Archivo de la categoría: Redes e Internet

Mikrotik ipsec VPN

53 respuestas

En este artículo vamos a unir dos sedes remotas utilizando Mikrotik ipsec VPN. Ésta solución nos servirá para interconectar dos sedes remotas de manera segura a través de internet. Para nuestra configuración seguiremos este diagrama:

Ejemplo Mikrotik ipsec VPN

Configuración Mikrotik ipsec VPN.

Antes de comenzar debemos de tener en cuenta algunas consideraciones, la primera es que las redes LAN en cada oficina deben ser diferentes, en caso contrario, aunque se establezca el túnel, los paquetes no se transmitirán al otro extremo. Por otro lado, hay que verificar que las ips públicas de cada sede se ven a través de un ping. Finalmente debes de tener cuidado si estás detrás de un router adsl o similar que utilice NAT ya que tendrías que configurar ipsec en modo ESP y no AH además de abrir el puerto 500 en udp para que el intercambio de claves pueda llevarse a cabo.

Lo primero que debemos hacer es configurar los interfaces. Configuraremos primeramente el interface LAN de la primera sede siguiendo nuestro esquema:

Interface LAN MKT ipsec VPN

A continuación configuraremos el interface WAN.

Configuración WAN MKT ipsec VPN

Luego crearemos una política ipsec que nos permita levantar un tunnel.

Politica General Mikrotik ipsec

Acciones de Política ipsec VPN

Para terminar la configuración en el apartado ipsec tenemos que añadir la configuración del extremo opuesto del túnel, así como la forma en la que vamos a validarnos contra dicho extremo.

Peer Configuration ipsec VPN

Por último, sólo nos quedaría configurar una política NAT que convierta las direcciones ips de la LAN local en direcciones válidas en la red remota.

MKT ipsec VPN NAT rule

MKT ipsec NAT Action

Con esto habremos configurado el primer equipo Mikrotik, si has llegado hasta este punto la configuración del otro peer no te resultará complicada ya que sólo tienes que realizar la configuración en el sentido inverso.

Puedes obtener más información sobre Mikrotik e ipsec en este enlace: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

 

 

Cómo proteger mi red wifi de intrusos.

2 respuestas

Cómo Proteger mi Red Wifi de Intrusos¿Cómo puedo proteger mi red wifi?. Esta es, sin duda, una de las preguntas que se hacen los usuarios de redes inalámbricas. Lo que más preocupa a los usuarios es que utilicen su conexión de forma fraudulenta para acceder a internet, sin embargo, lo que más debería preocuparnos es que intenten acceder a nuestros datos, capturar nuestras contraseñas o utilizar nuestra conexión para cometer algún delito. Lamentablemente hay que comenzar indicando que las redes inalámbricas, debido al medio que utilizan para transmitir la información (el aire), son inseguras.

Por lo tanto, lo único que podemos hacer es  intentar retrasar el momento en el que algún extraño consiga acceder, o en el mejor de los casos, que hayamos puesto el listón tan alto que finalmente el atacante desista y lo intente con otra de las redes a su alcance.

Como hemos dicho nuestro medio de transmisión es el aire y por lo tanto nuestros datos, mejor o peor protegidos, circulan por este medio. A continuación vamos a indicar una serie de medidas que podemos poner en práctica para poner las cosas más difíciles:

Medidas para proteger mi red wifi.

Ocultar el SSID.

El SSID es el nombre de tu red wifi y aparece en la ventana de redes inalámbricas disponibles cuando alguien busca redes wifi dentro de su alcance. El nombre de la red SSID por defecto se incluye en los paquetes que nuestro router lanza al aire a no ser que le indiquemos que no lo haga. No obstante, un usuario experimentado puede fácilmente conocer el SSID de tu red aunque esté oculto.

Indicaciones para el SSID.

Como hemos dicho el SSID es el nombre de tu red inalámbrica. Por ello no debería “publicar” datos como tu nombre, tu dirección, etc. Ten en cuenta que, si alguien quiere conectarse concretamente a tu red, el SSID puede funcionar como un indicador luminoso guiando al atacante hasta tu router. Nombres de SSIDs como “Antonio Pérez” o “Paqui 2B” pueden dar demasiadas pistas a un intruso.

Otro nombre que debes evitar para tu SSID es la marca del router, nombres como “Netgear” o “Thompson” hacen que un atacante pueda conocer el modelo de tu router y tratar de utilizar algún error de esta marca para intentar ganar el acceso a tu red wifi.

