Archivo de la etiqueta: Firewall

Mikrotik Ipsec detrás de router NAT

Mikrotik Ipsec detrás de un router NATHace unas semanas comenté la forma de crear un túnel entre dos equipos Mikrotik utilizando Ipsec. En aquella ocasión los equipos que establecían el túnel Ipsec eran a su vez los equipos que hacían NAT para el resto de nuestra red.

Esta situación, que es la recomendable, no siempre se produce y por consiguiente, en uno de los extremos, por delante de nuestro equipo Mikrotik tenemos un router que utiliza NAT para trasladar las direcciones ips internas al exterior. Estos routers generan un problema cuando hablamos de Ipsec ya que, al realizar la traslación de direcciones ips, modifica las cabeceras de los paquetes ip haciendo que el host remoto rechace dichos paquetes.

Existen no obstante routers en el mercado, los más nuevos, que soportan Ipsec Passthrough los cuales deberían detectar el tráfico Ipsec y permitir, no sólo que el túnel se establezca (cosa relativamente simple), sino que las tramas cifradas sean validadas por el host remoto y viceversa.

Mikrotik Ipsec ejemplo

Bien, para conseguir que nuestra VPN basada en Mikrotik Ipsec se establezca y funcione debemos  abrir los siguientes puertos hacia la ip del equipo Mikrotik que va a lanzar el túnel:

Port 50 TCP – Encapsulación de Cabeceras (ESP)

Port 51 TCP – Autenticación de Cabeceras (AH)

Port 500 UDP – Intercambio de claves (IKE)

Port 4500 TCP/UDP – Nat Transversal

Una vez configurado el PAT debemos prestar atención a la configuración del Policy Action de nuestro nodo Mikrotik en el cual habilitaremos la opción de NAT-Transversal. Posteriormente como dirección de inicio del túnel src-address usaremos la ip de nuestro equipo mikrotik en el segmento que le une al router, es decir, la misma ip sobre la que hemos redirigido los puertos desde nuestro router mientras que como dst-address usaremos la ip pública del concentrador de túneles.

Acciones de Política Mikrotik ipsec VPN

Finalmente, siempre que sea posible conecta tu equipo Mikrotik a tu operador sin routers intermedios eso te ahorrará quebraderos de cabeza. Por otro lado, la mayoría de los routers ADSL del mercado soportan la configuración en modo bridge, lo cual tampoco es una mala solución.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Abrir Puertos Mikrotik

Mikrotik logoCuando conectamos nuestra red a Internet es habitual querer hacer que algún servicio interno esté disponible desde el exterior. Si utilizamos un equipo Mikrotik vamos a ver cual es la forma genérica de publicar estos puertos.

A la hora de redireccionar un puerto en nuestro Mikrotik debemos acceder al apartado NAT dentro del Firewall el cual se encargará de trasladar el tráfico proveniente del exterior hacia la ip interna destino. A continuación vamos a ver algunos ejemplos sobre las diferentes posibilidades de que disponemos.

/ip firewall nat

add chain=dstnat dst-port=80 protocol=tcp in-interface=ether1-gateway action=dst-nat to-address=192.168.1.X to-ports=80

La regla anterior redireccionará todo el tráfico con puerto de destino 80 y protocolo TCP que llegue a nuestro equipo Mikrotik a través del interface ether1-gateway al puerto 80 de la ip privada 192.168.1.X.

Podríamos hacer esta regla un poco más específica si en lugar de especificar el interface de destino usamos la ip pública directamente:

/ip firewall nat

add chain=dstnat dst-port=80 protocol=tcp dst-address=(ip pública) action=dst-nat to-address=192.168.1.X to-ports=80

Finalmente podríamos ser más estrictos aún si abrimos el puerto sólo para una determinada ip:

/ip firewall nat

add chain=dstnat dst-port=80 protocol=tcp src-address=(ip orígen) dst-address=(ip pública) action=dst-nat to-address=192.168.1.X to-ports=80

A modo de resumen, a la hora de abrir un puerto en nuestro equipo Mikrotik hay dos aspectos a tener en cuenta: primeramente qué condiciones debe cumplir este tráfico y segundo qué hacemos cuando esas condiciones son cumplidas. Respecto a las condiciones todas están recogidas antes del comando action y contienen ip de orígen, puerto de destino, protocolo, etc. Una vez que el tráfico ha cumplido las condiciones es cuando entra en juego el segundo apartado, es decir, todo lo relacionado con el comando action.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

Mikrotik QoS en nuestro enlace wifi

Mikrotik logoHace unas semanas hablamos sobre cómo podríamos crear un enlace wifi punto a punto utilizando equipos Mikrotik. Hoy vamos a ir un poco más allá configurando en nuestro equipo Mikrotik prioridades para evitar que el tráfico sature nuestro enlace.

