W@N-Soluciones-IT: 2012

lunes, 31 de diciembre de 2012

Como instalar Google Chrome en Linux Ubuntu y Debian

Después de tanta espera está disponible una versión Alpha de Google Chrome para Linux, por ahora está disponible como un paquete .deb en dos versiones para 32 y 64 bits, y puede ser instalado en Linux Ubuntu y Linux Debian sin problemas.

Al ser una versión Alpha carece de muchísimas funcionalidades, no tiene plug-in para soporte de Adobe Flash, cambiar las preferencias de privacidad, no se puede colocar una página de inicio por defecto y no permite imprimir, entre otras limitaciones.

Para descargarlo puedes ir a la página de Early Release Access Channels de Google Chrome, busca los archivos .deb, y en Ubuntu puedes hacer doble click sobre el archivo para que se inicie el instalador de paquetes y hacer click sobre instalar.

Si lo quieres hacer por consola puedes ejecutar en la carpeta donde descargaste el archivo:

PARA 32 BITS:

sudo dpkg -i google-chrome-unstable_current_i386.deb

PARA 64 BITS:

sudo dpkg -i google-chrome-unstable_current_amd64.deb

Una vez instalado se agregará a los repositorios uno de google-chrome para que se mantenga actualizado.

domingo, 30 de diciembre de 2012

Tarjeta broadcom Acer en Linux Mint

Si después de instalar LMDE, nos encontramos con que el sistema no reconoce nuestra tarjeta WiFi Broadcom, lo podremos solucionar instalando los drivers privativos de Broadcom, de la siguiente manera:

Este manual sirve para la instalación de los siguientes dispositivos Broadcom STA en LMDE
Los chipsets Broadcom BCM4311, BCM4312, BCM4313, BCM4321, BCM4322, BCM43224 y BCM43225

Instala module-assistant,

# apt-get install module-assistant

Corremos

# module-assistant auto-install broadcom-sta

Esto va a descargar la fuente (el paquete broadcom-sta-source), descomprimir, compilar, crear un paquete Debian (broadcom-sta-modules-[version]-[arquitectura].deb) con el módulo compilado e instalarlo.
module-assistant se encarga de instalar todos aquellos paquetes necesarios para realizar todas estas operaciones.

Antes de cargar el módulo en el núcleo, deshabilita el módulo brcm80211,

# echo blacklist brcm80211 >> /etc/modprobe.d/broadcom-sta-common.conf

luego recrea el ramdisk de inicio,

# update-initramfs -u -k `uname -r`

y remueve módulos que producen conflicto con wl,

# rmmod -f b44 b43 b43legacy ssb brcm80211

Carga el módulo en el núcleo,

# modprobe wl

Una vez realizados estos pasos, ya deberíamos tener nuestra tarjeta inalamabrica configurada, sino nos aparecen las redes disponibles, tendremos que reiniciar el equipo para que se realicen los cambios.

viernes, 28 de diciembre de 2012

Gnome clasico en Ubuntu 12

En Ubuntu 12.04 Precise, podremos instalar Gnome clásico (Fallback) y los nostálgicos de Gnome 2.x podrán seguir disfrutando de su añorado escritorio.

Tras la actualización de Gnome 2.x a Gnome 3.x han llegado diversos shells: Gnome-shell (propio de Gnome), Unity (Ubuntu) y Cinamon (Linux Mint) y todos ellos corren bajo Gnome 3.x.

Gnome 2.x ha muerto y ya no se seguirá con su desarrollo a excepción de "Mate" donde un pequeño grupo de desarrolladores siguen con su desarrollo, pero personalmente no le veo mucho futuro.

Ubuntu ha mantenido el proyecto "Fallback" desde un principio como un clon de Gnome 2.x, pero la verdad es que dejaba mucho que desear y había muchos bugs, pero para la nueva versión LTS (larga duración) de Ubuntu 12.04 ha mejorado bastante y desde la Beta 2 ya disponemos de este Escritorio clásico.

Nota: Gnome clásico NO es Gnome 2.x, si no que el paquete gnome-panel y sus dependencias han sido portadas a GTK 3.x y corren bajo Gnome 3.x, por lo que disponemos también de sus innovaciones y actualizaciones.