Mi recomendación es que utilices nombres genéricos como “miwifi”, “casa”, “wifi”, etc.

Cifrado wifi.

Existen varias formas de cifrar los datos que viajan por tu red. Este cifrado hará que, aunque nuestros datos vuelen por el aire pudiendo ser escuchados nadie que no tenga la clave pueda interpretarlos.

A la hora de configurar nuestra red tenemos diferentes opciones de cifrado ordenadas de menor a mayor seguridad:

  • NONE: Sin cifrado. Sé que piensas que eres guay por compartir tu conexión a internet pero, si alguno de tus invitados anónimos hace alguna trastada en internet, los señores de azul van a llamar a TÚ casa. En ese momento les cuentas lo guay y solidario que eres.
  • WEP (Wired Equivalent Protocol): Este protocolo de encriptación nació en 1999 y para 2001 ya era fácilmente descifrable. Muchas redes aún lo utilizan por razones de compatibilidad con otros dispositivos antiguos. Para un posible atacante un cifrado WEP es una invitación al salón de tu casa.
  • WPA (Wifi Protected Access): Comenzó su andadura en 2001 y trataba de corregir las vulnerabilidades conocidas del protocolo WEP.
  • WPA2 (Wifi Protected Access 2): Aparece en 2004 y hasta la actualidad es el protocolo más seguro.

Elegir una clave para nuestro wifi.

Si has leído el apartado sobre el cifrado estoy seguro que utilizarás como mínimo WPA para cifrar tu red. Tanto WPA como WPA2 se basan en el protocolo PSK (Pre-Shared Key), es decir, una frase de seguridad que es conocida por todos los equipos que se conectan a la red. En este tipo de protocolos nuestra contraseña puede ser de hasta 63 caracteres, por ello, no te limites a escribir tu DNI o tu número de teléfono. Escribe una frase contundente que te resulte sencilla de recordar como por ejemplo un refrán y añade al final un año por ejemplo.

Por último modifica esta clave periódicamente.

Filtrado MAC.

Todos los elementos que coexisten en una red tienen un identificador único que les permite comunicarse con otros elementos. Este identificador también conocido como MAC es la dirección física del adaptador wifi en nuestro caso.

Ya que este identificador es único, es decir, no hay dos iguales en el mundo, podemos indicarle a nuestro router cuales son las direcciones físicas (MACs) de nuestros dispositivos con las que puede comunicarse. Esta medida implica que, cada vez que conectemos un nuevo dispositivo a nuestra red, tengamos que darlo de alta manualmente en nuestro router.

Actualiza el Firmware de tu router.

El router es el que te proporciona acceso wifi a internet. Independientemente de la marca, cada fabricante publica mejoras en forma de actualizaciones de firmware para sus equipos. La mayoría de los routers proporcionan un apartado en su configuración que hace referencia a la búsqueda automáticas de actualizaciones.

Estas actualizaciones pueden dotar a nuestro router de nuevas características así como solucionar posibles problemas de seguridad que hayan sido detectados.

Consideraciones finales.

Tal y como he comentado al principio las redes inalámbricas no son seguras. Si realmente quieres estar seguro apaga el wifi y usa sólo el cable.

Modificar la configuración de tu router es algo que debes hacer sólo si tienes los conocimientos necesarios. Si no estás seguro de cómo hacerlo ponte en contacto con tu operador o contacta con alguna empresa de informática.

 

Image courtesy of [Master Isolated] / FreeDigitalPhotos.net

 

OpenVPN y Mikrotik.

15 respuestas

Mikrotik logoEn este artículo veremos cómo funciona el binomio OpenVPN y Mikrotik. Openvpn es una de las soluciones más utilizadas en el mundo Linux para establecer túneles de manera segura . Esta solución nos permite a través de certificados conectar tanto usuarios del tipo RoadWarriors como sedes remotas.

En el siguiente ejemplo usaremos un equipo Mikrotik RB750 como cliente ovpn para unir una sede remota a la oficina principal.

El primer paso es copiar los tres archivos que debe haber generado el servidor OpenVPN para el cliente. Tendremos un certificado con la clave pública de la Autoridad de Certificación, un certificado con la clave pública del cliente y finalmente un certificado con la clave privada del cliente.

Openvpn y Mikrotik | Copia de certificados.

