Treinamento oficial Mikrotik
Modulo MTCNA
Agenda
Treinamento das 08:30hs às 18:30hs
Coffe break as 16:00hs
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
Evite conversas paralelas.
Deixe habilitado somente a interface ethernet de
seu computador.
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
Objetivos do curso
Abordar todos os tópicos necessários para o
exame de certificação MTCNA.
Prover um visão geral sobre o Mikrotik
RouterOS e as RouterBoards.
Fazer uma abordagem simples e objetiva com
a maioria das ferramentas que o Mikrotik
Onde está a Mikrotik ?
Mikrotik(MK): Empresa
Roterboard(RB):Hardware
RouterOS(ROS): Software
Oque são Routerboards?
Hardware criado pela Mikrotik.
Atende desde usuários domésticos até grandes empresas.
Hardware relativamente barato se comparado com outros
Nomenclatura das routerboards
RB
4
5
0
Serie 400 5 interfaces ethernet 0 ou nenhuma wirelessRB
4
3
3
Serie 400 3 interfaces ethernet 3 slots p/ wirelessRouterOS
RouterOS além de estar disponível para Routerboards
também pode ser instalado em hardware x86.
RouterOS é o sistema operacional das Routerboards e que
pode ser configurado como:
Roteador
Controlador de conteúdo (Web-proxy) Controlador de banda (Queues)
Controlador de fluxo para QoS(Firewall mangle + Queues) Firewall (camada 2,3 e 7)
Access Point wireless 802.11a/b/g/n (o hardware deve possuir wlan)
Winbox
Winbox é uma utilitário usado para acessar o
RouterOS via MAC ou IP.
Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso você não tenha o utilitário winbox no seu
computador faça o seguinte:
–
Altere seu computador para “Obter endereço IP
automaticamente”.
–
Abra o navegador e digite 192.168.88.1.
–
No menu a esquerda clique na ultima opção (logout).
–
Agora na pagina de login , clique sobre o aplicativo
Resetando seu router
Abra o winbox clique em
Clique no endereço MAC ou IP.
No campo Login coloque “admin”.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em “New Terminal”.
Com terminal aberto digite:
–
system reset-configuration no-defaults=yes
Diagrama da rede
Configuração básica
Configurando endereço de IP
Configurando mascara de sub-rede
Configurando DNS
Conectando seu router a um ponto de acesso
Configurando seu computador
Configuração do roteador
Configuração do roteador
Configuração do roteador
Adicione o servidor DNS
Quando você checa a opção “Alow remote requests”, você
está habilitando seu router como um servidor de DNS.
Configuração do roteador
MNDP
MikroTik Neighbor Discovery protocol
Habilite a interface wlan em Discovery
Interface
Teste de conectividade
Pingar a partir da Routerboard o seguinte ip:172.25.X.254.
Pingar a partir da Routerboard o seguinte endereço:
www.uol.com
172.25.255.254
Pingar a partir do notebook o seguinte ip:
10.X.Y.1
Pingar a partir do notebook o seguinte endereço:
www.uol.com
Corrigir o problema de conectividade
Diante do cenário apresentado quais soluções
podemos apresentar?
Adicionar rotas estáticas.
Utilizar protocolos de roteamento dinâmico.
Utilizar NAT(Network Address Translation).
Utilização do NAT
O mascaramento é a técnica que permite que vários
hosts de uma rede compartilhem um mesmo endereço
IP de saída do roteador. No Mikrotik o mascaramento é
feito através do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui
um endereço IP de origem e destino. Para mascarar o
endereço, o NAT faz a troca do endereço IP de origem.
Quando este pacote retorna ele é encaminhando ao
host que o originou.
Adicionando uma regra de source nat
Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.
Teste de conectividade
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Após a confirmação de que tudo está
funcionando, faça o backup da routerboard e
armazene-o no notebook. Ele será usado ao
longo do curso.
Faça um backup
Clique no menu Files e depois em Backup para salvar
sua configurações.
Instalação do RouterOS
Porque é importante saber instalar o
RouterOS?
Necessário quando se deseja utilizar um hardware próprio.
Assim como qualquer S.O. o RouterOS também pode
corromper o setor de inicialização (geralmente causado por
picos elétricos).
Necessário quando se perde o usuário e senha de acesso ao
sistema.
Instalação do RouterOS
Assim como qualquer sistema operacional o RouterOS precisa
ser instalado(em routerboards já vem instalado por padrão) ,
as duas principais maneiras de instalar o ROS são:
ISO botável (imagem)
Download
Download
No link acima você pode fazer o download das imagens ISO ou
do arquivo contendo todos os pacotes.
Sempre ao fazer o download fique atento a arquitetura de
hardware (mipsbe, mipsle,x86).
Obs: Nunca instale versões de teste em roteadores em
produção sempre selecione versões estáveis.
Instalando pela ISO
Em caso de você estar utilizando uma maquina física grave a
ISO em um CD e ajuste a sequencia de boot para CD/DVD.
Instalando via netinstall em
routerboards
Para se instalar em uma Routerboard, inicialmente
temos que entrar na routerboard via cabo serial e
alterar a sequencia de inicialização para ethernet
(placa de rede).
Dentro da Routerboad temos um tutorial
completo de como instalar o RouterOS em
Routerboards.
Pacotes do RouterOS
System: Pacote principal contendo os serviços básicos e drivers. A rigor é o único que é obrigatório.
PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc.. DHCP: Cliente, Relay e Servidor DHCP.
Advanced-tools: Ferramentas de diagnóstico, netwatch e outros utilitários. HotSpot: Suporte a HotSpot.
NTP: Servidor de horário oficial mundial. IPv6: Suporte a endereçamento IPv6 MPLS: Suporte a MPLS
Routing: Suporte a roteamento dinâmico. Security : IPSEC, SSH, Secure WinBox.
Não é possível adicionar drivers ou qualquer outro tipo de pacote que não seja criado diretamente pela Mikrotik.
Gerenciando pacotes
Primeiro acesso
Por padrão o processo de instalação não atribui nenhum
endereço de IP ao router então o primeiro acesso pode
ser feito por:
Cabo serial
(linha de comando)
Teclado e monitor em x86
(linha de comando)
Via mac-telnet
(linha de comando)
Outros modos de acesso
Após configurar um endereço de IP no
RouterOS existem outros modos de acesso.
SSH
FTP
Telnet
Web
FTP
WEB
O acesso via web traz quase todas as funções
existentes no winbox.
Upgrade do RouterOS
Faça download de Upgrade package (.npk).
Arraste para dentro de Files no winbox e
Atualizando a RB
Confira a versão atual.
Faça download do pacote .npk.
Envie o pacote para sua Routerboard usando o
winbox ou via FTP.
Reinicie o roteador.
Confira se a nova versão foi instalada.
Novas versões estão disponíveis no site.
Certifique se que sua routerboard tem conectivade
com a internet.
Cliquem em System=> Packages=> Check for Updates
Upgrade de firmware
Níveis de licença
O RouterOS trabalha com níveis de licença isso significa que
cada nível lhe oferece um numero X de recursos.
Quanto a atualização de versão
L3/4 = versão atual + 1 = pode ser usada
L5/6 = versão atual + 2 = pode ser usada
A chave de licença é gerada sobre um software-id fornecido
pelo sistema.
A licença fica vinculada ao HD ou Flash e/ou placa mãe.
A formatação com outras ferramentas muda o software-id
NTP
As routerboard não tem fonte de alimentação
interna, logo toda vez que é reiniciada o
sistema perde a data e a hora, isso vem a ser
um grande problema quando é necessário
analisar os logs.
Para que seu equipamento fique
sempre com a data e hora correta
devemos usar o cliente NTP
Backup
Existem duas maneiras de se realizar backup do
sistema:
Backup comum = Salva todo o conteúdo do router em
um arquivo criptografado que não pode ser
editado(salva inclusive os usuários e senhas de login
no router).
Backup com comando export = Você pode exportar
um backup completo ou apenas uma parte. Com esse
tipo de backup o arquivo gerado não é criptografado e
pode ser aberto por qualquer editor de texto(não
exporta dados de usuários e senhas de login no
router).
Backup comum
Observe que o arquivo gerado recebe o
identificação do router mais as informações de
data e hora.
Backup pelo comando export
Para exportar as configurações para dentro de um
arquivo use opção “file” e dê um nome ao arquivo e
sempre use a opção “compact” para que seu arquivo
venha apenas com as informações necessárias(evita
exporta mac-address de um equipamento para outro).
Localizando e editando backup
Após o comando
“export file=bkp_router_XY compact”
O arquivo gerado está no menu files.
Após transferir o arquivo para
sua maquina ele poderá ser
editado pelo bloco de notas.
Backup
Faça os dois tipos de backup.
Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado
Agora acesse o link abaixo e faça o upload do
arquivo de backup criptografado.
Modo seguro
O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione “CTRL+X” ou na parte superior clique em Safe Mode.
Modo seguro
Se um usuário entra em modo seguro, quando já há
um nesse modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/
–
u: desfaz todas as configurações anteriores feitas em modo
seguro e põe a presente sessão em modo seguro
–
d: deixa tudo como está
–
r: mantém as configurações no modo seguro e põe a
sessão em modo seguro. O outro usuário receberá a
seguinte mensagem:
Modelo OSI, TCP/IP
e
Um pouco de historia
1962 – Primeiras comunicações em rede.
1965 – Primeira comunicação WAN.
1969 – Desenvolvido o TCP.
1978 – Vários padrões de comunicação.
1981 – Inicio de discussões sobre padronizações.
1984 – Chegada do modelo OSI
Siglas
ISO - International Organization for Standardization OSI - Open Systems Interconnection
Modelo OSI vs TCP/IP
Modelo OSI Modelo TCP/IP
Um pouco mais sobre o modelo OSI
Cabeçalho possui MAC de origem e destino
Cabeçalho possui IP de origem e destino
Cabeçalho possui porta (TCP/UDP) de origem e destino
Os dados são gerados na camada de aplicação, e a partir de então serão encapsulados camada por camada até chegar a camada física onde serão transformados em sinais (elétricos ,luminosos etc...)
Em cada camada são adicionados cabeçalhos. Veja abaixo os tipos de informações que são imputadas em cada
Encapsulamento
Dados
Camada 2 enlace - MAC
Dados
Camada 7 aplicação - Dados
Dados
Camada 4 transporte - Portas
PDU - Protocol data unit
Protocol data unit ou em português Unidade de
dados de protocolo em telecomunicações
descreve um bloco de dados que é transmitido
entre duas instâncias da mesma camada.
