LANCORE MIKROTIK - MTCNA

TREINAMENTO MIKROTIK

CERTIFICAÇÃO – MTCNA

Produzido por: MKT Solutions www.mktsolutions.net.br

AGENDA

Treinamento diário das 09:00hs às 17:00hs

Coffe break as 10:30hs e as 15:00hs

Almoço as 13:00hs – 1 hora de duração

A

LGUMAS REGRAS IMPORTANTES

Por ser um curso oficial, o mesmo não poderá ser filmado ou gravado

Procure deixar seu aparelho celular desligado ou em modo silencioso

silencioso

Durante as explanações evite as conversas paralelas. Elas serão mais apropriadas nos laboratórios

Desabilite qualquer interface wireless ou dispositivo 3G

A

LGUMAS REGRAS IMPORTANTES

Perguntas são sempre bem vindas. Muitas vezes a sua dúvida é a dúvida de todos.

O acesso a internet será disponibilizado para efeito
O acesso a internet será disponibilizado para efeito

didático dos laboratórios. Portanto evite o uso inapropriado.

O certificado de participação somente será concedido a quem obtiver presença igual ou superior a 75%.

A

PRESENTE

-

SE A TURMA

Diga seu nome;
Sua empresa;

Seu conhecimento sobre o RouterOS;
Seu conhecimento com redes;

Seu conhecimento com redes;
O que você espera do curso;

Lembre-se de seu número: XY

O

BJETIVOS DO CURSO

Prover um visão geral sobre o Mikrotik RouterOS e as RouterBoards.

Mostrar de um modo geral todas ferramentas que o
Mostrar de um modo geral todas ferramentas que o

Mikrotik RouterOS dispõe para prover boas soluções.

O

NDE ESTÁ A

M

IKROTIK

?

R

OUTER

B

OARDS

São hardwares criados pela Mikrotik;

Atualmente existe uma grande variedade de RouterBoards.

M

IKROTIK

R

OUTER

OS

RouterOS é o sistema operacional das RouterBoards e que pode ser configurado como:

Um roteador dedicado
Controlador de banda
Firewall

Firewall

Gerenciador de usuários

Dispositivo QoS personalizado

Qualquer dispositivo wirless 802.11a/b/g/n

Além das RouterBoards ele também pode ser

I

NSTALAÇÃO DO

R

OUTER

OS

O Mikrotik RouterOS pode ser instalado a partir de:

CD ISO bootável – imagem
CD ISO bootável – imagem

Via rede com utilitário Netinstall

O

NDE OBTER O

M

IKROTIK

R

OUTER

OS

Para obter os últimos pacotes do Mikrotik RouterOS basta acessar: http://www.mikrotik.com/download.html

Lá você poderá baixar as imagens “.iso”
Lá você poderá baixar as imagens “.iso”

Os pacotes combinados

E os pacotes individuais

I

NSTALANDO PELO

CD

Inicie o PC com o modo boot pelo CD

P

ACOTES DO

R

OUTER

OS

System: Pacote principal contendo os serviços básiscos e drivers. A rigor é o

único que é obrigatório

PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente e Servidor DHCP

Advanced-tools: Ferramentas de diagnóstico, netwatch e outros ultilitários
Arlan: Suporte a uma antiga placa Aironet – antiga arlan

Arlan: Suporte a uma antiga placa Aironet – antiga arlan

Calea: Pacote para vigilância de conexões (Exigido somente nos EUA)
GPS: Suporte a GPS ( tempo e posição )

HotSpot: Suporte a HotSpot

ISDN: Suporte as antigas conexões ISDN
LCD: Suporte a display LCD

NTP: Servidor de horário oficial mundial

P

ACOTES DO

R

OUTER

OS

Radiolan: Suporte a placa RadioLan

RouterBoard: Utilitário para RouterBoards

Routing: Suporte a roteamento dinâmico tipo RIP, OSPF, BGP
RSTP-BRIGE-TEST: Protocolo RSTP

Security: Suporte a ssh, IPSec e conexão segura do winbox

Synchronous: suporte a placas síncronas Moxa, Cyclades PC300, etc...

Synchronous: suporte a placas síncronas Moxa, Cyclades PC300, etc...
Telephony: Pacote de suporte a telefônia – protocolo h.323

UPS: Suporte as no-breaks APC

User-Manager: Serviço de autenticação User-Manager
Web-Proxy: Serviço Web-Proxy

Wireless: Suporte a placas Atheros e PrismII

I

NSTALANDO PELO

CD

Pode-se selecionar os pacotes desejados usando a barra de espaços ou “a”

para todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja configurações pode-se mantê-las pressionando “y”.

I

NSTALAÇÃO COM

N

ETINSTALL

Pode ser instalado em PC que boota via

rede(configurar na BIOS)

Pode ser baixado também em:

http://www.mikrotik.com/download.html http://www.mikrotik.com/download.html

O netinstall é um excelente recurso para reinstalar

em routerboards quando o sistema foi danificado ou quando se perde a senha do equipamento.

I

NSTALAÇÃO COM

N

ETINSTALL

Para se instalar em uma RouterBoard, inicialmente temos que entrar via serial, com cabo null modem e os seguintes parametros:

Velocidade: 115.200 bps
Velocidade: 115.200 bps
Bits de dados: 8

Bits de parada: 1

Controle de fluxo: hardware

I

NSTALAÇÃO COM

N

ETINSTALL

Atribuir um IP para o Net

Booting na mesma faixa da placa de rede da máquina

Coloque na máquina os

pacotes a serem instalados pacotes a serem instalados

Bootar e selecionar os

pacotes a serem instalados

P

RIMEIRO ACESSO

O processo de instalação não configura IP no

Mikrotik. Portanto o primeiro acesso pode ser feito das seguintes maneiras:

Direto no console (em pcs)

19

Via terminal

Via telnet de MAC, através de outro

Mikrotik ou sistema que suporte telnet de MAC e esteja no mesmo barramento físico de rede

C

ONECTANDO

....

20

Winbox

Cabo

Ethernet

C

ONSOLE NO

M

IKROTIK

Através do console do Mikrotik é possível acessar todas

configurações do sistema de forma hierárquica conforme os exemplos abaixo:

Acessando o menu “interface”

[admin@MikroTik] > interface

[admin@MikroTik] interface > ethernet [admin@MikroTik] interface > ethernet Para retornar ao nível anterior basta digitar .. [admin@MikroTik] interface ethernet> .. [admin@MikroTik] interface >

Para voltar ao raiz digite /

[admin@MikroTik] interface ethernet> / [admin@MikroTik] >

C

ONSOLE NO

M

IKROTIK

? Mostra um help para o diretório em que se esteja

? Após um comando incompleto mostra as opções disponíveis para o comando

Comandos podem ser completados com a tecla TAB

Havendo mais de uma opção para o já digitado, pressione TAB 2 vezes para mostrar as opções

C

ONSOLE NO

M

IKROTIK

Comando PRINT mostra informações de configuração:

C

ONSOLE NO

M

IKROTIK

É possível monitorar o status das interfaces com o seguinte comando:

[guilherme@MKT] > interface wireless monitor wlan1 status: running-ap band: 5ghz frequency: 5765MHz noise-floor: -112dBm noise-floor: -112dBm overall-tx-ccq: 93% registered-clients: 8 authenticated-clients: 8 current-ack-timeout: 33 nstreme: no current-tx-powers: 6Mbps:21(21/21),9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18) 24

C

ONSOLE NO

M

IKROTIK

Comandos para manipular regras

add, set, remove: adiciona, muda e remove regras;
disabled: desabilita regra sem deletar;

move: move a regra cuja a ordem influência.
Comando Export

Comando Export

Exporta todas as configurações do diretoria acima;
Pode ser copiado e colado em um editor de textos;
Pode ser exportado para arquivo.

