Taller de Seguridad Inalambrica

PROYECTO INTEGRADO
20 de junio de 2016 1
Contenido
OBJETO DEL PROYECTO .............................................................................................................. 4

1. ¿QUÉ ES MIKROTIKS? .............................................................................................................. 4
2. DEFINIENDO EL SERVICIO HOTSPOT ........................................................................................ 5
3. INICIANDO EL PROYECTO ......................................................................................................... 7
3.1 CREANDO LA MÁQUINA EN VIRTUALBOX Y ACCEDIENDO A MIKROTIK ............................ 8
4. CREANDO EL PORTAL CAUTIVO (HOTSPOT) .......................................................................... 10
4.1 IDENTIFICANDO LAS INTERFACES .................................................................................... 10
4.2 CREANDO EL SERVIDOR HOTSPOT MEDIANTE EL ASISTENTE ....................................... 13
5. CONFIGURACIÓN DETALLADA DEL SERVIDOR HOTSPOT ...................................................... 18
5.1. AJUSTES DEL DNS ......................................................................................................... 18
5.2. MENÚ POOL ..................................................................................................................... 19
5.3. MENÚ ROUTES................................................................................................................. 19
5.4. MENÚ HOTSPOT .............................................................................................................. 20
5.4.1 SERVERS ................................................................................................................... 20
5.4.2 SERVER PROFILES .................................................................................................... 21
5.4.3 USERS ....................................................................................................................... 23
5.4.4 USER PROFILES ........................................................................................................ 25
5.4.5 ACTIVE ....................................................................................................................... 27
5.4.6 HOSTS ....................................................................................................................... 27
5.4.7 IP BINDINGS ............................................................................................................... 28
5.4.8 W ALLED GARDEN ..................................................................................................... 29
5.4.8 W ALLED GARDEN IP LIST......................................................................................... 30
5.4.9 COOKIES.................................................................................................................... 31
6. FIREWALL ................................................................................................................................ 31
6.1 INTERPRETANDO LAS REGLAS DEL FIREWALL EN EL HOTSPOT..................................... 32
7. USER MANAGER PACKAGE .................................................................................................... 35
7.1 REQUISITOS ...................................................................................................................... 35
7.2 PROCESOS DE ACTUALIZACIÓN ....................................................................................... 35
7.2.1 ACTUALIZACIÓN AUTOMÁTICA................................................................................... 35
7.2.2 ACTUALIZACIÓN MANUAL .......................................................................................... 37
7.3 CREANDO EL SERVIDOR RADIUS ..................................................................................... 38
7.3.1 ACTIVANDO EL SERVIDOR RADIUS EN HOTSPOT SERVER PROFILE....................... 39
7.4 ACCEDIENDO A USER-MANAGER .................................................................................... 41
7.5 LA INTERFAZ DE USER MANAGER ................................................................................... 42
7.5.1 CREANDO EL ROUTER............................................................................................... 42
7.5.2 CREANDO PERFILES ................................................................................................. 42
7.5.3 CREANDO USUARIOS ................................................................................................ 45
7.5.4 CREANDO CLIENTES ................................................................................................. 48
7.5.5 PROBANDO EL USO DE TICKETS EN CLIENTES......................................................... 50
7.5.6 CREANDO UN INFORME DETALLADO DE USO ........................................................... 53
7.5.7 MODIFICANDO LA APARIENCIA DE USERMANAGER .................................................. 53
8. SCRIPTING .............................................................................................................................. 56
8.1 ALGUNOS EJEMPLOS DE SCRIPTING ............................................................................... 57
8.2 PROGRAMANDO LA EJECUCIÓN DE LOS SCRIPTS ........................................................... 59
8.2.1 INTRODUCIR USUARIOS EN SERVIDOR HOTSPOT .................................................... 60
9. CONFIGURACIÓN DE ANTENA UBIQUITI COMO PUNTO DE ACCESO...................................... 61
10. OTROS .................................................................................................................................. 63
10.1 LOS ARCHIVOS DEL HOTSPOT ....................................................................................... 63
OBJETO DEL PROYECTO
Preámbulo
Finalizado los módulos del CFGS de Administrador de Sistemas Informáticos
en Red, ahora toca la parte final del mismo donde debemos plasmar parte de
los temas abordados durante el desarrollo del mismo.
El enfoque de mi proyecto está basado principalmente en la asignatura de
“Servicios en red e Internet” que no me ha parecido excesivamente difícil
aunque me da ha dado un poco “la lata”, de todas formas en el mismo se tocan
varias disciplinas como seguridad (firewall), scripts, retoque de html, etc…
Objetivos
Se pretende crear un portal cautivo (hotspot) para la empresa Telepalma, S.L
donde he desarrollado la FCT, dedicada a proveer servicios CATV, IPTV e
Internet mediante su red de distribución cableada de coaxial (cable QR), fibra
óptica (actualmente en proceso de despliegue) y de red WIFI gratuita para
abonados.
Dicho portal será accesible siempre que los abonados se autentiquen mediante
su nº de Abonado y MAC del dispositivo, se ubicará en lugares públicos y el
acceso se realizará a través de dispositivos WIFI, además se pretende crear un
sistema de privado para la venta de servicios de acceso a Internet por tiempo a
través de tickets expedidos desde un establecimiento de la localidad; dicho
servicio estará dirigido principalmente a turistas que visiten la localidad a los
cuales se les ofrecerá el servicio.
La ejecución del proyecto se realizará usando el hardware y software de
MikroTiks; como hardware para el punto de acceso de clientes a través de WIFI
se utilizará una antena Ubiquiti Picostation M2.
1. ¿QUÉ ES MIKROTIKS?
E s una compañía letona proveedora de tecnología disruptiva de

hardware y software para la creación de redes.
Podemos definir tecnología disruptiva como una innovación que genera la
desaparición de productos o servicios que, hasta entonces, eran utilizados por
la sociedad.
La nueva tecnología aparece como un avance que hace que todo lo viejo
resulte precario o inferior en cuanto a sus prestaciones.
El ordenador personal fue una tecnología disruptiva que hizo que la máquina
de escribir quedara en desuso. Algo similar puede decirse sobre la telefonía
móvil respecto a las cabinas de teléfonos públicos.
MikroTik RouterOS es un software que funciona como un Sistema Operativo
para convertir un PC o una placa Mikrotik RouterBoard en un router dedicado.
MikroTik se dedica principalmente a la venta de productos de hardware de red
como routers denominados routerboards & switches, también conocidos por el
software que lo integra, denominado RouterOS y SwOS.
RouterOS
RouterOS es un sistema operativo basado en GNU/Linux que implementa
funcionalidades que los NSP e ISP (proveedores de red e internet) tienden a
implementar, como por ejemplo BGP, IPv6, OSPF o MPLS.
RouterOS es un sistema versátil, con un gran soporte por parte de MikroTik,
tanto a través de un foro como de su Sitio Wiki, proporcionando una amplia
variedad de ejemplos de configuración.
La venta de RouterOS, combinado con su línea de productos de hardware
conocida como MikroTik RouterBOARD, está enfocada a los pequeños y
medianos proveedores de acceso a Internet, que normalmente proporcionan
acceso de banda ancha en áreas remotas.
RouterBoard
La división de hardware de la marca MikroTik es caracterizada por incluir su
sistema operativo RouterOS por defecto y actualizaciones de por vida.
Estos dispositivos tienen la ventaja de tener una excelente relación
precio/calidad.
2. DEFINIENDO EL SERVICIO HOTSPOT
Un Portal Cautivo o servicio de Hotspot es un sistema que permite capturar el

