Scribd
Cargar
135 vistas34 páginas

Meraki Appliance (MX)

Este documento describe las características y configuración de direccionamiento de red, VLAN, rutas estáticas, DHCP y firewall de un dispositivo Meraki MX. También cubre temas como NAT, reenvío de puertos y VPN de cliente.

Cargado por

Mahely Londoño
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
135 vistas34 páginas

Meraki Appliance (MX)

Este documento describe las características y configuración de direccionamiento de red, VLAN, rutas estáticas, DHCP y firewall de un dispositivo Meraki MX. También cubre temas como NAT, reenvío de puertos y VPN de cliente.

Cargado por

Mahely Londoño
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 34

Meraki

Appliance (MX)
Security Appliances
MX: Modelos
Z1 Teleworker
Z1 Teleworker
Características
SOPORTE TECNICO
Descartes Básicos
Addressing & VLANs
Network wide (Mode)

Passthrough or VPN concentrator

Se elige esta opción si simplemente se desea desplegar el dispositivo MX.


En este modo, el dispositivo MX no proporciona ninguna traducción de direcciones
(NAT) y funciona como un dispositivo de paso entre Internet y los puertos LAN (a
veces conocido como un puente de capa 2). El MX proporciona también la
funcionalidad de un túnel VPN.
 
Network Address Translation (NAT)
 
Se elige esta opción si se desea utilizar el dispositivo MX como un firewall de nivel
7 para aislar y proteger el tráfico de LAN a través de Internet (WAN). El tráfico del
cliente a Internet tendrá su IP fuente reescrito para que coincida con la IP WAN del
aparato. 
Addressing & VLANs
Network wide (Client tracking)

Track clients by MAC address:

Opción predeterminada. Se utiliza esta opción si todos los dispositivos cliente


se encuentran dentro de las VLANs / subredes configuradas en el appliance, y
no hay ningún dispositivo de Capa 3 entre el MX y los clientes.
 
Track clients by IP address:

Se utiliza esta opción si hay un dispositivo de Capa 3 entre el MX y los


clientes, la identificación de la dirección MAC no será fiable o precisa. Algunas
herramientas basadas en la ARP (Capa 2) no estarán disponibles en este
modo. Estos incluyen ping a clientes y alertas de conectividad de cliente.
Addressing & VLANs
Add a Local VLAN

Name: El nombre de la VLAN.


Subnet: Se introduce la subred IP para la VLAN; es necesario proporcionar esta información en
notación CIDR.
MX IP: Dirección IP de puerta de enlace predeterminada en esa VLAN.
VLAN ID : Identificador numérico que se asigna a la VLAN.
Group Policy: Directiva de grupo que se desea aplicar a la VLAN
 
Add a Static Route

Enabled:  Desactive esta opción si desea eliminar temporalmente una ruta desde el MX sin tener
que volver a crear manualmente más adelante.
Name: El nombre de la ruta estática.
Subnet: Utilice esta opción para introducir la subred remota que se desea alcanzar a través de
esta ruta estática (CIDR).
Next hop IP: Dirección IP del dispositivo (router o switch de capa 3) que se conecta al appliance
MX. También se refiere a veces como la "puerta de enlace IP de ruta '.
Addressing & VLANs
 
Add a Static Route

Active: Una ruta estática se puede establecer en uno de tres modos:


Always: Se utiliza siempre la ruta estática.
Enabled:  Desactive esta opción si desea eliminar temporalmente una ruta desde el MX sin tener que volver a
crear manualmente más adelante.
Name: El nombre de la ruta estática.
Subnet: Utilice esta opción para introducir la subred remota que se desea alcanzar a través de esta ruta estática
(CIDR).
Next hop IP: Dirección IP del dispositivo (router o switch de capa 3) que se conecta al appliance MX. También
se refiere a veces como la "puerta de enlace IP de ruta '.
Active: Una ruta estática se puede establecer en uno de tres modos:
Always: Se utiliza siempre la ruta estática.
While next hop responds to ping: Se utiliza sólo si el MX puede hacer ping correctamente alsiguiente salto de
la IP configurada para la ruta estática.
While host responds to ping: Se utiliza sólo si el MX puede hacer ping a una dirección IP host especificado
utilizando la ruta.
Host IP to ping: Sólo aparece si se escoge la opción “While host responds to ping”. Esta es la IP la cual el MX
realiza un ping a través de la ruta estática para determinar si la ruta está funcionando correctamente. Este
dispositivo debe estar en la subred especificada en la ruta estática, y siempre debe ser un dispositivo con una
dirección IP estática o una reserva DHCP.
Addressing & VLANs
Per-port VLAN configuration

Se visualiza y modificar la configuración de VLAN en base por cada puerto. 

