mum uruguay 2017 firewall basado en zonas · pdf fileecatel srl derechos de autor. ......

of 49/49
MUM – Uruguay 2017 Firewall basado en Zonas Por: Ing. José Miguel Cabrera Ecatel SRL

Post on 07-Feb-2018

217 views

Category:

Documents

2 download

Embed Size (px)

TRANSCRIPT

  • MUM Uruguay 2017

    Firewall basado en Zonas

    Por: Ing. Jos Miguel Cabrera

    Ecatel SRL

  • 2EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    ResumenEl firewall es una funcionalidad obligatoria de configurar para un

    buen desempeo de una red, sin embargo, con muchas interfaces y

    usuarios puede volverse una tarea complicada.

    La funcionalidad Interface List de MikroTik te permite una mejor

    administracin estableciendo zonas de acuerdo a la interfaz de

    ingreso.

  • 3EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Scheduler

    Presentacin de la empresa Presentacin del expositor Oferta de Cursos de Certificacin Conceptos de Firewall Estructura de Zonas Demostracin

  • 4EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Es una empresa que se dedica a la

    implementacin de proyectos integrando principalmente equipos de la marca Mikrotik, si

    es necesario combinados con otras marcas.

    Brindamos capacitaciones de MikroTik.

    facebook.com/EcatelSRL

    Contctenos

    [email protected]

    +591 776 25848

    Acerca de la empresa

  • 5EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Acerca del disertante Nombre: Jose Miguel Cabrera Dalence

    Nacionalidad: Boliviano

    Profesin: Ing. en Redes y Telecomunicaciones (UTEPSA)

    Posgrado: Especialista en Educacin Superior Tecnolgica (UAGRM)

    Experiencia Laboral:

    Jefe de Proyectos en Ecatel SRL (2015 a la fecha)

    Instructor Mikrotik (2015 a la fecha)

    Jefe Nacional de Telecomunicaciones Banco Fassil (2010-2015)

    Docente Universitario en Utepsa y UAGRM (2011-2016).

  • 6EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Acerca del disertanteCertificaciones:

    Mikrotik: MTCNA, MTCWE, MTCRE, MTCINE, MTCUME, MTCTE, MTCIPv6E, Trainer

    Cisco: CCNP Security, CCNA R&S, CCNA Security

    Conferencias y Capacitaciones:

    Conferencista: Argentina, Bolivia, Paraguay y Uruguay.

    Se capacit en: Bolivia, Per, Ecuador y Estados Unidos

    Entrenador MikroTik: Bolivia, Chile, Paraguay, Per y Uruguay

  • 7EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Programa de Certificaciones

  • 10EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    NST-Group es una empresa dedicada al desarrollo de soluciones informticas basadas en las mejores prcticas,

    metodologa y administracin del conocimiento, apuntando al mercado de pequeas, medianas y grandes

    empresas.

    http://nst.com.uy

  • 11EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Montevideo, UruguayPROXIMO CURSO: 2018

    MTCNA

    Lunes 12, Martes 13 y Mircoles 14 de Marzo

    Desde las 09:00 am - 06:30pm

    MTCRE

    Jueves 15 y Viernes 16 de Marzo

    Desde las 09:00 am - 06:30pm

  • 12EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Scheduler

    Presentacin de la empresa Presentacin del expositor Oferta de Cursos de Certificacin

    Conceptos de Firewall Estructura de Zonas Demostracin

  • 13EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Firewall

    Es una funcionalidad de MikroTik diseada para bloquear el acceso

    no autorizado, en la red LAN o hacia/desde Internet.

    Evita que los usuarios no autorizados tengan acceso

    a la red privada.

  • 14EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    CREA LA(S) CONDICION(ES)2

    1

    3 ESCOGE LA ACTION

    SELECCIONAR CHAIN

    COMO CREAR UNA REGLA DE FIREWALL?

  • 15EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    CHAIN

    Es la forma como se agrupan las conexiones. Existen 3 cadenas

    (chain) predeterminadas:

    INPUT

    FORWARD

    OUTPUT

  • 16EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    INPUT

    Agrupas las conexiones donde:

    La IP de Destino es una Ip configurada en el router. No

    importa en qu interfaz

    Protege al router (de ataques DDoS, Fuerza bruta,

    accesos no autorizados, etc.)