tráfico http (web) de los clientes que se conectan a dicho servicio y
redireccionarlo a un portal con el fin de poder autenticarlos. Una vez que el
cliente es autenticado dentro del sistema, este puede acceder a todos los
servicios de internet con "normalidad".
Principalmente el uso de este tipo servicios está enfocado a espacios públicos
como cafeterías, hoteles, aeropuertos, estaciones de servicios públicos, etc…,
su objetivo es crear negocio a cambio de navegar por la red de Internet según
un precio y tiempo prefijado en la configuración del servidor.
En el presente proyecto vamos a crear un portal cautivo público para el acceso
a Internet gratuito solo a los abonados que tengan contratado algún servicio
con la empresa Telepalma, S.L
Hardware utilizado en implementar el servicio de Hotspot durante la FCT
en la empresa Telepalma, S.L
Cablemódem ARRIS RouterBoard Mikrotik RB750GL
Red WAN
HOTSPOT
Red coaxial
Red LAN
HOTSPOT
Internet
Alimentación Poe
24V DC- 0,5 A
Antena Ubiquiti
PicostationM2
3. INICIANDO EL PROYECTO
Cabe mencionar que para el desarrollo del proyecto se va utilizar un sistema

virtualizado mediante el software VirtualBox y sobre el cual se hará correr una
máquina de Mikrotik RouterOS cuya versión actual es la 6.35.2; sobre el
proyecto real en la FCT se ha utilizado los elementos descritos en la imagen
anterior con un RouterBoard RB750GL.
El primer paso que debemos hacer para la configuración del servicio de hotspot
es acceder a la página http://www.mikrotik.com/download y descargarnos la
imagen .iso para dispositivos x86.
También descargaremos desde el mismo sitio el software de configuración

winbox cuya versión actual es la 3.4
Una vez realizados estos procesos podremos iniciar el proyecto.
3.1 CREANDO LA MÁQUINA EN VIRTUALBOX Y ACCEDIENDO A MIKROTIK
Una vez creado una máquina virtual Mikrotik en VirtualBox, proceso no

explicado por no ser objeto del presente proyecto, se procede a iniciarla para
comenzar la instalación de la imagen .iso.
Al iniciar la máquina nos pregunta que servicios deseamos que se instalen, y

vamos a indicar que se instalen todos pulsando la tecla “a”.
Tras confirmar, se instalarán todos los paquetes y tendremos que reiniciar para
que los cambios tengan efecto, además de retirar la imagen .iso de la unidad
óptica de VirtualBox para que no se vuelva a iniciar la ventana de instalación.
Tras ello aparece la ventana de acceso donde colocamos como:
Login: admin
Password: [pulsamos enter].
De esta forma tendremos acceso al sistema en modo consola y solo durante

24h ya que al no tener una licencia del software, Mikrotik solo nos proporciona
ese tiempo para probar su producto.
Para un acceso más amigable a la configuración, Mikrotik proporciona la

herramienta Winbox que nos ofrece una interfaz gráfica potente y rápida para el
acceso a todos los menús.
Cuando tenemos en funcionamiento una máquina mikrotik, iniciamos winbox y
automáticamente nos va a detectar los dispositivos conectados por la MAC ó
IP, en caso de no haber configurado ninguna IP el acceso sería a través de la
MAC de las interfaces que disponga.
En este caso vamos a conectar mediante la MAC que hemos seleccionado en
la pestaña Neighbors.
Al iniciar nos advierte que no tenemos licencia y el tiempo que nos queda hasta
que el router se pare, no pudiendo acceder al mismo tras ello.
4. CREANDO EL PORTAL CAUTIVO (HOTSPOT)
4.1 IDENTIFICANDO LAS INTERFACES
Una vez iniciado en winbox el primer paso que vamos a dar será asignarle
nombre las interfaces para identificarlas más rápido, para ello seleccionamos el
menú Interfaces y vemos que tenemos activas y funcionando 2 interfaces
seleccionamos ether1 y se abre una nueva ventana, el cuadro name
cambiamos en el nombre por ether1_WAN que será la interfaz que nos dé
servicio a internet, nos aseguramos que el cuadro MTU está en 1500, esto es
la Unidad máxima de transmisión de datos de una trama y habilitamos el
protocolo ARP.
En la pestaña Ethernet dejamos tildado autonegociación por defecto, y el

control de flujo de datos desactivado.
En las pestañas Status y Traffic son de información de la interfaz
La misma operación realizaremos para la interfaz ether2 que llamaremos
ether2_HOSTPOT, será aquí donde ubiquemos el servidor.
A continuación vamos a crear un cliente DHCP en la interfaz ether1_WAN ya

que es la que tenemos conectada al cablemóden y desde la cual vamos a tener
el acceso a internet, para ello entramos en el menú IP>DHCP Client y en la
pestaña “+” añadimos un nuevo cliente DHCP, aplicamos y damos OK.
Tras ello recibiremos una dirección IP desde el servidor DHCP al que tengamos
conectado nuestra interfaz ether1_WAN como podemos comprobar en la
imagen de abajo se ha asignado la dirección IP 192.168.2.106/24 con una
concesión de 24 horas.
4.2 CREANDO EL SERVIDOR HOTSPOT MEDIANTE EL ASISTENTE
Seleccionamos el menú IP > Hotspot
En la nueva ventana, pestaña servers seleccionamos el botón Hotspot Setup y

comenzamos el asistente de instalación donde la primera acción es indicar el
interface donde se instalará el servidor, en nuestro caso ether2_HOTSPOT.
En la ventana Local Address Network introducimos la puerta de enlace al
servidor dentro del rango de red que escojamos y desactivamos el check de
Masquerade Network ya que al tener el servidor funcionando contamos con
un enmascarado, si lo dejamos activado crearía otro enmascarado.
Address Pool of Network será el pool con el rango de IP´s que asignará el
servidor DHCP del hotspot a los clientes que se conecten.
Select Certificate, elegimos none, ya que no contamos con un certificado SSL.