 
Enabled: Activa o desactivar el puerto. 
Type: Establecer el puerto en modo acceso o en modo trunk. 
Native VLAN (trunk mode only): Establece la VLAN nativa para el
puerto. Todo el tráfico sin etiqueta que viene en este puerto será tratado
como si perteneciera a esta VLAN. Esto también se puede configurar para
'Drop tráfico sin etiquetar'.
Allowed VLANs (trunk mode only): Permite el paso de todas la VLANS
configuradas. Esto debe incluir la VLAN nativa si se ha establecido.
Addressing & VLANs
Warm spare

Se puede añadir un segundo appliance MX como una unidad de warm spare y crear un
par de alta disponibilidad (HA). 

En el caso de que falle la unidad primaria, el warm spare asumirá el papel principal hasta
que el principal original está de vuelta en línea. Cuando el appliance principal está de
nuevo en línea y el equipo comienza a recibir los latidos del corazón de VRRP de nuevo,
el appliance de warm spare abandona el papel activo de vuelta al appliance principal.
 
El tiempo total para la detección de fallos, la conmutación por error al concentrador de
warm spare, y la capacidad para iniciar los paquetes VPN procesamiento es típicamente
menos de 30 segundos.
DHCP
Configuracion

Client addressing Se elije Ejecutar un servidor DHCP para habilitar servicios DHCP en una VLAN particular.
Lease time: Período de tiempo antes de que expire la concesión DHCP.
DNS nameservers: Los servidores DNS que el servidor DHCP dará instrucciones a los clientes a utilizar.
Boot options: Activa o las opciones de DHCP con discapacidad utilizados para el arranque de red (PXE)
Boot next-server: Determina el servidor de arranque de red que los clientes van a descargar el archivo de
inicio. Esto puede ser una dirección IP o nombre de host. Si se utiliza un nombre de host, el cliente de inicio
de red debe ser capaz de resolver el nombre de host DNS a través de la red con el fin de arrancar a trabajar
correctamente.
Boot filename: Determina la ruta completa y el nombre del archivo de arranque que utilizarán los clientes
de arranque de red. Al especificar la ruta, utilice barras inclinadas ( "/") en lugar de barras invertidas ( "\").
DHCP options: Añadir opciones de DHCP costumbre aquí. Estas opciones se requieren generalmente por
los teléfonos VoIP u otros dispositivos de red especiales.
Reserved IP ranges: rangos de IP que están reservadas y por lo tanto no se pueden asignar a los
clientes. Las listas de los rangos de IP reservada se pueden importar desde un archivo CSV.
Fixed IP assignments: las direcciones IP que se asignan a dispositivos específicos por dirección MAC, para
asegurar que estos dispositivos siempre reciben la misma dirección IP cuando hacen una solicitud
DHCP. Las listas de direcciones IP fijas se pueden importar desde un archivo CSV.
Firewall
Appliance services

• ICMP ping: Utilice esta configuración para permitir que el MX responda a las


solicitudes de ping ICMP entrantes procedentes de una dirección IP
especificada (s). Los valores admitidos para el campo de dirección IP remota
incluyen None, Any, o un rango IP específica (CIDR). También puede
introducir varios intervalos de direcciones IP separadas por comas. Para
agregar direcciones IP específicas en lugar de rangos (XXXX / 32).
• Web (local status & configuration): Utilice esta configuración para permitir
o inhabilitar el acceso a la página de administración local (wired.meraki.com
) a través de la WAN IP del MX. Los valores admitidos para el campo de
direcciones IP a distancia son los mismos que para ICMP Ping .
Firewall
Forwarding rules

• Port Forwarding (Reenvio de puertos) toma un TCP o UDP


específico destinado a una interfaz de Internet del MX y las
envía a una dirección IP interna específica. Este es el mejor
para los usuarios que no poseen un conjunto de direcciones IP
públicas. Esta función puede reenviar puertos diferentes a
diferentes direcciones IP internas, permitiendo que múltiples
servidores sean accesibles desde la misma dirección IP pública.

• No es posible enviar un solo puerto TCP o UDP para múltiples


dispositivos de LAN.
Firewall
Firewall
1: 1 NAT
• 1:1 NAT es para usuarios con múltiples direcciones IP públicas disponibles
para su uso y para las redes con múltiples servidores detrás de un firewall
como dos servidores Web y dos servidores de correo.

• Una asignación de 1: 1NAT sólo se puede configurar con direcciones IP que


NO pertenecen a la MX Security Appliance. También se puede traducir
direcciones IP públicas en diferentes subredes que dirección de interfaz
WAN si el tráfico de rutas ISP para la subred hacia la interfaz MX.