Una vez copiados debemos importar dichos certificados para poder usarlos para establecer el túnel. Para ello podemos ir al terminal y ejecutar los siguientes comandos:

/certificate
import file=client1.crt
import file=client1.pem
import file=ca.crt

Acto seguido verificamos que los certificados han sido importados correctamente con el comando:

/certificate print

Antes de seguir con la configuración debemos saber si nuestro servidor OpenVPN está configurado con el driver TAP o TUN. Ambos son drivers de bajo nivel desarrollados para el kernel de Linux. Sin embargo mientras que TUN trabaja con tramas IP, TAP lo hace con tramas ethernet. ¿En qué nos afecta esto? básicamente si nuestro servidor OpenVPN está configurado como TUN trabajaremos enrutando el tráfico a la VPN y si es TAP tendremos que hacer una configuración en modo BRIDGE.

 A la hora de la configuración  crearemos un nuevo interface con la siguiente configuración:

interface ovpn-client add name=”ovpn-out1″ connect-to[IP_DESTINO] port [PUERTO] mode=[si el enlace es TUN selecciona “ip” si es TAP selecciona “ethernet” user=”nobody” password=”” profile=default certificate=[CERTIFICADO IMPORTADO] auth=sha1 cipher=blowfish128

mikrotik interface ovpn-client

Finalmente tenemos que definir qué tráfico debe encaminarse el túnel.

ip firewall nat add action=masquerade chain=srcnat out-interface=ovpn-out1 dst-address=[LAN_SEDE_REMOTA]

NOTA: No olvides añadir una regla de NAT si quieres permitir que los usuarios de la sede remota puedan salir a internet.

ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway to-addresses=0.0.0.0

A partir de aquí podemos utilizar todo el potencial que OpenVPN y mikrotik ponen a nuestro alcance como priorizar determinado tipo de trafico que cruce nuestro túnel o visualizar en tiempo real qué ancho de banda tenemos disponible. Así mismo nos podría resultar de utilidad definir reglas en el firewall que limite el tipo de tráfico que utiliza nuestro túnel.

Más información: Mikrotik Wiki.

Mikrotik sxt – Enlaces wifi punto a punto.

7 respuestas

Configuración Mikrotik SXT enlace wifi punto a puntoEn este artículo vamos a crear un enlace wifi punto a punto utilizando un par de equipos Mikrotik SXT usando la mínima configuración posible. El equipo que se ha usado para escribir este artículo ha sido  Mikrotik SXT G-5HnD. Antes de comenzar debemos descargar de la web del fabricante Mikrotik el cliente Winbox y la última versión del Firmware para nuestro equipo Mikrotik SXT. Todo ello lo podréis encontrar en la sección download.

Primeramente vamos a actualizar el RouterOS y el firmware de nuestros equipos. Para ello, una vez conectados vía Winbox, arrastramos la nueva versión a la ventana Files.

Nueva versión RouterOS Mikrotik SXT

Una vez subida la nueva versión procedemos a reiniciar el equipo abriendo un terminal. No te preocupes si el equipo tarda un poco en arrancar, es normal cuando actualizamos la versión de RouterOS.

Reinicio Mikrotik SXT tras upgrade

Tras el reinicio actualizaremos el firmware del equipo mediante el terminal.

Mikrotik SXT firmware upgrade

Finalmente antes de volver a reiniciar vamos a limpiar la configuración de nuestro equipo.

Borrar configuración Mikrotik SXT

Luego reiniciamos el equipo y al conectarnos nos preguntará si queremos deshacernos de la antigua configuración. Le indicaremos que sí haciendo click en el botón Remove Configuration.

Eliminar default configuration Mikrotik

El siguiente paso es crear un bridge e incluir dos nuevos bridge ports asociados con los dos interfaces físicos de la antena. Este bridge unirá el interface ethernet con el wireless permitiendo el paso transparente del tráfico entre ambos.

Como hemos dicho lo primero es crear el bridge.

Mikrotik crear un bridge

Luego añadimos los dos interfaces al bridge que acabamos de crear.

Mikrotik añadir interfaces a un bridge

Finalmente añadimos una ip al interface bridge. Esta ip la añadimos al interface bridge de nuestro equipo Mikrotik SXT en lugar de a un interface para poder acceder a él desde cualquier medio.

añadir ip interface bridge Mikrotik SXT

Todos estos pasos deben de ser realizados tanto en la antena que nos servirá de AP como en la que trabajará como cliente. No obstante es importante resaltar que cada equipo debe tener una ip distinta de la misma subred. Esta ip sólo nos servirá para acceder al equipo ya que, al estar configuradas en modo bridge no modificará cabeceras ip del tráfico que transmitan.