Estos certificados son utilizados para validar una página web cuando se utiliza
el protocolo https y así encriptar las conexiones entre el cliente y servidor.
En caso de contar con un certificado SSL lo seleccionamos desde el lugar
donde lo tengamos guardado pulsando en el menú desplegable.
IP Address of SMTP Server, si contamos un servidor SMTP para la gestión de
la red indicamos la dirección IP del mismo sino, le dejamos la IP como está
0.0.0.0
DNS Servers, colocamos los servidores DNS de google, en otro caso tambien
podemos añadir aquí el DNS caché del propio servidor Hotspot que se
encuentra en la dirección 192.168.50.1
DNS Name, aquí indicamos el nombre DNS de nuestro hotspot; cuando

servicio hotspot ya esté funcionando al abrir una página, nos redireccionará al
portal cautivo para autenticarnos con nuestro usuario y clave, cuya dirección
será http://myhotspot.net/ , si este valor se deja en blanco, el servidor hotspot
usará directamente la puerta de enlace de los clientes http://192.168.50.1/ que
hemos configurado antes.
Name of Local Hotspot User, el usuario administrador para entrar por defecto
al hotspot es admin.
Password for the User, la clave de acceso colocamos admin para el primer
acceso posteriormente, cuando lo tengamos funcionando podremos cambiarla.
Tras realizar todos los pasos anteriores ya tendremos creado nuestro servidor
Hotspot básico, a continuación profundizaremos en la configuración del mismo.
Para realizar una prueba básica de que nuestro portal cautivo funciona,
conectamos una máquina de virtual de Windows 7 a la misma interfaz del portal
ether2_HOTSPOT y verificamos en la imagen de abajo que al entrar en el
navegador web, éste nos redirecciona a la página de acceso (myhotspot.net)
al portal solicitándonos el usuario y contraseña, que deberemos introducir para
para tener acceso a Internet.
Podemos observar en la imagen de abajo como el portal ha asignado la
dirección IP 192.168.50.254 a la máquina de Windows 7 y permanece activa
con autorización por lo que ahora si tendrá acceso a internet.
En la imagen de abajo se muestra que tenemos acceso a internet.
5. CONFIGURACIÓN DETALLADA DEL SERVIDOR HOTSPOT
5.1. AJUSTES DEL DNS
Hasta ahora hemos creado nuestro portal cautivo con el asistente pero aún nos
quedan varios retoques para que podamos salir a internet, para ello vamos a
decirle al router cual/es son los servidores de nombres DNS.
En IP>DNS configuramos:
Servers: indicamos los servidores de google, aunque si disponemos de
servidores propios podremos colocarlos.
Allow Remote Requests: para poder recibir peticiones remotas tendremos
que tener activado este check.
Max UDP Packet Size: tamaño máximo para los paquetes UDP que se van a
permitir.
Query server & total timeout: tiempo de espera en consultas del servidor
Cache Size: tamaño de la memoría caché en KiB
Cache Max TTL: tiempo de vida de la caché en la imagen configurada a 7 dias.
En el botón Cache podremos comprobar la dirección directa e inversa del
servidor Hotspot, donde tendremos los registros de tipo puntero (PTR) y de
host (A).
5.2. MENÚ POOL
En IP>Pool tendremos el conjunto de direcciones IP reservadas que va a

entregar en este caso el servidor hotspot ya que el asistente nos la creó en su
momento, aunque podremos todos los pools de direcciones que deseemos.
5.3. MENÚ ROUTES
Aquí tendremos las tablas de rutas, las cuales se han cargado

automáticamente al configurar los parámetros DHCP Client y servidor de
Hotspot, evidentemente podremos configurar nuevas rutas pulsando en el
botón “+” si lo deseamos.
5.4. MENÚ HOTSPOT
Dentro de este menú analizaremos las distintas pestañas que engloba el

servidor hotspot.
5.4.1 SERVERS
En la pestaña servers podemos identificar los distintos servidores que hemos

creado y pinchando en el que tenemos creado se abre una ventana donde
podremos editar algunas características como el nombre, la interface donde
tenemos el hotspot y el pool de direcciones que indicamos en el asistente.
En el cuadro Profile podremos elegir los distintos perfiles de uso que
indiquemos en la pestaña Server Profiles en la imagen hemos escogido el
perfil que se crea por defecto.
Idle timeout es el tiempo de inactividad del cliente una vez que se ha
conectado al servidor, tras el cual se desconectará.
Keepalive timeout tiempo de espera tras superar el tiempo de inactividad.
Login timeout tiempo máximo para loguearse.
Addresses per MAC número de direcciones IP por cada MAC
5.4.2 SERVER PROFILES
En la pestaña Server profiles, se muestran los perfiles de los distintos

servidores que tengamos, siempre va tener el perfil “default” el cual no se podrá
eliminar.
Si seleccionamos el perfil creado hsprof1 se abre la ventana de configuración
y en la pestaña General indicamos el nombre, dirección IP del servidor,
nombre DNS y el directorio donde se encuentran los archivos HTML del portal.
También podremos configurar otro directorio diferente donde encontrar los
archivos HTML, Limitar el ancho de banda para el perfil concreto en formato
(rx/tx), dirección IP y puerto de un servidor proxi y dirección IP de un servidor
SMTP de gestión de red.
Pestaña Login es la que va a permitir autenticarnos ante el portal existen 3

opciones:
1.- Usuario y clave.
2.- Autenticación por MAC
3.- Como usuario de prueba (trial).
Cuadros Check:
MAC: activará la autenticación por MAC, el cliente no tendrá que escribir
usuario y clave, ya que con solo conectarse, hotspot validará su MAC
automáticamente.
HTTP (CHAP ó PAP): activa la autenticación por usuario y contraseña, por
defecto es HTTP CHAP. Con autenticación PAP la clave no está cifrada y se
envía en texto, por lo tanto es menos segura.
HTTPS: autenticación por usuario y contraseña utilizando el protocolo HTTP
Secure.
Trial: autenticación de prueba, para probar el servicio, al activar esta opción,
en ventana de Login.html del portal aparecerá un link "trial", que servirá para
autenticarnos con sólo presionar ese link.
Cookie: genera una cookie que se almacenará tanto en el server como el PC
del cliente, y mientras este activa no pedirá autenticación para acceder al
portal.
HTTP Cookie Lifetime:si la opción Cookie está activada, este cuadro se
desbloquea y se puede elegir el tiempo de vida de la cookie, por defecto es 3
días.
Trial Uptime Limit: con Trial activada, se desbloquea este cuadro y colocamos
el tiempo máximo ofrecido a los 'invitados' para que prueben el servicio, por
defecto es 30 minutos.
Trial Uptime Reset: con Trial activada, se desbloquea. Indicamos cada cuanto
tiempo se le renueva el límite de tiempo para el invitado, p.ej, si el invitado usó
los 30 minutos de prueba, cuando podrá usar otros 30 minutos... por defecto es
cada 24 horas o cada día (1d 00:00:00).
Trial User Profile, perfil de usuario que se asignará a invitados.
Pestaña Radius, en caso de utilizar un servidor Radius de autenticación se
activa el check, más adelante se explicará con más detalle.
5.4.3 USERS
Crearemos usuarios, haciendo click en “+” y se abrirá la ventana que se