• Cada traducción es un añadido a una sola regla, lo que significa que el


tráfico destinado a la dirección IP pública sólo puede ir a una dirección IP
interna. Dentro de cada traducción, un usuario puede especificar qué
puertos serán redirigidos a la IP interna.
Firewall
Firewall
1:Many NAT

• Una configuración 1: Many NAT permite que el MX transmita el tráfico


procedente de una dirección IP pública configurado para servidores
internos. Sin embargo, a diferencia de un 1:1 NAT, 1: Many NAT permite
que una sola dirección IP pública para traducirlo a varias direcciones IP
internas, en puertos diferentes.

• Para cada 1: Many, una sola dirección IP pública se debe especificar, a


continuación, varias reglas de reenvío de puertos pueden ser configurados
para reenviar el tráfico a diferentes dispositivos de la LAN en función de
cada puerto.

• Al igual que con 1: 1 NAT, un 1: Many NAT no puede utilizar una dirección
IP que pertenece a la MX.
Firewall
Client VPN
Cliente VPN

Client VPN utiliza el protocolo de túnel L2TP y se puede desplegar sin ningún tipo de
software adicional en PC, Mac, dispositivos iOS y dispositivos Android, ya que todos
estos sistemas operativos de forma nativa son compatible con las conexiones VPN
L2TP.
 
Los  sistemas operativos basados ​en Linux pueden soportar conexiones Client VPN,
pero pueden necesitar de softwares terceros para apoyar el protocolo L2TP/ IP.

El Client VPN utiliza PAP como método de autenticación. Autenticación PAP se


transmite siempre en el interior de un túnel IPsec entre el dispositivo cliente y el
dispositivo de seguridad MX mediante el cifrado fuerte. 

Las credenciales de usuario no se transmiten en texto claro por la red WAN o LAN. 
Client VPN
Configuración Client VPN Server
Client VPN
Configuración Client VPN Server

Client VPN subnet: Es la subred que se utiliza para conexiones VPN Client. Esto debería ser
una subred privada que no está en uso en otro sitio de la red. El MX será el gateway en esta
subred y distribuirá el tráfico hacia y desde esta subred.

DNS Nameservers: Los servidores de clientes VPN utilizar para resolver nombres de host
DNS. Se puede elegir entre Google Public DNS, OpenDNS, o especificar los servidores DNS
personalizados por dirección IP.

WINS: Si desea que los clientes VPN utilicen WINS para resolver nombres NetBIOS.

Secret: Es el secret key compartido que se utilizará para establecer la conexión VPN Client.

Authentication: cómo los clientes VPN será autenticado, (Meraki Cloud, RADIUS, Active
directory)
 
Client VPN
Meraki Cloud Authentication

Esta opción es valida si NO se tiene un servidor de Active Directory o RADIUS, o si


desea administrar los usuarios de VPN a través de la nube Meraki.
 
Name: Nombre de usuario

Email: Dirección de correo autorizada.


“Cuando se utiliza la autenticación de Meraki Cloud, la dirección de correo
electrónico del usuario es el nombre de usuario que se utiliza para la autenticación.”
 
Password: Se introduce una contraseña para el usuario o se genera una
automáticamente en "Generar" para generar una contraseña.

Authorized: Si este usuario está autorizado a utilizar el Cliente VPN.


Client VPN
RADIUS Authentication

Esta opción es para autenticar a los usuarios en un servidor RADIUS. 

Se tendrá que introducir la dirección IP del servidor RADIUS, el puerto que se utiliza para
la comunicación RADIUS y el secreto compartido para el servidor RADIUS.

Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o


movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.
Client VPN
Active Directory

Short domain: El nombre del dominio del Active Directory.


Server IP: La dirección IP de un servidor de Active Directory en la LAN
MX.
Domain admin: El administrador del dominio de cuenta del MX debe
utilizar para consultar el servidor.
Password: contraseña de la cuenta de administrador de dominio.
Traffic Shaping
Primary uplink
 
Esta opción determina que enlace debería ser la conexión principal. El tráfico VPN y la gestión del tráfico
Dashboard Meraki utilizaría este enlace. 
  
Load balancing
 
Cuando se activa, Load balancing se propaga el tráfico de Internet a través de ambos enlaces uplink
proporcionales a los anchos de banda WAN1 y WAN2 especificados.
 
