- ----------192.168.1.1 radius 164

165. A continuacin debemos configurar el archive /etc/freeradius/naslist.#nano /etc/freeradius/naslist Al mismo le agregamos la siguiente lnea, que nos dice el numero de ip denuestro Mikrotik el un nombre corto para identificarlo y el tipo.# NAS Name Short Name Type#---------- ------------ ----192.168.1.1 mikrotik mikrotikEditamos el archivo /etc/freeradius/radiusd.conf.#vi /etc/freeradius/radiusd.conf En el mismo buscamos las siguientes lneas dentro de la seccin Unix, si estncomentadas las descomentamos como esta a continuacin. De lo contrario lasagregamos.passwd = /etc/passwdshadow = /etc/shadowgroup = /etc/group Buscamos en el archivo freeradius.conf dentro de la seccin Authorize. Lasecuencia # sql. La descomentamos y tambin buscamos dentro de la misma seccinsuffix y files a los mismos los comentamos Buscamos luego la seccin accounting la secuencia # sql y ladescomentamos. Buscamos dentro de la seccin modules dentro de pap la siguiente secuenciaencryption_scheme= cryp la cambiamos por

encryption_scheme = clear. Esto har quecuando el freeradius nos lea la contrasea de la base de dato, la lea sin ningn tipo deencriptacin como md5 u otra. 165 166. Dentro de la seccin modules nos dirigimos a la sub seccin de mschap ahdescomentamos las siguientes lneas.Require_encryption = yesRequire_strong = yesFinalizada la configuracin del archivo /etc/freeradius/radiusd.conf. Ahora debemosconfigurar el archivo /etc/freeradius/sql.conf.#nano /etc/freeradius/sql.confEn el mismo buscamos la seccin connect info y la dejamos de la siguiente manera.#connect infoserver = "localhost"login = "radius"password = "radius"Configuracin MySQL Para configurar la base de datos donde tendremos toda la informacin queutilizaremos para la autenticacin del servidor radius. Debemos realizar los siguientespasos.#mysql u root p rootRecordamos que nuestro usuario y contrasea de root es simplemente root. Ahora nos encontramos dentro del Shell del MySQL, debemos crear la base dedatos para luego generar las tablas.CREATE DATABASE radius; 166 167. Esto nos creo la base de datos radius vaca escribimos exit y salimos del Shell deMySQL. Por suerte el servidor freeradius tiene el archivo SQL que nos genera las tablasnecesarias. Para agregar dichas tablas solo debemos hacer lo siguiente.# zcat /usr/share/doc/freeradius/examples/db_mysql.sql.gz | mysql -u root radius p rootmysql uroot prootUSE radius;SHOW TABLES; A continuacin debemos darle los privilegios al usuario radius para que puedaadministrar la base de datos radius.# mysql -u root pmysql> GRANT ALL PRIVILEGES ON radius.* TO radius@localhostIDENTIFIED BY radius;mysql> FLUSH PRIVILEGES;mysql> quit;Configuracin dialup admin Utilizamos dicho software para simplificar la administracin de los usuarios delservidor radius. Para la configuracin realizamos los siguientes pasos. Realizamos un link simblico del directorio donde se

