ADMINISTRACIÓN DE SERVICIOS Y SERVIDORES

TALLER 4: ASPECTOS DE RED Y SERVICIOS PARA ACCESO A DMZ

Fecha de entrega: 30 de octubre de 2021

Objetivo
• Identificar los aspectos básicos relevantes para acceder desde internet hacia granjas de
servidores.
• Diferenciar los permisos requeridos para la zona DMZ y la zona privada en una red corporativa.
• Comprender el uso de direcciones públicas y privadas en IPv4 y NAT.
• Entender el uso de los puertos y protocolos de la capa de transporte según los servicios más
comunes encontrados en los servidores.

Herramientas de software:

• GNS3
• VirtualBox con Router Mikrotik

Planteamiento del problema

Una compañía tiene la topología de red mostrada en la Figura 1, la cual tiene dos servidores con los
servicios mostrados en la Tabla 1 que deben ser de acceso público para cualquier usuario que decida
accederlos desde Internet. Adicionalmente, cuenta con una red privada de Hosts como computadores,
impresoras, cámaras y teléfonos IP, los cuales, en ninguna circunstancia pueden ser de acceso público.
Para cumplir estos requerimientos, la compañía ha adquirido un Router/Firewall del fabricante Mikrotik
con Sistema Operativo RouterOS.

Figura 1. Topología de Red la Compañía.

Tabla 1. Servicios para cada servidor de la compañía.

Dispositivo Servicio1 Servicio2 Servicio3

Servidor 1 LDAP (TCP) SNMP (UDP) SMTP (TCP)
Servidor2 SIP (UDP) SMTP con TLS(TCP) HTTPS (TCP)
 Procedimiento en GNS3 para la implementación de la red y de adecuación de Máquina virtual
para Router/Firewall Mikrotik

Parte 1: importar máquina virtual con sistema operativo RouterOS

Descargar de la capeta “Talleres” en el canal General de Teams, el archivo RouterOS_6_47_10.ova e

importarlo en VirtualBox como se muestra a continuación.

1. Haga Clic en archivo (File) y seleccione la opción para importar como se muestra en la Figura
2.

Figura 2. Selección para importar archivo .ova

2. Seleccione el archivo desde la ruta donde está el archivo como se muestra a continuación
(Figura 3) y haga clic en siguiente.

Figura 3. Proceso de importación de archivo .ova

3. Modifique la política de asignación de direcciones MAC para incluir las MAC de los
adaptadores de red, seleccionando la opción que se muestra a continuación (Figura 4) y haga
Clic en importar.

Figura 4. Selección de política de asignación de direcciones MAC

4. Luego de completar el proceso de importación, seleccione el Router y haga Clic en

configuraciones (Figura 5)
 Figura 5. Acceso a configuración de red de Máquina Virtual con Sistema operativo RouterOS

5. Realice la configuración de red mostrada en la Figura 6 para que el Router/Firewall tenga 3

interfaces de red Ethernet. Estas interfaces serán utilizadas para las conexiones de red de la
compañía que se muestran en la topología.

Figura 6. Configuración de interfaz de red de Máquina Virtual con RouterOS para usar en GNS3

6. Repita el paso anterior para los adaptadores de red 2 y 3

7. Seleccione la cuarta interfaz y habilítela de acuerdo con los parámetros mostrados (Figura 7).
Este adaptador de red permitirá la configuración del Router/Firewall.

Figura 7. Configuración de interfaz de red 4 para configurar Dispositivo RouterOS

8. Importe en VirtualBox los archivos ServerA.ova y ServerB.ova correspondiente a los servidores

con los servicios que usa la compañía. Para esto se puede basar en los pasos 1, 2 y 3 de la
Parte 1 de la guía.
*Nota: Recuerde realizar el paso 3 para los servidores que permite un adecuado
funcionamiento en GNS3
 9. Luego de importadas, acceda a la configuración de red del ServerA, como se muestra en
la siguiente figura (Figura 8)

Figura 8. Acceso a configuración de serverA en VirtualBox

10. Verifique que los siguientes parámetros de red se encuentren habilitados (Figura 9)

Figura 9. Configuración de red para Servidores en VirtualBox.