Mikrotik SXT – Configuración específica del AP.

Tenemos nuestro enlace casi configurado. Ahora sólo nos queda configurar el interface Wireless del equipo que trabajará como AP. Para ello vamos a configurar los siguientes valores en el interface wireless: Mode: Bridge, Band, Channel Width, Frequency, Wireless protocol, Country y WMM Support.

Mikrotik SXT Bridge configuration example

En la configuración del interface wireless, esta vez en la pestaña HT, marcamos los valores chain 1 en la transmisión y recepción.

Mikrotik SXT Wireless HT configuration example

Finalmente vamos a la solapa WDS y cambiamos los valores que vemos en la imagen.

Mikrotik SXT WDS configuration example

Con este paso hemos terminado de configurar el equipo Mikrotik SXT que trabajará como AP. Aquí tenéis un resumen de la configuración del interface Wireless.

Final Wireless Configuration Mikrotik SXT AP

Mikrotik SXT – Configuración específica del Cliente.

Ya tenemos nuestro AP listo, ahora vamos a configurar el interface wireless del cliente. Para ello os adjunto una captura de cómo quedaría la configuración de dicho interface. La configuración es prácticamente igual a excepción la opción mode que, al tratarse del equipo cliente, debe ser configurada como station bridge.

Mikrotik SXT Wireless AP_Client

Igualmente hemos de modificar los parámetros que anteriormente configuramos en el AP en las solapas HT y WDS para dejarlos igual que en nuestro AP.

Consideraciones finales.

Este ha sido un ejemplo de configuración de un enlace wifi punto a punto utilizando dos equipos Mikrotik SXT. Como se indica al principio del artículo es una configuración básica para una rápida puesta en marcha. Para su uso en un entorno real sería necesario ajustar parámetros de seguridad, frecuencia y ganancia para obtener un rendimiento óptimo.

Por otro lado, la licencia que viene con estos equipos sólo nos permite configurar un punto a punto por lo que si quisiéramos unir dos clientes al AP necesitaríamos ampliar la licencia.

Si quieres obtener más información acerca de la configuración de este tipo de equipos puedes encontrarla en aqui.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Image courtesy of [Master Isolated] / FreeDigitalPhotos.net

Aumenta tu velocidad de Internet.

Deja un comentario

mejorar velocidad de internet

¡Mejorar la velocidad de Internet es posible! Esta afirmación tan rotunda no es parte de la campaña de publicidad de ningún proveedor de internet, se trata de tomar una serie de medidas que nos garanticen obtener la máxima velocidad de nuestra conexión.

En este artículo vamos a dar una serie de consejos sencillos para sacar el máximo provecho de nuestra conexión a internet sin derramar un bit.

Optimiza tu dns para aumentar tu velocidad de internet.

Los dns (Domain Name System) son los servidores encargados de convertir las direcciones web que tecleas en la barra del navegador en direcciones ip. Cada vez que en la barra de dirección de tu navegador escribes el nombre de una web tu pc pregunta a estos servidores en qué ip se encuentra dicha pagina web. Estos servidores son muy educados y por lo general responden a todo aquel que quiera preguntarles por una dirección. Todos los proveedores de internet tienen sus propios servidores dns para resolver las direcciones que sus usuarios teclean en el navegador. Sin embargo es importante para la velocidad de internet que le preguntes a los servidores correctos. Los servidores de tu proveedor de internet son los que, en términos de redes, más cerca están de tu navegador por eso mismo son los que pueden darle a tu navegador la dirección de la web de una forma más rápida.

Puedes verificar los servidores dns que tienes configurado en las propiedades de tu adaptador de red o bien ejecutando el siguiente comando haciendo click en el menú inicio, seleccionado la opción ejecutar y escribiendo: cmd seguido de la tecla enter (intro). En esta ventana debes teclear el comando:

 ipconfig /all

El servidor/es dns aparecerán en el apartado DNS Servers.

dns y gateway misma ip | mejora tu velocidad de internet

Nota: Si como servidor dns tienes la misma ip que tu puerta de enlace es que tu router es el encargado de resolver tus páginas. Esto es correcto ya que es tu proveedor de internet quien ha preconfigurado el router para recibir dichas consultas.