Camada
PDU
Camada física Bit
Camada de enlace Quadro ou trama Camada de rede Pacote
1 - Camada física
A camada física define as características técnicas
dos dispositivos elétricos.
É nesse nível que são definidas as especificações
de cabeamento estruturado, fibras ópticas, etc...
Banda, frequência e potencia são grandeza que
2 - Camada de enlace
Camada responsável pelo endereçamento físico,
controle de acesso ao meio e correções de erros da
camada I.
Endereçamento físico se faz pelos endereços MAC
(Controle de Acesso ao Meio) que são únicos no
mundo e que são atribuídos aos dispositivos de rede.
Switchs, bridges ,ethernets e PPP são exemplos de
Endereço MAC
É o único endereço físico de um dispositivo de
rede.
É usado para comunicação com a rede local.
Exemplo de endereço MAC:
3 - Camada de rede
Responsável pelo endereçamento lógico dos
pacotes.
Determina que rota os pacotes irão seguir para
atingir o destino baseado em fatores tais como
condições de tráfego de rede e prioridade.
4 - Camada de transporte
Quando no lado do remetente, é responsável por
pegar os dados das camadas superiores e dividir
em pacotes para que sejam transmitidos para a
camada de rede.
No lado do destinatário, pega os pacotes
recebidos da camada de rede, remonta os dados
originais e os envia para à camada superior.
Estado das conexões
É possível observar o estado das conexões no Mikrotik no menu Connections (IP=>Firewall=>Connections).
Essa tabela também é conhecida como conntrack. Muito utilizada para analises e debugs rápidos.
5 - Camada de sessão
Administra e sincroniza diálogos entre dois
processos de aplicação.
Une duas entidades para um relacionamento
e mais tarde as desune. (ex. de união:
login/autenticação e desunião: logoff).
Controla troca de dados, delimita e sincroniza
operações em dados entre duas entidades.
6 - Camada de apresentação
A principal função da camada de apresentação é
assegurar que a informação seja transmitida de tal
forma que possa ser entendida e usada pelo
receptor.
Este nível pode modificar a sintaxe da mensagem,
sempre preservando sua semântica.
O nível de apresentação também é responsável por
outros aspectos da representação dos dados, como
criptografia e compressão de dados.
7 - Camada de aplicação
Muito confundem aplicação com aplicativo.
Usuário interagem com o aplicativo e o
aplicativo interage com protocolos da camada
de aplicação(
HTTP
,
SMTP
,
FTP
,
SSH
,
Telnet
...).
HTTP HTTPS DNS
Endereço IP
É o endereço lógico de um dispositivo de rede.
É usado para comunicação entre redes.
Endereço IPv4 é um numero de 32 bits divido
em 4 parte separado por pontos.
Sub Rede
Como o próprio no já diz (sub rede)é a uma parte de rede ou seja uma rede que foi dividida.
O tamanho de uma sub rede é determinado por sua máscara de sub rede. O endereço de IP geralmente é acompanhado da mascara de sub rede.
Com esses dois dados (Endereço IP e mascara de sub rede) podemos dimensionar onde
começa e onde termina nossa sub rede.
Exemplo de mascara de sub rede: 255.255.255.0 ou /24. O endereço de REDE é o primeiro IP da sub rede.
O endereço de BROADCAST é o último IP da sub rede.
Esses endereços(Rede e broadcast) são reservados e não podem ser usados.
End IP/Mas 10.1.2.3/8 10.1.2.3/16 10.1.2.3/24
End de Rede 10.0.0.0 10.1.0.0 10.1.2.0 End de Broadcast 10.255.255.255 10.1.255.255 10.1.2.255
Protocolos - IP
Usado para identificar logicamente um host.
Possui endereços públicos e privados.
Protocolos - ARP
ARP – Address resolution protocol ou simplesmente
protocolo de resolução de endereços.
Como o próprio nome sugere esse protocolo consegue
resolver(encontrar) o endereço MAC através do
endereço de IP e após feito isto o coloca em uma
tabela.
Como ARP funciona
Quando o dispositivo H1 precisa enviar dados para H2 que está no mesmo segmento de rede , o dispositivo H1 precisa descobrir o
endereço MAC de H2.Então o protocolo ARP envia uma requisição para todos os diapositivos(MSG-01).
Então o host que com endereço de IP apropriado(H2) responde com o dado solicitado (MSG-02).
Então o dispositivo H1 recebe o endereço MAC e se prepara para o próximo passo para transmitir dados para H2.
10.11.11.2/24 00:00:00:11:11:02 10.11.11.1/24 00:00:00:11:11:01 10.11.11.3/24 00:00:00:11:11:03 MSG-01 Quero saber o MAC do host com IP 10.11.11.2 MSG-02 Sou eu e meu MAC é 00:00:00:11:11:02
Protocolos - UDP / TCP
UDP TCP
Serviço sem conexão; nenhuma sessão é estabelecida entre os hosts.
Serviço orientado por conexão; uma sessão é estabelecida entre os hosts.
O UDP não garante ou confirma a entrega nem sequencia os dados.
O TCP garante a entrega usando
confirmações e entrega sequenciada dos dados.
O UDP é rápido, requer baixa sobrecarga e pode oferecer suporte à comunicação ponto a ponto e de ponto a vários pontos.
O TCP é mais lento, requer maior
sobrecarga e pode oferecer suporte apenas à comunicação ponto a ponto.