Para instalar Gnome classic, el paquete a instalar es gnome-panel

sudo apt-get install gnome-panel

Para arrancar el sistema con él lo seleccionamos en el LightDM (pantalla de logeo donde seleccionamos usuario):

Como podéis ver en la imagen dispondremos de los siguientes Escritorios:

Escritorio clásico >> con efectos 3D y Compiz como gestor de ventanas.
Escritorio clásico (sin efectos) >> con efectos 2D y Metacity como gestor de ventanas.
Unity >> con efectosa 3D y Compiz como gestor de ventanas.
Unity 2D >> con efectos 2D y Metacity como gestor de ventanas.

Configurar los paneles

Para configurar, mover, añadir, quitar los paneles hay que pulsar sobre el panel la tecla:ALT + clic derecho del ratón.

Esto funciona en el "Escritorio clásico sin efectos", pero no funciona en el "Escritorio clásico" (con efectos). La solución es pulsar la combinación de teclas: ALT + SUPER + clic derecho del ratón.

Instalar Global AppMenu en Gnome clásico

En Gnome Clásico no tenemos el AppMenu (menús de aplicaciones en el panel superior) , pero si nos gusta o simplemente tenemos una pantalla pequeña y queremos ahorrar espacio, podemos instalarlo:

Añadir los repositorios con:

sudo add-apt-repository ppa:canonical-dx-team/une

Actualizarlos con:

sudo apt-get update

E instalar los siguientes paquetes:

sudo apt-get install appmenu-gtk libqtgui4 indicator-applet-appmenu indicator-appmenu

Una vez instalado, vamos a añadirlo al panel: hacemos ALT+SUPER+clic derecho > añadir al panel y seleccionar "Menú de aplicaciones de la miniaplicación de indicadores"

Si hacéis esto recomiendo: quitar el menú que trae el panel y añadir el "Menú principal", ya que es un solo icono y desde él se accede a todo el menú y así ahorramos espacio para el AppMenu.

miércoles, 26 de diciembre de 2012

Mikrotik RB VPN Entre 750 y Windows Seven o Windows XP

Visión de conjunto

Microsoft Windows XP / Vista ha incorporado en el cliente PPTP y cliente L2TP/IPSec.Vamos a ver cómo crear L2TP/IPsec entre Mikrotik RouterOS y Windows. Es posible ejecutar una conexión L2TP entre RouterOS y Windows, pero usted tendrá que cambiar una entrada del registro de Windows.

RouterOS Configuración

Configuración del servidor L2TP

/ Interfaz L2TP server set = enabled sí

Habilitar servidor L2TP;

/ Ppp secreto add name = Contraseña 12345 = 12345 = perfil predeterminado de cifrado \

locales-address = 192.168.1.1 remoto-address = 192.168.1.2

Añadir cliente PPP, si no es necesario que ejecute uso doble cifrado perfil predeterminado para L2TP y mantener con cifrado IPSec. Ajuste de Windows y RouterOS propiedades túnel L2TP si desea ejecutar el cifrado o no.
También es posible utilizar cualquier conjunto de direcciones DHCP en lugar de las direcciones locales y remotas. Ambos pueden ser asignados de la piscina idénticos.

Configuración de IPSec

/ Ip IPsec del mismo nivel

agregar address = 192.168.1.1 auth-method = pre-shared-key intercambio-mode = main-l2tp \

secret = 123456789 algoritmo hash sha1 = enc-algoritmo 3DES = generate-política = yes

Añadir IPSec pares ajustes de configuración, estos valores deben coincidir en ambos extremos,
- address = 192.168.1.1 dirección de su computadora Windows, es posible utilizar 0.0.0.0 / 0 , cuando la dirección IP del cliente remoto es desconocido; (Nota: Si escribe 0.0.0.0 (sin / 0) Mikrotik hace escuchar en 0.0.0.0 sólo Por lo tanto deshabilitar cualquier conexión. Asegúrese de especificar la máscara de red utilizando / 0.)
- port = 500 número de puerto;
- algoritmo hash = sha1 y enc = algoritmo 3DES se utiliza por defecto en Windows XP;
- generate-política = yes para generar directiva IPSec de forma automática;

Nota: Windows XP no funciona de acuerdo con RFC. Es necesario configurar L2TP principal modo de intercambio, de lo contrario Win XP cliente no será capaz de establecer la Fase 1.