Comando Import

Importa um arquivo de configuração criado pelo comando

WINBOX

Winbox é o utilitário para administração do Mikrotik em modo

gráfico. Funciona em Windows. Para funcionar no Linux é

necessário a instalação do emulador Wine. A comunicação é feita pela porta TCP 8291 e caso você habilite a opção “Secure Mode” a comunicação será criptografada.

26

Para baixar o winbox acesse o link:

A

CESSANDO PELO

WINBOX

É possível acessar o Mikrotik inicialmente sem endereço IP,

através do MAC da interface do dispositivo que está no mesmo barramento físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o MAC que aparecerá.

C

ONFIGURAÇÃO EM

M

ODO

S

EGURO

O Mikrotik permite o acesso ao sistema através do “modo

seguro”. Este modo permite desfazer as configurações

modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione “CTRL+X”.

C

ONFIGURAÇÃO EM

M

ODO

S

EGURO

Se um usuário entra em modo seguro, quando já há um nesse

modo, a seguinte mensagem será dada:

“Hijacking Safe Mode from someone – unroll/release/dont take it [u/r/d]

u – desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro

seguro e põe a presente sessão em modo seguro d – deixa tudo como está

r – mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte

mensagem:

“Safe Mode Released by another user”

C

ONFIGURAÇÃO EM

M

ODO

S

EGURO

Todas configurações são desfeitas caso você perca comunicação

com o roteador, o terminal seja fechado clicando no “x” ou pressionando CTRL+D.

Configurações realizadas em modo seguro são marcadas com

uma Flag “F”, até que sejam aplicadas

É possível visualizar o histórico de modificações através do

menu: /system history print

Obs.: O número máximo de registros em modo seguro é de 100.

M

ANUTENÇÃO DO

M

IKROTIK

Atualização

Gerenciando pacotes

Backup

Informações sobre licenciamento

A

TUALIZAÇÕES

As atualizações podem ser feitas

a partir de um conjunto de pacotes combinados ou

individuais.

Os arquivo tem extensão .npk e

Os arquivo tem extensão .npk e

para atualizar a versão basta fazer o upload para o diretório raiz e efetuar um reboot.

O upload pode ser feito por FTP

ou copiando e colando pelo

P

ACOTES

Adicionar novas funcionalidades podem ser feitas através de alguns pacotes que não fazem parte do conjunto padrão de pacotes combinado.

Esses arquivos também possuem extensão .npk e para instalá-los basta fazer o upload para o Mikrotik e

instalá-los basta fazer o upload para o Mikrotik e efetuar um reboot do sistema.

Alguns pacotes como “User Manager” e “Multicast” são exemplos de pacotes adicionais que não fazem parte do pacote padrão.

P

ACOTES

Alguns pacotes podem ser habilitados e desabilitados conforme sua necessidade.

Pacote desabilitado

Pacote marcado para ser desabilitado

34

ser desabilitado

Pacote marcado para ser habilitado

B

ACKUP

Para efetuar o backup basta ir em Files e clicar no botão “Backup”.

35

Para restaurar o backup basta selecionar o arquivo e clicar em “Restore”.

Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup por partes use o comando “export”.

L

ICENCIAMENTO

A chave é gerada sobre

um software-id

fornecido pelo sistema.

A licença fica vinculada

ao HD ou Flash e/ou ao HD ou Flash e/ou placa mãe.
A formatação com outras ferramentas muda o software-id causa a perda da licença. 36

D

ÚVIDAS

???

N

IVELAMENTO DE CONHECIMENTOS

TCP/IP

M

ODELO

OSI – O

PEN

S

YSTEM

I

NTERCONNECTION

CAMADA 7 – Aplicação: Comunicação com os programas. SNMP e TELNET. CAMADA 6 – Apresentação: Camada de tradução. Compressão e criptografia CAMADA 5 – Sessão: Estabelecimento das sessões TCP.

39

CAMADA 4 – Transporte: Controle de fluxo, ordenação dos pacotes e correção de erros

CAMADA 3 – Rede: Associa endereço físico ao endereço lógico

CAMADA 2 – Enlace: Endereçamento físico. Detecta e corrige erros da camada 1 CAMADA 1 – Física: Bits de dados

C

AMADA

I – C

AMADA

F

ÍSICA

A camada física define as características técnicas dos dispositivos elétricos.

É nesse nível que são definidas as especificações de cabeamento estruturado, fibras ópticas, etc... No caso cabeamento estruturado, fibras ópticas, etc... No caso da wireless é a camada I que define as modulações, frequências e largura de banda das portadores.

C

AMADA

II - E

NLACE

Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da camada I.

Endereçamento físico se faz pelos endereços MAC
Endereçamento físico se faz pelos endereços MAC

(Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede.

Ethernets e PPP são exemplos de dispositivos que trabalham em camada II.

E

NDEREÇO

MAC

É o único endereço físico de um dispositivo de rede

É usado para comunicação com a rede local

Exemplo de endereço MAC: 00:0C:42:00:00:00

C

AMADA

III - R

EDE

Responsável pelo endereçamento lógico dos pacotes.

Transforma endereços lógicos(endereços IPs) em endereços físicos de rede.

Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade.

E

NDEREÇO

IP

É o endereço lógico de um dispositivo de rede

É usado para comunicação entre redes

Exemplo de endereço ip: 200.200.0.1

S

UB

R

EDE

É uma faixa de endereços IP que divide as redes em segmentos

Exemplo de sub rede: 255.255.255.0 ou /24

O endereço de REDE é o primeiro IP da sub rede

O endereço de BROADCAST é o último IP da sub rede
O endereço de BROADCAST é o último IP da sub rede

Esses endereços são reservados e não podem ser usados

45

End. IP/Máscara End. de Rede End. Broadcast

192.168.0.1/24 192.168.0.0 192.168.0.255 192.168.0.1/25 192.168.0.0 192.168.0.127 192.168.0.1/26 192.168.0.0 192.168.0.63 192.168.0.200/26 192.168.0.192 192.168.0.255

E

NDEREÇAMENTO

CIDR

P

ROTOCOLO

ARP – (

ADDRESS RESOLUTION PROTOCOL

)

Utilizado para associar IP’s com endereços físicos.