muestra en la imagen:
En la pestaña General:
Server: indica el servidor hotspot al que pertenece ese usuario, seleccionamos
“all” para que se pueda autenticar en cualquier servidor.
Name: nombre del usuario.
Password: contraseña autenticación.
Address: IP manual del cliente “no recomendado” ya que el portal asignará
una IP automática por DHCP.
MAC Address: para mayor seguridad, se añade la MAC del cliente a la cuenta,
así ese usuario y contraseña sólo será válido si se hace la autenticación desde
esa MAC.
Si se utiliza un punto de acceso modo cliente, se colocará la MAC de ese punto
de acceso.
Si no se especifica la MAC, el usuario y password serán válidos desde
cualquier MAC.
Profile, perfil utilizado para este usuario, en este caso “default”.
Acceso al servidor por autenticación de la MAC, para ello previamente
debíamos haber activado el check en IP > Hotspot > pestaña Server Profiles
y regla hsprof1 > pestaña Login que ya activamos antes.
Tras ello introducimos la MAC del cliente y al abrir el navegador el servidor
Hotspot comprobará su MAC y lo autenticará.
Se puede introducir un comentario en comment para identificar la usuario.
En la Pestaña Limits podremos limitar el uso de ese usuario concreto como:
Límite de tiempo de actividad, límite de descargas y subidas en Bytes ó límite
de total de ambos.
En la pestaña statistics veremos las estadísticas
5.4.4 USER PROFILES
En User Profiles, podemos configurar algunas características a las cuentas de

los clientes, como por ejemplo, limitar su velocidad (sin utilizar Simple Que
ue ), enviar mensajes a los clientes, controlar el tiempo para que al cliente le
vuelva a aparecer el portal cautivo, etc.
Name, nombre del perfil de usuario.
Session Timeout, configuración de tiempo máximo de acceso a internet de un
cliente, a partir del cual no podrá autenticarse más, está deshabilitado por
defecto.
Idle Timeout: tiempo máximo de inactividad en la sesión del cliente. Si un
cliente no genera tráfico por el tiempo especificado, se desconectará
automáticamente.
Keepalive Timeout: tiempo máximo que un cliente puede estar desconectado,
cuando cumple ese tiempo, hotspot dejará de autenticar al cliente, por defecto
es 00:02:00 (2 minutos) se puede cambiar este valor incluso días.
Shared Users: nº de usuarios autenticados con una misma cuenta de usuario.
Por seguridad, debe ser sólo uno.
Rate Limit: velocidad asignada a un usuario, rx/tx es download/upload si se
activa esta opción, no es necesario limitar la velocidad por Simple Queue.
Transparent Proxy, activar check para el proxy transparente si no se ha
activado webproxy en IP> Webproxy
5.4.5 ACTIVE
Aquí vemos los clientes que han sido autenticados en el portal hotspot, por
cualquiera de los métodos descritos anteriormente.
Si deseamos quitar un cliente, lo seleccionamos pulsamos el botón eliminar “- “.
Al seleccionar un cliente se abre una ventana que contiene 3 pestañas donde
podemos ver información acerca del mismo.
5.4.6 HOSTS
Aquí se observa la relación de todos los dispositivos que están conectados al

Hotspot, estén autenticados o no, podemos ver incluso los bloqueados.
En la columna más a la izquierda de cada cliente, podemos ver una letra o
combinación de letras, cuyo significado es el siguiente:
A: Cliente Autenticado.
H: Cliente con IP obtenida por el servidor DHCP.
D: Cliente con IP fija o no obtuvo su IP por el servidor DHCP.
P: Cliente Bypassed, se autorizó a no pasar por el portal hotspot.
B: Bloqueado por User Profile o reglas de User, Session Time se ha
acabado, o porque fue bloqueado desde Advertise (pestaña dentro Users
profiles).
Accederán a internet los clientes que tengan la letra A o P, pueden
acompañarle otra letra, p.ej la D si tiene asignado una IP fija o H si la
obtuvo del servidor DHCP.
5.4.7 IP BINDINGS
Aquí podemos configurar los clientes a los cuales necesitemos dar acceso sin
tener que autenticarse a través del portal, p.ej en caso de conectar un
WebServer sería conveniente utilizar IP Bindings.
MAC Address: Indicamos la MAC del equipo que daremos acceso directo a
internet, puede ser opcional.
Address >To Address: asignado 2 veces la misma IP del cliente al que le dará
acceso directo.
Type: elegiremos bypassed (hacer bypass al portal del hotspot)
Indicar que sólo colocar el IP es suficiente para dar acceso directo a un cliente,
pero si se especifica el MAC, se estaría 'amarrando' la IP a la MAC para dar
mayor seguridad.
5.4.8 WALLED GARDEN
Al tener configurado el servidor hotspot, todas las páginas que intentemos

visitar serán redireccionadas al portal cautivo, configurando Walled Garden
podremos dar excepciones y asignar páginas permitidas para navegar en ellas
sin estar autenticados. Aquí nos limitamos a http y https.
En la imagen de abajo vamos a permitir el acceso a www.davifrigo1.tk sin tener
que pasar a tráves de portal cautivo, de esta forma tendremos acceso directo a
dicha página.
Las reglas de paso del Wallet Garden se añadirán automáticamente a la
configuración del firewall.
5.4.8 WALLED GARDEN IP LIST
Es lo mismo que lo anterior, salvo que aquí ya no trabajamos con los

protocolos http ó https, sino directamente con las IP's que indiquemos.
En la imagen de abajo permitimos la página web www.davifrigo1.tk cuya
dirección IP es 31.170.166.111
5.4.9 COOKIES
Si la opción cookie está activada en la pestaña Server Profile, en este caso

veremos la lista de cookies generadas por todos los clientes autenticados.
Si quisiéramos expulsar a un cliente, tendríamos que empezar borrando su
cookie y luego eliminarlo de la pestaña Active.
6. FIREWALL
Tras configurar el servidor hotspot, automáticamente el asistente genera las

reglas del firewall que hacen que todos clientes del servicio tengan que cumplir
para el acceso a internet.
Si entramos en IP>Firewall>Filter Rules se nos abre la ventana de
configuración y observamos las reglas que se han generado.
El significado de las reglas se puede ver en el siguiente enlace:
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
6.1 INTERPRETANDO LAS REGLAS DEL FIREWALL EN EL HOTSPOT
Para entender el significado de cada una de las reglas del hotspot, a