Ajustar la configuración del firewall

No se olvide de permitir UDP 500 (Dst.Port), UDP 1701, UDP 4500 (NAT-Traversal) y el Protocolo 50 (ESP) en la configuración del firewall de filtro.(cadena de entrada, aceptar).

Configuración de Windows

Configuración de Windows se compone de dos partes, la primera adición de nueva conexión de red y la segunda parte Ajustar la configuración de IPSec.

Agregar conexión de red

Toda la configuración se paso a paso,

Iniciar;
Configuración;
Panel de control;
Conexiones de red;
Asistente para conexión nuevay Siguiente ;
Conectarse a la red de mi espacio de trabajoy Siguiente ;
Seleccione la conexión de red privada virtual ;
Establecer Nombre de la empresa , que es el nombre de la nueva conexión;
Agregar la dirección IP del RouterOS Mikrotik, donde L2TP servidor está en ejecución, haga clic en Finalizar ;
Ventana de conexión se abre, seleccione Propiedades ;
Modificar la seguridad para que coincida con las opciones de cifrado en Windows PC y servidor L2TP sobre RouterOS;
Haga clic en Configuración de IPsec y seleccione Usar clave previamente compartida para la autenticación ;
Ir a redes y seleccione L2TP IPSec VPN ;

En la ventana de conexión tiene que introducir las credenciales L2TP;

Ajustar la configuración de IPSec

Bueno, en mi caso, el siguiente paso no era necesario. En realidad, no reconocidos conexiones repetitivas de las ventanas XP (SP3) equipo sin anular la asignación y reasignación de la política (véase el último paso). Revisión de este artículo se apreciarán.

Vaya a Inicio -> Ejecutar , poner mmc
Ingrese a la consola , seleccione Add / Remove Snap in , añadir Gestión de directivas de seguridad IP complemento ;
Seleccione Directivas de seguridad IP , y proceder a la Acción , abra Crear directiva de seguridad IP ;
Siga las instrucciones del asistente, unset Activar la regla de respuesta predeterminada y establecer Editar propiedades ;
Haga clic en Agregar y proceda a responder a las preguntas del asistente;
Seleccione la regla no especifica un túnel ;
Seleccione LAN ;
Seleccione Usar esta cadena para proteger el intercambio de clave , introduzca la clave previamente compartida mismo que el configurado en RouterOS;
Crear una nueva lista de filtros IP , donde la meta debe ser mi computadora , аnd destino - dirección IP del RouterOS, proceder a continuación ;
Seleccione Requerir seguridad , puede dejar la configuración por defecto [Recuerdo que configurar en RouterOS algoritmo hash = sha y algoritmo de cifrado 3DES-=];
Reinicie el agente de directivas IPSec en los servicios de Windows;
En el clic de nueva creación política y seleccione Asignar .

· INICIAR regedit.exe

· Localizar

· HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ RasMan \ Parameters

· ponerte en contacto con Un Nuevo valor DWORD Llamado ProhibitIpSec

· Darle el valor de 1

· Reiniciar la PC

Si observa problemas con Windows 7, debes revisar la configuración del firewall avanzadas (Panel de control / Red y configuración de uso compartido centro / Firewall de Windows / Configuración avanzada / Acciones (panel derecho) / Propiedades / IPSec).

Comprobación de la conectividad

Equipo con Windows debe establecer enlace con éxito para la nueva conexión,conexión de red privada virtual está conectado ... .
Mikrotik RouterOS debe enumerar túnel L2TP,

/ / Ppp activo> print

Flags: R - radio

# NOMBRE DEL SERVICIO Caller-ID DIRECCIÓN UPTIME CODIFICACIÓN 4

0 Monitor l2tp 192.168.1.1 5.5.5.6 40s apátrida MPPE128

IPSec debe mostrar intalled-sa,

/ Ip instalado ipsec-sa de impresión.