Protocolos - ICMP
Internet Control Message Protocol ou protocolo de
mensagens de controle da Internet é usado para relatar
erros e trocar informações de status e controle.
Geralmente usamos aplicativos que utilizam o protocolo
ICMP para sabermos se um determinado host esta
alcançável e/ou qual é a rota para aquele host(ping e
tracert).
Protocolos - DNS
Domain Name System - Sistema de Nomes de
Domínios é utilizado para associar nomes a
Conceitos 802.11a/b/g/n
Nas interfaces wireless podemos alterar
alguns campos que irão definir caracterizas
físicas da transmissão:
Configurações Físicas
Padrão IEEE Frequência Largura de
banda máxima Velocidade máx 802.11b 2.4Ghz 20Mhz 11 Mbps 802.11g 2.4Ghz 20Mhz 54 Mbps 802.11a 5Ghz 20Mhz 54 Mbps 802.11n 2.4Ghz e 5 Ghz 40Mhz 300 Mbps 802.11ac 5 Ghz 80Mhz 866 Mbps
802.11b - DSSS
1
24122
24223
24324
24425
24526
2462 2402 2422 2402 2422 2402 2422 2402 2422+
20MhzCanais não interferentes em
2.4 Ghz - DSSS
Canalização – 5Mhz e 10Mhz
Menor troughput
Maior número de canais
Menor vulnerabilidade a interferências Requer menor sensibilidade
Canalização – Modo Turbo
Maior troughput
Menor número de canais
Maior vulnerabilidade a interferências Requer maior sensibilidade
Padrão 802.11n
MIMO
Velocidades do 802.11n
Bonding do canal
Agregação dos frames
Configuração dos cartões
MIMO
802.11n - Bonding dos canais 2 x
20Mhz
Adiciona mais 20Mhz ao canal existente.
O canal é colocado abaixo ou acima da
frequência principal.
É compatível com os clientes “legados” de
20Mhz.
Conexão feita no canal principal.
Configurando no Mikrotik
Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é dobrada.
Potências
Quando a opção “regulatory domain” está habilitada, somente as frequências
permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país,
levando em conta o valor em dBi informado em “Antenna Gain”.
RX sensitivity
Refere a capacidade de “escuta” de cada equipamento.
Quanto menor melhor, pois o equipamento será capaz enlaçar com outro dispositivo com pouco sinal.
Data Rates
A velocidade em uma rede wireless é definida pela modulação que os dispositivos conseguem trabalhar.
Supported Rates: São as velocidades de dados entre o AP e os clientes.
Basic Rates: São as velocidades que os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc...)
Ferramentas de Site Survey - Scan
Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das conexões estabelecidas.
A -> Ativa B -> BSS
P -> Protegida R -> Mikrotik
Ferramentas de Site Survey – Uso de
frequências
Mostra o uso das frequências
em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.
Interface wireless - Sniffer
Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes.
Muito útil para detectar ataques.
Pode ser arquivado no próprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP.
Interface wireless - Snooper
Com a ferramenta snooper é possível monitorar a
carga de tráfego em cada canal por estação e por rede.
Scaneia as frequências definidas em scan-list da
Interface wireless – Modo de operação
ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada.
bridge: O mesmo que o o modo “ap bridge” porém aceitando somente um cliente.
station: Modo cliente de um ap. Não pode ser colocado em bridge com outras interfaces.
Interface wireless – Modo de operação
station pseudobridge: Estação que pode ser colocada em modo bridge, porém sempre passa ao AP seu próprio MAC.
station pseudobridge clone: Modo idêntico ao anterior, porém passa ao AP um MAC pré determinado anteriormente.
station wds: Modo estação que pode ser colocado em bridge com a interface ethernet e que passa os MACs de forma transparente. É necessário que o AP esteja em modo wds.
Interface wireless – Modo de operação
alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que são mandados a ela por outros dispositivos trabalhando no mesmo canal. wds slave: Adéqua suas configurações conforme outro AP com mesmo
SSID.
nstreme dual slave: Será visto no tópico especifico de nstreme.
station bridge: Faz um bridge transparente porém só pode ser usado para se conectar a um AP Mikrotik.
NV2
•
Proprietário da Mikrotik (não funciona com outros
fabricantes).
•
Baseado em TDMA (Time Division Multiple Access).
•
Resolver o problema do nó escondido.
Funcionamento do NV2
• Diferente do padrão 802.11 onde não existe controle do meio, com a
utilização de NV2 o AP controla todo o acesso ao meio (em outras palavras o AP decide quem irá transmitir e quem irá receber).
• Em redes NV2 o AP divide o tempo em períodos fixos (Timeslot).
• Esses períodos (Timeslot) são alocados para Download e Upload de forma organizada, sendo que dois clientes não irão transmitir ao mesmo tempo e logo temos o seguinte:
- Evitamos colisões
- Aproveitamos melhor a largura de banda - Aumento do throughput
Falsa segurança
Nome da rede escondido:
Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes
chamados “beacons”. Este comportamento pode ser modificado no Mikrotik
habilitando a opção “Hide SSID”.
Pontos negativos:
SSID deve ser conhecido pelos clientes.
Scanners passivos o descobrem facilmente pelos pacotes de “probe request” dos
Falsa segurança
Controle de MACs:
Descobrir MACs que trafegam no ar é muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
Spoofar um MAC é bem simples. Tanto usando
windows, linux ou Mikrotik.