Faz a intermediação entre a camada II e a camada III da seguinte forma:

1. O solicitante de ARP manda um pacote de broadcast com 1. O solicitante de ARP manda um pacote de broadcast com

informação do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC de destino.

2. O host que tem o IP de destino responde fornecendo seu MAC.

3. Para minimizar o broadcast, o S.O mantém um tabela ARP

C

AMADA

IV - T

RANSPORTE

Quando no lado do remetente é responsável por pegar os

dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede.

No lado do destinatário pega pega os pacotes recebidos da
No lado do destinatário pega pega os pacotes recebidos da

camada de rede, remonta os dados originais e os envia para à camada superior.

 Estão na camada IV: TCP, UDP, RTP

C

AMADA

IV - T

RANSPORTE

 Protocolo TCP:

 O TCP é um protocolo de transporte que executa importantes funções para garantir que os dados sejam entregues de forma confiável, ou seja, sem que os dados sejam corrompidos ou alterados.

 Protocolo UDP:

 O UDP é um protocolo não orientado a conexão e portanto é mais rápido que o TCP. Entretanto não garante a entrega dos dados.

C

ARACTERÍSTICAS DO PROTOCOLO

TCP

 Garante a entrega de data gramas IP.

 Executa a segmentação e reagrupamento de grande blocos de dados

enviados pelos programas e garante o seqüenciamento adequado e a entrega ordenada de dados segmentados.

 Verifica a integridade dos dados transmitidos usando cálculos de soma  Verifica a integridade dos dados transmitidos usando cálculos de soma

de verificação.

 Envia mensagens positivas dependendo do recebimento bem-sucedido

dos dados. Ao usar confirmações seletivas, também são enviadas confirmações negativas para os dados que não foram recebidos.

 Oferece um método preferencial de transporte de programas que devem

usar transmissão confiável de dados baseados em sessões, como banco de dados cliente/servidor por exemplo. 50

P

ORTAS

TCP

Protocolo TCP FTP SSH Telnet WEB 51 FTP Porta 21 SSH Porta 22 Telnet Porta 23 WEB Porta 80

O uso de portas, permite o funcionamento de vários serviços, ao mesmo tempo, no mesmo computador, trocando informações com um ou mais serviços/servidores.

D

IFERENÇAS BÁSICAS ENTRE

TCP

E

UDP

TCP UDP

Serviço orientado por conexão. Serviço sem conexão. Não é estabelecida conexão entre os hosts. Garante a entrega através do uso de

confirmação e entrega seqüenciada dos dados.

Não garante ou não confirma entrega dos dados.

52

dos dados.

Programas que usam TCP tem garantia de transporte confiável de

dados.

Programas que usam UDP são responsáveis pela confiabilidade dos

dados. Mais lento, usa mais recursos e

somente dá suporte a ponto a ponto.

Rápido, exige poucos recursos e oferece comunicação ponto a ponto e

ESTADO DAS CONEXÕES

É possível observar o estado das conexões no MikroTik no menu Connections.

D

ÚVIDAS

????

DIAGRAMA INICIAL

C

ONFIGURAÇÃO DO

R

OUTER

Adicione os ips as interfaces

C

ONFIGURAÇÃO DO

R

OUTER

Adicione a rota padrão

1

3

57

2

C

ONFIGURAÇÃO DO

R

OUTER
Adicione o servidor DNS 2 1 3 58 2 4

C

ONFIGURAÇÃO DO

R

OUTER

Configuração da interface wireless

T

ESTE DE CONECTIVIDADE

Pingar a partir da RouterBoard o seguinte ip: 192.168.X.254

Pingar a partir da RouterBoard o seguinte endereço:

www.mikrotik.com;

www.mikrotik.com;

Pingar a partir do notebook o seguinte ip: 192.168.X.254
Pingar a partir do notebook o seguinte endereço:

www.mikrotik.com;

C

ORRIGIR O PROBLEMA DE CONECTIVIDADE

Diante do cenário apresentado quais soluções podemos apresentar?

Adicionar rotas estáticas;

Utilizar protocolos de roteamento dinâmico;

Utilizar NAT(Network Address Translation).

U

TILIZAÇÃO DO

NAT

O mascaramento é a técnica que permite que vários hosts de uma rede compartilhem um mesmo endereço IP de saida do roteador. No Mikrotik o mascaramento é feito através do Firewall na funcionalidade do NAT.

Todo e qualquer pacote de dados de uma rede possui um endereço IP de origem e destino. Para mascarar o endereço, o NAT faz a troca do endereço IP de origem. Quando este pacote retorna ele é encaminhando ao host que o originou.

Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1.

3

1

63

2

T

ESTE DE CONECTIVIDADE

Efetuar os testes de ping a partir do notebook;
Analisar os resultados;

Efetuar os eventuais reparos.
Efetuar os eventuais reparos.

 Após a confirmação de que tudo está funcionando, faça o backup da routerboard e armazene-o no notebook. Ele será usado ao longo do curso.

G

ERENCIANDO USUÁRIOS

O acesso ao roteador pode ser controlado;

Pode-se criar usuários e/ou grupos diferentes;

1

65

G

ERENCIAMENTO DE USUÁRIOS

Adicione um novo usuário com seu nome e dê a ele acesso “Full”

Mude a permissão do usuário “admin” para “Read”
Mude a permissão do usuário “admin” para “Read”

Faça login com seu novo usuário.

A

TUALIZANDO A

R

OUTER

B

OARD

Faça o download dos pacotes no seguinte endereço:

ftp://172.31.255.2

Faça o upload dos pacotes para sua RouterBoard
Reinicie a RouterBoard para que os pacotes novos

sejam instalados

Confira se os novos pacotes foram instalados com sucesso.

W

IRELESS NO

M

IKROTIK

C

ONFIGURAÇÕES

F

ÍSICAS

Padrão IEEE

Frequência Tecnologia Velocidades

802.11b 2.4 Ghz DSSS 1, 2, 5.5 e 11 Mbps 802.11g 2.4 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54 Mbps 69 Mbps 802.11a 5 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54 Mbps 802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM De 6.5Mbps até 600 Mbps

802.11

B

- DSSS

C

ANAIS NÃO INTERFERENTES EM

2.4 G

HZ

- DSSS

Canal 1 Canal 6 Canal 11

71 2.412 GHz 2.437 GHz 2.462 GHz

C

ONFIGURAÇÕES

F

ÍSICAS

– 2.4G

HZ
2.4Ghz-B: Modo 802.11b, que permite velocidades de 1 à 11 Mbps e utiliza espalhamento espectral.
2.4Ghz-only-G: Modo 802.11g, que permite velocidades de 6 à 54 Mbps e utiliza OFDM. 72

2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser usado somente em processo de migração.