miércoles, 19 de diciembre de 2012

Driver broadcom en Ubuntu 12.10

Para empezar debemos ir al terminal y escribimos:

sudo software-properties-gtk&exit

Luego activamos todos los repositorios, excluyendo los del cd de ubuntu. Una vez hecho esto, cerramos la ventana y abrimos el terminal, y escribimos sudo

apt-get update para actualizar las fuentes

Seguidamente debemos instalar las fuentes del kernel y también las cabeceras para ello escribimos:

sudo apt-get install linux-sources linux-headers-3.5.0-17-generic

Por ultimo ya podemos instalar los drivers desde el software-properties, synaptic o desde el terminal con el comando:

sudo apt-get install bcmwl-kernel-source

martes, 18 de diciembre de 2012

Subredes - calculo de broadcast / Red y rango de Red

lige todos los rangos de IP de host válidos para la subred 15.242.55.62/27

A. 15.242.55.31-15.242.55.62

B. 15.242.55.32-15.242.55.63

C. 15.242.55.33-15.242.55.62

D. 15.242.55.33-15.242.55.63

1.1) Pasar a binario la IP dada

1.2) Separamos Bits de RED contra Bits de HOSTS. En éste caso tenemos una dirección de clase "A" pero el prefijo /27 rompe con la clase para darnos la máscara.

00001111 . 11110010 . 00111110 . 00111110 = 15.242.55.62 (la ip que nos dieron)

8 + 8 + 8 + 8 = 32 bits total los 4 octectos

En rojo están identificados los Bits que tenemos para la red (/27) y que los ocupará exclusivamente la RED para identificar la misma.

El resto de los Bits (5) los ocuparán los HOSTS. (es decir los equipos como PC y routers que tomen IP)

2) Una vez pasado a binario, procedemos a obtener la máscara.

Para ésto, pasamos todos los Bits de la RED (los que están en rojo) y los pasamos a "1"

Lo mismo para los Bits que identifican los Hosts, pero los pasamos a "0"

La máscara en binario quedaría algo así:

11111111 . 11111111 . 11111111 . 11100000 = 255.255.255.224

3) Una vez obtenida la Máscara, ejecutamos un "AND" entre la IP dada y la máscara que acabamos de calcular respetando la siguiente regla:

0 + 0 = 0

0 + 1 = 0

1 + 0 = 0

1 + 1 = 1

Planteamos las ip's en binario y condicionamos de la siguiente manera para obtener el segmento de RED:

00001111 . 11110010 . 00111110 . 00111110 = 15.242.55.62 (la ip que nos dieron)

11111111 . 11111111 . 11111111 . 11100000 = 255.255.255.224 (máscara)

------------------------------------------------------------------

00001111 . 11110010 . 00111110 . 00100000 = 15.242.55.32 (la red que es igual a la primera IP)

Nuestra red está identificada - 15.242.55.32/27

3) Por último necesitamos identificar la dirección de "Broadcast" para comprender donde termina el segmento de RED.

Para eso pasamos todos los Bits de host a "1" sobre la dirección de RED que obtuvimos previamente.

00001111 . 11110010 . 00111110 . 00100000 = IP RED

00001111 . 11110010 . 00111110 . 00111111 = 15.242.55.63 IP Broadcast

Si pasamos el binario a Decimal nos da la dirección IP 15.242.55.63/27 (ésta es la última dirección del segmento NO-utilizable)

Con éstos datos ya conocemos el rango del segmento

IP RED : 15.242.55.32
Máscara : 255.255.255.224
Broadcast: 15.242.55.63
Rango : 15.242.55.33 <-> 15.242.55.62 (hosts válidos)

Y la respuesta a la pregunta del "exámen" (sabiendo el rango) la respondemos conociendo que el o los rangos válidos son:

C. 15.242.55.33-15.242.55.62

Todas las demás quedan fuera del rango o no son utilizables.

Una web para corroborar lo que hicimos puede ser la : http://www.subnet-calculator.com/

lunes, 17 de diciembre de 2012

Escritorio remoto de Linux a Windows con KRDC

KRDC nos permite conectarnos a vnc y a rdp muy facilmente, basta con poner la direccion de la computadora a la que nos conectaremos y escoger si usaremos vnc o rdp para la conexion.