encuentran la interfaseWeb del dialup admin freeradius a nuestro directorio raz del servidor Web#ln s /usr/share/freeradiusdiaupadmin/htdocs /var/www/radconfig 167 168. A continuacin debemos agregarle algunas otras tablas a nuestra base de datosradius para la utilizacin del soft dialup admin. Para ellos realizamos l o siguiente: # mysql uradius pradius radius < /usr/share/freeradius-dialupdamin/sql/baduser.sql # mysql -uradius radius radius < /usr/share/freeradius-dialupdamin/sql mtotacct.sql # mysql -uradius pradius radius < /usr/share/freeradiusdialupdamin/sql totacct.sql # mysql uradius pradius radius < /usr/share/freeradius-dialupdamin/sql userinfo.sql Finalmente realizamos la ultima configuracin del archive /etc/freeradiusdialupadmin/admin.conf#nano /etc/freeradiusdialupadmin/admin.confBuscamos General_encryption_mode y lo cambiamos a clear#antesgeneral_encryption_method = md5# Despusgeneral_encryption_method = clear Buscamos sql_username, sql_password, sql_debug. Y los modificamos de lasiguiente manera.sql_username: radiussql_password: radiussql_debug = falsePara finalizar reiniciamos nuestro radius server.#/etc/init.d/freeradius restart 168 169. A continuacin debemos crear algn nuevo usuario para que nuestro servidorradius nos autentique. Para ello en nuestro navegador Web redirigimos a la direccin delservidor radius de la siguiente manera:http://192.168.1.3/rad_configEsto nos muestra la pgina de administracin de usuarios. En nuestra ventana de configuracin de usuarios debemos hacer clic en nuestromen en la opcin New GorupEn dicha ventana la configuramos de la siguiente manera:Group Name: Produccin 169 170. A continuacin nos dirigimos a la men a la opcin New User all laconfiguramos de la siguiente manera.Username: gustavoPassword: gustavoGroup: Production 170

171. Final mente ya tenemos nuestro grupo y usuario creado. A continuacindebemos configurar el Mikrotik para que nos autentique los usuarios PPPoE contra elservidor radius. Logueados con winbox al Mikrotik nos dirigimos al men RADIUS. En la nuevaventana hacemos clic en el icono (+). Configuramos a nuestro servidor radius de lasiguiente manera:Pestaa General: Ppp, login, wireless, hotspot, telephony, dhcp (seleccionados) Address: 192.168.1.3 171

172. Secret: radius Authentication port :1812 Accounting Port: 1813 Time out : 300Antes de hacer clic en Ok debemos hacer clic en ENABLE En la pestaa Status podemos ver mucha informacin valiosa acerca de losintentos de logueo respecto a pendientes, pedidos, aceptados, rechazados, etc. 172

173. Luego vamos al men PPP. En la nueva ventana hacemos clic sobre la pestaaSecret. Luego clic en el botn AAA. All la configuramos: Use radius: Seleccionado Accounting: Seleccionado Finalmente ya hemos terminado de configura nuestro servidor radius, ahorasimplemente queda configurar la conexin del cliente que se realiza de la siguientemanera. 173

174. Configuracin servidor - cliente JabberServidor Jabber Debido a que constantemente los empleados pierden tiempo valioso de trabajopor utilizar el servicio de mensajera MSN Messenger o Yahoo Messenger entre otros.La empresa tomo la decisin de bloquear dichos servicio e instalar un servidor demensajera privada para los empleados de la empresa y clientes. La instalacin del servidor Jabber la hacemos en el servidor nuestro de laempresa que esta en la direccin de ip 192.168.1.2. Para instalarlo y configurarlosdebemos realizar los siguientes pasos. Desde la consola del servidor logueado como root escribimos el siguientecomando.#apt-get install jabber Automticamente se baja los paquetes necesarios para la instalacin. Con elservidor funcionando. Debemos detenerlo para comenzar la simple

configuracin.# /etc/init.d/jabber stop Con la confirmacin de que el servidor esta detenido. Editamos el archivo deconfiguracin del servidor /etc/jabber/jabber.cfg. Al mencionado archivo le agregamosla siguiente lnea.JABBER_HOSTNAME=royaltech.com.ar Con nuestro servidor Jabber instalado y configurado, lo que nos resta de lainstalacin simplemente es reiniciar el servidor de mensajera. Para ello desde laconsola: 174 175. # /etc/init.d/jabber startCliente JabberPara la instalacin del cliente Jabber se ah elegido el cliente Pandion. Esto es debido ala facilidad de utilizacin que posee y la versatilidad del mismo. Para la instalacinseguimos los siguientes pasos: Nos dirigimos al site http://www.pandion.be/download/ y descargamos el producto. Ejecutamos el instalador Pandion-2.5.exe Hacemos Clic En siguiente 175 176. Aceptamos la licencia de pandionDejamos Seleccionados todos los componentes y hacemos clic en Siguiente 176 177. Dejamos el lugar de instalacin tal cual como nos lo propone el software yhacemos clic en siguiente. Automticamente comenzara la instalacin, solo hay que aguardar algunossegundos para que finalice la misma. 177 178. Dejamos seleccionado la opcin Ejecutar Pandion y hacemos Clic en Terminar. Estohar que el software se ejecute automticamente despus de finalizar la instalacin.Se nos abre la ventana de configuracin de conexin. En la misma Hacemos clic enel botn CREAR CUENTA. 178 179. Se nos abre una ventana de asistente de cuentas. Hacemos clic en siguiente. Ingresamos el nombre con el que queremos que nos reconozcan nuestroscolegas. Para nuestro caso Gustavo. Luego hacemos clic en siguiente. 179