continuación se definen cada una de las que aparece.
Cadenas
Forward: Avanza o reenvía los paquetes a través del router.
Input: Procesa los paquetes que llegan al router a través de alguna interfaz.
Output: Procesa los paquetes que se originan en el router y salen a través de
alguna interfaz.
Propiedades
action.-
jump: Salta a la cadena definida por el usuario, especificada en el
parámetro de jump-target.
drop: Descarta el paquete de forma silenciosa, sin informar.
accept: Acepta el paquete y no lo pasa a la siguiente regla del firewall.
return: Pasa el control de nuevo a la cadena desde donde se produjo
el salto.
reject: Descarta el paquete y envia un ICMP mensaje de rechazo.
passthough: Ignora la regla y avanza a la siguiente (es útil para las
estadísticas).
jump-target: Nombre de la cadena de destino de la acción jump. Se aplica sólo
si la action = jump.
hs-unauth: Cadena definida por el usuario (en este caso hotspot server), cuyo
objetivo es rechazar las conexiones a clientes no autorizados (no registrados).
hs-unauth-to: Cadena definida por el usuario para descartar paquetes de
usuarios no registrados y devolver el control a la cadena desde donde se
produjo el salto.
hotspot: Propiedad de mikrotikOS para el portal cautivo con los siguientes
parámetros (auth | from-client | http | local-dst | to-client; Default: )
dst-port: Lista de números de puerto de destino o rango de puertos.
dst-address: Alcanza los paquetes cuyo destino es igual a la IP especificada o
está en el rango IP especificado.
src-address: Alcanza los paquetes cuyo origen es igual a la IP especificada o
está en el rango IP específicado.
protocol: Nombre o ID del protocolo.
in-interface: Interface de entrada del paquete.
out-interface: Interface de salida del paquete.
reject-with: Indica el error que se devolverá si se rechaza paquete. Aplicable si
action=reject.
Reglas filter del Hotspot
IP>Firewall>NAT
Puesto que los clientes que se conecten al hotspot pertenecen a una red
interna utilizando direcciones de red privadas y éstos van a salir a otras redes
externas como puede ser Internet, el servidor tendrá que hacer NAT (traducir
las direcciones de red internas para a salir a redes públicas), para que los hosts
se puedan comunicar con las redes externas.
Podemos ver el significado de las reglas de NAT en el siguiente enlace:
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
Al igual que las reglas de filtrado, el asistente de configuración del servicio

hotspot también crea automáticamente las reglas de enmascarado NAT.
Reglas NAT del Hotspot
7. USER MANAGER PACKAGE
User manager es un completo administrador de usuarios que puede utilizarse

en los siguientes servicios de los equipos mikrotik:
- Hotspot user.
- PPP (PPtP/PPPoE) Users
- DHCP Users.
- Wireless users.
- RouterOS users.
Es un paquete que se añade a mikrotik RouterOS para realizar gestión de
usuarios, utiliza un servidor RADIUS.
7.1 REQUISITOS
Se debe tener la misma versión de RouterOS y el paquete Administrador de

usuarios.
UserManager funciona en los routers x86, MIPS, PowerPC, routers basados en
procesadores TILE-Gx (procesadores con 16, 36,64 núcleos) y dispositivos
CHR.
El router debe tener al menos 32 MB de RAM y 2 MB de espacio libre en disco
duro.
7.2 PROCESOS DE ACTUALIZACIÓN
7.2.1 ACTUALIZACIÓN AUTOMÁTICA
La función de actualización automática se conecta a los servidores de descarga

MikroTik, y comprueba si hay una nueva versión RouterOS para su dispositivo.
En caso afirmativo, se muestra una lista de cambios, y el botón de
actualización se activa. Al hacer clic en el botón de actualización, los paquetes
de software se descargan automáticamente, y el dispositivo se reiniciará.
Para comprobar si existe una nueva versión de RouterOS, entramos en el
menú System>Packages en la ventana que se abre pulsamos Check For
Updates tras ello comprobara si existe alguna actualización.
En este caso nos ha detectado una nueva versión, pulsamos en
Download&Install.
También nos descargamos la actualización de RouterOS.
Copiamos y Pegamos en el menú Files de Winbox.
7.2.2 ACTUALIZACIÓN MANUAL
El primer paso es visitar www.mikrotik.com y dirigirse a la página de descarga,

y elegir el tipo de sistema que tiene el RouterOS instalados.
Descargar el paquete combinado, que incluye toda la funcionalidad de
RouterOS:
Una vez descargado descomprimimos y elegimos el paquete user-manager-

6.35.4.npk y lo arrastramos a la ventana que se abre al pulsar el menú Files de
Winbox, tras ello reiniciamos pulsando System>Reboot
Tras ello comprobamos en System>Packages que instaló correctamente.
7.3 CREANDO EL SERVIDOR RADIUS
Para realizar la gestión de usuarios del hotspot a través de la herramienta user-

manager, tendremos que crear un servidor Radius, que en este caso, lo vamos
a ubicar en el propio router mikrotik, para ello realizamos los siguientes pasos:
Pinchamos en menú Radius y en la ventana pulsamos “+” para añadir nuevo.
Ahora vamos a configurar los siguientes parámetros, en Service elegimos
hotspot, login y wireless, en Address la dirección de localhost: 127.0.0.1 ya que
vamos a crearlo en el propio mikrotik y en Secret el password de acceso,
aplicamos y OK.
Una vez creado, en el botón Incoming seleccionamos el cuadro check y

colocamos el puerto 1700 (TCP/UDP servicio mps-raft).
7.3.1 ACTIVANDO EL SERVIDOR RADIUS EN HOTSPOT SERVER PROFILE
Configuramos hotspot para utilizar el servidor Radius cuando vayamos a

loguearnos en el portal, para ello vamos al menú IP>Hotspot>Server Profile,
elegimos el perfil hsprof1, doble clic y en la pestaña RADIUS marcamos el
check Use RADIUS, en la ventana desplegable NAS Port Type, seleccionamos
Ethernet, Aplicamos y OK.
Sincronizamos el reloj del router con un servidor NTP para tenga la hora
actualizada, elegimos el servidor del Real Instituto y Observatorio de la
Armada, San Fernando (Cádiz).
Primario: hora.roa.es 150.214.94.5 Secundario: minuto.roa.es 150.214.94.10,
Lo hacemos desde System>SNTP Client, habilitamos el check Enabled,
introducimos las direcciones IP de los 2 servidores, aplicamos y OK.
También colocamos la hora correctamente según el huso horario.
7.4 ACCEDIENDO A USER-MANAGER
Para acceder a la herramienta basta con teclear en la barra del navegador la IP

de la interfaz a la estemos conectado al mikrotik seguido de “/userman” en este
caso 192.168.2.103/userman.
Tras ello nos pide el usuario y contraseña del router mikrotik en el que estamos
conectado, este caso Login: admin y Password: [enter]
7.5 LA INTERFAZ DE USER MANAGER
7.5.1 CREANDO EL ROUTER
Una vez que hayamos entrado, seleccionamos menú Routers Add>New