C

ANAIS DO ESPECTRO DE

5G

HZ

Em termos regulatórios a frequência de 5Ghz é dividida em 3 faixas:  Faixa baixa: 5150 a 5350 Mhz

 Faixa média: 5470 a 5725 Mhz

A

SPECTOS LEGAIS DO ESPECTRO DE

5G

HZ

Faixa Baixa Faixa Média Faixa Alta

Freqüências 5150-5250 5250-5350 5470-5725 5725-5850 Largura 100 Mhz 100 Mhz 255 Mhz 125 Mhz

74

Canais 4 canais 4 canais 11 canais 5 canais Detecção de radar obrigatória Detecção de radar obrigatória

C

ONFIGURAÇÕES

F

ÍSICAS

– 5 G

HZ

5Ghz: Modo 802.11a opera nas três faixas permitidas com

velocidades que vão de 6Mbps a 54 Mbps.

6Mbps a 54 Mbps.

75

 O modo 5Ghz permite ainda as variações de uso em 10Mhz e

5Mhz de largura de banda que permite selecionar freqüências mais especificas, porém reduzindo a velocidade nominal.

 Permite ainda a seleção do modo turbo ou “a/n” dependendo do

C

ANALIZAÇÃO EM

802.11

A

– M

ODOS

5M

HZ E

10M

HZ

Menor troughput

 Menor troughput

 Maior número de canais

 Menor vulnerabilidade a interferências  Requer menor sensibilidade

C

ANALIZAÇÃO EM

802.11

A

– M

ODO

T

URBO

 Maior troughput

 Menor número de canais

 Maior vulnerabilidade a interferências  Requer maior sensibilidade

P

ADRÃO

802.11

N

INDICE:

 MIMO

 Velocidades do 802.11n  Bonding do canal

 Agregação dos frames  Configuração dos cartões

 Potência de TX em cartões N

MIMO

MIMO: Multiple Input and Multiple Output

SDM: Spatial Division Multiplexing

Streams espaciais múltiplas através de múltiplas antenas.

Configurações de antenas múltiplas para receber e transmitir:

 1x1, 1x2, 1x3;  2x2, 2x3;

802.11

N

- V

ELOCIDADES NOMINAIS

802.11

N

- B

ONDING DOS CANAIS

2

X

20M

HZ

 Adiciona mais 20Mhz ao canal existente

 O canal é colocado abaixo ou acima da frequência principal

principal

 É compatível com os clientes “legados” de 20Mhz  Conexão feito no canal principal

802.11

N

– A

GREGAÇÃO DOS FRAMES

Combinando múltiplos frames de dados em um simples frame – diminui o overhead

Agregação de unidades de serviço de dados MAC – MAC Protocol Data Units (AMPDU)

MAC Protocol Data Units (AMPDU)
Usa Aknowledgement em bloco

Pode aumentar a latência, por padrão habilitado somente para tráfego de melhor esforço

Enviando e recebendo AMSDU’s pode causar aumento de processamento

C

ONFIGURANDO NO

M

IKROTIK

HT Tx Chains / HT Rx Chains:

No caso dos cartões “n” a configuração da antena é ignorada.

HT AMSDU Limit: Máximo

AMSDU que o dispositivo pode preparar.

HT AMSDU Threshold: Máximo

tamanho de frame que é permitido

C

ONFIGURANDO NO

M

IKROTIK

HT Guard Interval: Intervalo de

guarda.

Any: Longo ou curto,

dependendo da velocidade de transmissão.

Longo: Intervalo longo.

HT Extension Channel: Define

HT Extension Channel: Define

se será usado a extensão adicional de 20Mhz.

Below: Abaixo do canal

principal

Above: Acima do canal principal

84

HT AMPDU Priorities: Prioridades do frame para qual o AMPDU

C

ONFIGURANDO NO

M

IKROTIK

Quando se utiliza 2 canais ao mesmo tempo, a potência de

transmissão é dobrada.

B

RIDGE TRANSPARENTE EM ENLACES

“N”

WDS não suporta agregação de frames e portanto não provê a velocidade total da tecnologia “n”

EoIP incremente overhead
EoIP incremente overhead

Para fazer bridge transparente com velocidades

maiores com menos overhead em enlaces “n” devemos utilizar MPLS/VPLS.

B

RIDGE TRANSPARENTE EM ENLACES

“N”

Para se configurar a bridge transparente em enlaces “n”,

devemos estabelecer um link AP <-> Station e configure uma rede ponto a ponto /30.

Ex.: 172.16.0.1/30(AP) e 172.16.0.2/30(Station)

Habilitar o LDP (Label Distribution Protocol) em ambos lados.
Habilitar o LDP (Label Distribution Protocol) em ambos lados.
Adicionar a wlan1 a interface MPLS

B

RIDGE TRANSPARENTE EM ENLACES

“N”

Configurar o túnel VPLS em ambos os lados

Crie uma bridge entre a interface VPLS e a ethernet conectada
Confira o status do LDP e do túnel VPLS

B

RIDGES

VPLS - C

ONSIDERAÇÕES

O túnel VPLS incrementa o pacote. Se este pacote excede o MPLS MTU da interface de saida, este será fragmentado.
Se a interface ethernet suportar MPLS MTU de 1522 ou

superior, a fragmentação pode ser evitada alterando o MTU da interface MPLS.

MTU da interface MPLS.

Uma lista completa sobre as MTU das RouterBoards pode ser encontrada em:

http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_Router

S

ETUP

O

UTDOOR PARA ENLACES

“

N

”

Recomendações segundo a Mikrotik:

Teste de canal separadamente antes de usá-los ao mesmo tempo.

Para operação em 2 canais, usar polarizações diferentes

Quando utilizar antenas de polarização dupla, a isolação mínima recomendada da antena é de 25dB.

E

NLACES

“

N

”

 Estabeleça um link “N” com seu vizinho

 Teste a performance com um e dois canais  Teste a performance com um e dois canais

 Crie uma bridge transparente usando VPLS

C

ONFIGURAÇÕES DE CAMADA FÍSICA

- P

OTÊNCIAS

default: Não altera a potência original do cartão

cards rates: Fixa mas respeita as variações das taxas para cada

velocidade

all rates fixed: Fixa um valor para todas velocidades
manual: permite ajustar potências diferentes para cada

velocidade

C

ONFIGURAÇÕES DE CAMADA FÍSICA

- P

OTÊNCIAS

Quando a opção “regulatory domain” está habilitada, somente as frequências

permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país, levando em conta o valor em dBi informado em “Antenna Gain”.

Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13

C

ONFIGURAÇÕES DA CAMADA FÍSICA

– S

ELEÇÃO DE ANTENAS

Em cartões que tem duas saidas para antenas, é possível escolher:

antena a: utiliza antena “a”(main) para tx e

rx

antena b: utiliza antena “b”(aux) para tx e rx

antena b: utiliza antena “b”(aux) para tx e rx
rx-a/tx-b: recepção em “a” e transmissão em

“b”

tx-a/rx-b: transmissão em “b” e recepção em

“a”

C

ONFIGURAÇÕES DA CAMADA FÍSICA

– DFS

no radar detect: escaneia o meio e

escolhe o canal em que for encontrado o menor número de redes

radar detect: escaneia o meio e espera 1 minuto para entrar em operação no 1 minuto para entrar em operação no canal escolhido se não for detectada a ocupação do canal

Obs.: O modo DFS é obrigatório no Brasil para as faixas de 5250-5250 e

C

ONFIGURAÇÕES DA CAMADA FÍSICA

– P

ROP

. E

XTENSIONS E

WMM

Proprietary Extensions: Opção com a

única finalidade de dar compatibilidade com chipsets Centrino.

WMM Support: QoS no meio físico(802.11e)

enabled: permite que o outro dispositivo use

wmm

required: requer que o outro dispositivo use

wmm

CONFIGURAÇÕES DA CAMADA FÍSICA – AP E CLIENT TX RATE /

COMPRESSION

Defaul AP TX Rate: Taxa máxima que o

AP pode transmitir para cada um de seus clientes. Funciona para qualquer cliente.

Default Client TX Rate: Taxa máxima

que o cliente pode transmitir para o AP. que o cliente pode transmitir para o AP. Só funciona para clientes Mikrotik.

97

Compression: Recurso de compressão em Hardware

disponível em chipsets Atheros. Melhora o desempenho se o cliente possuir este recurso e não afeta clientes que não

possuam o recurso. Porém este recurso é incompatível com criptografia.

C

ONFIGURAÇÕES DA CAMADA FÍSICA

– D

ATA

R

ATES

A velocidade em uma rede wireless é

definida pela modulação que os dispositivos conseguem trabalhar.

 Supported Rates: São as velocidades  Supported Rates: São as velocidades

de dados entre o AP e os clientes.

 Basic Rates: São as velocidades que

os dispositivos se comunicam

independentemente do tráfego de dados (beacons, sincronismos, etc...)

C

ONFIGURAÇÕES DA CAMADA FÍSICA

– ACK

O ACK timeout é o tempo que um dispositivo wireless espera pelo pacote ack que deve ser transmitido para confirmar toda transmissão wireless.

Dispositiv o “A” Dispositiv o “B” Dados ACK

confirmar toda transmissão wireless.

Dynamic: O Mikrotik calcula dinamicamente o Ack de cada cliente mandando de tempos em tempos sucessivos pacotes com Ack timouts diferentes e analisando as respostas.

indoors: Valor constante para redes indoors.

C

ONFIGURAÇÕES DA CAMADA FÍSICA

– ACK

Tabela de valores referenciais para ACK Timeout

100

F

ERRAMENTAS DE

S

ITE

S

URVEY

- S

CAN A -> Ativa B -> BSS P -> Protegida R -> Mikrotik
Escaneia o meio.

Obs.: Qualquer operação de site survey causa queda das

conexões estabelecidas. 101

R -> Mikrotik N -> Nstreme

F

ERRAMENTAS DE

S

ITE

S

URVEY

– U

SO DE FREQUÊNCIAS

Mostra o uso das frequências em todo o espectro para site survey.

I

NTERFACE WIRELESS

- A

LINHAMENTO

Ferramenta de alinhamento com sinal sonoro

Colocar o MAC do AP remoto no campo Filter MAC Address e Audio Monitor.

Rx Quality: Potência em dBm do último pacote recebido Avg. Rx Quality: Potência média dos pacotes recebidos Last Rx: Tempo em segundos do último pacote recebido Tx Quality: Potência do último pacote transmitido

Last TX: Tempo em segundos do último pacote transmitido Correct: Número de pacotes recebidos sem erro

I

NTERFACE WIRELESS

- S

NIFFER

Ferramenta para sniffar

o ambiente wireless captando e decifrando pacotes.

Muito útil para detectar

ataques do tipo deauth e ataques do tipo deauth e monkey jack.

Pode ser arquivado no

próprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP.

I

NTERFACE WIRELESS

- S

NOOPER

Com a ferramenta snooper é possível monitorar a carga de

tráfego em cada canal por estação e por rede.

I

NTERFACE WIRELESS

- G

ERAL

Comportamento do protocolo ARP

disable: Não responde a requisições ARP. Clientes devem acessar através de tabelas estáticas.

proxy-arp: Passa seu próprio MAC quando há uma requisição para algum host interno ao roteador.

reply-only: Somente responde as requisições. Endereços vizinhos são

I

NTERFACE WIRELESS

– M

ODO DE OPERAÇÃO

ap bridge: Modo de ponto de acesso. Repassa os MACs do meio

ap bridge: Modo de ponto de acesso. Repassa os MACs do meio

wireless de forma transparente para a rede cabeada.

bridge: O mesmo que o o modo “ap bridge” porém aceitando

somente um cliente.

station: Modo cliente de um ap. Não pode ser colocado em

I

NTERFACE WIRELESS

– M

ODO DE OPERAÇÃO

station pseudobridge: Estação que pode ser colocada em

station pseudobridge: Estação que pode ser colocada em

modo bridge, porém sempre passa ao AP seu próprio MAC.

station pseudobridge clone: Modo idêntico ao anterior,

porém passa ao AP um MAC pré determinado anteriormente.

station wds: Modo estação que pode ser colocado em bridge

com a interface ethernet e que passa os MACs de forma

I

NTERFACE WIRELESS

– M

ODO DE OPERAÇÃO

alignment only: Modo utilizado para efetuar alinhamento de

alignment only: Modo utilizado para efetuar alinhamento de

antenas e monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que são mandados a ela por outros

dispositivos trabalhando no mesmo canal.

wds slave: Será visto no tópico especifico de wds.

I

NTERFACE WIRELESS

– AP V

IRTUAL

Com as interfaces virtuais podemos montar várias redes dando perfis de serviço diferentes. Name: Nome da rede virtual

MTU: Unidade máxima de transferência(bytes) MAC: Endereço MAC do novo AP

ARP: Modo de operação do protocolo ARP

Obs.: As demais configurações são idênticas as de um AP.

C

AMADA

F

ÍSICA

- W

IRELESS

Como trabalha o CSMA?
Redes ethernet tradicionais utilizam o método CSMA/CD (Colision Detection). (Colision Detection).
Redes wireless 802.11 utilizam o método CSMA/CA (Colision Avoidance). 111

P

ROTOCOLO

N

STREME

- C

ONFIGURAÇÃO

 Framer Policy

 Dynamic size: O Mikrotik

determina.

 Best fit: Agrupa até o valor em

“Frame Limit” sem fragmentar.

Enable Nstreme: Habilita o nstreme.

Enable Polling: Habilita o mecanismo de polling. Recomendado.
Disable CSMA: Desabilita o Carrier Sense. Recomendado.

Framer Limit: Tamanho máximo do pacote em bytes. 112  Exact Size: Agrupa até o valor em

“Frame Limit” fragmentando se necessário.

P

ROTOCOLO

N

STREME

D

UAL

- C

ONFIGURAÇÃO

113

1 – Colocar a interface em modo “nstreme dual slave”.