180. En la ventana de direccin la configuramos de la siguiente manera. Servidor: royaltech.com.ar Nombre de usuario: Gustavo Contrasea: Gustavo Confirmar Contrasea: Gustavo Recodar contrasea= Deseleccionar A continuan comienza la registracin de nuestro nuevo usuario en nuestroservidor. Luego hacemos clic en siguiente. 180

181. Hacemos clic en finalizar 181 182. El Cliente ya estar corriendo y conectado al servidor, solo falta agregar contactos.Para ello Haga clic en Aadir contacto.-Sniffing de Paquetes Siempre es bueno tener una herramienta de anlisis de paquetes para saber quees lo que esta ocurriendo en nuestra red. Para ello utilizaremos la aplicacin ntop yWireshark conjuntamente con la utilidad de sniffing de paquetes que posee el mikrotik.Instalacin Ntop La insolacin simplemente consta de estar logueado como root en nuestraconsola de debian y tipeamos el siguiente comando#apt-get install ntop 182

183. Este comando ya nos habr instalado el ntop en nuestro servidor. Para acceder ala pgina web para ver el anlisis de paquetes realizado por ntop, simplemente debemosredireccionar a nuestro explorador de Internet a la direccin de ip:http://192.168.1.2:3000 El programa stop nos mostrar con gran cantidad de detalles toda la informacinque esta circulando por nuestra red. Una de las clsicas vistas del ntop puede ser lasiguiente. A continuacin hay que configurar el mikrotik para que nos espeje todo eltrfico a nuestro ntop, para ello vamos al men TOOLS / PACKET SNIFFER. En lanueva ventana hacemos clic en el botn SETTINGS y comienza nuestra configuracin.Pestaa General: Interface: all Memory Limit 10kb 183

184. Only Headers: (seleccionado) File Limit: 10Pestaa Streaming: Streaming Enable: (Seleccionado) Server: 192.168.1.2 Filter Stream: (Seleccionado) 184

185. Pestaa Filter: Protocol: all frames.Instalacin WiresharkPara el anlisis mas fino de los paquetes se utilizar la aplicacin Wireshark la mismatiene muchas funcionalidades que el ntop no posee. Para instalar la misma aplicacin enun cliente Windows debemos Sergui los siguientes pasos.Ejecutamos el instalador y en la ventana de bienvenida hacemos clic en siguiente.Aceptamos las condiciones del licenciamiento 185

186. Dejamos los componentes por default que viene con la instalacin y hacemos clic ensiguiente.Hacemos clic en siguiente dejando toda la configuracin por default. 186

187. Hacemos clic en siguiente. 187 188. Clic en siguiente seleccionando install wincapComienza la instalacin del software. 188

189. Luego nos aparece la ventana de instalacin del wincap. Hacemos clic en siguiente.Clic en siguiente.Aceptamos el contrato 189

190. Comienza la instalacin del wincap. 190 191. En la ltima ventana hacemos clic en finalizar.Finalizada la instalacin del wireshark hacemos clic en siguiente. 191

192. En la ltima ventana de instalacin de wireshark seleccionamos run wireshark yhacemos clic en finalizar. Con el programa corriendo ahora consta simplemente de configurarlo para quenos capture los paquetes enviados por el mikrotik. 192