Podemos realizar una gran cantidad de configuraciones en nuestro equipo Mikrotik para gestionar el QoS. Podremos gestionarlo por interface de entrada, de salida, por ip de origen, por ip de destino, así mismo podremos configurar la calidad de servicio en función del tipo de protocolo.

Para ilustrar esta entrada vamos a suponer que queremos priorizar el tráfico de una aplicación SQL que cruza nuestro enlace. Para ello vamos a crear una regla que marque aquellos paquetes que cumplan nuestra condición con la máxima prioridad.

Configuración Mikrotik QoS. Creación de la regla.

Primeramente dado que nuestro equipo Mikrotik está configurado en modo Bridge vamos a crear una regla dentro de ip > firewall > mangle del tipo forward con las opciones que hemos expuesto en nuestro ejemplo.

Mikrotik QoS creación regla mangle

En nuestro caso hemos configurado el parámetro chain, donde le hemos configurado la opción forward, el tipo de protocolo 6(tcp) ya que la conexión contra el servidor SQL utiliza TCP y el puerto de destino que es el 1433. Adicionalmente hemos configurado la ip del servidor por lo que estaremos configurando nuestro equipo Mikrotik para que únicamente marque con prioridad el tráfico SQL dirigido a esta ip.

Mikrotik QoS. Aplicamos prioridad al tráfico.

Una vez configurada la regla tenemos que definir qué es lo que queremos hacer con este tráfico.

Acción del mangle en equipo Mikrotik

Como nuestro objetivo es priorizar el tráfico que cumple con los parámetros definidos en el apartado anterior modificamos el campo action y seleccionamos la opción priority y le asignamos un valor que de prioridad a este tipo de tráfico.

Finalmente podemos ver si realmente el tráfico está cayendo dentro de esta regla si accedemos a a la solapa stadistics y esperamos un poco a que aparezcan las primeras trazas.

Mikrotik QoS apartado Statistics

Podeis encontrar más información sobre configurar prioridades de tráfico en la wiki de Mikrotik.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Aumenta tu velocidad de Internet.

mejorar velocidad de internet

¡Mejorar la velocidad de Internet es posible! Esta afirmación tan rotunda no es parte de la campaña de publicidad de ningún proveedor de internet, se trata de tomar una serie de medidas que nos garanticen obtener la máxima velocidad de nuestra conexión.

En este artículo vamos a dar una serie de consejos sencillos para sacar el máximo provecho de nuestra conexión a internet sin derramar un bit.

Optimiza tu dns para aumentar tu velocidad de internet.

Los dns (Domain Name System) son los servidores encargados de convertir las direcciones web que tecleas en la barra del navegador en direcciones ip. Cada vez que en la barra de dirección de tu navegador escribes el nombre de una web tu pc pregunta a estos servidores en qué ip se encuentra dicha pagina web. Estos servidores son muy educados y por lo general responden a todo aquel que quiera preguntarles por una dirección. Todos los proveedores de internet tienen sus propios servidores dns para resolver las direcciones que sus usuarios teclean en el navegador. Sin embargo es importante para la velocidad de internet que le preguntes a los servidores correctos. Los servidores de tu proveedor de internet son los que, en términos de redes, más cerca están de tu navegador por eso mismo son los que pueden darle a tu navegador la dirección de la web de una forma más rápida.

Puedes verificar los servidores dns que tienes configurado en las propiedades de tu adaptador de red o bien ejecutando el siguiente comando haciendo click en el menú inicio, seleccionado la opción ejecutar y escribiendo: cmd seguido de la tecla enter (intro). En esta ventana debes teclear el comando:

 ipconfig /all

El servidor/es dns aparecerán en el apartado DNS Servers.

dns y gateway misma ip | mejora tu velocidad de internet

Nota: Si como servidor dns tienes la misma ip que tu puerta de enlace es que tu router es el encargado de resolver tus páginas. Esto es correcto ya que es tu proveedor de internet quien ha preconfigurado el router para recibir dichas consultas.

Latencia y ventana TCP. Como afectan a la velocidad de Internet.

En términos de redes la latencia mide el tiempo que tarda la información en ir y volver a un determinado lugar. Esta latencia se mide en milisegundos y generalmente es la responsable de que tu personaje vaya a saltos cuando juegas en red o de que, cuando haces una video-conferencia, se produzcan saltos en el video o la voz.

