WDS / MESH

Crie as interfaces wds e dê os

seguinte parâmetros:

Name: Nome da rede wds.

Master Interface: Interface que o wds funcionará. Podendo inclusive ser uma interface virtual.

WDS Address: Endereço MAC da interface wds que será conectada.

Testar a transparência do link com stations-wds

Utilizar Mesh com WDS-RSTP

Testar o modo WDS Slave

I

NTERFACE

W

IRELESS

– C

ONTROLE DE

A

CESSO

A Access List é utilizada pelo AP para restringir A Access List é utilizada pelo AP para restringir

associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar.

A comunicação entre clientes da mesma interface, virtual

I

NTERFACE

W

IRELESS

– C

ONTROLE DE

A

CESSO

O processo de associação ocorre da seguinte forma:

1. Um cliente tenta se associar a uma interface wlan;

2. Seu MAC é procurado na access list da interface wlan; 3. Caso encontrado, a ação especifica será tomada:

Authentication: Define se o cliente poderá se associar ou não;

Fowarding: Define se os clientes poderão se comunicar.

I

NTERFACE

W

IRELESS

– A

CCESS

L

IST MAC Address: Endereço MAC a ser

liberado ou bloqueado.

Interface: Interface real ou virtual onde será feito o controle de acesso.

AP Tx Limit: Limite de tráfego enviado para o cliente.

para o cliente.

Client Tx Limit: Limite de tráfego enviado do cliente para o AP.

Private Key: Chave wep criptografada. Private Pre Shared Key: Chave WPA.

125

Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros Mikrotiks.

I

NTERFACE

W

IRELESS

– C

ONNECT

L

IST

A Connect List tem a finalidade de listar os APs que o Mikrotik configurado como cliente pode se conectar.

MAC Address: MAC do AP a se conectar SSID: Nome da rede

Area Prefix: String para conexão com AP de mesma área Security Profile: Definido nos perfis de segurança.

Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP falso.

S

EGURANÇA DE

A

CESSO EM REDES SEM FIO

F

ALSA SEGURANÇA

Nome da rede escondido:

Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes

chamados “beacons”. Este comportamento pode ser modificado no Mikrotik habilitando a opção “Hide SSID”.

a opção “Hide SSID”.

Pontos negativos:

SSID deve ser conhecido pelos clientes

Scanners passivos o descobrem facilmente pelos pacotes de “probe request” dos

F

ALSA SEGURANÇA

Controle de MACs:

Descobrir MACs que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer.

Spoofar um MAC é bem simples. Tanto usando windows, Spoofar um MAC é bem simples. Tanto usando windows,

linux ou Mikrotik.

F

ALSA SEGURANÇA

Criptografia WEP:

“Wired Equivalent Privacy” – Foi o sistema de criptografia inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia.

Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar a chave, como:

Airodump Airreplay Aircrack

E

VOLUÇÃO DOS PADRÕES DE SEGURANÇA

F

UNDAMENTOS DE

S

EGURANÇA

Privacidade

As informações não podem ser legíveis para terceiros.

Integridade

As informações não podem ser alteradas quando em transito. As informações não podem ser alteradas quando em transito.

Autenticação

AP Cliente: O AP tem que garantir que o cliente é quem diz ser.

Cliente AP: O cliente tem que se certificar que está

conectando no AP correto. Um AP falso possibilita o chamado

P

RIVACIDADE E

I

NTEGRIDADE

Tanto a privacidade como a integridade são garantidos por técnicas de criptografia.

O algoritmo de criptografia de dados em WPA é o RC4,

porém implementado de uma forma bem mais segura que na porém implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se o AES.

Para a integridade dos dados WPA usa TKIP(Algoritmo de Hashing “Michael”) e WPA2 usa CCMP(Cipher Chaining

C

HAVE

WPA

WPA2 - PSK

A configuração da chave

WPA/WAP2-PSK é muito simples no Mikrotik.

Configure o modo de chave Configure o modo de chave

dinâmico e a chave pré-

combinada para cada tipo de autenticação.

Obs.: As chaves são alfanuméricas de 8 até 64 caracteres.

S

EGURANÇA DE

WPA / WPA2

Atualmente a única maneira conhecida para se quebrar a WPA-PSK é somente por ataque de dicionário.

Como a chave mestra PMK combina uma contra-senha Como a chave mestra PMK combina uma contra-senha

com o SSID, escolhendo palavras fortes torna o sucesso de força bruta praticamente impossível.

A maior fragilidade paras os WISP’s é que a chave se

encontra em texto plano nos computadores dos clientes ou

C

ONFIGURANDO

EAP-TLS – S

C

ERTIFICADOS

Crie o perfil EAP-TLS e associe a interface Wireless cliente.

S

EGURANÇA DE

EAP-TLS

SEM CERTIFICADOS

O resultado da negociação anônima resulta em uma chave PMK que é de conhecimento exclusivo das duas partes.

Depois disso toda a comunicação é criptografada por AES(WPA2) e o RC4(WPA).

Seria um método muito seguro se não houvesse a Seria um método muito seguro se não houvesse a

possibilidade de um atacante colocar um Mikrotik com a

mesma configuração e negociar a chave normalmente como se fosse um cliente.

Uma idéia para utilizar essa configuração de forma segura é criando um túnel criptografado PPtP ou L2TP entre os

T

RABALHANDO COM CERTIFICADOS

Certificado digital é um arquivo que identifica de forma inequívoca o seu proprietário.

Certificados são criados por instituições emissoras chamadas de CA (Certificate Authorities).

de CA (Certificate Authorities).

Os certificados podem ser:

Assinados por uma instituição “acreditada” (Verisign, Thawte, etc...)

Certificados auto-assinados.

P

ASSOS PARA IMPLEMENTAÇÃO DE

EAP-TLS

COM CERTIFICADOS AUTO

A

SSINADOS

1. Crie a entidade certificadora(CA) 2. Crie as requisições de Certificados 3. Assinar as requisições na CA

4. Importar os certificados assinados para os Mikrotiks 5. Se necessário, criar os certificados para máquinas

EAP-TLS

SEM

R

ADIUS EM AMBOS LADOS

O metodo EAP-TLS

também pode ser usado com certificados.

EAP-TLS

SEM

R

ADIUS EM AMBOS LADOS

Metodos TLS

dont verify certificate: Requer um certificado, porém não verifica.

no certificates: Certificados são negociados dinamicamente com o algoritmo de Diffie Hellman.

verify certificate: Requer um certificado e verifica se foi assinado por uma CA.

No documento LANCORE MIKROTIK - MTCNA (páginas 121-142)