193. Hacemos clic en nuestro primer icono comenzando de mano izquierda. Que nosabre una ventana la cual nos muestra todas las interfaces de red que poseemos en elequipo. Hacemos clic en la interfase que deseamos capturar la informacin ycomenzamos la captura del mismo. Para capturar trfico de toda la red desde otro

cliente que no sea el 192.168.1.2debemos reconfigurar el mikrotik de la siguiente manera. Vamos al men TOOLS / 193 194. PACKET SNIFFER. En la nueva ventana hacemos clic en el botn SETTINGS ycomienza nuestra configuracin.Pestaa General: Interface: all Memory Limit 10kb Only Headers: (deseleccionado) File Limit: 10Pestaa Streaming: Streaming Enable: (Seleccionado) Server: 192.168.2.253 Filter Stream: (Seleccionado) 194 195. Pestaa Filter: Protocol: all frames. 195 196. Conclusin Del anlisis de los resultados se concluye que Royal Tech debera re estructurarsu red informtica. Debido al ineficiencia de la misma, ya que estaba siendo desbordadapor los nuevos requerimientos de la empresa en pleno crecimiento. Para la implementacin de la red se utiliz el sistema operativo Mikrotik RouterOS basado en Linux. El mismo convierte una pc Standard en un router de dedicado de alto rendimiento. Se defini la configuracin de las interfaces. Asignando nombres, direcciones de IP a las mismas y definicin de las Vlan. Se configur el servidor de DHCP para cada una de las sub redes. En el cual se definieron los pools de ip para cada una. Tambin la asignacin direcciones de IP fijas a partir de direcciones MAC de los servidores. Se configur un servidor NTP para sincronizar la hora en dentro de toda la red. Tambin se configuro un cliente NTP para sincronizar la hora de la red con otros servidores de tiempo. Se configuro un servidor PPPoE para autenticar usuarios que se deseen loguear al rea de produccin. El cliente de PPPoE se configur para que la red tenga un tercer acceso a Internet mediante Adsl de backup. Se configur un servidor de VPN para comunicar las oficinas de ventas de crdoba con las de ventas de Buenos Aires. Se configur un servidor de Web Proxy para optimizar la utilizacin de los recursos hacia Internet. En el mismo se configuro politicas de bloqueo de

trfico hacia ciertas pginas al igual que el bloqueo de descarga de ciertos archivos. Se realiz un balanceo de carga entre los dos proveedores de Internet seleccionados. Para la optimizacin del recurso. Se realizaron polticas de control de ancho de banda para los clientes P2P. Se implemento polticas de firewall como bloqueo de p2p, bloqueo del Msn Messenger, redireccionamiento de puertos y bloqueo de paquetes no deseados. Se configur un Hot Spot para el rea de recreamiento de la empresa en la cual los usuarios se autentican mediante un servidor Radius. Se configuro un servidor de mensajera jabber para que los usuarios no mal dispongan su tiempo. 196 197. Bibliografa Chris Hurley, Russ Rogers, Frank Thornton, and Daniel Connelly. (2006).Wardriving & Wireless Penetration Testing. 1ra Edidcion. Estados Unidos: Syngress (431 Pag.) Freeraduis 2008. Wiki site < http://wiki.freeradius.org/Main_Page> [04/2008] Mallery, John; Zann, Jason; Kelly, Patrick. Blindaje de Redes. 1ra Edicion. Espaa. Anaya Multimedia. (720 pag) Mikrotik. (2006) MikroTik RouterOS v2.9 Reference Manual, 1ra Edicion, Estados unidos: Mikrotik SIA. (695 pag) Mikrotik 2007. Manual de referencia. < http://www.mikrotik.com/testdocs/ros/2.9/> [04/2008] Mikrotik 2008. Mikrotik Forum.< http://forum.mikrotik.com> [04/2008] Mikrotik. 2008. Wiki Site.<http://wiki.mikrotik.com> . [04/2008] Mrtg 2008. Documentation Site <http://oss.oetiker.ch/mrtg/doc/index.en.html> [04/2008] Scrim ger, Rob (Wiley John + Sons).Tcp/Ip Bible.2da Edicin. Estados Unidos: Hungry Minds. (626 pag) 197