2 – Adicionar uma interface Nstreme

Dual e definir quem será TX e quem será RX.

P

ROTOCOLO

N

STREME

D

UAL

- C

ONFIGURAÇÃO

3 – Verifique o MAC escolhido pela interface Nstreme e informe no lado oposto.

114

4 – Criar uma bridge e adicionar as

interfaces ethernet e a interface Nstreme Dual

Práticas de RF recomendadas:

Use antenas de qualidade, Polarizações diferentes, canais distantes e mantenha uma boa distância entre as antenas.

WDS & WDS MESH

WDS – WIRELESS DISTRIBUTION SYSTEM

WDS é a melhor forma uma grande área de cobertura utilizando vários APs e prover mobilidade sem a

necessidade de re-conexão dos usuários. Para isso todos os

WDS

E O PROTOCOLO

STP

A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o

looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de forma semelhante porém o RSTP é mais rápido.

O RSTP inicialmente elege uma root bridge e utiliza o algoritmo

“breadth-first search” que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado.

Normalmente habilitar o RSTP já é suficiente para atingir os resultados.

No entanto é possível interferir no comportamento padrão, modificando custos, prioridades e etc...

WDS

E O PROTOCOLO

STP

Quanto menor a prioridade, maior a chance de ser eleita como bridge root.

Quando os custos são iguais é eleita a porta com prioridade mais baixa.

O custo da porta permite um caminho ser eleito em lugar do outro.

WDS

E O PROTOCOLO

STP

A Bridge usa o endereço MAC da porta ativa com menor número de porta.

A porta wireless está ativa somente quando existem hosts conectados a ela.

Para evitar que os MACs fiquem variando, é possível atribuir um MAC

WDS / WDS MESH

WDS Default Bridge: A bridge padrão

para as interfaces wds.

WDS Default Cost: Custo da porta

bridge do link wds.

WDS Cost Range: Margem de custo que

pode ser ajustada com base no troughtput do link.

WDS Mode do link.

120
WDS Mode

dynamic: As interfaces wds são adicionada dinamicamente quando um

dispositivo wds encontra outro compatível.

dynamic mesh: O mesmo que dynamic, porém com um algoritmo proprietário

para melhoria do link. Só possui compatibilidade com outros dispositivos Mikrotik.

static: As interfaces wds devem ser adicionadas manualmente apontando o

MAC da outra ponta.

static mesh: Mesmo que o anterior, porém usando o algoritmo proprietário da

WDS / MESH

Crie as interfaces wds e dê os

seguinte parâmetros:

Name: Nome da rede wds.

Master Interface: Interface que o wds funcionará. Podendo inclusive ser uma interface virtual.

WDS Address: Endereço MAC da interface wds que será conectada.

WDS / MESH

 Testar a transparência do link com stations-wds

 Utilizar Mesh com WDS-RSTP

 Testar o modo WDS Slave

I

NTERFACE

W

IRELESS

– C

ONTROLE DE

A

CESSO

A Access List é utilizada pelo AP para restringir
A Access List é utilizada pelo AP para restringir

associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar.

A comunicação entre clientes da mesma interface, virtual

I

NTERFACE

W

IRELESS

– C

ONTROLE DE

A

CESSO

O processo de associação ocorre da seguinte forma:

1. Um cliente tenta se associar a uma interface wlan;

2. Seu MAC é procurado na access list da interface wlan; 3. Caso encontrado, a ação especifica será tomada:

 Authentication: Define se o cliente poderá se associar ou não;

 Fowarding: Define se os clientes poderão se comunicar.

I

NTERFACE

W

IRELESS

– A

CCESS

L

IST MAC Address: Endereço MAC a ser

liberado ou bloqueado.

Interface: Interface real ou virtual onde será feito o controle de acesso.

AP Tx Limit: Limite de tráfego enviado para o cliente.

para o cliente.

Client Tx Limit: Limite de tráfego enviado do cliente para o AP.

Private Key: Chave wep criptografada. Private Pre Shared Key: Chave WPA.

125

Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros Mikrotiks.

I

NTERFACE

W

IRELESS

– C

ONNECT

L

IST

A Connect List tem a finalidade de listar os APs que o Mikrotik configurado como cliente pode se conectar.

MAC Address: MAC do AP a se conectar SSID: Nome da rede

Area Prefix: String para conexão com AP de mesma área Security Profile: Definido nos perfis de segurança.

Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP falso.

S

EGURANÇA DE

A

CESSO EM REDES SEM FIO

F

ALSA SEGURANÇA

Nome da rede escondido:

Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes

chamados “beacons”. Este comportamento pode ser modificado no Mikrotik habilitando a opção “Hide SSID”.

a opção “Hide SSID”.

Pontos negativos:

SSID deve ser conhecido pelos clientes

Scanners passivos o descobrem facilmente pelos pacotes de “probe request” dos

F

ALSA SEGURANÇA

Controle de MACs:

Descobrir MACs que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer.

Spoofar um MAC é bem simples. Tanto usando windows,
Spoofar um MAC é bem simples. Tanto usando windows,

linux ou Mikrotik.

F

ALSA SEGURANÇA

Criptografia WEP:

“Wired Equivalent Privacy” – Foi o sistema de criptografia inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia.

Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar a chave, como:

 Airodump  Airreplay  Aircrack

E

VOLUÇÃO DOS PADRÕES DE SEGURANÇA

F

UNDAMENTOS DE

S

EGURANÇA

 Privacidade

 As informações não podem ser legíveis para terceiros.

 Integridade

 As informações não podem ser alteradas quando em transito.  As informações não podem ser alteradas quando em transito.

 Autenticação

 AP Cliente: O AP tem que garantir que o cliente é quem diz ser.

 Cliente AP: O cliente tem que se certificar que está

conectando no AP correto. Um AP falso possibilita o chamado

P

RIVACIDADE E

I

NTEGRIDADE

Tanto a privacidade como a integridade são garantidos por técnicas de criptografia.

 O algoritmo de criptografia de dados em WPA é o RC4,

porém implementado de uma forma bem mais segura que na porém implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se o AES.

 Para a integridade dos dados WPA usa TKIP(Algoritmo de Hashing “Michael”) e WPA2 usa CCMP(Cipher Chaining

C

HAVE

WPA

E

WPA2 - PSK

A configuração da chave

WPA/WAP2-PSK é muito simples no Mikrotik.

Configure o modo de chave Configure o modo de chave

dinâmico e a chave

pré-combinada para cada tipo de autenticação.

Obs.: As chaves são alfanuméricas de 8 até 64 caracteres.

S

EGURANÇA DE

WPA / WPA2

Atualmente a única maneira conhecida para se quebrar a WPA-PSK é somente por ataque de dicionário.

Como a chave mestra PMK combina uma contra-senha
Como a chave mestra PMK combina uma contra-senha

com o SSID, escolhendo palavras fortes torna o sucesso de força bruta praticamente impossível.