Luego solo configuramos con unos clicks si la conexion se centrara en velocidad o en calidad de imagen, si manejas una conexion de 512 o menos te recomiendo que la configures para mejor velocidad, yo tengo una conexion de 1mb lo configure para optimizar velocidad y va realmente rapido, el retardo en la respuesta era practicamente de cero.

Ademas detecta los escritorios remotos dentro de la red de area local usando el ZeroConf protocol.

Para utilizarlo desde KDE pense que seria suficiente con cargarlo desde el menu Internet — KRDC pero curiosamente lanza un error al hacer la conexion, y esto es porque realmente no esta instalado aun, asi que vamos a una terminal y ponemos :

En ubuntu

$ sudo apt-get install krdc

En OpenSuse

$ sudo yast install krdc

Y listo ahora podremos conectarnos sin ningun problema.

Nota: recuerda que si te vas a conectar a un equipo con windows debes hablitar la opcion del escritorio remoto en windows para poder accesar sin problemas. Ademas si vas a hacer una conexion atravez de internet en vez de hacerla en una lan, no te servira de nada con direcciones del tipo 192.168.1.x ya que son direcciones internas en la lan de ser este tu caso, deberas configurar tu router para que direccione la peticion del Remote desktop a la ip de la maquina que quieres conectar.

sábado, 15 de diciembre de 2012

Active directory Windows Server 2003

Crear Active Directory

Después de haber instalado Windows Server 2003 en un servidor independiente, ejecute el Asistente para Active Directory con el fin de crear el nuevo bosque o dominio de Active Directory y, a continuación, convierta el equipo de Windows Server 2003 en el primer controlador de dominio del bosque. Para convertir el equipo Windows Server 2003 en el primer controlador de dominio del bosque, siga estos pasos:

Introduzca el CD-ROM de Windows Server 2003 en la unidad de CD-ROM o DVD-ROM del equipo.
Haga clic en Inicio, en Ejecutar y, a continuación, escriba dcpromo.
Haga clic en Aceptar para iniciar el Asistente para la instalación de Active Directory y haga clic en Siguiente.
Haga clic en Controlador de dominio para dominio nuevo y, a continuación, haga clic en Siguiente.
Haga clic en Dominio en un bosque nuevo y, a continuación, haga clic en Siguiente.
Especifique el nombre DNS completo del nuevo dominio. Tenga en cuenta que como este procedimiento es para un entorno de laboratorio y no va a integrar este entorno en su infraestructura DNS, puede utilizar un nombre genérico como mi empresa. local para esta opción. Haga clic en Siguiente.
Acepte el nombre NetBIOS predeterminado de dominio (es decir, "mi empresa" si siguió la sugerencia del paso 6). Haga clic en Siguiente.
Establezca como ubicación de la base de datos y del archivo de registro el valor predeterminado de la carpeta c:\winnt\ntds y, después, haga clic en Siguiente.
Establezca como ubicación de la carpeta Sysvol el valor predeterminado de la carpeta c:\winnt\sysvol y, después, haga clic en Siguiente.
Haga clic en Instalar y configurar el servidor DNS en este equipo y haga clic enSiguiente.
Haga clic en Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 o Windows Server 2003 y haga clic en Siguiente.
Como éste es un entorno de laboratorio, deje en blanco la contraseña de Contraseña de administrador del Modo de restauración de servicios de directorio. Tenga en cuenta que en un entorno de producción, esta contraseña se configuraría con un formato de contraseña segura. Haga clic en Siguiente.
Revise y confirme las opciones que haya seleccionado y haga clic en Siguiente.
La instalación de Active Directory continúa. Tenga en cuenta que esta operación puede tardar varios minutos.
Cuando se le indique, reinicie el equipo. Una vez reiniciado, confirme que se han creado los registros de ubicación del servicio del Sistema de nombres de dominio (DNS) para el nuevo controlador de dominio. Para confirmar que se han creado los registros de ubicación del servicio DNS, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en DNS para iniciar la consola de administración de DNS.
2. Expanda el nombre del servidor, Zonas de búsqueda directa y el dominio.
3. Compruebe que aparecen las carpetas _msdcs, _sites, _tcp y _udp. Estas carpetas y los registros de ubicación del servicio que contienen son esenciales para las operaciones de Active Directory y Windows Server 2003.