asignamos los siguientes parámetros:
Name: Mikrotik_Proyecto_Integrado
IP Address: 127.0.0.1
Shared Secret: 1234
Time Zone: + 02:00
Radius incoming: CoA port 1700 y Save.
Estos valores son los que configuramos en el servidor de Radius de Mikrotik, a
excepción del nombre.
7.5.2 CREANDO PERFILES
Vamos a crear perfiles donde podremos limitar los horarios y el ancho de

banda en la navegación.
Como ejemplo crearemos un perfil de 1 hora para ello elegimos la opción de
menú:
Profiles “+” en la ventana le damos nombre “Accesos 1h”, y botón Create.
En la ventana que abre:
Validity: 1d (asignamos un día de validez, a partir del cual tras iniciar sesión
caducará). El formato dia/hora será 1d 00:00:00.
Starts: definimos cuando se inicia el perfil (now / At first logon) en nuestro caso
cuando nos iniciemos la primera vez.
Price: Precio del perfil en USD.
Shared user: usuarios que comparten el perfil, en la imagen se pueden
observar las distintas opciones.
Tras configurar los datos del perfil pulsamos en el botón Add New Limitation.
En la ventana Profile part:

Menú Period: Aplicamos a todos los días de la semana las 24horas y hacemos
clic en el botón New Limit.
En la ventana Limitation Details:
Name: 1M
Rate Limits: Rate limit: Rx= 1M / Tx= 512k
Hacemos click en boton Add.
En la pestaña Limitations podremos ver las distintas limitaciones que hemos
creado, en este caso hemos creado tres tipos diferentes.
De vuelta a la pestaña profiles aplicamos una de las limitaciones que hemos

creado y pulsando en add new limitation > en la ventana Profile part > menú
desplegable Limits escogemos una de las limitaciones creadas y pulsamos
add.
Por último activamos los dos check de Profile limitations y pulsamos Save
Profile.
7.5.3 CREANDO USUARIOS
En el siguiente punto vamos crear los usuarios del servidor RADIUS, para ello
nos desplazamos al botón Users y en el menú Add podremos crear un usuario
individual (One) ó generar un lote de usuarios (Batch)
Generamos un usuario individual e introducimos los datos
Tras añadir ya podemos ver el usuario generado.
Ahora vamos a generar un lote de 5 usuarios, para ello vamos a menú Add >
Batch en la ventana que se abre:
Numbers of users: 5
Username prefix: No colocamos prefijo al nombre
Username lenght: longitud de 6 caracteres
Password lenght: longitud de 6 caracteres
nota: Si activamos el check Pwd same as login crea la clave igual al nombre
de usuario.
Constraints: Para restringir el acceso a una dirección IP ó rango.
Wireless: Clave y algoritmo en caso de acceso vía Wireless.
Pulsamos el botón Add.
Este sería el resultado de los usuarios creados, seleccionamos menú Generate
>Vouchers (cupones)
En la ventana emergente que se abre podremos eliminar tras imprimirlos o no y

si activamos el check lo descargamos como archivo, pulsamos en Generate.
En la imagen siguiente genera un documento en formato html donde se

especifican los datos de los usuarios creados con su correspondiente clave de
acceso, además del tiempo de prepago contratado.
Nota:
El formato de salida del fichero se puede modificar en el menú settings.
7.5.4 CREANDO CLIENTES
En el menú Customers podremos añadir clientes al servidor para usar el

servicio de hotspot, para ello vamos a Customers> Add> New en la ventana
emergente vamos introduciendo los datos referente al nuevo cliente en función
de las características que deseemos darle, solo puede haber un cliente
(Owner) que será el propietario del sistema, como se muestra en la imagen
inferior es el cliente admin, y sobre él cuelgan los demás con distintos
permisos.
Éstos a su vez pueden crear nuevos clientes y cuyo Parent (Padre) será el
cliente que lo ha creado.
P.ej.- El cliente David tiene como parent a admin y no podrá ser Owner, sin
embargo podrá crear nuevos clientes de los cuales él será el Padre.
Una vez creado el cliente podremos acceder al sistema con su usuario y clave.
Si intentamos crear un nuevo usuario con permisos de propietario (Owner) el

sistema lo rechaza, como observamos en la imagen el usuario David no tiene
en su sesión al cliente admin.
7.5.5 PROBANDO EL USO DE TICKETS EN CLIENTES
En el botón Payments podemos ver los usuarios que hemos creado para el
sistema, tanto manualmente como por lotes, ahora vamos a simular la
utilización de los tickets (profiles) que creamos anteriormente.
En una máquina virtual en la barra del navegador web introducimos la dirección

donde deseemos ir (no es necesario introducir el nombre DNS del Hotspot, ya
que las reglas del firewall nos va a redirigir a la página de login), y en la página
de acceso al portal introducimos los datos de un usuario registrado en el
sistema.
Cuando hayamos introducido los datos el sistema nos autentica y da acceso a

internet.
Volviendo a usermanager en el menú sessions tendremos registrado al
usuario, y haciendo doble click sobre el mismo se abrirá una ventana
mostrando en forma detallada la información.
Si vamos a Winbox IP>Hotspot> pestaña Active también podremos ver datos

del usuario y nos indica que estamos registrados en el servidor RADIUS.
Abajo en la imagen hemos entrado con otro usuario que creamos en el lote
(Batch).
Comprobamos como a través de winbox nos muestra el usuario registrado en
el servidor RADIUS.
En el botón users vemos los usuarios autorizados, si hacemos clic sobre el

menú Generate podremos descargar la información de los mismos en un
archivo CSV o en formato de cupones (Vouchers), éstos formatos se pueden
editar en el botón setttings y darle otra apariencia.
Aquí tenemos el archivo CSV con los datos:

Login, Password, Uptime_Limit, Used_Uptime, Used_Download, Used_Upload.
7.5.6 CREANDO UN INFORME DETALLADO DE USO
Usermanager puede crear un informe detallado del uso del sistema para ello
tendremos que acceder al botón Reports y como se muestra en la imagen se
puede personalizar el informe añadiendo o quitando ítems, período sobre el
que lo desea, propietario, tipo de archivo, etc…
Al pulsar sobre el botón Generate el resultado en html es el siguiente:
7.5.7 MODIFICANDO LA APARIENCIA DE USERMANAGER
En el botón Settings se puede modificar la apariencia visual y estructural de

usermanager, en la pestaña Appearance podremos modificar las tablas de los
botones Routes, Users, Sessions, Customers, Logs, Payments, Limitations,
haciendo visible más o menos campos, se muestra en el recuadro azul.
En la pestaña Style modificamos el estilo visual como el Main Background
(fondo principal, no el fondo de las tablas), las líneas principales, texto del logo
y el título de la ventana del navegador.
Como dijimos anteriormente aquí en la pestaña Templates, podremos