A maior fragilidade paras os WISP’s é que a chave se

encontra em texto plano nos computadores dos clientes ou

C

ONFIGURANDO

EAP-TLS – S

EM

C

ERTIFICADOS

Crie o perfil EAP-TLS e associe a interface Wireless cliente.

S

EGURANÇA DE

EAP-TLS

SEM CERTIFICADOS

O resultado da negociação anônima resulta em uma chave PMK que é de conhecimento exclusivo das duas partes.

Depois disso toda a comunicação é criptografada por AES(WPA2) e o RC4(WPA).

Seria um método muito seguro se não houvesse a
Seria um método muito seguro se não houvesse a

possibilidade de um atacante colocar um Mikrotik com a

mesma configuração e negociar a chave normalmente como se fosse um cliente.

Uma idéia para utilizar essa configuração de forma segura é criando um túnel criptografado PPtP ou L2TP entre os

T

RABALHANDO COM CERTIFICADOS

Certificado digital é um arquivo que identifica de forma inequívoca o seu proprietário.

Certificados são criados por instituições emissoras chamadas de CA (Certificate Authorities).

de CA (Certificate Authorities).

Os certificados podem ser:

Assinados por uma instituição “acreditada” (Verisign, Thawte, etc...)

Certificados auto-assinados.

P

ASSOS PARA IMPLEMENTAÇÃO DE

EAP-TLS

COM CERTIFICADOS AUTO

A

SSINADOS

1. Crie a entidade certificadora(CA) 2. Crie as requisições de Certificados 3. Assinar as requisições na CA

4. Importar os certificados assinados para os Mikrotiks 5. Se necessário, criar os certificados para máquinas

EAP-TLS

SEM

R

ADIUS EM AMBOS LADOS

O metodo EAP-TLS

também pode ser usado com certificados.

EAP-TLS

SEM

R

ADIUS EM AMBOS LADOS

Metodos TLS

dont verify certificate: Requer um certificado, porém não verifica.

no certificates: Certificados são negociados dinamicamente com o algoritmo de Diffie Hellman.

verify certificate: Requer um certificado e verifica se foi assinado por uma CA.

WPA

X COM RADIUS

T

IPOS DE

EAP

EAP-TLS (EAP – Transport Layer Security)

O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse método para um Servidor Radius.

Prover maior nível de segurança e necessita de certificados em ambos lados(cliente e servidor).

O passo a passo completo para configurar um servidor Radius pode ser encontrado em:

EAP-TLS

COM

R

ADIUS EM AMBOS LADOS

A configuração da parte do cliente é bem simples.

Selecione o método EAP-TLS

Certifique-se que os certificados estão instalados e assinados pela CA.

Associe o novo perfil de

segurança a interface wireless correspondente.

EAP-TLS

COM

R

ADIUS EM AMBOS LADOS

No lado do AP selecione o método EAP “passthrough”.

Selecione o certificado Selecione o certificado correspondente.

145 Obs.: Verifique sempre se o sistema está com o cliente NTP

habilitado. Caso a data do sistema não esteja correta, poderá causar falha no uso de certificados devido a data validade dos mesmos.

S

EGURANÇA DE

EAP-TLS

COM

R

ADIUS

Sem dúvida este é o método mais seguro que podemos obter. Entretanto existe um ponto que podemos levantar como possível fragilidade:

Se um atacante tem acesso físico ao link entre o AP e o Radius ele pode tentar um ataque de força bruta para descobrir a PMK.

Uma forma de proteger este trecho é usando um túnel L2TP.

146

Ponto de fragilidade

R

ESUMO DOS METODOS DE IMPLANTAÇÃO E SEUS PROBLEMAS

.

 WPA-PSK

 Chaves presentes nos clientes e acessíveis aos operadores.

 Método sem certificados

 Passível de invasão por equipamento que também opere nesse  Passível de invasão por equipamento que também opere nesse

modo.

 Problemas com processador.

 Mikrotik com Mikrotik com EAP-TLS

 Método seguro porém inviável economicamente e de implantação praticamente impossível em redes existentes. 147

R

ESUMO DOS METODOS DE IMPLANTAÇÃO E SEUS PROBLEMAS

.

 Mikrotik com Radius  EAP-TLS e EAP-PEAP:

 Sujeito ao ataque do “homem do meio” e pouco disponível em

equipamentos atuais.

 EPA-TLS

 Método seguro, porém também não disponível na maioria dos equipamentos. Em placas PCI é possível implementá-lo.

M

ÉTODO ALTERNATIVO COM

M

IKROTIK

A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir

uma chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP e é vinculada ao MAC Address do cliente,

possibilitando que cada um tenha sua chave.

149

Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser

M

ÉTODO ALTERNATIVO COM

M

IKROTIK

Por outro lado, o Mikrotik permite que essas chaves sejam distribuídas por Radius, o que torna esse método muito

interessante.

Para isso é necessário:
Para isso é necessário:

Criar um perfil WPA2 qualquer;

Habilitar a autenticação via MAC no AP;

Ter a mesma chave configurada tanto no cliente como no Radius.

M

ÉTODO ALTERNATIVO COM

M

IKROTIK

Configurando o perfil:

C

ONFIGURANDO O

R

ADIUS

Arquivo users: (/etc/freeradius) #Sintaxe: # MAC Cleartext-Password:=“MAC” # Mikrotik-Wireless-Psk = “Chave_Psk” # Mikrotik-Wireless-Psk = “Chave_Psk” 000C42000001 Cleartext-Password:=“000C42000001” Mikrotik-Wireless-Psk = “12341234” 000C42000002 Cleartext-Password:=“000C43000002” Mikrotik-Wireless-Psk = “2020202020ABC” 152

C

ORRIGINDO O DICIONÁRIO DE ATRIBUTOS

VENDOR Mikrotik 14988

ATTRIBUTE Mikrotik-Recv-Limit 1 integer ATTRIBUTE Mikrotik-Xmit-Limit 2 integer

ATTRIBUTE Mikrotik-Group 3 string ATTRIBUTE Mikrotik-Wireless-Forward 4 integer ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x 5 integer ATTRIBUTE Mikrotik-Wireless-Enc-Algo 6 integer ATTRIBUTE Mikrotik-Wireless-Enc-Key 7 string

(/usr/share/freeradius/dictionary.mikrotik)

ATTRIBUTE Mikrotik-Wireless-Enc-Key 7 string ATTRIBUTE Mikrotik-Rate-Limit 8 string

ATTRIBUTE Mikrotik-Realm 9 string ATTRIBUTE Mikrotik-Host-IP 10 ipaddr ATTRIBUTE Mikrotik-Mark-Id 11 string ATTRIBUTE Mikrotik-Advertise-URL 12 string ATTRIBUTE Mikrotik-Advertise-Interval 13 integer ATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14 integer

ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords 15 integer

ATTRIBUTE Mikrotik-Wireless-Psk 16 string

F

IREWALL NO

M

IKROTIK

F

IREWALL

O firewall é normalmente usado como ferramenta de segurança

para prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de entrada, de saída e passante.