Interface Wireless – Controle de
Acesso
A Access List é utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e
determina qual ação deve ser tomada quando um cliente tenta conectar.
A comunicação entre clientes da mesma interface, virtual ou real, também pode ser controlada na Access List.
Interface Wireless – Controle de
Acesso
O processo de associação
ocorre da seguinte forma:
Um cliente tenta se associar a uma interface wlan; Seu MAC é procurado na access list da interface wlan; Caso encontrado, a ação especifica será tomada:
Authentication: Define se o cliente poderá se associar ou não;
Interface Wireless – Access List
MAC Address: Endereço MAC a ser liberado ou bloqueado.
Interface: Interface real ou virtual onde será feito o controle de acesso.
AP Tx Limit: Limite de tráfego enviado para o cliente.
Client Tx Limit: Limite de tráfego enviado do cliente para o AP.
Private Key: Chave wep criptografada. Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros Mikrotiks.
Interface Wireless – Connect List
A Connect List tem a finalidade de listar os APs que o Mikrotik configurado como
cliente pode se conectar.
MAC Address: MAC do AP a se conectar. SSID: Nome da rede.
Area Prefix: String para conexão com AP de mesma área.
Security Profile: Definido nos perfis de segurança.
Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP
Falsa segurança
Criptografia WEP:
“Wired Equivalent Privacy” – Foi o sistema de criptografia
inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia.
Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para
quebrar a chave, como:
Airodump. Airreplay. Aircrack.
Chave WPA e WPA2 - PSK
A configuração da chave WPA/WAP2-PSK é muito simples no Mikrotik.
No menu wireless clique na Security Profile e adicione um novo perfil
Configure o modo de chave dinâmico e a chave pré combinada para cada tipo de autenticação.
Em cada Wlan selecione o perfil de segurança desejado.
Obs.: As chaves são alfanuméricas de 8 até 64 caracteres.
Segurança de WPA / WPA2
Atualmente a única maneira conhecida para
se quebrar a WPA-PSK é somente por ataque
de dicionário.
A maior fragilidade paras os WISP’s é que a
chave se encontra em texto plano nos
computadores dos clientes ou no próprio
Mikrotik.
Método alternativo com Mikrotik
A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP e é vinculada ao MAC Address do cliente, possibilitando que cada um
tenha sua chave.
Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visível a usuários do Mikrotik.
O que é roteamento
Em termos gerais, o
roteamento é o
processo de encaminhar
pacotes entre redes
conectadas.
Para redes baseadas em TCP/IP, o roteamento faz
parte do protocolo IP.
Para que o roteamento funcione ele trabalha em
combinação com outros serviços de protocolo.
Quando o roteamento é utilizado?
Sempre que um determinado host precisar se
comunicar como outro host/server que não
esteja na mesma sub-rede ele irá precisar de um
roteador (gateway) para alcançar seu destino.
192.168.20.1 192.168.1.1
192.168.1.200/24
192.168.20.2/24
Não necessita de roteamento
Origem Destino 192.168.1.201 192.168.1.200 192.168.1.201/24 Necessita de roteamento Origem Destino 192.168.1.201 192.168.20.2 Exemplo 1 Exemplo 2
Funcionamento padrão
•
Quando um pacote chega a
um roteador e consulta sua
tabela de rotas para
encontrar a melhor rota
para o destino solicitado
187.15.15.134 192.168.1.1 192.168.1.200 8.8.8.8 Pacote IP Origem Destino 192.168.1.99 8.8.8.8
Tudo que for destinado a: (Dst. Address) Encaminhe para o roteador: (Gateway) 0.0.0.0/0 192.168.1.1 10.10.10.0/24 192.168.4.1 10.172.0.0/23 10.172.4.1 8.8.0.0/16 10.172.5.1 Tabela de rotas
Na tabela de rotas
Para cada encaminhamento o roteador faz um
leitura completa da tabela de rotas.
Se o roteador encontrar mais de uma rota
para o destino solicitado ele sempre irá utilizar
a rota mais especifica.
Dst. Address Gateway
0.0.0.0/0 192.168.1.1 8.0.0.0/8 10.172.6.1 8.8.0.0/16 10.172.5.1
Tabela de rotas
A rota defult será
utilizada sempre que
não houver uma rota
para o determinado
destino.
Roteamento - LAB
172.25.1.0/24 172.25.2.0/24 10.10.4.0/30 10.10.3.0/30 10.10.1.0/30 10.10.2.0/30Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento estático: As rotas são criadas pelo usuário através de inserções pré-definidas em função da topologia da rede. Roteamento dinâmico: As rotas são geradas automaticamente
através de um protocolo de roteamento dinâmico ou de algum agregado de endereço IP.
O Mikrotik também suporta ECMP(Equal Cost Multi Path)
que é um mecanismo que permite rotear pacotes através
de vários links e permite balancear cargas.
É possível ainda no Mikrotik se estabelecer políticas de
roteamento dando tratamento diferenciado a vários tipos
de fluxos a critério do administrador.
Políticas de Roteamento
Existem algumas regras que devem ser seguidas
para se estabelecer uma política de roteamento:
As políticas podem ser por marca de pacotes, por
classes de endereços IP e portas.
As marcas dos pacotes devem ser adicionadas no
Firewall, no módulo Mangle com mark-routing.