Agregar Usuarios de y equipos al dominio de Active Directory

Una vez establecido el nuevo dominio de Active Directory, cree una cuenta de usuario en ese dominio para utilizar como cuenta administrativa. Cuando ese usuario se agrega a los grupos de seguridad adecuados, use esa cuenta para agregar equipos al dominio.

Para crear un usuario nuevo, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory para iniciar la consola de Usuarios y equipos de Active Directory.
2. Haga clic en el nombre de dominio que creó y expanda el contenido.
3. Haga clic con el botón secundario del mouse (ratón) en Usuarios, seleccione Nuevo y, a continuación, haga clic en Usuario.
4. Escriba el nombre, apellido y nombre de inicio de sesión del nuevo usuario y haga clic en Siguiente.
5. Escriba una contraseña nueva, confírmela y active una de las casillas de verificación siguientes:
  - Los usuarios deben cambiar la contraseña en el próximo inicio de sesión (se recomienda para la mayoría de los usuarios)
  - El usuario no puede cambiar la contraseña
  - La contraseña nunca caduca
  - La cuenta está deshabilitada
  Haga clic en Siguiente.
6. Examine la información suministrada y, si todo es correcto, haga clic en Finalizar.
Después de crear el nuevo usuario, haga que esta cuenta de usuario sea miembro de un grupo que le permita realizar tareas administrativas. Dado que se trata de un entorno de laboratorio que está bajo su control, puede dar acceso administrativo completo a esta cuenta de usuario convirtiéndola en miembro de los grupos de administradores de dominio, esquema y organización. Para agregar la cuenta a estos grupos, siga estos pasos:
1. En la consola Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en la nueva cuenta creada y, después, haga clic en Propiedades.
2. Haga clic en la ficha Miembro de y, después, haga clic en Agregar.
3. En el cuadro de diálogo Seleccionar grupos, especifique un grupo y haga clic en Aceptar para agregar los grupos que desee a la lista.
4. Repita el proceso de selección para cada grupo al que el usuario necesite pertenecer.
5. Haga clic en Aceptar para finalizar.
El paso final de este proceso es agregar un servidor miembro al dominio. Este proceso también se aplica a las estaciones de trabajo. Para agregar un equipo al dominio, siga estos pasos:
1. Inicie sesión en el equipo que desea agregar al dominio.
2. Haga clic con el botón secundario del mouse en Mi PC y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Nombre del equipo y, después, haga clic en Cambiar.
4. En el cuadro de diálogo Cambios del nombre de equipo, en Miembro de haga clic en Dominio y escriba el nombre de dominio. Haga clic en Aceptar.
5. Cuando se le solicite, escriba el nombre de usuario y la contraseña de la cuenta creada y haga clic en Aceptar.
  
  Se genera un mensaje que le da la bienvenida al dominio.
6. Haga clic en Aceptar para volver a la ficha Nombre de equipo y haga clic en Aceptar para terminar.
7. Reinicie el equipo si se le pide.

viernes, 14 de diciembre de 2012

Administración del firewall en Mikrotik

El objetivo de este post es dar una explicación de cómo funciona el firewall de un equipo Mikrotik y la sintaxis para realizar algunas acciones básicas. Lo expuesto aquí es el resultado de los apuntes que tomé en el curso de Mikrotik y de algunas pruebas que hice por mi cuenta.

Funcionamiento general

El firewall por defecto lee las reglas de arriba hacia abajo y sale con la primera que matchea. Se usa la orden passthrough para obligar a que, luego de cumplirse una regla, se siga con las demás. En su naturaleza y funcionamiento es muy similar a iptables. En el siguiente esquema se puede ver cómo se produce el flujo de los paquetes dentro del firewall.

Firewall con ejemplos

Connection tracking: permite visualizar las conexiones en las que interviene nuestro equipo.