Ejemplo: Si el ancho de banda WAN1 es de 9 Mbps y el ancho de banda WAN2 es de 1 Mbps, el algoritmo
de balanceo de carga envía 90% del tráfico a través de la WAN1 y 10% del tráfico a través de WAN2.
Traffic Shaping

Flow Preferences

Regla 1 se llevará a todo el tráfico TCP / UDP de la subred 192.168.3.0/24 y la obliga a


salir de la WAN 2, independientemente de su destino.

Regla 2 no tomará ninguna abastecimiento tráfico DNS de la subred 192.168.5.0/24 y la


obliga a salir de la WAN 2, con tal de que está destinado para el servidor DNS público de
Google (8.8.8.8).

Regla 3 se llevará a todo el tráfico TCP que va a la IP 64.25.14.0:27015 y la obliga a salir


por la WAN 1.
Threat Protection
Protección contra amenazas que está compuesto por el / motor anti-phishing
Kaspersky SafeStream® anti-virus y del motor de detección de intrusos
Sourcefire® Snort®. Estas características requieren una licencia de seguridad
avanzada.

Detección de malware, tráfico entrante y saliente HTTP en busca de malware,


troyanos y sitios web de phishing. Las amenazas son detectadas y bloqueadas,
ya sea basado en la URL o una firma desencadenada por el contenido.

Falsos Positivos

De vez en cuando el appliance MX puede bloquear un archivo o una dirección


URL que se considera seguro. En ese caso, se puede decir MX para permitir la
descarga de la página web de contenido o por el contenido de las Whitelisting.
Threat Protection
Whitelisting URLs

Encuentra la URL que fue bloqueado en la página de registro de eventos y entrar en la sección
de la lista blanca URL para permitir que la URL en el futuro.
 
Whitelisting IDs
 
Para los archivos, JavaScript y otros objetos que no son direcciones URL, el MX asigna un
identificador único. Se puede ver los elementos bloqueados en la página Event LOG. 
Threat Protection
Intrusion detection and prevention

Intrusion detection escanea todos los paquetes que circulan entre la LAN y las interfaces de Internet y en el medio de
las VLAN.

Mode Detection: Detecta y registrar el tráfico de red potencialmente malicioso basado en el conjunto de reglas
configuradas.

Mode Prevention: Bloqueará automáticamente el tráfico potencialmente malicioso.

Reglas

Connectivity: Contiene reglas desde el año en curso y los dos años anteriores en busca de vulnerabilidades con una
puntuación CVSS 10.

Balanced: Contiene normas que son desde el año en curso y los dos años anteriores, están en busca de
vulnerabilidades con una puntuación CVSS 9 o mayor, y se encuentran en una de las siguientes categorías: Malware-
CNC, Black List, Inyección SQL, Exploit-kit. (Regla seleccionada por defecto).

Security: contiene normas que son desde el año en curso y los tres años anteriores, están en busca de
vulnerabilidades con una puntuación CVSS 8 o superior, y se encuentran en una de las siguientes categorías:
Malware-CNC, Black List, Inyección SQL, Exploit-kit, App-detectar.
 
Content Filtering
Cada vez que un dispositivo de la red accede a una página web, la dirección URL solicitada se comprueba
con las listas configuradas para determinar si se permite o bloquea la solicitud. La concordancia de
patrones sigue estos pasos en orden:

1- Tratar de igualar la URL completa contra ninguna de las listas (bloqueado versus lista de los patrones
de la lista blanca)
 http://www.foo.bar.com/qux/baz/lol?abc=123&true=false
2- Quitar el protocolo y "www" de la URL, y comprobar de nuevo:
foo.bar.com/qux/baz/lol?abc=123&true=false
3- Eliminar cualquier "parámetros" (todo lo que después de un signo de interrogación) y comprobar otra
vez:
foo.bar.com/qux/baz/lol
4- Retire caminos, uno por uno, y comprobar cada uno:
foo.bar.com/qux/baz , a continuación, foo.bar.com/qux , a continuación, foo.bar.com
5- Cortar subdominios uno por uno y comprobar otra vez:
bar.com , y luego .com
6- Comprobar comodín especial  “*”
 
Si alguno de los pasos anteriores produce una coincidencia, la solicitud será bloqueado o permitida según
el caso (Prioridad lista blanca).
Content Filtering
HTTPS Filtering

Solicitudes HTTPS también puede ser bloqueado, pero debido a que la URL en una solicitud
HTTPS está cifrado, sólo los chequeos URL del dominio se llevarán a cabo en el siguiente orden:
1- www.foo.bar.com
2- foo.bar.com
3- bar.com
4- .com
5- * (El carácter especial de cajón de sastre URL)
  
En el ejemplo todas las páginas web están bloqueadas excepto por http://meraki.com y 
https://meraki.com .

También podría gustarte