Aos pacotes marcados será aplicada uma política de
roteamento, dirigindo-os para um determinado
gateway.
É possível utilizar política de roteamento quando se
utiliza NAT.
Políticas de Roteamento
Uma aplicação típica de políticas de roteamento é trabalhar com dois um mais links direcionando o tráfego para ambos. Por exemplo direcionando tráfego p2p por um link e tráfego web por outro.
É impossível porém reconhecer o tráfego p2p a partir do primeiro pacote, mas tão somente após a conexão estabelecida, o que
impede o funcionamento de programas p2p em casos de NAT de origem.
A estrátegia nesse caso é colocar como gateway default um link “menos nobre”, marcar o tráfego “nobre” (http, dns, pop, etc.) e desvia-lo pelo link nobre. Todas outras aplicações, incluindo o p2p irão pelo link menos nobre.
Políticas de Roteamento
Exemplo de política de
roteamento.
O roteador nesse caso terá 2
gateways com ECMP e
check-gateway. Dessa forma o tráfego
será balanceado e irá garantir o
failover da seguinte forma:
/ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 check-gateway=ping
Ex. de Política de Roteamento
1. Marcar pacotes da rede 192.168.10.0/24 como lan1 e
pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma: /ip firewall mangle add src-address=192.168.10.0/24
action=markrouting new-marking-routing=lan1 chain=prerouting /ip firewall mangle add src-address=192.168.20.0/24
action=markrouting new-marking-routing=lan2 chain=prerouting
2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e os pacotes da rede lan2 para o gateway 10.112.0.1 usando as correspondentes marcas de pacotes da seguinte forma:
/ip routes add gateway=10.111.0.1 routing-mark=lan1 checkgateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2 checkgateway=ping
Roteamento Dinâmico
O Mikrotik suporta os seguintes
protocolos:
RIP versão 1 e 2; OSPF versão 2 e 3; BGP versão 4.
O uso de protocolos de roteamento
dinâmico permite implementar
redundância e balanceamento de links
de forma automática e é uma forma de
se fazer uma rede semelhante as redes
conhecidas como Mesh, porém de forma
estática.
Roteamento dinâmico - BGP
O protocolo BGP é destinado a fazer
comunicação entre AS(Autonomos
System) diferentes, podendo ser
considerado como o coração da
internet.
O BGP mantém uma tabela de
“prefixos” de rotas contendo
informações para se encontrar
determinadas redes entre os AS’s.
A versão corrente do BGP no Mikrotik é
a 4, especificada na RFC 1771.
Roteamento Dinâmico - OSPF
O protocolo Open Shortest Path First, é um protocolo do tipo “link state”. Ele usa o algoritmo de Dijkstra para
calcular o caminho mais curto para todos os destinos. O OSPF distribui informações de roteamento entre os
roteadores que participem de um mesmo
AS(Autonomous System) e que tenha o protocolo OSPF habilitado.
Para que isso aconteça, todos os roteadores tem de ser configurados de uma maneira coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo
protocolo OSPF.
O protocolo OSPF é iniciado depois que é adicionado um registro na lista de redes. As rotas são aprendidas e
Roteamento Dinâmico - OSPF
Tipos de roteadores em OSPF:
Roteadores internos a uma área.
Roteadores de backbone (área 0).
Roteadores de borda de área (ABR).
OS ABRs devem ficar entre dois roteadores e devem
tocar a área 0.
Roteadores de borda Autonomous System (ASBR).
São roteadores que participam do OSPF mas
fazem comunicação com um AS.
OSPF - Áreas
O protocolo OSPF permite que vários roteadores sejam agrupados entre si. Cada grupo formado é chamado de área e cada área roda uma cópia do algoritmo básico, e cada área tem sua própria base de dados do estado de seus roteadores.
A divisão em áreas é importante pois como a estrutura de uma área só é visível para os participantes desta, o tráfego é sensivelmente reduzido. Isso também previne o “recalculo” das distâncias por áreas que não participam da área que promoveu alguma mudança de estado.
OSPF - Redes
Aqui definimos as redes OSPF
com os seguintes parâmetros:
Network: Endereço IP/Mascara,
associado. Permite definir uma ou
mais interfaces associadas a uma
área. Somente redes conectadas
diretamente podem ser adicionadas
aqui.
OSPF - Opções
Router ID: Geralmente o IP do roteador.
Caso não seja especificado o roteador usará o maior IP que exista na interface.
Redistribute Default Route:
Never: nunca distribui rota padrão.
If installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, dhcp ou PPP.
If installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, dhcp ou PPP.
Always (as type 1): Sempre, com métrica 1. Always (as type 2): Sempre, com métrica 2.
OSPF - Opções
Redistribute Connected Routes: Caso habilitado, o roteador irá distribuir todas as rotas relativas as redes que estejam diretamente conectadas a ele.
Redistribute Static Routes: Caso
habilitado, distribui as rotas cadastradas de forma estática em /ip routes.
Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP. Na aba “Metrics” é possível modificar as
métricas que serão exportadas as diversas rotas.