modificar el estilo de presentación del archivo CSV, añadiendo o quitando
campos.
Escogiendo Vouchers del menú desplegable podremos modificar el formato

html.
También podremos crear nuestro propio formato pulsando el botón “+” y
asignándole un nombre.
En la pestaña Languaje podremos elegir el tipo de lenguaje, aunque de
momento la herramienta solo tiene el inglés por defecto.
En la pestaña Payment Gateways (Plataformas de pago) podremos activar el

pago a través de Paypal o Authorized.Net siempre que el cliente posea una
cuenta en dichas plataformas.
Para que se pueda llevar a cabo este proceso previamente hay que realizar
algunos ajustes en la pestaña Walled-garden del servidor Hotspot, además de
obtener un certificado digital para las conexiones seguras ya que este servicio
no opera con conexiones inseguras.
En el siguiente enlace se muestra todo el proceso para habilitar el pago
telemático con paypal.
http://wiki.mikrotik.com/wiki/User_Manager/User_payments#PayPal
En la pestaña Signup se muestra la plantilla del mail donde se envía el usuario
y contraseña al cliente.
8. SCRIPTING
Mikrotik RouterOS posee un potente lenguaje de scripts mediante el cual se

pueden automatizar tareas de mantenimiento del router, optimización de
recursos, gestión de las redes, administración de usuarios y un sinfín de
trabajos que facilitan al administrador su labor a la hora de gestionar todos
recursos del sistema.
En siguiente enlace se encuentra la wiki de Mikrotik donde se explica su
lenguaje de scripting:
http://wiki.mikrotik.com/wiki/Manual:Scripting
Los scripts pueden ser almacenados en un repositorio dedicado
exclusivamente o se pueden ejecutar directamente en la consola de línea de
comandos.
Los eventos usados para la ejecución de los scripts incluyen - aunque no se
limitan a ellas- las siguientes herramientas:
System Scheduler: Herramienta programador de tareas
Traffic Monitoring: Herramienta de monitorización de tráfico
Netwatch Tool: Herramienta de supervisión de red.
8.1 ALGUNOS EJEMPLOS DE SCRIPTING
Como hemos comentado antes se puede almacenar en un repositorio los script

que vayamos a utilizar para ello en winbox vamos a System>Scripts y en la
ventana que se abre podremos ir añadiendo o eliminar scripts pinchando en
“+ / - “
Vamos a ejecutar un script que envíe al correo un Backup del sistema, pero
antes tenemos que configurar una cuenta de email, en winbox vamos a
Tools>Email en la ventana emergente configuramos los siguientes
parámetros:
Server: Dirección IP del servidor de correo saliente SMTP (Outlook)
Port: Nº Puerto 587
Start TLS: (Inicio seguridad Transport Layer Secure) yes
From: desde
User: hacia
Password: Clave de acceso de la cuenta de correo
El siguiente script enviará al correo electrónico un Backup actual del sistema.
Código del Script
/export file=([/system identity get name] . "-" . [:pick [/system clock get date] 7 11] . [:pick
[/system clock get date] 0 3] . [:pick [/system clock get date] 4 6]); /tool e-mail send start-tls=yes
to="davifrigo@hotmail.com" subject=([/system identity get name] . " Backup desde Máquina
Virtual " . [/system clock get date]) file=([/system identity get name] . "-" . [:pick [/system clock
get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc");
:delay 10; /file rem [/file find name=([/system identity get name] . "-" . [:pick [/system clock get
date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc")];
:log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date])
En la imagen podemos observar en email recibido con el Backup.
8.2 PROGRAMANDO LA EJECUCIÓN DE LOS SCRIPTS
Como se ha comentado antes se puede programar la ejecución de script a

través de la herramienta de programación, en este caso vamos a
System>Scheduler en la ventana emergente configuramos el nombre, Fecha
y hora de inicio, además del intervalo de ejecución 1dia (1d 00:00:00).
En la ventana On event colocamos el nombre del script que vayamos a
ejecutar y que previamente hayamos almacenado en el repositorio de scripts.
El siguiente script envía la IP pública al correo para saber en todo momento la

IP dinámica que recibe el router desde el servidor DHCP.
Código del Script
:global ips [/ip address get 1 address];

:global name [/system identity get name];
/tool e-mail send start-tls=yes to="davifrigo@hotmail.com" subject="ENVIO DE IP
PROGRAMADO DESDE $name" body="La IP publica de la interfaz WAN es $ips"
En la imagen podemos observar el email recibido con la IP de la interfaz

pública por la que salimos a internet.
8.2.1 INTRODUCIR USUARIOS EN SERVIDOR HOTSPOT
El siguiente código lo he utilizado para introducir usuarios en el hotspot de

Telepalma, primero se introduce todos los usuarios en un fichero de texto
llamado usuarios.txt con el formato:
Mac-Address,name,comment,server
00:00:00:00:00:00,Pepe,Usuario Hotspot,all
11:11:11:11:11:11,Antonio,Usuario Nuevo,all
Y después lo arrastramos a la ventana que se abre en el menú Files
Se
arrastra
el fichero
aquí
La imagen no contiene el fichero
Debido a que la estructura del código del script introduce todo el contenido del
archivo (usuarios.txt) en una variable ($tmpArray), el archivo de los usuarios no
debe ser superior a 4096 bytes ya que el tamaño de la variable se limita a esa
cantidad; si es superior se debe fragmentar el mismo o modificar la estructura
del script.
Código del Script
:global content [/file get [/file find name=usuarios.txt] contents] ;
:global contentLen [ :len $content ] ;
:global lineEnd 0;
:global line "";
:global lastEnd 0;
:do {
:set lineEnd [ :find $content "\r\n" $lastEnd ] ;
:set line [:pick $content $lastEnd $lineEnd] ;
:set lastEnd ( $lineEnd + 2 ) ;
:local tmpArray [ :toarray $line] ;
:if ( [ :pick $tmpArray 0] != "" ) do={:put $tmpArray;
/ip hotspot user add mac-address=[ :pick $tmpArray 0] name=[ :pick $tmpArray 1] \
comment=[ :pick $tmpArray 2] server=[ :pick $tmpArray 3];
}
} while ($lineEnd < $contentLen);
En el siguiente enlace de la wiki mikrotik se puede encontrar una gran cantidad

de scripts resueltos.
http://wiki.mikrotik.com/wiki/Scripts
9. CONFIGURACIÓN DE ANTENA UBIQUITI COMO PUNTO DE ACCESO
El servidor de hotspot estará ubicado en sitios públicos para el acceso de

clientes y éstos se conectan a través de un punto de acceso Wireless.
A continuación vamos a configurar la antena a través de su interfaz web:
Para acceder a la interfaz web de la antena Ubiquiti, tendremos que configurar
nuestra tarjeta de red manualmente y asignarle una IP que esté dentro del
rango 192.168.1.0/24, ya que por defecto la antena viene configurada con la IP
192.168.1.20, p.ej podremos darle a nuestra tarjeta de red la IP 192.168.1.25
tras introducir la dirección en el navegador nos muestra la siguiente interfaz e
introducimos Usuario: ubnt y Contraseña: ubnt
Una vez que entramos a la configuración, seleccionamos la pestaña Wireless y
en el menú desplegable Modo inalámbrico, seleccionamos Punto de acceso y
pulsamos el botón cambiar.
Los demás parámetros hacen referencia al modo de trabajo y potencia de la
antena. En seguridad inalámbrica se desactiva el check de MAC ACL.
La imagen es de otra antena, solo se muestra como ejemplo.
En la pestaña Network debemos configurar el Modo de máscara de red como