11. Repita los pasos 8, 9 y 10 de esta Parte 1 de la guía para el ServerB.

Parte 2: Adecuación de GNS3 para implementación de topología de red

El ambiente de trabajo para GNS3 cuenta con las siguientes partes que se presentan en la Figura 10. Estas
le permitirán agregar dispositivos al área de trabajo, realizar las conexiones, monitorear las conexiones y
el estado activo o inactivo de los dispositivos (Resumen de Topología) de la topología y le muestra el nivel
de procesamiento y memoria que utiliza el computador donde tiene instalado GNS3 (Resumen de
servidores)

Figura 10. Interfaz gráfica de GNS3

Los siguientes pasos se realizan para agregar el Router/Firewall a GNS3.

1. Haga Clic en Preferencias que se encuentra en el menú editar (Figura 11)

Figura 11. Acceso a preferencias en GNS3

2. Una vez se abra la ventana (Figura 12) seleccione la opción de VirtualBox en la columna
izquierda y haga Clic en Nuevo.

Figura 12.Adecuación de Máquina Virtual con RouterOS en GNS3

3. Seleccione el dispositivo y haga clic en Finalizar (Figura 13).

Figura 13. Proceso para agregar RouterOS a GNS3

4. Editar las características del Firewall/Router para visualización y usabilidad en GNS3 (Figura 14).
 Figura 14. Acceso a edición de parámetros de RouterOS en GNS3

5. Configure el símbolo del dispositivo, la categoría y su modo de ejecución (Figura 15)

Figura 15. Configuraciones generales de RouterOS en GNS3

6. En la pestaña de Red (Figura 16), configure las interfaces del Firewall/Router como se muestra a
continuación y haga Clic en OK.

Figura 16. Configuraciones de red de RouterOS en GNS3

7. Aplique los cambios y finalice con OK.

 Los siguientes pasos se realizan para agregar los servidores (ServerA y ServerB) a GNS3.

8. Repita los pasos 1, 2, 3 y4 de la parte 2 de esta guía para ServerA y ServerB, teniendo en cuenta
que se debe seleccionar el símbolo de Servidor correspondiente.
9. Repita el paso 5, seleccionado el símbolo de servidor y su categoría como End Device.
10. Aplique los cambios y finalice con OK.

Parte 3: Implementación de la red de la compañía en GNS3

Para la implementación de la red se utilizan los dispositivos que trae GNS3 por defecto, el Firewall/Router
y los servidores previamente configurados. Para esto, utilice la barra de selección de dispositivos (barra
izquierda en GNS3) según se describe a continuación:

1. Selección de Switches
2. Selección de VPCS para los PC de la red privada y selección de Servidores.
3. Selección de dispositivo de Seguridad Firewall/Router RouterOS
4. Conexión de dispositivos

1. Implemente La Red mostrada en la Figura 17 .

Figura 17. Topología de red en GNS3

Parte 4: configuración de red de dispositivos Host (PC1, PC2, PC3)

1. Iniciar dispositivos. Para esto haga Clic derecho sobre cada uno y luego, haga Clic en Iniciar (Figura
18). También puede iniciar todos al tiempo. Para esto puede hacer Clic en el botón de iniciar del
menú superior. Esto implica un pico de procesamiento en su computador.
 Figura 18. Inicialización de dispositivo en GNS3.

2. Luego de inicializados, asignar las direcciones IPv4 a PC1, PC2 y PC3 de acuerdo con lo que se
muestra en la red de la Figura 17. A continuación, se muestra el procedimiento para la asignación
de la dirección IP para PC3. Haga clic derecho sobre PC3 y ejecute la consola del dispositivo (Figura
19).