OSPF - LAB
172.25.1.0/24 172.25.2.0/24 10.10.4.0/30 10.10.3.0/30 10.10.1.0/30 10.10.2.0/30OSPF - LAB
172.25.1.0/24 172.25.2.0/24 10.10.4.0/30 10.10.3.0/30 10.10.1.0/30 10.10.2.0/30OSPF - LAB
172.25.1.0/24 172.25.2.0/24 10.10.4.0/30 10.10.3.0/30 10.10.1.0/30 10.10.2.0/30Firewall
O firewall é normalmente usado como ferramenta de segurança
para prevenir o acesso não autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de saída e passante.
Além da segurança é no firewall que serão desempenhadas
diversas funções importantes como a classificação e marcação
de pacotes para desenvolvimento de regras de QoS.
A classificação do tráfego feita no firewall pode ser baseada em
vários classificadores como endereços MAC, endereços IP, tipos
de endereços IP, portas, TOS, tamanho do pacotes, etc...
Firewall - Opções
Filter Rules: Regras para filtro de pacotes.
NAT: Onde é feito a tradução de endereços e portas. Mangle: Marcação de pacotes, conexão e roteamento. Service Ports: Onde são localizados os NAT Helpers.
Connections: Onde são localizadas as conexões existentes.
Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e que podem ser utilizadas em várias partes do firewall.
Estrutura do Firewall
Firewall
Tabela Filter Tabela NAT Tabela Mangle
Canal input regras regras Canal Output regras regras Canal Forward regras regras Canal SRCNAT regras regras Canal DSTNAT regras regras Canal input regras Canal Output regras Canal Forward regras Canal Prerouting regras Canal Posrouting regras
Fluxo do Firewall
Decisão de roteamento Processo local Chegada Saída Canal PreroutingCanal DSTNAT Canal Forward
Canal Posrouting Canal SRCNAT Canal Input Canal Output Decisão de roteamento
Firewall – Connection Track
Refere-se a habilidade do roteador em manter o estado da
informação relativa as conexões, tais como endereços IP de origem e destino, as respectivas portas, estado da conexão, tipo de
protocolos e timeouts. Firewalls que fazem connection track são chamados de “statefull” e são mais seguros que os que fazem processamentos “stateless”.
Firewall – Connection Track
O sistema de connection tracking é o coração do
firewall. Ele obtém e mantém informações sobre todas
conexões ativas.
Quando se desabilita a função “connection tracking” são
perdidas as funcionalidades NAT e as marcações de
pacotes que dependam de conexão. No entanto,
pacotes podem ser marcados de forma direta.
Connection track é exigente de recursos de hardware.
Quando o equipamento trabalha somente como bridge
é aconselhável desabilitá-la.
Localização da Connection Tracking
Decisão de roteamento Processo local Chegada Saída Canal PreroutingCanal DSTNAT Canal Forward
Canal Posrouting Canal SRCNAT Canal Input Canal Output Decisão de roteamento conntrack conntrack
Firewall – Connection Track
Estado das conexões:
established: Significa que o pacote faz parte de uma conexão já estabelecida anteriormente.
new: Significa que o pacote está iniciando uma nova conexão ou faz parte de uma conexão que ainda não trafegou pacotes em ambas direções.
related: Significa que o pacote inicia uma nova conexão, porém está associada a uma conexão existente.
invalid: Significa que o pacote não pertence a nenhuma conexão existente e nem está iniciando outra.
Firewall – Princípios gerais
As regras de firewall são sempre processadas por canal, na
ordem que são listadas de cima pra baixo.
As regras de firewall funcionam como expressões lógicas
condicionais, ou seja: “se <condição> então <ação>”.
Se um pacote não atende TODAS condições de uma regra,
ele passa para a regra seguinte.
Processamento das regras
SE
combina com os campos
ENTÃO
executa a ação.
SE
IP de destino=8.8.8.8
ENTÃO
execute Drop
Firewall – Princípios gerais
Quando um pacote atende TODAS as condições
da regra, uma ação é tomada com ele, não
importando as regras que estejam abaixo nesse
canal, pois elas não serão processadas.
Algumas exceções ao critério acima devem ser
consideradas como as ações de: “passthrough”,
log e “add to address list”.
Um pacote que não se enquadre em qualquer
regra do canal, por padrão será aceito.
Input
Output
Firewall – Filter Rules
As regras são organizadas em canais(chain) e existem 3
canais “default” de tabela filters.
INPUT: Responsável pelo tráfego que CHEGA no router;
OUTPUT: Responsável pelo tráfego que SAI do router;
FORWARD: Responsável pelo tráfego que PASSA pelo router.
Firewall – Filters Rules
Algumas ações que podem ser tomadas nos filtros de
firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas
não aloca recursos.
Firewall – Organização das regras
As regras de filtro pode ser organizadas e
mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por serviços.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usuários.
Filter Rules – Canais criados pelo usuário
Além dos canais criados por padrão o administrador pode criar canais próprios. Esta prática ajuda na organização do firewall.
Para utilizar o canal criado devemos “desviar” o fluxo através de uma ação JUMP.
No exemplo acima podemos ver 3 novos canais criados.
Firewall – Filters Rules
Ações relativas a canais
criados pelo usuário:
jump: Salta para um canal
definido em jump-target.
jump target: Nome do
canal para onde se deve
saltar.
return: Retorna para o
Como funciona o canal criado pelo
usuário
Como funciona o canal criado pelo
usuário
Firewall – Address List
A address list contém uma lista de endereços IP
que pode ser utilizada em várias partes do firewall.