Puente y pulsamos nuevamente el botón cambiar.
La imagen es de otra antena, solo se muestra como ejemplo.
De esta forma ya tendríamos configurado el punto de acceso como se muestra

en la imagen que define el esquema del hotspot que se encuentra al principio
de esta documentación.
10. OTROS
10.1 LOS ARCHIVOS DEL HOTSPOT
Al crear un servidor Hotspot, automáticamente se generan los ficheros (.html,

.txt, .ico, .xml, etc…) necesarios para la configuración de las distintas interfaces
gráficas que se muestran al acceder al portal. Estos ficheros se almacenan en
el menú Files como se muestra en la imagen de abajo.
El contenido de los ficheros puede ser modificado para ajustarlo a las

necesidades, características o apariencia que se desee dar al portal, el fichero
login.html es el que muestra la interfaz gráfica para autenticarse.
Inicialmente mikrotik tiene un modelo básico al cual se puede modificar su
estructura de código HTML y Javascript, pero con precaución ya que este
último tiene declaradas sus variables a las que no hay que perder de vista ya
que están distribuidas en las distintas páginas que conforman la carpeta
hotspot.
Fichero login.html modificado para Fichero login.html original de Mikrotik

Hotspot de Telepalma
En el siguiente enlace de mikrotik se pueden descargar ficheros de plantillas
para hotspot.
http://mikrotikthemes.airpoint.club/
Armaggedon CloudWifi
Padlock Neon
Documentación consultada:
http://www.ryohnosuke.com/foros/index.php#5
http://www.ryohnosuke.com/foros/index.php?threads/363/
http://wiki.mikrotik.com/wiki/Manual:TOC

Taller de Seguridad Inalambrica

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Taller de Seguridad Inalambrica

Загружено:

Авторское право:

Доступные форматы

PROYECTO INTEGRADO

OBJETO DEL PROYECTO .............................................................................................................. 4

E s una compañía letona proveedora de tecnología disruptiva de

2. DEFINIENDO EL SERVICIO HOTSPOT

Un Portal Cautivo o servicio de Hotspot es un sistema que permite capturar el

Cablemódem ARRIS RouterBoard Mikrotik RB750GL

Cabe mencionar que para el desarrollo del proyecto se va utilizar un sistema

También descargaremos desde el mismo sitio el software de configuración

Una vez realizados estos procesos podremos iniciar el proyecto.

Una vez creado una máquina virtual Mikrotik en VirtualBox, proceso no

Al iniciar la máquina nos pregunta que servicios deseamos que se instalen, y

De esta forma tendremos acceso al sistema en modo consola y solo durante

Para un acceso más amigable a la configuración, Mikrotik proporciona la

4. CREANDO EL PORTAL CAUTIVO (HOTSPOT)

4.1 IDENTIFICANDO LAS INTERFACES

En la pestaña Ethernet dejamos tildado autonegociación por defecto, y el

En las pestañas Status y Traffic son de información de la interfaz

A continuación vamos a crear un cliente DHCP en la interfaz ether1_WAN ya

Seleccionamos el menú IP > Hotspot

En la nueva ventana, pestaña servers seleccionamos el botón Hotspot Setup y

Select Certificate, elegimos none, ya que no contamos con un certificado SSL.

DNS Name, aquí indicamos el nombre DNS de nuestro hotspot; cuando

En la imagen de abajo se muestra que tenemos acceso a internet.

5.1. AJUSTES DEL DNS

En IP>Pool tendremos el conjunto de direcciones IP reservadas que va a

5.3. MENÚ ROUTES

Aquí tendremos las tablas de rutas, las cuales se han cargado

Dentro de este menú analizaremos las distintas pestañas que engloba el

En la pestaña servers podemos identificar los distintos servidores que hemos

En la pestaña Server profiles, se muestran los perfiles de los distintos

Pestaña Login es la que va a permitir autenticarnos ante el portal existen 3

Crearemos usuarios, haciendo click en “+” y se abrirá la ventana que se

En la pestaña statistics veremos las estadísticas

5.4.4 USER PROFILES

En User Profiles, podemos configurar algunas características a las cuentas de

Aquí se observa la relación de todos los dispositivos que están conectados al

Al tener configurado el servidor hotspot, todas las páginas que intentemos

Es lo mismo que lo anterior, salvo que aquí ya no trabajamos con los

Si la opción cookie está activada en la pestaña Server Profile, en este caso

Tras configurar el servidor hotspot, automáticamente el asistente genera las

Para entender el significado de cada una de las reglas del hotspot, a

Reglas filter del Hotspot

Al igual que las reglas de filtrado, el asistente de configuración del servicio

User manager es un completo administrador de usuarios que puede utilizarse

Se debe tener la misma versión de RouterOS y el paquete Administrador de

7.2 PROCESOS DE ACTUALIZACIÓN

7.2.1 ACTUALIZACIÓN AUTOMÁTICA

La función de actualización automática se conecta a los servidores de descarga

También nos descargamos la actualización de RouterOS.

7.2.2 ACTUALIZACIÓN MANUAL

El primer paso es visitar www.mikrotik.com y dirigirse a la página de descarga,

Una vez descargado descomprimimos y elegimos el paquete user-manager-

7.3 CREANDO EL SERVIDOR RADIUS

Para realizar la gestión de usuarios del hotspot a través de la herramienta user-

Una vez creado, en el botón Incoming seleccionamos el cuadro check y

7.3.1 ACTIVANDO EL SERVIDOR RADIUS EN HOTSPOT SERVER PROFILE

Configuramos hotspot para utilizar el servidor Radius cuando vayamos a

También colocamos la hora correctamente según el huso horario.

Para acceder a la herramienta basta con teclear en la barra del navegador la IP

7.5.1 CREANDO EL ROUTER

Una vez que hayamos entrado, seleccionamos menú Routers Add>New

7.5.2 CREANDO PERFILES

Vamos a crear perfiles donde podremos limitar los horarios y el ancho de

Profiles “+” en la ventana le damos nombre “Accesos 1h”, y botón Create.