Para ver la latencia de vuestra conexión vamos a medir cuánto tardamos en llegar a google y volver para ello hay que volver a entrar en la consola del sistema con el comando cmd y teclear el siguiente comando:

ping www.google.es

PING www.google.es (74.125.230.215): 56 data bytes
64 bytes from 74.125.230.215: icmp_seq=0 ttl=51 time=41.211 ms
64 bytes from 74.125.230.215: icmp_seq=1 ttl=52 time=40.493 ms
64 bytes from 74.125.230.215: icmp_seq=2 ttl=51 time=37.480 ms
64 bytes from 74.125.230.215: icmp_seq=3 ttl=52 time=41.177 ms
64 bytes from 74.125.230.215: icmp_seq=4 ttl=52 time=45.211 ms

Por debajo de 50 ms gozamos de una buena latencia la cual nos permitirá jugar sin problemas a juegos online, usar skype y tener una buena ventana de TCP.

¿Qué hacemos si tenemos un tiempo superior a 50 ms? Si en el momento en el que haces esta prueba no estás haciendo ninguna descarga, ni tienes ningún programa P2P (Emule, Ares, etc.) activo en ningún ordenador de tu red, y tienes un tiempo superior a 150 ms puede deberse a dos cosas, o bien estás haciendo la prueba a través del wifi y no conectado por cable, lo cual aumenta sensiblemente la latencia, o bien que tu proveedor de internet te haya vendido más pan que chorizo.

¿Por qué es tan importante la latencia? aparte de juegos  y video-conferencias, una latencia alta nos limita la velocidad de descarga. Cuando hacemos una descarga desde internet la información se divide en paquetes. Si nuestra latencia es mejor la ventana tcp se ajustará haciendo que esos paquetes sean más grandes, consiguiendo una mayor tasa de transferencia y reduciendo por tanto el tiempo de descarga mientras que, si por el contrario tenemos una latencia alta, la descarga tendrá que ser dividida en paquetes más pequeños por lo que tardará más tiempo ya que la velocidad de descarga es menor.

Siempre que usemos una conexión inalámbrica para hacer descargas estaremos penalizados por tener una latencia mayor y por compartir el medio con otros dispositivos como ordenadores, teléfonos, etc.

Las sesiones abiertas y la velocidad de internet.

Finalmente vamos a analizar un elemento importante que afecta a la velocidad como son las sesiones que nuestro ordenador puede tener establecidas con internet. Para ello vamos a utilizar un sencillo ejemplo:

Imagina un colador con un número determinado de agujeros. Nuestra conexión a internet podría ser el líquido que debe pasar por dichos agujeros. Cuando nuestra conexión puede utilizar todos los agujeros para enviar y recibir información obtenemos la máxima velocidad. Sin embargo, cuando dichos agujeros son usados por otros programas nuestra velocidad de internet se ve mermada. A efectos de nuestro colador cada aplicación que requiere comunicarse con el exterior ocupa algunos de estos canales (sockets). Aplicaciones como las P2P son grandes consumidoras de agujeros (sockets) por lo que, a pesar de no estar descargando ningún archivo a través de ellas, pueden mermar nuestra velocidad de internet.

Otros programas como spywares o malwares también pueden estar consumiendo estos preciados recursos de comunicación limitando tu velocidad de internet mediante conexiones no autorizadas.

Para verificar las conexiones que nuestro pc mantiene abiertas con el exterior podemos ejecutar el comando NETSTAT. Este comando funciona en todas las plataformas y nos muestra información sobre las conexiones que se encuentran establecidas en tiempo real. Para ejecutarlo sólo debemos ir al menú inicio, ejecutar y teclear NETSTAT.

Netstat puede aumentar tu velocidad de internet

Finalmente, si quieres evitar que determinados programas usen tu conexión a internet sin tu consentimiento prueba a instalar un firewall como ZoneAlarm el cual pedirá tu aprobación cada vez que algún programa trate de salir a internet. Pero ten cuidado de no limitar la salida de algún programa que sí necesites.

Image courtesy of [jscreationzs] / FreeDigitalPhotos.net

 

Antivirus y seguridad informática.

Antivirus y Seguridad informática.Hubo un tiempo no muy lejano en que los antivirus no eran residentes, es decir, eran programas que ejecutabas a la vez que seleccionabas qué unidad querías analizar. No estaban todo el tiempo ejecutándose en el ordenador porque, sencillamente, no era necesario. Cada vez que algún amigo traía un disquete, por precaución, le pasabas el antivirus. Estos antivirus primitivos no tenían actualizaciones online sino que la empresa nos remitía periódicamente las actualizaciones del fichero de firmas en disquete. Estas firmas mejoraban la capacidad de detección de nuevos virus haciendo por tanto al producto más efectivo.