  • 17EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    CHAIN INPUT

    INTERNET

    INPUT INPUT

  • 18EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    FORWARD

    Agrupas las conexiones donde:

    El router solo acta como cartero

    Utilizado para filtrar paquetes que pasan a travs del router

    Protege o restringe a los usuarios de la red

  • 19EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    CHAIN FORWARD

    INTERNET

    FORWARD

  • 20EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    CHAIN OUTPUT

    INTERNET

    OUTPUT OUTPUT

  • 21EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    CONDICION

    Conjunto de criterios configurados por el Administrador del firewall,

    cuyo cumplimiento ocasiona una accin (action).

    ACCION

    Condicin:Si robas

    Accin:Vas a la carcel

  • 22EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    CONDICIONEl firewall puede leer las cabeceras del

    paquete IP para buscar el criterio

    (condicin):

    Direccin IP de Origen / Destino Protocolo Puerto Muchos ms criterios

  • 23EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    ACTIONEs la accin que tomar el RouterOS con el paquete

    que cumpla los criterios configurados

    Las ms populares son:

    Accept: El paquete sale del firewall. Pasa Drop: El paquete es descartado.

  • 24EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    REPASANDO

    En un concierto existe seguridad al ingreso:

    Controlan que tengas un ticket

    Si lo tienes, pasas.

    De lo contrario, no puedes entrar.

  • 25EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Estado de la Conexin(connection-state)

    Qu pasa si estas en el concierto, quieres salir y volver a entrar?

    volvers?

  • 26EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Estado de la Conexin(connection-state)

    1. Llegaste al ingreso del concierto. El guardia no te conoce, muestras

    tu ticket y te deja ingresar (Conexin Nueva)

    2.Quieres salir un momento, te sellan el brazo. Cuando quieres volver

    a ingresar SI tienes SELLO, pasas (Conexin Establecida)

  • 27EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Estado de la Conexin(connection-state)

    3. Llega el jefe con una persona y dice l viene conmigo por ms

    que no tenga ticket, lo dejan ingresar (Conexin Relacionada)

  • 28EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Estado de la Conexin(connection-state)

    New: El primer paquete de una conexin.

    Established: un paquete que pertenece a una conexin existente

    Related: un paquete que est relacionado con uno establecido,

    como los errores ICMP o un paquete que inicia la conexin de

    datos FTP

  • 29EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Scheduler

    Presentacin de la empresa Presentacin del expositor Oferta de Cursos de Certificacin Conceptos de Firewall

    Estructura de Zonas Demostracin

  • 30EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Zonas de Firewall

    Muchos fabricantes de Firewall utilizan zonas de seguridad, que

    es agrupar las interfaces.

    Zona Interna (inside): Interfaces de LAN Zona Externa (outside): La interfaz de WAN Zona DMZ: Interfaz donde se conectan servidores que

    deben estar disponibles desde Internet.

  • 31EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Interface List

    Esta opcin de MikroTik permite definir un

    conjunto de interfaces para una

    administracin ms sencilla en el firewall.

    Con esto podemos crear nuestras zonas de

    seguridad

  • 32EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Interface List

    Luego puedes usar estas

    listas en tu regla de firewall

    Puedes usarla en el

    sentido In como Out

  • 33EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Interface List

    Los nombres y el uso puedes definirlos de acuerdo a tu

    conveniencia. Por ejemplo: Usar una lista para la telefona IP,

    otro para Cmaras IP.

    Es el momento de ponerse creativo.

  • 34EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Ejemplo Firewall

    Observemos este

    esquema. Se desea

    implementar reglas

    de firewall.

    VLAN 30

    VLAN 31

    VLAN 32

    Sucursal - 1

    10.3.1.0/24

    10.3.1.0/27

    10.3.1.32/27

    10.3.1.64/27

    INTERNET

    ENLACE PRIVADO

    eth1

    eth2

    eth3 Vlan30 Vlan31 Vlan32

    OficinaCentral

  • 35EcaTel SRL Derechos de Autor. Prohibido compartir o reproducir este contenido

    Requerimientos

    1.Solo se permite conexiones entrantes hacia Winbox porinternet

    2.No se desea trafico intervlan3.Desde Oficina Central pued