[admin@MikroTik] > ip firewall connection print

Flags: S - seen reply, A - assured

#	PROTOCOL	SRC-ADDRESS	DST-ADDRESS	TCP-STATE	TIMEOUT
0 SA	tcp	192.168.88.4:34838	192.168.88.1:23	established	21h54m32s
1 SA	tcp	192.168.4.254:48101	192.168.4.1:8291	established	23h59m59s
2	udp	192.168.4.1:123	163.10.0.84:123		8s
3 SA	tcp	192.168.4.254:51654	192.168.4.1:23	established	4m59s

Reglas generales

Escritura de firewall: siempre conviene empezar con las reglas de estado, para ahorrar procesamiento y acelerar las conexiones ya establecidas y las relativas.

[admin@MikroTik] > ip firewall filter add connection-state=established action=accept chain=input

[admin@MikroTik] > ip firewall filter add connection-state=related action=accept chain=input

[admin@MikroTik] > ip firewall filter add connection-state=invalid action=drop chain=input

[admin@MikroTik] > ip firewall filter add protocol=tcp src-port=8291 in-interface=!wlan1 action=accept chain=input comment="DENIEGA WINBOX DESDE LA WIRELESS"

Aceptar conexiones VPN:

[admin@MikroTik] > ip firewall filter add protocol=gre action=accept chain=input

[admin@MikroTik] > ip firewall filter add protocol=tcp dst-port=1723 action=accept chain=input comment="ACEPTO CONEXIONES VPN"

Denegar ping y loguear los intentos de ping:

[admin@MikroTik] > ip firewall filter add protocol=icmp chain=input action=log log-prefix="PING DENEGADO"

[admin@MikroTik] > ip firewall filter add protocol=icmp action=accept chain=input comment="DENIEGO ICMP"

[admin@MikroTik] > log print

23:34:12 firewall,info PING DENEGADO input: in:ether1 out:(none), src-mac 00:21:70:fd:e3:25, proto ICMP (type 8, code 0), 192.168.4.254->192.168.4.1, len 64

Uso de listas

Las listas contienen direcciones IP para las que podemos tomar determinadas acciones. De esta manera, mantenemos una única lista de direcciones y la invocamos en el firewall.

Crear una lista especificando desde dónde permitimos conexiones SSH

[admin@MikroTik] > ip firewall address-list add list=ssh-permitido address=192.168.1.2/32 comment="MAQUINA DEL ADMINISTRADOR"

[admin@MikroTik] > ip firewall filter add src-address-list=!ssh-permitido protocol=tcp dst-port=22 action=drop chain=input comment="ACEPTO SSH DESDE LAS MAQUINAS EN LA LISTA ssh-permitido"

Agregar IPs a una address-list de forma dinámica: si quiero por ejemplo guardar todas las IPs que intentaron acceder por WinBox a mi equipo:

[admin@MikroTik] > ip firewall filter add chain=input action=add-src-to-address-list protocol=tcp address-list=acceso-winbox dst-port=8291

[admin@MikroTik] > ip firewall address-list print

Flags: X - disabled, D - dynamic

#	LIST	ADDRESS
0	acceso-winbox	0.0.0.0
1 D	acceso-winbox	192.168.4.254

Cadenas creadas por el usuario

Las cadenas creadas por el usuario sirven para ordenar el firewall. Por ejemplo, creo una cadena que se llame virus donde cargo los virus conocidos. Necesito luego hacer un jump desde la cadena input.

[admin@MikroTik] > ip firewall filter add dst-port=135-139,445 protocol=tcp action=drop chain=virus comment="VIRUS DE WINDOWS"

[admin@MikroTik] > ip firewall filter add chain=input action=jump jump-target=virus

Administración de reglas

Mover una regla: por ejemplo, acabo de agregar una regla y por defecto lo hace al final. Necesito que dicha regla que esta en el lugar 13 pase al 3:

[admin@MikroTik] > ip firewall filter move 13 3

Protección contra ataques conocidos

A continuación se explican algunos ataques conocidos y qué estrategias pueden implementarse para protegerse contra ellos. También algunas estrategias para aumentar la seguridad en nuestras redes.

Bogons nets

El grupo CYMRU mantiene un listado con direcciones de red no asignadas o banneadas. De esta forma, utilizando sus listas podemos protegernos de ataques que tengan direcciones no válidas. Lo que se hace es rutear dichas direcciones a un black hole.