Latencia y ventana TCP. Como afectan a la velocidad de Internet.

En términos de redes la latencia mide el tiempo que tarda la información en ir y volver a un determinado lugar. Esta latencia se mide en milisegundos y generalmente es la responsable de que tu personaje vaya a saltos cuando juegas en red o de que, cuando haces una video-conferencia, se produzcan saltos en el video o la voz.

Para ver la latencia de vuestra conexión vamos a medir cuánto tardamos en llegar a google y volver para ello hay que volver a entrar en la consola del sistema con el comando cmd y teclear el siguiente comando:

ping www.google.es

PING www.google.es (74.125.230.215): 56 data bytes
64 bytes from 74.125.230.215: icmp_seq=0 ttl=51 time=41.211 ms
64 bytes from 74.125.230.215: icmp_seq=1 ttl=52 time=40.493 ms
64 bytes from 74.125.230.215: icmp_seq=2 ttl=51 time=37.480 ms
64 bytes from 74.125.230.215: icmp_seq=3 ttl=52 time=41.177 ms
64 bytes from 74.125.230.215: icmp_seq=4 ttl=52 time=45.211 ms

Por debajo de 50 ms gozamos de una buena latencia la cual nos permitirá jugar sin problemas a juegos online, usar skype y tener una buena ventana de TCP.

¿Qué hacemos si tenemos un tiempo superior a 50 ms? Si en el momento en el que haces esta prueba no estás haciendo ninguna descarga, ni tienes ningún programa P2P (Emule, Ares, etc.) activo en ningún ordenador de tu red, y tienes un tiempo superior a 150 ms puede deberse a dos cosas, o bien estás haciendo la prueba a través del wifi y no conectado por cable, lo cual aumenta sensiblemente la latencia, o bien que tu proveedor de internet te haya vendido más pan que chorizo.

¿Por qué es tan importante la latencia? aparte de juegos  y video-conferencias, una latencia alta nos limita la velocidad de descarga. Cuando hacemos una descarga desde internet la información se divide en paquetes. Si nuestra latencia es mejor la ventana tcp se ajustará haciendo que esos paquetes sean más grandes, consiguiendo una mayor tasa de transferencia y reduciendo por tanto el tiempo de descarga mientras que, si por el contrario tenemos una latencia alta, la descarga tendrá que ser dividida en paquetes más pequeños por lo que tardará más tiempo ya que la velocidad de descarga es menor.

Siempre que usemos una conexión inalámbrica para hacer descargas estaremos penalizados por tener una latencia mayor y por compartir el medio con otros dispositivos como ordenadores, teléfonos, etc.

Las sesiones abiertas y la velocidad de internet.

Finalmente vamos a analizar un elemento importante que afecta a la velocidad como son las sesiones que nuestro ordenador puede tener establecidas con internet. Para ello vamos a utilizar un sencillo ejemplo:

Imagina un colador con un número determinado de agujeros. Nuestra conexión a internet podría ser el líquido que debe pasar por dichos agujeros. Cuando nuestra conexión puede utilizar todos los agujeros para enviar y recibir información obtenemos la máxima velocidad. Sin embargo, cuando dichos agujeros son usados por otros programas nuestra velocidad de internet se ve mermada. A efectos de nuestro colador cada aplicación que requiere comunicarse con el exterior ocupa algunos de estos canales (sockets). Aplicaciones como las P2P son grandes consumidoras de agujeros (sockets) por lo que, a pesar de no estar descargando ningún archivo a través de ellas, pueden mermar nuestra velocidad de internet.

Otros programas como spywares o malwares también pueden estar consumiendo estos preciados recursos de comunicación limitando tu velocidad de internet mediante conexiones no autorizadas.

Para verificar las conexiones que nuestro pc mantiene abiertas con el exterior podemos ejecutar el comando NETSTAT. Este comando funciona en todas las plataformas y nos muestra información sobre las conexiones que se encuentran establecidas en tiempo real. Para ejecutarlo sólo debemos ir al menú inicio, ejecutar y teclear NETSTAT.

Netstat puede aumentar tu velocidad de internet

Finalmente, si quieres evitar que determinados programas usen tu conexión a internet sin tu consentimiento prueba a instalar un firewall como ZoneAlarm el cual pedirá tu aprobación cada vez que algún programa trate de salir a internet. Pero ten cuidado de no limitar la salida de algún programa que sí necesites.

Image courtesy of [jscreationzs] / FreeDigitalPhotos.net