Mucho ha llovido desde entonces y mucho ha evolucionado la tecnología en relación con los antivirus y la seguridad informática. Hoy día nuestro antivirus es residente y sus actualizaciones se realizan de forma automática y online, sabemos que está ahí ojo avizor como un ángel de la guarda. De vez en cuando nos embarga una sensación de tranquilidad cuando el antivirus nos informa que acaba de actualizar su fichero de firmas a la última versión y no digamos cuando actualiza el motor de detección. Tenemos sistemas de detección heurística y ficheros de firmas en la nube. Tenemos la posibilidad de enviar archivos sospechosos directamente a la empresa antivirus para que, en caso de detectar una nueva amenaza, los incorpore a la próxima actualización del archivo de identificadores de virus.

Sin embargo, muy a pesar de todas estas características, los antivirus han estado y mucho me temo que siempre estarán un paso por detrás de los virus. Este razonamiento tiene su fundamento en que primero hay que conocer al virus e identificar el código malicioso antes de poder añadirlo al fichero de firmas. Este archivo de firmas se basa precisamente en millones de fragmentos de código de los virus encontrados en los últimos años. De hecho, cuando analizamos un fichero en nuestro ordenador realmente lo que hacemos es escudriñar su código enfrentándolo contra estos identificadores.

¿Entonces no es necesario el antivirus?.-

Me temo que es necesario pero no suficiente. Tenemos que entender que nunca estamos seguros de estar libre de infección al 100%. Hemos de desterrar esa sensación de seguridad y tomar conciencia de que, desde el momento en que tu pc se conecta a internet o pertenece a una red local, corres el riego de estar infectado. No te confíes si tu antivirus te indica que estas al 100% libre de virus o creas que ,como no has notado ningún síntoma, ventanas que sea abren o publicidad emergente, estás a salvo.
Porque este tipo de software “maligno” hace tiempo que cesó en su intento de borrar tu disco duro o de tratar de hacer que tu ordenador se comportara de forma extraña abriendo o cerrando la bandeja del lector de cds. Su modus operandi ha cambiado así como su objetivo, ahora no quiere borrar o dañar tus datos sino leerlos, quiere copias de tus fotos y archivos, quiere datos sobre el uso de tu pc o de tus cuentas bancarias. Quiere aparentar total normalidad cuando te conectas online a lo que crees que es tu banco mientras toma buena nota y recopila información que posteriormente enviará a Internet donde esos datos serán usados o vendidos.
Como consultor, la mayoría de las empresas que visito no cumplen lo que hoy por hoy constituyen unas normas básicas de seguridad. Exponen su información y sus negocios de forma temeraria quizás por el desconocimiento del peligro que les está acechando continuamente. Hemos de hacer ver a estas compañías que la batalla contra las amenazas está perdida y que lo único que podemos hacer es intentar retrasar el momento de la infección y que, una vez sufrida, minimizar sus consecuencias y tapar la brecha.
Tu cadena de seguridad es tan fuerte como su eslabón más débil, es decir, de nada sirve tener un antivirus de pago actualizado y nuestro sistema operativo con los últimos parches si usamos una versión de Microsoft office sin licencia ni actualizaciones o si abrimos todos los emails que nos llegan de dudosa procedencia.
A continuación se describen una serie de medidas para retrasar el momento de la infección. Quien sabe, quizás con un poco de suerte y sentido común seas capaz de retrasarlo ad eternum.

  • Tener un antivirus instalado y actualizado (mejor si es de pago). Si estas en una empresa intenta tener un producto centralizado que te permita gestionar todos los equipos y recibir notificaciones de posibles detecciones. En caso de infección te resultará útil saber quién y cómo.

  • Instalar todas las actualizaciones del Sistema Operativo. Microsoft publica de forma general actualizaciones para sus sistemas operativos los segundos martes de cada mes.

  • Instalar todos los parches y actualizaciones del resto de programas que tengamos instalados en el ordenador. Intenta abandonar paulatinamente versiones de programas obsoletos, sin actualizaciones de seguridad por parte del fabricante o sin licencia.
  • Instalar un firewall local si estás en casa tipo ZoneAlarm o perimetral si estás en una empresa que impida a los extraños de fuera acceder al interior de tu red pero que, impida igualmente a los que están dentro salir. Un ejemplo es limitar la salida a cualquier tipo de tráfico de correo saliente SMTP que no tenga como destino el servidor de correo de la empresa. Con esta simple medida evitarás que un pc infectado por un virus pueda enviar correos no autorizados al exterior.

  • Finalmente usa el sentido común y déjate asesorar por expertos.

  • Imágen:
    Rusty Chain
    © Darren Hester (MajorContributor)
    Macon, Georgia USA