Pode-se adicionar entradas de forma dinâmica
usando o filtro ou mangle conforme abaixo:
Action:
add dst to address list: Adiciona o IP de destino à lista. add src to address list: Adiciona o IP de origem à lista. Address List: Nome da lista de endereços.
Firewall
Princípios básicos de proteção
Proteção do próprio roteador :
Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
Permitir somente serviços necessários no próprio roteador.
Prevenir e controlar ataques e acessos não autorizado ao
roteador.
Proteção da rede interna :
Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
Prevenir e controlar ataques e acesso não autorizado em
clientes.
Firewall – Proteção básica
Regras do canal input
Descarta conexões inválidas.
Aceitar conexões estabelecidas.
Aceitar conexões relacionadas.
Aceitar todas conexões da rede interna.
Descartar o restante.
Firewall – Proteção básica
Regras do canal input
Permitir acesso externo ao winbox.
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
Firewal – Port Scan
Port Scan:
Consiste no escaneamento de portas TCP e/ou UDP.
A detecção de ataques somente é possível para o protocolo TCP. Portas baixas (0 – 1023)
Firewall – Técnica do “knock knock”
A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu endereço IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereços IP´s que estejam na lista “libera_winbox”:
/ip firewall filter
add chain=input protocol=tcp dst-port=2771 action=add-src-to-address list address-list=knock address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add src-to-address-list address-list=libera_winbox address-list-timeout=15m
comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept disabled=no
Firewall – Ping flood
Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatórias.
Para evitar o Ping flood, podemos bloquear todo tráfego de
ICMP.
Ao bloquear todo trafego de ICMP podemos ter problemas com
algumas aplicações (monitoramento e outros protocolos).
Por isso é aconselhável colocarmos uma exceção permitindo um
pelo menos 30 mensagens de ICMP por segundo.
Firewal – Evitando ping flood
/ip firewall filter
add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp
Firewal – Ataques do tipo DoS
Ataques DoS:
O principal objetivo do ataque de DoS é o consumo de recursos de CPU ou banda.
Usualmente o roteador é inundado com requisições de conexões TCP/SYN causando resposta de TCP/SYN-ACK e a espera do pacote TCP/ACK.
O ataque pode ser intencional ou causado por vírus em clientes.
Todos os IP’s com mais de 15 conexões com o roteador podem ser considerados atacantes.
Firewal – Ataques do tipo DoS
Se simplesmente descartamos as conexões,
permitiremos que o atacante crie uma nova conexão.
Para que isso não ocorra, podemos implementar a
proteção em dois estágios:
Detecção – Criar uma lista de atacantes DoS com base em “connection limit”.
Firewal – Detectando um ataque DoS
Criar a lista de atacantes para posteriormente
aplicarmos a supressão adequada.
Firewal – Suprimindo um ataque DoS
Com a ação “tarpit”
aceitamos a conexão
e a fechamos, não
deixando no entanto
o atacante trafegar.
Essa regra deve ser
colocada antes da
regra de detecção ou
então a address list irá
reescrevê-la todo
Firewal – DDoS
Ataque DDoS:
Ataque de DDoS são bastante
parecidos com os de
DoS,porém partem de um
grande número de hosts
infectados.
A única medida que podemos
tomar é habilitar a opção TCP
SynCookie no Connection
Firewall - NAT
Firewall - NAT
NAT – Network Address Translation é uma técnica que permite que vários hosts em uma LAN usem um conjunto de endereços IP’s para comunicação interna e outro para comunicação externa.
Existem dois tipos de NAT :
SRC NAT: O roteador faz alterações de IP ou porta de origem. DST NAT: O roteador faz alterações de IP ou porta de destino.
Firewall - NAT
As regras de NAT são organizadas em canais:
dstnat: Processa o tráfego enviado PARA o
roteador e ATRAVÉS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.
srcnat: Processa o tráfego enviado A PARTIR do
roteador e ATRAVÉS do roteador, depois que ele
sai de OUTPUT e/ou FORWARD.
Firewall - SRCNAT
Source NAT: A ação “mascarade” troca o endereço IP
de origem de uma determinada rede pelo endereço IP
da interface de saída. Portanto se temos, por exemplo,
a interface ether5 com endereço IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trás da ether1,
podemos fazer o seguinte:
Desta forma, todos os endereços IPs da rede local vão obter acesso a internet utilizando o endereço IP 185.185.185.185
Firewall - DSTNAT
Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a serviços que rodem na rede interna.
Dessa forma podemos dar acesso a serviços de
clientes sem utilização de endereço IP público.
Redirecionamento para acesso ao servidor
WEB do cliente 192.168.1.200 pela porta 80.
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional a
um determinado endereço IP. Dessa forma, um
endereço IP de rede local pode ser acessado
através de um IP público e vice-versa.
Firewall - NAT
NAT (1:1) com netmap: Com o netmap
podemos criar o mesmo acesso bi-birecional
de rede para rede. Com isso podemos mapear,
por exemplo, a rede 187.15.15.0/24 para a
Firewall – NAT Helpers
Hosts atrás de uma rede “nateada” não possuem conectividade fim-afim verdadeira. Por isso alguns protocolos podem não
funcionar corretamente neste cenário. Serviços que requerem iniciação de conexões TCP fora da rede, bem como protocolos “stateless” como UDP, podem não funcionar. Para resolver este problema, a implementação de NAT no Mikrotik prevê alguns “NAT Helpers” que têm a função de auxiliar nesses serviços.