Além da segurança é no firewall que serão desempenhadas
Além da segurança é no firewall que serão desempenhadas

diversas funções importantes como a classificação e marcação de pacotes para desenvolvimento de regras de QoS.

A classificação do tráfego feita no firewall pode ser baseada em

vários classificadores como endereços MAC, endereços IP, tipos de endereços IP, portas, TOS, tamanho do pacotes, etc...

F

IREWALL

- O

PÇÕES

 Filter Rules: Regras para filtro de pacotes.

 NAT: Onde é feito a tradução de endereços e portas.  NAT: Onde é feito a tradução de endereços e portas.  Mangle: Marcação de pacotes, conexão e roteamento.  Service Ports: Onde são localizados os NAT Helpers.

 Connections: Onde são localizadas as conexões existentes.

 Address List: Lista de endereços ips inseridos de forma dinâmica ou

estática e que podem ser utilizadas em várias partes do firewall.

 Layer 7 Protocols: Filtros de camada 7.

F

IREWALL

– C

ANAIS DEFAULT

O Firewall opera por meio de regras. Uma regra é uma expressão lógica que diz ao roteador o que fazer com um tipo particular de pacote.

Regras são organizadas em canais(chain) e existem 3
Regras são organizadas em canais(chain) e existem 3

canais “default”.

INPUT: Responsável pelo tráfego que CHEGA no router;
OUTPUT: Responsável pelo tráfego que SAI do router;
FORWARD: Responsável pelo tráfego que PASSA pelo

router.

F

IREWALL

– F

LUXO DE PACOTES Interface de Entrada Interface de Saida Processo Local IN Processo Local OUT

Para maiores informações acesse:

http://wiki.mikrotik.com/wiki/Manual:Packet_F low

158

Filtro Forward

Filtro Input Filtro Output

Decisão de Roteamento

Decisão de Roteamento

F

IREWALL

– P

RINCÍPIOS GERAIS

1. As regras de firewall são sempre processadas por canal, 1. As regras de firewall são sempre processadas por canal,

na ordem que são listadas de cima pra baixo.

2. As regras de firewall funcionam como expressões lógicas condicionais, ou seja: “se <condição> então <ação>”.

3. Se um pacote não atende TODAS condições de uma

F

IREWALL

– P

RINCÍPIOS GERAIS

4. Quando um pacote atende TODAS as condições da regra, uma ação é tomada com ele não importando as regras que estejam abaixo nesse canal, pois elas não serão

processadas.

5. Algumas exceções ao critério acima devem ser

consideradas como as ações de: “passthrough”, log e “add to address list”.

6. Um pacote que não se enquadre em qualquer regra do

F

IREWALL

– F

ILTERS

R

ULES

As regras de filtro pode ser organizadas e mostradas da
As regras de filtro pode ser organizadas e mostradas da

seguinte forma:

all: Mostra todas as regras.

dynamic: Regras criadas dinamicamente por serviços.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usuários.

F

IREWALL

– F

ILTERS

R

ULES

 Algumas ações que podem ser tomadas nos filtros de firewall:  passthrough: Contabiliza e passa adiante.

 drop: Descarta o pacote silenciosamente.

 reject: Descarta o pacote e responde com uma mensagem de icmp ou tcp

reset. reset.

 tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas não

aloca recursos.

F

ILTER

R

ULES

– C

ANAIS CRIADOS PELO USUÁRIO

Além dos canais padrão o administrador pode criar canais próprios. Esta prática ajuda na organização do firewall.

Para utilizar o canal criado devemos “desviar” o fluxo através de uma ação JUMP.

No exemplo acima podemos ver 3 novos canais criados.

Para criar um novo canal basta adicionar uma nova regra e

F

IREWALL

– F

ILTERS

R

ULES

Ações relativas a canais criados pelo usuário:

jump: Salta para um canal definido em jump-target

jump-target

jump target: Nome do canal para onde se deve saltar

return: Retorna para o canal que chamou o jump

C

OMO FUNCIONA O CANAL CRIADO PELO USUÁRIO REGRA REGRA REGRA REGRA REGRA REGRA Canal criado pelo usuário 165 JUMP REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA

C

OMO FUNCIONA O CANAL CRIADO PELO USUÁRIO REGRA REGRA REGRA REGRA REGRA REGRA Caso exista alguma regra de RETURN, o retorno é feito de forma antecipada e 166 JUMP REGRA REGRA REGRA REGRA RETURN REGRA REGRA REGRA REGRA forma antecipada e as regras abaixo serão ignoradas.

F

IREWALL

– A

DDRESS

L

IST

A address list contém uma lista de endereços IP que

pode ser utilizada em várias partes do firewall.

Pode-se adicionar entradas de forma dinâmica

usando o filtro ou mangle conforme abaixo: usando o filtro ou mangle conforme abaixo:

Ações:

add dst to address list: Adiciona o IP de destino à lista.
add src to address list: Adiciona o IP de origem à lista.

Address List: Nome da lista de endereços.
Timeout: Porque quanto tempo a entrada

F

IREWALL

– T

ÉCNICA DO

“

KNOCK KNOCK

”

F

IREWALL

– T

ÉCNICA DO

“

KNOCK KNOCK

”

A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu

endereço IP em uma determinada address list.

Neste exemplo iremos restringir o acesso ao winbox somente a endereços IPs que estejam na

lista “libera_winbox” /ip firewall filter

add chain=input protocol=tcp dst-port=2771 action=add-src-to-address-list address-list=knock \ address-list-timeout=15s comment="" disabled=no

add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add-src-to-address-list \

address-list=libera_winbox address-list-timeout=15m comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept disabled=no

add chain=input protocol=tcp dst-port=8291 action=drop disbled=no

F

IREWALL

– C

ONNECTION

T

RACK

Refere-se a habilidade do roteador em manter o estado da

informação relativa as conexões, tais como endereços IP de origem e destino, as respectivas portas, estado da conexão, tipo de protocolos e timeouts. Firewalls que fazem connection track são chamados de

“statefull” e são mais seguros que os que fazem processamentos “stateless”.

“stateless”.

F

IREWALL

– C

ONNECTION

T

RACK

 O sistema de connection track é o coração do firewall. Ele obtém e mantém informações sobre todas conexões ativas.  Quando se desabilita a função “connection tracking” são

perdidas as funcionalidades NAT e as marcações de perdidas as funcionalidades NAT e as marcações de

pacotes que dependam de conexão. No entanto, pacotes podem ser marcados de forma direta.

 Connection track é exigente de recursos de hardware. Quando o equipamento trabalha somente como bridge é

L

OCALIZAÇÃO DA

C

ONNECTION

T

RACKING Interface de Entrada Interface de Saida Processo Local IN Processo Local OUT Conntrack Conntrack 172 Filtro Forward

Filtro Input Filtro Output

Decisão de Roteamento Decisão de Roteamento Conntrack Conntrack