Port knocking

Port knocking consiste en utilizar un preámbulo específico para luego lograr el acceso a donde necesitamos. Por ejemplo, si queremos acceder por SSH al equipo podemos definir que desde la IP que deseamos ingresar hagamos un intento de acceso al puerto 33, luego al 55 y finalmente al 77. Al cumplir lo anterior entonces abriremos el puerto 22 para esa IP por un tiempo limitado.

La forma de implementar el port knocking del ejemplo con Mikrotik es la siguiente:

[admin@MikroTik] > ip firewall filter add chain=input connection-state=new protocol=tcp dst-port=77 action=add-src-to-address-list address-list=ssh-permit-temp address-list-timeout=1h src-address-list=step2

[admin@MikroTik] > ip firewall filter add chain=input connection-state=new protocol=tcp dst-port=55 action=add-src-to-address-list address-list=step2 address-list-timeout=1m src-address-list=step1

[admin@MikroTik] > ip firewall filter add chain=input connection-state=new protocol=tcp dst-port=33 action=add-src-to-address-list address-list=step1 address-list-timeout=1m

[admin@MikroTik] > ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=!ssh-permit-temp action=drop

Fuerza bruta

Para impedir que, por ejemplo, nos descubran la password del SSH utilizando fuerza bruta podemos implementar un mecanismo que habilite sólo tres intentos de acceso y luego bloquee la IP por 10 días:

[admin@MikroTik] > ip firewall filter add chain=input connection-state=new protocol=tcp dst-port=22 action=add-src-to-address-list address-list=ssh-blacklist address-list-timeout=10d src-address-list=ssh3

[admin@MikroTik] > ip firewall filter add chain=input connection-state=new protocol=tcp dst-port=22 action=add-src-to-address-list address-list=ssh3 address-list-timeout=1m src-address-list=ssh2

[admin@MikroTik] > ip firewall filter add chain=input connection-state=new protocol=tcp dst-port=22 action=add-src-to-address-list address-list=ssh2 address-list-timeout=1m src-address-list=ssh1

[admin@MikroTik] > ip firewall filter add chain=input connection-state=new protocol=tcp dst-port=22 action=add-src-to-address-list address-list=ssh1 address-list-timeout=1m

[admin@MikroTik] > ip firewall filter add chain=input protocol=tcp dst-port=22 action=drop address-list=ssh-blacklist

DoS

Los ataques de DoS se llevan a cabo consumiendo y agotando los recursos del equipo/red atacado. Existen algunas formas de mitigarlos.

Una estrategia es utilizar tarpit. Esto baja la ventana TCP a 0, impidiendo que haya transferencia de datos pero dejando que se generen las conexiones. El siguiente ejemplo muestra cómo permitir 19 conexiones simultáneas por IP con destino al servidor web y aplicar tarpit a partir de la conexión 20.

[admin@MikroTik] > ip firewall filter add chain=forward dst-address=163.10.0.84 protocol=tcp dst-port=80 action=tarpit connection-limit=20,32

Otra estrategia que puede realizarse es permitir un máximo de conexiones nuevas simultáneas. Por ejemplo, la siguiente regla permite 5 conexiones nuevas al mismo tiempo y las restantes las dropea:

[admin@MikroTik] > ip firewall filter add chain=forward connection-state=new dst-address=163.10.0.84 protocol=tcp dst-port=80 action=drop connection-limit=5,32

Notas sobre rendimiento

Tener en cuenta que siempre conviene que si hay dos reglas que pueden resumirse en una se haga, pues es una regla menos para procesar.
Si no se utiliza el equipo como router conviene deshabilitar el connection tracking, pues así nos estaríamos ahorrando tiempo de procesamiento y memoria RAM.

Referencias e interés

Existen varios sitios que nos permiten ingresar con un usuario de sólo lectura a sus routers para verificar la configuración. Dos de ellos son accesibles vía WinBox con usuarios demo y sin password. Las direcciones son demo.mikrotikexpert.com y demo2.mt.lv.

Se puede encontrar también más información sobre tarpit en un artículo de Security Focus. Finalmente, en la documentación del RouterOS puede accederse a una explicación sobre el funcionamiento de la cadena filter del firewall.

Administración del firewall en Mikrotik