Figura 19. Iniciar consola de dispositivo en GNS3.

3. En la consola de PC3 ejecute el siguiente comando para su configuración (Figura 20). Recuerde
guardar con el comando save.

Figura 20. Comando para asignación de IP en PC3.

4. Repita los pasos 2 y 3 de esta parte de la guía para PC1 y PC2, teniendo encuentra que las
direcciones cambian según el dispositivo como se muestra en la topología. Recuerde guardar con
el comando save.

Parte 5: Configuración de Firewall/Router Mikrotik con Sistema Operativo RouterOS

1. Descargar y ejecutar el software Winbox, el cual sirve para administrar y configurar RouterOS.
(Figura 21)

Figura 21. Enlace para descarga de software Winbox.

 2. Luego de ejecutado Winbox y el Firewall/router en GNS3, ir a la pestaña de vecinos
(Neighbors), hacer Clic en refrescar (Refresh). Luego, hacer doble Clic en la dirección MAC que
aparece en la ventana inferior. La información se completa automáticamente en la parte superior
para luego hacer Clic en conectar (Connect) (Figura 22).
* NOTA 1: Para el caso del laboratorio el dispositivo por defecto no cuenta con contraseña para su configuración. En
ambientes reales esto se debe evitar y por consiguiente es OBLIGATORIO asignar una contraseña robusta para el
acceso a la configuración del dispositivo.

Figura 22. Configuración en Winbox para acceso al dispositivo.

* NOTA 2: Para esta guía de laboratorio, el Sistema Operativo RouterOS no tiene una licencia comercial para
utilizar indefinidamente. En este caso, la licencia tiene una duración de 23 horas aproximadamente mientras está
en operación (Figura 23). Luego de este tiempo, el Firewall/Router no se podrá reconfigurar y deberá importar a
VirtualBox el archivo .ova como se muestra en la

Parte 1: importar máquina virtual con sistema operativo RouterOS.

Figura 23. Sobre licencia de RouterOS.

Parte 6: Verificación de funcionamiento y preguntas a desarrollar

1. En Winbox, haga Clic en el menú IP y vaya a la opción Firewall (Figura 24).

Figura 24. Selección de Firewall en Winbox.

 1. En la pestaña Filter Rules se encuentra la configuración ya implementada para:
a. Denegar el acceso desde redes externas (internet) hacia la red privada.
b. Denegar el acceso desde la red DMZ hacia la red privada.

Identificar y explicar ¿por qué estas son necesarias?

2. En la pestaña NAT se encuentra la configuración para:

a. Permitir la conexión desde las redes internas (Privada y DMZ) hacia internet, usando Network
Address Translation (NAT).
b. Permitir el redireccionamiento de puertos de capa de transporte para los servicios del
servidor 1:
i. LDAP, Puerto 389 en TCP
ii. SNMP, puerto 161 en UDP
iii. SMTP, puerto 25 en TCP

¿para qué se usan los servicios del servidor A?

3. Verificación de funcionamiento para acceso a servidor 1

• Para el acceso desde la red externa (representada por PC3) al servidor 1, este último, tiene
la dirección IPv4: 45.89.120.110
• Para el acceso desde la red externa (representada por PC3) al servidor 2, este último, tiene
la dirección IPv4: 45.89.120.120

¿Por qué se deben usar estas direcciones desde la red externa y No las direcciones
192.168.200.10 y 192.168.200.20? https://datatracker.ietf.org/doc/html/rfc1918

Verifique el acceso a los servicios del ServerA desde PC3 usando los siguientes comandos en
la Figura 25:

Figura 25. Comandos en PC3 para verificar funcionamiento de acceso a servicios de ServerA.

¿Qué representa el 6 y el 17 en las opciones del comando?

4. Escriba las conclusiones de la práctica

Información adicional

https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml