Академический Документы
Профессиональный Документы
Культура Документы
Produzido por: MKT Solutions e Lancore Networks www.mktsolutions.net.br www.lancore.com.br Instrutor: Guilherme Ramires
AGENDA
Treinamento dirio das 09:00hs 09:00 s 18:00hs Coffe break as 10:30hs e as 16:00hs 16:00 Almoo as 13:00hs 1 hora de durao
Perguntas so sempre bem vindas. Muitas vezes a sua dvida a dvida de todos. O acesso a internet ser disponibilizado para efeito didtico dos laboratrios. Portanto evite o uso inapropriado. O certificado de participao somente ser concedido a quem obtiver presena igual ou superior a 75%.
4
Apresente-se se a turma
Diga seu nome; Sua empresa; Seu conhecimento sobre o RouterOS; Seu conhecimento com redes; O que voc espera do curso;
Objetivos do curso
Prover um viso geral sobre o Mikrotik RouterOS e as RouterBoards. Mostrar de um modo geral todas ferramentas que o Mikrotik RouterOS dispe para prover boas solues.
RouterBoards
So hardwares criados pela Mikrotik; Atualmente existe uma grande variedade de RouterBoards.
Mikrotik RouterOS
RouterOS o sistema operacional das RouterBoards e que pode ser configurado como:
Um roteador dedicado Controlador de banda Firewall Gerenciador de usurios Dispositivo QoS personalizado Qualquer dispositivo wirless 802.11a/b/g/n
Instalao do RouterOS
O Mikrotik RouterOS pode ser instalado a partir de:
CD ISO bootvel imagem Via rede com utilitrio Netinstall
10
Instalando pelo CD
Inicie o PC com o modo boot pelo CD
12
Pacotes do RouterOS
System: Pacote principal contendo os servios bsiscos e drivers. A rigor o nico que obrigatrio PPP: Suporte a servios PPP como PPPoE, , L2TP, PPTP, etc.. DHCP: Cliente e Servidor DHCP Advanced-tools: Ferramentas de diagnstico, netwatch e outros ultilitrios Arlan: Suporte a uma antiga placa Aironet antiga arlan Calea: Pacote para vigilncia de conexes (Exigido somente nos EUA) GPS: Suporte a GPS ( tempo e posio ) HotSpot: Suporte a HotSpot ISDN: Suporte as antigas conexes ISDN LCD: Suporte a display LCD NTP: Servidor de horrio oficial mundial
13
Pacotes do RouterOS
Radiolan: Suporte a placa RadioLan RouterBoard: Utilitrio para RouterBoards Routing: Suporte a roteamento dinmico tipo RIP, OSPF, BGP RSTP-BRIGE-TEST: Protocolo RSTP Security: Suporte a ssh, IPSec e conexo segura do winbox Synchronous: suporte a placas sncronas Moxa, , Cyclades PC300, etc... Telephony: Pacote de suporte a telefnia protocolo h.323 UPS: Suporte as no-breaks APC User-Manager: Servio de autenticao User-Manager Manager Web-Proxy: Servio Web-Proxy Wireless: Suporte a placas Atheros e PrismII Wireless-legacy: Suporte as placas antigas Atheros, , PrismII e Aironet
14
Instalando pelo CD
Pode-se se selecionar os pacotes desejados usando a barra de espaos ou a para todos. Em seguida pressione i para instalar os pacotes selecionados. Caso haja configuraes pode-se mant-las las pressionando y.
15
16
Primeiro acesso
O processo de instalao no configura IP no Mikrotik. Portanto o primeiro acesso pode ser feito das seguintes maneiras:
Direto no console (em pcs) Via terminal Via telnet de MAC, atravs de outro Mikrotik ou sistema que suporte telnet de MAC e esteja no mesmo barramento fsico de rede Via Winbox
19
Console no Mikrotik
Atravs do console do Mikrotik possvel acessar todas configuraes do sistema de forma hierrquica conforme os exemplos abaixo:
Acessando o menu interface [admin@MikroTik] > interface [admin@MikroTik] interface > ethernet Para retornar ao nvel anterior basta digitar .. [admin@MikroTik] interface ethernet> .. [admin@MikroTik] interface > Para voltar ao raiz digite / [admin@MikroTik] interface ethernet> / [admin@MikroTik] >
20
Console no Mikrotik
? Mostra um help para o diretrio em que se esteja ? Aps um comando incompleto mostra as opes disponveis para o comando Comandos podem ser completados com a tecla TAB Havendo mais de uma opo para o j digitado, pressione TAB 2 vezes para mostrar as opes disponveis
21
Console no Mikrotik
Comando PRINT mostra informaes de configurao:
[admin@MikroTik] > interface ethernet> print Flags: X - disabled, R - running, S - slave # NAME MTU MAC-ADDRESS ARP 0 R ether1 1500 00:0C:42:34:F7:02 enabled
MASTER-PORT
SWITCH
[admin@MikroTik] > interface ethernet> print detail 0 R name="ether1" mtu=1500 l2mtu=1526 mac-address=00:0C:42:34:F7:02 mac arp=enabled auto-negotiation=yes full-duplex=yes duplex=yes speed=100Mbps
22
Console no Mikrotik
possvel monitorar o status das interfaces com o seguinte comando: [guilherme@MKT] > interface wireless monitor wlan1 status: running-ap band: 5ghz frequency: 5765MHz noise-floor: -112dBm overall-tx-ccq: 93% registered-clients: 8 authenticated-clients: 8 current-ack-timeout: 33 nstreme: no current-tx-powers: : 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
23
Console no Mikrotik
Comandos para manipular regras
add, , set, remove: adiciona, muda e remove regras; disabled: desabilita regra sem deletar; move: move a regra cuja a ordem influncia.
Comando Export
Exporta todas as configuraes do diretoria acima; Pode ser copiado e colado em um editor de textos; Pode ser exportado para arquivo.
Comando Import
Importa um arquivo de configurao criado pelo comando export.
24
WINBOX
Winbox o utilitrio para administrao do Mikrotik em modo grfico. Funciona em Windows. Para funcionar no Linux necessrio a instalao do emulador Wine. . A comunicao feita pela porta TCP 8291 e caso voc habilite a opo Secure Mode a comunicao ser criptografada. Para baixar o winbox acesse o link: http://www.mikrotik.com/download.html
25
26
27
u desfaz todas as configuraes anteriores feitas em modo seguro e pe a presente sesso em modo seguro d deixa tudo como est r mantm as configuraes no modo seguro e pe a sesso em modo seguro. O outro usurio receber a seguinte mensagem:
Safe Mode Released by another user
28
29
Manuteno do Mikrotik
Atualizao Gerenciando pacotes Backup Informaes sobre licenciamento
30
Atualizaes
As atualizaes podem ser feitas a partir de um conjunto de pacotes combinados ou individuais. Os arquivo tem extenso .npk e para atualizar a verso basta fazer o upload para o diretrio raiz e efetuar um reboot. O upload pode ser feito por FTP ou copiando e colando pelo Winbox.
31
Pacotes
Adicionar novas funcionalidades podem ser feitas atravs de alguns pacotes que no fazem parte do conjunto padro de pacotes combinado. Esses arquivos tambm possuem extenso .npk . e para instal-los los basta fazer o upload para o Mikrotik e efetuar um reboot do sistema. Alguns pacotes como User User Manager e Multicast so exemplos de pacotes adicionais que no fazem parte do pacote padro.
32
Pacotes
Alguns pacotes podem ser habilitados e desabilitados conforme sua necessidade.
Pacote desabilitado Pacote marcado para ser desabilitado Pacote marcado para ser habilitado
33
Backup
Para efetuar o backup basta ir em Files e clicar no boto Backup. Para restaurar o backup basta selecionar o arquivo e clicar em Restore. Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup por partes use o comando export.
34
Licenciamento
A chave gerada sobre um software-id fornecido pelo sistema. A licena fica vinculada ao HD ou Flash e/ou placa me. A formatao com outras ferramentas muda o software-id causa a perda da licena.
35
Dvidas ???
36
37
38
Camada II - Enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao meio e correes de erros da camada I. Endereamento fsico se faz pelos endereos MAC (Controle de Acesso ao Meio) que so nicos no mundo e que so atribudos aos dispositivos de rede. Ethernets e PPP so exemplos de dispositivos que trabalham em camada II.
40
Endereo MAC
o nico endereo fsico de um dispositivo de rede usado para comunicao com a rede local Exemplo de endereo MAC: 00:0C:42:00:00:00
41
Endereo IP
o endereo lgico de um dispositivo de rede usado para comunicao entre redes Exemplo de endereo ip: : 200.200.0.1
43
Sub Rede
uma faixa de endereos IP que divide as redes em segmentos Exemplo de sub rede: 255.255.255.0 ou /24 O endereo de REDE o primeiro IP da sub rede O endereo de BROADCAST o ltimo IP da sub rede Esses endereos so reservados e no podem ser usados
End. IP/Mscara 192.168.1.0/23 192.168.1.1/24 192.168.1.1/25 192.168.1.1/26 End. de Rede 192.168.0.0 192.168.1.0 192.168.1.0 192.168.1.0 End. Broadcast 192.168.1.255 192.168.1.255 192.168.1.127 192.168.1.63
44
Endereamento CIDR
45
Camada IV - Transporte
Quando no lado do remetente responsvel por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede. No lado do destinatrio pega pega os pacotes recebidos da camada de rede, remonta os dados originais e os envia para camada superior. Esto na camada IV: TCP, UDP, RTP
47
Camada IV - Transporte
Protocolo TCP:
O TCP um protocolo de transporte que executa importantes funes para garantir que os dados sejam entregues de forma confivel, ou seja, sem que os dados sejam corrompidos ou alterados.
Protocolo UDP:
O UDP um protocolo no orientado a conexo e portanto mais rpido que o TCP. Entretanto no garante a entrega dos dados.
48
UDP
Servio sem conexo. No estabelecida conexo entre os hosts. No garante ou no confirma entrega dos dados. Programas que usam UDP so responsveis pela confiabilidade dos dados. Rpido, exige poucos recursos e oferece comunicao ponto a ponto e multiponto.
50
51
Portas TCP
Protocolo TCP
FTP Porta 21
SSH Porta 22
Telnet Porta 23
WEB Porta 80
O uso de portas, permite o funcionamento de vrios servios, ao mesmo tempo, no mesmo computador, trocando informaes com um ou mais servios/servidores. Portas abaixo de 1024 so registradas para servios especiais.
52
Dvidas ????
53
DIAGRAMA INICIAL
54
Configurao do Router
Adicione os ips as interfaces
Configurao do Router
Adicione a rota padro
3 1 4
56
Configurao do Router
Adicione o servidor DNS
1 3 2 4
57
Configurao do Router
Configurao da interface wireless
58
Teste de conectividade
Pingar a partir da RouterBoard o seguinte ip: 192.168.X.254 Pingar a partir da RouterBoard o seguinte endereo: www.mikrotik.com; Pingar a partir do notebook o seguinte ip: 192.168.X.254 Pingar a partir do notebook o seguinte endereo: www.mikrotik.com; Analisar os resultados
59
Utilizao do NAT
O mascaramento a tcnica que permite que vrios hosts de uma rede compartilhem um mesmo endereo IP de sada do roteador. No Mikrotik o mascaramento feito atravs do Firewall na funcionalidade do NAT. Todo e qualquer pacote de dados de uma rede possui um endereo IP de origem e destino. Para mascarar o endereo, o NAT faz a troca do endereo IP de origem. Quando este pacote retorna ele encaminhando ao host que o originou.
61
Adicionar uma regra de NAT, mascarando as requisies que saem pela interface wlan1.
3 1
4
62
Teste de conectividade
Efetuar os testes de ping a partir do notebook; Analisar os resultados; Efetuar os eventuais reparos. Aps a confirmao de que tudo est funcionando, faa o backup da routerboard e armazene-o armazene no notebook. Ele ser usado ao longo do curso.
63
Gerenciando usurios
O acesso ao roteador pode ser controlado; Pode-se se criar usurios e/ou grupos diferentes;
1
64
Gerenciamento de usurios
Adicione um novo usurio com seu nome e d a ele acesso Full Mude a permisso do usurio admin para Read
Atualizando a RouterBoard
Faa o download dos pacotes no seguinte endereo: ftp://172.31.254.2 Faa o upload dos pacotes para sua RouterBoard Reinicie a RouterBoard para que os pacotes novos sejam instalados Confira se os novos pacotes foram instalados com sucesso.
66
Wireless no Mikrotik
67
Configuraes Fsicas
Padro IEEE 802.11b 802.11g 802.11a 802.11n Frequncia 2.4 Ghz 2.4 Ghz 5 Ghz 2.4 Ghz e 5 Ghz Tecnologia DSSS OFDM OFDM BQSP, QPSQ e QAM Velocidades 1, 2, 5.5 e 11 Mbps 6, 9, 12, 18, 24, 36, 48 e 54 Mbps 6, 9, 12, 18, 24, 36, 48 e 54 Mbps De 6.5Mbps at 600 Mbps
68
802.11b - DSSS
69
2.412 GHz
2.437 GHz
2.462 GHz
70
2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser usado somente em processo de migrao.
71
73
O modo 5Ghz permite ainda as variaes de uso em 10Mhz e 5Mhz de largura de banda que permite selecionar freqncias mais especificas, porm reduzindo a velocidade nominal. Permite ainda a seleo do modo turbo ou a/n dependendo do modelo do carto.
74
Menor troughput Maior nmero de canais Menor vulnerabilidade a interferncias Requer menor sensibilidade Aumenta o nvel de potncia de tx
75
Maior troughput Menor nmero de canais Maior vulnerabilidade a interferncias Requer maior sensibilidade Diminui o nvel de potncia de tx
76
Padro 802.11n
INDICE:
MIMO Velocidades do 802.11n Bonding do canal Agregao dos frames Configurao dos cartes Potncia de TX em cartes N Bridge transparente para links N utilizando MPLS/VPLS
77
MIMO
MIMO: Multiple Input and Multiple Output SDM: Spatial Division Multiplexing
Streams espaciais mltiplas atravs de mltiplas antenas.
79
Configurando no Mikrotik
HT Tx Chains / HT Rx Chains: No caso dos cartes n a configurao da antena ignorada. HT AMSDU Limit: Mximo AMSDU que o dispositivo pode preparar. HT AMSDU Threshold: Mximo tamanho de frame que permitido incluir em AMSDU.
82
Configurando no Mikrotik
HT Guard Interval: Intervalo de guarda. Any: Longo ou curto, dependendo da velocidade de transmisso. Longo: Intervalo longo. HT Extension Channel: Define se ser usado a extenso adicional de 20Mhz. Below: Abaixo do canal principal Above: Acima do canal principal HT AMPDU Priorities: Prioridades do frame para qual o AMPDU deve ser negociado e utilizado.
83
Configurando no Mikrotik
86
87
Enlaces n
Estabelea um link N com seu vizinho
default: No altera a potncia original do carto cards rates: Fixa mas respeita as variaes das taxas para cada velocidade all rates fixed: Fixa um valor para todas velocidades manual: permite ajustar potncias diferentes para cada velocidade
91
Quando a opo regulatory domain est habilitada, somente as frequncias permitidas para o pas selecionado em Country estaro disponveis. Alm disso o Mikrotik ajustar a potncia do rdio para atender a regulamentao do pas, levando em conta o valor em dBi informado em Antenna Gain. Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13
92
93
95
Compression: Recurso de compresso em Hardware disponvel em chipsets Atheros. . Melhora o desempenho se o cliente possuir este recurso e no afeta clientes que no possuam o recurso. Porm este recurso incompatvel com criptografia. 96
O ACK timeout o tempo que um dispositivo wireless espera pelo pacote Ack que deve ser transmitido para confirmar toda transmisso wireless.
Dynamic: O Mikrotik calcula dinamicamente o Ack de cada cliente mandando de tempos em tempos sucessivos pacotes com Ack timeouts diferentes e analisando as respostas. indoors: Valor constante para redes indoors. Pode-se se tambm fixar valores manualmente.
98
99
Escaneia o meio. Obs.: Qualquer operao de site survey causa queda das conexes estabelecidas.
100
101
Rx Quality: Potncia em dBm do ltimo pacote recebido Avg. Rx Quality: Potncia mdia dos pacotes recebidos Last Rx: Tempo em segundos do ltimo pacote recebido Tx Quality: Potncia do ltimo pacote transmitido Last TX: Tempo em segundos do ltimo pacote transmitido Correct: Nmero de pacotes recebidos sem erro
102
Com a ferramenta snooper possvel monitorar a carga de trfego em cada canal por estao e por rede. Scaneia as frequncias definidas em scan-list scan da interface
104
ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada. bridge: O mesmo que o o modo ap ap bridge porm aceitando somente um cliente. station: Modo cliente de um ap. No pode ser colocado em bridge com outras interfaces.
106
station pseudobridge: Estao que pode ser colocada em modo bridge, , porm sempre passa ao AP seu prprio MAC. station pseudobridge clone: Modo idntico ao anterior, porm passa ao AP um MAC pr determinado anteriormente. station wds: Modo estao que pode ser colocado em bridge com a interface ethernet e que passa os MACs de forma transparente. necessrio que o AP esteja em modo wds.
107
alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless escuta os pacotes que so mandados a ela por outros dispositivos trabalhando no mesmo canal. wds slave: Adqua suas configuraes conforme outro AP com mesmo SSID. nstreme dual slave: Ser visto no tpico especifico de nstreme.
108
Com as interfaces virtuais podemos montar vrias redes dando perfis de servio diferentes. Name: Nome da rede virtual MTU: Unidade mxima de transferncia(bytes) MAC: Endereo MAC do novo AP ARP: Modo de operao do protocolo ARP
Obs.: As demais configuraes so idnticas as de um AP.
109
Framer Policy
Dynamic size: O Mikrotik determina. Best fit: Agrupa at o valor em Frame Limit sem fragmentar. Exact Size: Agrupa at o valor em Frame Limit fragmentando se necessrio.
Enable Nstreme: Habilita o nstreme. Enable Polling: Habilita o mecanismo de polling. Recomendado. Disable CSMA: Desabilita o Carrier Sense. Sense Recomendado. Framer Limit: Tamanho mximo do pacote em bytes.
111
1 Colocar a interface em modo nstreme dual slave. 2 Adicionar uma interface Nstreme Dual e definir quem ser TX e quem ser RX.
Obs.: Utilize sempre canais distantes.
112
Prticas de RF recomendadas: Use antenas de qualidade, Polarizaes diferentes, canais distantes e mantenha uma boa distncia entre as antenas.
113
114
WDS a melhor forma garantir uma grande rea de cobertura wireless utilizando vrios APs e prover mobilidade sem a necessidade de re-conexo re dos usurios. Para tanto, todos os APs devem ter o mesmo SSID e mesmo canal. 115
A mgica do wds s possvel por conta do protocolo STP. Para evitar o looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de forma semelhante porm o RSTP mais rpido. O RSTP inicialmente elege uma root bridge e utiliza o algoritmo breadth-first search que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado. Normalmente habilitar o RSTP j suficiente para atingir os resultados. No entanto possvel interferir no comportamento padro, modificando custos, prioridades e etc...
116
Quando os custos so iguais eleita a porta com prioridade mais baixa. O custo da porta permite um caminho ser eleito em lugar do outro.
117
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta. A porta wireless est ativa somente quando existem hosts conectados a ela. Para evitar que os MACs fiquem variando, possvel atribuir um MAC manualmente.
118
WDS Mode
dynamic: As interfaces wds so adicionada dinamicamente quando um dispositivo wds encontra outro compatvel. static: As interfaces wds devem ser adicionadas manualmente apontando o MAC da outra ponta. (mesh): WDS com um algoritmo proprietrio para melhoria do link. S possui compatibilidade com outros dispositivos Mikrotik.
119
WDS / MESH
Altere o modo de operao da wireless para: ap-bridge WDS: Selecione o modo wds dynamic-mesh. WDS Default Bridge: Selecione a bridge criada. Obs:. Certifique-se que todos esto no canal 5180 e SSID: wds-lab.
120
A Access List utilizada pelo AP para restringir associaes de clientes. Esta lista contem os endereos MAC de clientes e determina qual ao deve ser tomada quando um cliente tenta conectar. A comunicao entre clientes da mesma interface, virtual ou real, tambm controlada na Access List.
121
1. Um cliente tenta se associar a uma interface wlan; 2. Seu MAC procurado na access list da interface wlan; 3. Caso encontrado, a ao especifica ser tomada:
Authentication: Define se o cliente poder se associar ou no; Fowarding: : Define se os clientes podero se comunicar. 122
123
125
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem o broadcast de seu SSID nos pacotes chamados beacons. . Este comportamento pode ser modificado no Mikrotik habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes Scanners passivos o descobrem facilmente pelos pacotes de probe request request dos clientes.
126
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer. Spoofar um MAC bem simples. Tanto usando windows, linux ou Mikrotik.
127
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia inicialmente especificado no padro 802.11 e est baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia. Vrias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo vrias ferramentas para quebrar a chave, como:
Airodump Airreplay Aircrack
129
Fundamentos de Segurana
Privacidade
As informaes no podem ser legveis para terceiros.
Integridade
As informaes no podem ser alteradas quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz ser. Cliente AP: O cliente tem que se certificar que est conectando no AP correto. Um AP falso possibilita o chamado ataque do homem do meio.
130
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidos por tcnicas de criptografia. O algoritmo de criptografia de dados em WPA o RC4, porm implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se utiliza o AES. Para a integridade dos dados WPA usa TKIP(Algoritmo de Hashing Michael) e WPA2 usa CCMP(Cipher CCMP( Chaining Message Authentication Check CBC MAC)
131
134
138
140
Ponto de fragilidade
Se um atacante tem acesso fsico ao link entre o AP e o Radius ele pode tentar um ataque de fora bruta para descobrir a PMK. Uma forma de proteger este trecho usando um tnel L2TP.
144
EPA-TLS
Mtodo seguro, porm tambm no disponvel na maioria dos equipamentos. Em placas PCI possvel implement-lo.
146
Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visvel a usurios do Mikrotik.
147
149
Configurando o Radius
Arquivo users: (/etc/freeradius) #Sintaxe: # MAC # 000C42000001
Cleartext-Password Password:=MAC Mikrotik-Wireless Wireless-Psk = Chave_Psk Cleartext-Password Password:=000C42000001 Mikrotik-Wireless Wireless-Psk = 12341234 Cleartext-Password Password:=000C43000002 Mikrotik-Wireless Wireless-Psk = 2020202020ABC
150
000C42000002
Firewall no Mikrotik
152
Firewall
O firewall normalmente usado como ferramenta de segurana para prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de entrada, de sada e passante. Alm da segurana no firewall que sero desempenhadas diversas funes importantes como a classificao e marcao de pacotes para desenvolvimento de regras de QoS. A classificao do trfego feita no firewall pode ser baseada em vrios classificadores como endereos MAC, endereos IP, tipos de endereos IP, portas, TOS, tamanho do pacotes, etc...
153
Firewall - Opes
Filter Rules: Regras para filtro de pacotes. NAT: Onde feito a traduo de endereos e portas. Mangle: Marcao de pacotes, conexo e roteamento. Service Ports: Onde so localizados os NAT Helpers. Connections: Onde so localizadas as conexes existentes. Address List: Lista de endereos ips inseridos de forma dinmica ou esttica e que podem ser utilizadas em vrias partes do firewall. Layer 7 Protocols: Filtros de camada 7.
154
Interface de Saida
Deciso de Roteamento
Filtro Input
Filtro Output
Deciso de Roteamento
1. As regras de firewall so sempre processadas por canal, na ordem que so listadas de cima pra baixo. 2. As regras de firewall funcionam como expresses lgicas condicionais, ou seja: se <condio> ento <ao>. 3. Se um pacote no atende TODAS condies de uma regra, ele passa para a regra seguinte.
157
160
Alm dos canais padro o administrador pode criar canais prprios. Esta prtica ajuda na organizao do firewall. Para utilizar o canal criado devemos desviar o fluxo atravs de uma ao JUMP. No exemplo acima podemos ver 3 novos canais criados. Para criar um novo canal basta adicionar uma nova regra e dar o nome desejado ao canal.
161
Caso exista alguma regra de RETURN, o retorno feito de forma antecipada e as regras abaixo sero ignoradas.
A address list contm uma lista de endereos IP que pode ser utilizada em vrias partes do firewall. Pode-se se adicionar entradas de forma dinmica usando o filtro ou mangle conforme abaixo:
Aes:
add dst to address list: : Adiciona o IP de destino lista. add src to address list: : Adiciona o IP de origem lista.
Address List: Nome da lista de endereos. Timeout: Porque quanto tempo a entrada permanecer na lista.
165
166
/ip firewall filter add chain=input protocol=tcp dst-port=2771 action=add add-src-to-address-list address-list=knock \ address-list-timeout=15s comment="" disabled=no add chain=input protocol=tcp dst-port=7127 src-address address-list=knock action= add-src-to-address-list \ address-list=libera_winbox address-list-timeout=15m comment="" comment disabled=no add chain=input protocol=tcp dst-port=8291 src-address address-list=libera_winbox action=accept disabled=no add chain=input protocol=tcp dst-port=8291 action=drop drop disbled=no
167
168
Interface de Saida
Conntrack
Conntrack
Deciso de Roteamento
Filtro Input
Filtro Output
Deciso de Roteamento
Filtro Forward
170
172
174
175
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a IPs privados e uma boa prtica filtr-los. filtr
178
180
183
184
Firewall - NAT
NAT Network Address Translation uma tcnica que permite que vrios hosts em uma LAN usem um conjunto de endereos IPs para comunicao interna e outro para comunicao externa.
Firewall - NAT
As regras de NAT so organizadas em canais:
dstnat: : Processa o trfego enviado PARA o roteador e ATRAVS do roteador, antes que ele seja dividido em INPUT e/ou FORWARD. srcnat: : Processa o trfego enviado A PARTIR do roteador e ATRAVS do roteador, depois que ele sai de OUTPUT e/ou FORWARD.
187
Interface de Saida
dstnat
Conntrack
srcnat
Deciso de Roteamento
Filtro Input
Filtro Output
Deciso de Roteamento
Filtro Forward
188
Firewall - NAT
Source NAT: A ao mascarade troca o endereo IP de origem de uma determinada rede pelo endereo IP da interface de sada. Portanto se temos, por exemplo, a interface ether2 com endereo IP 185.185.185.185 e uma rede local 192.168.0.0/16 por trs da ether1, podemos fazer o seguinte:
Desta forma, todos os endereos IPs da rede local vo obter acesso a internet utilizando o endereo IP 185.185.185.185
189
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional direcional a um determinado endereo IP. Dessa forma, um endereo IP de rede local pode ser acessado atravs de um IP pblico e vice-versa. vice
190
Firewall - NAT
Redirecionamento de portas: O NAT nos possibilita redirecionar portas para permitir acesso a servios que rodem na rede interna. Dessa forma podemos dar acesso a servios de clientes sem utilizao de endereo IP pblico.
Redirecionamento para acesso ao servidor WEB do cliente 192.168.100.10 pela porta 6380. Redirecionamento para acesso ao servidor WEB do cliente 192.168.100.20 pela porta 6480.
191
Firewall - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso bi-direcional direcional de rede para rede. Com isso podemos mapear, por exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
192
Hosts atrs de uma rede nateada no possuem conectividade fim-afim verdadeira. Por isso alguns protocolos podem no funcionar corretamente neste cenrio. Servios que requerem iniciao de conexes TCP fora da rede, bem como protocolos stateless como UDP, podem no funcionar. Para resolver este problema, a implementao de NAT no Mikrotik prev alguns NAT Helpers que tm a funo de auxiliar nesses servios.
193
Firewall Mangle
O mangle no Mikrotik uma facilidade que permite a introduo de marcas em pacotes IP ou em conexes, com base em um determinado comportamento especifico. As marcas introduzidas pelo mangle so utilizadas em processamento futuro e delas fazem uso o controle de banda, QoS, NAT, etc... Elas existem somente no roteador e portanto no so passadas para fora. Com o mangle tambm possvel manipular o determinados campos do cabealho IP como o ToS, , TTL, etc...
194
Firewall Mangle
As regras de mangle so organizadas em canais e obedecem as mesma regras gerais das regras de filtro quanto a sintaxe. Tambm possvel criar canais pelo prprio usurio. Existem 5 canais padro:
prerouting: Marca antes da fila Global-in; Global postrouting: Marca antes da fila Global-out; input: Marca antes do filtro input; output: Marca antes do filtro output; forward: Marca antes do filtro forward;
195
Interface de Saida
Mangle Input
Mangle Output
Mangle Prerouting
Deciso de Roteamento
Deciso de Roteamento
Mangle Postrouting
Mangle Forward
196
Firewall Mangle
As opes de marcaes incluem:
mark-connection: Marca apenas o primeiro pacote. mark-packet: Marca todos os pacotes. mark-routing: Marca pacotes para poltica de roteamento. Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo tempo. Porm no pode conter 2 marcas iguais.
197
Firewall Mangle
Marcando conexes:
Use mark-connection para identificar uma ou um grupo de conexes com uma marca especifica de conexo. Marcas de conexo so armazenadas na contrack. S pode haver uma marca de conexo para cada conexo. O uso da contrack facilita na associao de cada pacote a uma conexo especfica.
198
Firewall Mangle
Marcando rotas:
As marcas de roteamento so aproveitadas para determinar polticas de roteamento. A utilizao dessas marcas ser abordada no tpico do roteamento.
199
Firewall Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo continuo de pacotes. Marcas de pacotes so utilizadas para controle de trfego e estabelecimento de polticas de QoS.
200
Firewall Mangle
Marcando pacotes:
Indiretamente: Usando a facilidade da connection tracking, , com base em marcas de conexo previamente criadas. Esta a forma mais rpida e eficiente. Diretamente: Sem o uso da connection tracking no necessrio marcas de conexes anteriores e o roteador ir comparar cada pacote com determinadas condies.
201
Firewall Estrutura
202
203
Firewall - Mangle
Um bom exemplo da utilizao do mangle marcando pacotes de conexes P2P.
Aps marcar a conexo, agora precisamos marcar os pacotes provenientes desta conexo.
204
Firewall - Mangle
Com base na conexo j marcada anteriormente, podemos fazer as marcaes dos pacotes.
Obs.: A marcao de P2P disponibilizada no Mikrotik no inclui os programas que usam criptografia.
205
Firewall - Mangle
possvel disponibilizar um modelo simples de QoS utilizando o mangle. Para isso precisamos marcar os seguintes fluxos:
Navegao http e https; FTP Email MSN ICMP P2P Demais servios
206
Dvidas ???
207
208
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o uso da largura de banda disponvel. O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de tecnologias "voz sobre ip" (VoIP), ), que permitem a conversao telefnica atravs da internet. O uso desta tecnologia permite que a comunicao entre localidades distintas tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns. No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas utilizam programas de gesto de dados que acompanham e analisam a utilizao e priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente adotada para outros tipos de servios, conhecidos por demandar grande utilizao da largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP. Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores, capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador, bloqueando redes peer-to-peer (P2P) ou FTP.
210
Qualidade de Servio
No campo das telecomunicaes e redes de computadores, computadores o termo Qualidade de Servio (QoS) pode tender para duas interpretaes relacionadas, mas distintas. Em redes de comutao de circuitos, , refere-se refere probabilidade de sucesso em estabelecer uma ligao a um destino. Em redes de comutao de pacotes refere-se garantia de largura de banda ou, como em muitos casos, utilizada informalmente para referir a probabilidade de um pacote circular entre dois pontos de rede. Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurana substancial. simples e eficaz, mas na prtica assumido como dispendioso, e tende a ser ineficaz se o valor de pico aumentar alm do previsto: reservar recursos gasta tempo. O segundo mtodo o de obrigar os provedores a
reservar os recursos, e apenas aceitar as reservas se os routers conseguirem servi-las las com confiabilidade. Naturalmente, as reservas podem ter um custo monetrio associado!
211
Qualidade de Servio
Os mecanismos para prover QoS no Mikrotik so:
Limitar banda para certos IPs, IPs subredes, protocolos, servios e outros parmetros. Limitar trfego P2P. Priorizar certos fluxos de dados em relao a outros. Utilizar bursts para melhorar o desempenho web. Compartilhar banda disponvel entre usurios de forma ponderada dependendo da carga do canal. Utilizao de WMM Wireless Multimdia. MPLS Multi Protocol Layer Switch
212
Qualidade de Servio
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc): Disciplina de enfileiramento. um algoritmo que mantm e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem, podendo inclusive reorden-los, los, e determina quais pacotes sero descartados. Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. a garantia de banda fornecida a um circuito ou link. Max Limit ou MIR(Maximal Information Rate): Taxa mxima de dados que ser fornecida. Ou seja, limite a partir do qual os pacotes sero descartados. Priority: a ordem de importncia que o trfego processado. Pode-se se determinar qual tipo de trfego ser processado primeiro.
213
Filas - Queues
Para ordenar e controlar o fluxo de dados, aplicada uma poltica de enfileiramento aos pacotes que estejam deixando o roteador. Ou seja: As filas so aplicadas na interface onde o fluxo est saindo. A limitao de banda feita mediante o descarte de pacotes. No caso do protocolo TCP, os pacotes descartados sero reenviados, de forma que no h com que se preocupar com relao a perda de dados. O mesmo no vale para o UDP.
214
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados por uma disciplina de filas(queue types). ). Por padro as disciplinas de filas so colocadas sob queue interface para cada interface fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro da interface, definida em queue interface, no ser mantida. Isso significa que quando um pacote no encontra qualquer filtro, ele enviado atravs da interface com prioridade mxima. 215
Tipos de filas
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar pacotes na medida em que os mesmos chegam na interface. As disciplinas de filas so classificadas pela sua influncia no fluxo de pacotes da seguinte forma:
Schedulers: (Re) ordenam pacotes de acordo com um determinado algoritmo e descartam aqueles que se enquadram na disciplina. As disciplinas schedulers so: PFIFO, BFIFO, SFQ, PCQ e RED. Shapers: Tambm fazem limitao. Esses so: PCQ e HTB.
216
Controle de trfego
217
Controle de trfego
O controle de trfego implementado atravs de dois mecanismos:
Pacotes so policiados na entrada:
Pacotes indesejveis so descartados.
218
Controle de trfego
O controle de trfego implementado internamente por 4 tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes. Ex.: FIFO.
Classes:
Representam entidades de classificao de pacotes. Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pacotes e atribu-los atribu as classes.
Policers:
Utilizados para evitar que o trfego associado a cada filtro ultrapasse limites pr-definidos.
219
220
221
Os pacotes podem ser classificados em 1024 sub-filas, sub e em seguida o algoritmo round roubin distribui a banda disponvel para estas sub-filas, sub a cada rodada configurada no parmetro allot(bytes). No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses TCP e streaming UDP) quando o link(interface) est completamente cheio. Se o link no est cheio, ento no haver fila e, portanto, qualquer efeito, a no ser quando combinado com outras disciplinas (qdisc).
222
223
224
225
QoS - HTB
Hierarchical Token Bucket uma disciplina de enfileiramento hierrquico que usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos de trfego em diferentes links virtuais. Em outras palavras, o HTB muito til para limitar download e upload de usurios em uma rede. Desta forma no existe saturamento da largura de banda disponvel no link fsico. Alm disso, no Mikrotik, utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais filhas. As que no tem filhas so colocadas no level 0, onde as filas so mantidas e chamadas de leafs class. Cada classe na hierarquia pode priorizar e dar forma ao trfego.
226
QoS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps Queue02 limit-at=4Mbps max-limit=10Mbps Queue03 limit-at=6Mbps max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5 Queue03 ir receber 6Mbps Queue04 ir receber 2Mbps Queue05 ir receber 2Mbps Obs.: Neste exemplo o HTB foi configurado de modo que, satisfazendo todas as garantias, a fila pai no possuir nenhuma capacidade para distribuir mais banda caso seja solicitado por uma filha.
227
QoS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps Queue02 limit-at=8Mbps max-limit=10Mbps Queue03 limit-at=2Mbps max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5 Queue03 ir receber 2Mbps Queue04 ir receber 6Mbps Queue05 ir receber 2Mbps Obs.: Aps satisfazer todas garantias, o HTB disponibilizar mais banda, at o mximo permitido para a fila com maior prioridade. Mas, neste caso, permitir-se uma reserva de 8M para as filas Queue04 e Queue05, as quais, a que possuir maior prioridade receber primeiro o adicional de banda, pois a fila Queue2 possui garantia de banda atribuida.
228
QoS - HTB
Termos do HTB:
Filter: Um processo que classifica pacotes. Os filtros so responsveis pela classificao dos pacotes para que eles sejam colocados nas correspondentes qdisc. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente nas qdiscs, sem atravessar a rvore HTB. Se um pacote no est classificado em nenhuma das qdiscs, enviado a interface diretamente, por isso nenhuma regra HTB aplicada aos pacotes. Level: Posio de uma classe na hierarquia. Class: Algoritmo de limitao no fluxo de trfego para uma determinada taxa. Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais subsub classes(inner class) ou apenas uma e um qdisc(leaf classe).
229
QoS - HTB
Estados das classes HTB:
Cada classe HTB pode estar em um dos 3 estados, dependendo da banda que est consumindo:
Verde: de 0% a 50% da banda disponvel est em uso. Amarelo: de 51% a 75% da banda disponvel est em uso. Vermelho: de 76% a 100% da banda disponvel est em uso. Neste ponto comeam os descartes de pacotes que se ultrapassam o max-limit.
230
QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro locais diferentes.
Interfaces:
Global-in: Representa todas as interfaces de entrada em geral(INGRESS queue). As filas atreladas Global-in recebem todo trfego entrante no roteador, antes da filtragem de pacotes. Global-out: Representa todas as interfaces de saida em geral(EGRESS queue). As filas atreladas Global-out recebem todo trfego que sai do roteador. Global-total: Representa uma interface virtual atravs do qual se passa todo fluxo de dados. Quando se associa uma politca de filas Global-total, a limitao feita em ambas direes. Por exemplo se configurarmos um totalmax-limit de 300kbps, teremos um total de download+upload download+ de 300kbps, podendo haver assimetria. Interface X: Representa uma interface particular. Somente o trfego que configurado para sair atravs desta interface passar atravs da fila HTB.
231
Interface de Saida
Mangle Prerouting
Mangle Input
Mangle Output
Global-out
Global-in
Deciso de Roteamento
Deciso de Roteamento
Mangle Posrouting
Mangle Forward
232
Filas simples
233
Os parmetros que controlam o burst so: burst-limit: Limite mximo que o burst alcanar. burst-time: Tempo que durar o burst. burst burst-threshold: Patamar para comear a limitar. max-limit: MIR
234
Inicialmente dado ao cliente a banda burst-limit=512kbps burst . O algoritmo calcula a taxa mdia de consumo de banda durante o burst-time de 8 segundos.
Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold. Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do threshold. Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde acaba o burst.
Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou conexo em particular. Para utilizar o PCQ, um novo tipo de fila deve ser adicionado com o argumento kind=pcq. Devem ainda ser escolhidos os seguintes parmetros:
pcq-classifier pcq-rate
236
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as subqueues no so limitadas, ou seja, elas podero usar a largura mxima de banda disponvel em max-limit. Caso 2: Se configurarmos um rate para a PCQ as subqueues sero limitadas nesse rate, at o total de max-limit.
Caso 1 Caso 2
237
Utilizao do PCQ
Nesse caso, com o rate da fila 128k, no existe limit-at e tem um max-limit de 512k, os clientes recebero a banda da seguinte forma:
238
Utilizao do PCQ
Nesse caso, com o rate da fila 0, no existe limit-at e tem um max-limit de 512k, os clientes recebero a banda da seguinte forma:
239
Arvores de Fila
Trabalhar com rvores de fila uma maneira mais elaborada de administrar o trfego. Com elas possvel construir sob medida uma hierarquia de classes, onde poderemos configurar as garantias e prioridades de cada fluxo em relao outros, determinando assim uma poltica de QoS para cada fluxo do roteador. Os filtros de rvores de filas so aplicados na interface especifica. Os filtros so apenas marcas que o firewall faz no fluxo de pacotes na opo mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no roteador. A rvore de fila tambm a nica maneira para adicionar uma fila em uma interface separada. Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego globalin e/ou global-out, limitao por cliente na interface de sada. Se configurado filas simples e rvores de filas no mesmo roteador, as filas simples recebero o trfego primeiro e em seguida o classficaro. classficaro
240
Arvores de Fila
As rvores de fila so configuradas em queue tree. Dentre as propriedades configurveis podemos destacar:
Escolher uma marca de trfego feita no firewall mangle; parente-class ou interface de sada; Tipo de fila; Configuraes de limit-at, max-limit, priority e burst.
241
Arvores de Fila
QUEUE Q1 Q2 Q3 Q4 Q5 MARCA C1 C2 C3 C4 C5 LIMITLIMIT-AT 10M 1M 1M 1M 1M MAX-LIMIT 30M 30M 30M 30M 30M PRIORITY 8 8 8 8 8
242
Arvores de Fila
243
Arvores de Fila
C1 possui maior prioridade, portanto consegue atingir o max-limit. O restante da banda dividida entre as outras leaf-queue leaf .
244
Dvidas???
245
Tneis e VPN
246
VPN
Uma Rede Privada Virtual uma rede de comunicaes privada normalmente utilizada por uma empresa ou conjunto de empresas e/ou instituies, construdas em cima de uma rede pblica. O trfego de dados levado pela rede pblica utilizando protocolos padro, no necessariamente seguros. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade, autenticao e integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras.
247
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos como a internet por exemplo. Promover acesso seguro sobre linhas dedicadas, wireless, etc... Promover acesso seguro a servios em ambiente corporativo de correio, impressoras, etc... Fazer com que o usurio, na prtica, se torne parte da rede corporativa remota recebendo IPs desta e perfis de segurana definidos. A base da formao das VPNs o tunelamento entre dois pontos, porm tunelamento no sinnimo de VPN.
248
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois hosts por onde trafegam dados. O Mikrotik implementa diversos tipos de tunelamento, podendo ser tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol) PPPoE (Point to Point Protocol over Ethernet) PPTP (Point to Point Tunneling Protocol) Protocol L2TP (Layer 2 Tunneling Protocol) OVPN (Open Virtual Private Network) IPSec (IP Security) Tneis IPIP Tneis EoIP Tneis VPLS Tneis TE
249
250
252
254
2.
Local Address = Endereo IP do concentrado. Remote Address = Pool do pppoe. /ppp profile local-address=172.16.0.1 name=perfilpppoe remote-address=pool-pppoe
255
256
258
Segurana no PPPoE
Para assegurar um servidor PPPoE podese utilizar Filtros de Bridge, configurando a entrada ou repasse dos protocolos pppoe-discovery e pppoe-session e descartando os demais. Mesmo que haja somente uma interface, ainda sim possvel utilizar os Filtros de Bridge, bastando para tal, criar uma Bridge e associar em Ports apenas esta interface. Em seguida alterar no PPPoE Server a interface de esculta.
262
AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um. Service: Nome do servio designado no servidor PPPoE. Dial On Demand: Disca sempre que gerado trfego de sada. Add Default Route: Adiciona um rota padro(default). User Peer DNS: Usa o DNS do servidor PPPoE. . 263
PPTP e L2TP
L2TP Layer 2 Tunnel Protocol: : Protocolo de tunelamento em camada 2 um protocolo de tunelamento seguro para transportar trfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma criptografada ou no e permite enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos. O trfego L2TP utiliza protocolo UDP tanto para controle como para pacote de dados. A porta UDP 1701 utilizada para o estabelecimento do link e o trfego em si utiliza qualquer porta UDP disponvel, o que significa que o L2TP pode ser usado com a maioria dos Firewalls e Routers, Routers funcionando tambm atravs de NAT. L2TP e PPTP possuem as mesma funcionalidades.
264
Configure um pool, um perfil para o PPTP, adicione um usurio em secrets 265 e habilite o servidor PPTP conforme as figuras.
As configuraes para o cliente PPTP e L2TP so bem simples, conforme observamos nas imagens.
267
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio protocolo IP baseado na RFC 2003. um protocolo simples que pode ser usado pra interligar duas intranets atravs da internet usando 2 roteadores. A interface do tnel IPIP aparece na lista de interfaces como se fosse uma interface real. Vrios roteadores comerciais, incluindo CISCO e roteadores baseados em Linux suportam esse protocolo. Um exemplo prtico de uso do IPIP seria a necessidade de monitorar hosts atravs de um NAT, onde o tnel IPIP colocaria a rede privada disponvel para o host que realiza o monitoramento, sem a necessidade de criar usurio e senha como nas VPNs.
268
Tneis IPIP
Supondo que temos que unir as redes que esto por trs dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta criemos as interfaces IPIP em ambos, da seguinte forma:
269
Tneis IPIP
Agora precisamos atribuir os IPs as interfaces criadas.
Aps criado o tnel IPIP as redes fazem parte do mesmo domnio de broadcast.
270
Tneis EoIP
EoIP(Ethernet over IP) um protocolo proprietrio Mikrotik para encapsula mento de todo tipo de trfego sobre o protocolo IP. Quando habilitada a funo de Bridge dos roteadores que esto interligados atravs de um tnel EoIP, , todo o trfego passado de uma lado para o outro de forma transparente mesmo roteado pela internet e por vrios protocolos. O protocolo EoIP possibilita:
Interligao em bridge de LANs remotas atravs da internet. Interligao em bridge de LANs atravs de tneis criptografados.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.
271
Tneis EoIP
Criando um tnel EoIP entre as redes por trs dos roteadores 10.0.0.1 e 22.63.11.6. Os MACs devem ser diferentes e estar entre o rage: 00-00-5E-80-00-00 e 00-005E-FF-FF-FF, pois so endereos reservados para essa aplicao. O MTU deve ser deixado em 1500 para evitar fragmentao. O tnel ID deve ser igual para ambos.
272
Tneis EoIP
Adicione a interface EoIP a bridge, juntamente com a interface que far parte do mesmo dominio de broadcast.
273
Dvidas ????
274
HotSpot no Mikrotik
275
HotSpot
HotSpot um termo utilizado para se referir a uma rea pblica onde est disponvel um servio de acesso a internet, normalmente atravs de uma rede sem fio wi-fi. Aplicaes tpicas incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc... O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a uma rede qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha. Quando em uma rea de cobertura de um HotSpot, um usurio que tente navegao pela WEB arremetido para uma pgina do HotSpot que pede suas credencias, normalmente usurio e senha. Ao fornec-las fornec e sendo um cliente autorizado pelo HotSpot o usurio ganha acesso internet podendo sua atividade ser controlada e bilhetada.
276
HotSpot
1. Setup do HotSpot: Escolha a interface que vai ouvir o hotspot. Escolha o IP em que vai rodar o hotspot e indique se a rede ser mascarada. D um pool de endereos que sero distribudos para os usurios do hotspot. Selecione um certificado, caso queira usar.
2.
3.
4.
277
HotSpot
5. 6. Setup do HotSpot(cont.): Indique o endereo IP do seu servidor smtp, caso queira. D o endereo IP dos servidores DNS que iro resolver os nomes para os usurios do hotspot. D o nome do DNS que ir responder aos clientes ao invs do IP. Adicione um usurio padro.
7.
8.
HotSpot
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila especifica para o HotSpot.
279
Address Per MAC: Nmero de IPs permitidos para um determinado MAC. Idle Timeout: Mximo perodo de tempo de inatividade para clientes autorizados. utilizado para detectar os clientes que esto to conectados mas no esto trafegando dados. Atingindo o tempo configurado, o cliente retirado da lista dos hosts autorizados. O tempo contabilizado levando em considerao o momento da desconexo menos o tempo configurado.
Keepalive Timeout: Utilizado para detectar se o computador do cliente est ativo e respondendo. Caso nesse perodo de tempo o teste falhe, o usurio tirado da tabela de hosts e o endereo IP que ele estava usando liberado. O tempo contabilizado levando em considerao o momento da desconexo menos o tempo configurado.
280
281
Split User Domain: Corta o domnio do usurio no caso de usuario@hotspot.com HTTP Cookie Lifetime: Tempo de vida dos cookies. .
282
283
Exemplo: : 128k/256k 256k/512k 96k/192k 8 6 32k/64k 128k de upload / 256k de download 256k de upload burst / 512k de download burst 96k threshould de upload / 192k threshloud de download 8 segundos de burst 6 de prioridade 32k de garantia de upload / 64k de garantia de download
285
286
Advertise Interval: Intervalo de tempo de exibio de popups. Depois da sequncia terminada, usa sempre o intervalo. Advertise Timeout: Quanto tempo deve esperar para o anncio ser mostrado, antes de bloquear o acesso a rede.
HotSpot Usurios
289
HotSpot Usurios
Server: all para todos hotspots ou para um especfico. Name: Nome do usurio. Se o modo Trial estiver ativado o hotspot colocar automaticamente o nome T MAC_Address. . No caso de autenticao por MAC, o mesmo deve ser adicionado como username sem senha. Address: Endereo IP caso queira vincular esse usurio a um endereo fixo. MAC Address: Caso queira vincular esse usurio a um endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades. Routes: Rotas que sero adicionadas ao cliente quando se conectar. Sintaxe: Endereo destino gateway metrica. . Vrias rotas separadas por vrgula podem ser adicionadas.
290
HotSpot Usurios
Limit Uptime: Limite mximo de tempo de conexo para o usurio. Limit Bytes In: Limite mximo de upload para o usurio. Limit Bytes Out: Limite mximo de download para o usurio. Limit Bytes Total: Limite mximo considerando o download + upload. upload Na aba das estatsticas possvel acompanhar a utilizao desses limites.
291
HotSpot Active
Mostra dados gerais e estatsticas de cada usurio conectado.
292
HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta facilidade denominada DAT na AP 2500 e eezee no StarOS. possivel tambm fazer tradues NAT estticas com base no IP original, ou IP da rede ou MAC do cliente. possvel tambm permitir certos endereos contornarem a autenticao do hotspot. . Ou seja, sem ter que logar na rede inicialmente. Tambm possvel fazer bloqueio de endereos.
293
HotSpot IP Bindings
MAC Address: mac original do cliente. Address: Endereo IP do cliente. To Address: Endereo IP o qual o original deve ser traduzido. Server: Servidor hotspot o qual a regra ser aplicada. Type: Tipo do Binding
Regular: faz traduo regular 1:1 Bypassed: faz traduo mas dispensa o cliente de logar no hotspot. Blocked: a traduo no ser feita e todos os pacotes sero bloqueados.
294
HotSpot Ports
A facilidade NAT do hotspot causa problemas com alguns protocolos incompatveis com NAT. Para que esses protocolos funcionem de forma consistente, devem ser usados os mdulos helpers. No caso do NAT 1:1 o nico problema com relao ao mdulo de FTP que deve ser configurado para usar as portas 20 e 21.
295
297
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado coringas. Tambm possvel utilizar expresses regulares devendo essas ser iniciadas com (:)
298
299
HotSpot Cookies
Quando configurado o login por cookies, , estes ficam armazenados no hotspot com nome do usurio, MAC e tempo de validade. Enquanto estiverem vlidos o usurio no precisa efetuar o procedimento de login e senha. Podem ser deletados (-) ) forando assim o usurio a fazer o login novamente.
300
Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm disso possvel criar conjuntos completamente diferentes das pginas do hotspot para vrios perfis de usurios especificando diferentes diretrios raiz. As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina especifica. login.html pgina de login que pede usurio e senha ao cliente. Esta pgina tem os seguintes parmetros:
Username/password. Dst URL original que o usurio requisitou antes do redirecionamento e que ser aberta aps a autenticao do usurio. Popup Ser aberta uma janela popup quando o usurio se logar com sucesso.
301
Para utilizar o hotspot com HTTPS necessrio que se crie um certificado, assin-lo lo corretamente e em seguida import-lo import atravs do menu /system certificates.
302
Dvidas ????
303
Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas pelo usurio atravs de inseres pr-definidas pr em funo da topologia da rede. Roteamento dinmico: As rotas so geradas automaticamente atravs de um protocolo de roteamento dinmico ou de algum agregado de endereo IP.
O Mikrotik tambm suporta ECMP(Equal Equal Cost Multi Path) que um mecanismo que permite rotear pacotes atravs de vrios links e permite balancear cargas. possvel ainda no Mikrotik se estabelecer polticas de roteamento dando tratamento diferenciado a vrios tipos de fluxos a critrio do administrador.
304
Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos IP e portas. As marcas dos pacotes devem ser adicionadas no Firewall, no mdulo Mangle com mark-routing. Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindodirigindo os para um determinado gateway. possvel utilizar poltica de roteamento quando se utiliza NAT.
305
Polticas de Roteamento
Uma aplicao tpica de polticas de roteamento trabalhar com dois um mais links direcionando o trfego para ambos. Por exemplo direcionando trfego p2p por um link e trfego web por outro. impossvel porm reconhecer o trfego p2p a partir do primeiro pacote, mas to somente aps a conexo estabelecida, o que impede o funcionamento de programas p2p em casos de NAT de origem. A estrtegia nesse caso colocar como gateway default um link menos nobre, marcar o trfego nobre (http http, dns, pop, etc.) e desvia-lo pelo link nobre. Todas outras aplicaes, incluindo o p2p iro pelo link menos nobre.
306
Polticas de Roteamento
Exemplo de poltica de roteamento. O roteador nesse caso ter 2 gateways com ECMP e checkgateway. . Dessa forma o trfego ser balanceado e ir garantir o failover da seguinte forma:
/ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 check-gateway=ping gateway=ping
307
2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e os pacotes da rede lan2 para o gateway 10.112.0.1 usando as correspondentes marcas de pacotes da seguinte forma:
/ip routes add gateway=10.111.0.1 routing-mark=lan1 checkcheck gateway=ping /ip routes add gateway=10.112.0.1 routing-mark=lan2 checkcheck gateway=ping /ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway gateway=ping
192.168.10.0/24
192.168.20.0/24
308
309
Primeiro vamos marcar as conexes. Atente para a interface de entrada(clientes), o denominador(links) e o contador que inicia em zero.
311
312
313
Agora vamos marcar as rotas com base nas marcaes de conexes j feitas anteriormente. Atente agora para desmarcar a opo passthrough.
314
315
316
Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 3 gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1 317
Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma operao para as demais interfaces. 318
Roteamento Dinmico
O Mikrotik suporta os seguintes protocolos:
RIP verso 1 e 2; OSPF verso 2 e 3; BGP verso 4.
O uso de protocolos de roteamento dinmico permite implementar redundncia e balanceamento de links de forma automtica e uma forma de se fazer uma rede semelhante as redes conhecidas como Mesh, porm de forma esttica.
319
O protocolo BGP destinado a fazer comunicao entre AS(Autonomos System) diferentes, podendo ser considerado como o corao da internet. O BGP mantm uma tabela de prefixos de rotas contendo informaes para se encontrar determinadas redes entre os ASs. A verso corrente do BGP no Mikrotik a 4, especificada na RFC 1771.
320
OSPF - reas
O protocolo OSPF permite que vrios roteadores sejam agrupados entre si. Cada grupo formado chamado de rea e cada rea roda uma cpia do algoritmo bsico, e cada rea tem sua prpria base de dados do estado de seus roteadores. A diviso em reas importante pois como a estrutura de uma rea s visvel para os participantes desta, o trfego sensvelmente reduzido. Isso tambm previne o recalculo das distncias por reas que no participam da rea que promoveu alguma mudana de estado. aconselhavel utilizar no entre 50 e 60 roteadores em cada rea.
323
OSPF - Redes
Aqui definimos as redes OSPF com os seguintes parmetros:
Network: Endereo IP/Mascara, associado. Permite definir uma ou mais interfaces associadas a uma rea. Somente redes conectadas diretamente podem ser adicionadas aqui. Area: rea do OSPF associada.
324
OSPF - Opes
Router ID: Geralmente o IP do roteador. Caso no seja especificado o roteador usar o maior IP que exista na interface. Redistribute Default Route:
Never: nunca distribui rota padro. If installed (as type 1): Envia com mtrica 1 se tiver sido instalada como rota esttica, dhcp ou PPP. If installed (as type 2): Envia com mtrica 2 se tiver sido instalada como rota esttica, dhcp ou PPP. Always (as type 1): Sempre, com mtrica 1. Always (as type 2): Sempre, com mtrica 2.
325
OSPF - Opes
Redistribute Connected Routes: Caso habilitado, o roteador ir distribuir todas as rotas relativas as redes que estejam diretamente conectadas a ele. Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma esttica em /ip / routes. Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP. Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP. Na aba Metrics Metrics possvel modificar as mtricas que sero exportadas as diversas rotas.
326
OSPF
Considerando nosso diagrama inicial, vamos aplicar o OSPF em uma s rea e testar a funcionalidade. 327
Dvidas ????
328
Web Proxy
O web proxy uma tima ferramenta para fazer cache de objetos da internet e com isso economizar banda. Tambm possvel utilizar o web proxy como filtro de contedo sem a necessidade de fazer cache. Como o web proxy escuta todos ips do router, muito importante assegurar que somente clientes da rede local iro acess-lo. A boa prtica recomenda o uso de 20GB de cache para cada 1GB de memria RAM. Portanto com uma simples regra de 3 simples encontrar o valor ideal para a memria RAM do seu equipamento.
329
332
Received From Servers: Total de dados em Kibytes recebidos de servidores externos. Sent To Clients: Total de dados em Kibytes enviados ao clientes. Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos clientes.
333
Src. Address: Endereo IP das conexes remotas Dst. Address: Endereo destino que est sendo requisitado Protocol: Protocolo utilizado pelo navegador State: Status da conexo Tx Bytes: Total de bytes enviados Rx Bytes: Total de bytes recebidos remotamente
334
A lista de acesso permite controlar contedo que ser permitido ou no para armazenamento no cache do proxy. As regras adicionadas nesta lista so processadas de forma semelhante que as regras do firewall. Neste caso as regras iro processar as conexes e caso alguma conexo receba um match ela no ser mais processada pelas demais regras.
335
Src. Address: Endereo ip de origem Dst. Address: Endereo ip de destino Dst. Port: Porta ou lista de portas destino Local Port: Porta correspondente do proxy Dst. Host: Endereo ip ou DNS de destino Path: Nome da pgina dentro do servidor Method: Mtodo HTTP usado nas requisies Action: Permite ou nega a regra Redirect To: URL ao qual o usurio ser redirecionado caso a regra seja de negao Hits: Quantidade de vezes que a regra sofreu macth
336
A lista de cache define como as requisies sero armazenadas ou no no cache do proxy. Esta lista manipulada da mesma forma que a lista de acesso. De forma anloga ao firewall, qualquer requisio que no esteja na lista de regras, ser armazenada no cache. Os parmetros de configurao das regras so idnticas as regras da lista de acesso.
337
A lista de acesso direto utilizada quando um Parent Proxy est configurado. Desta forma possvel passar a requisio ao mesmo ou tentar encaminhar a requisio diretamente ao servidor de destino. Esta lista manipulada da mesma forma que a lista de acesso. Diferentemente do firewall, qualquer requisio que no esteja na lista de regras, ser por padro negada. Os parmetros de configurao das regras so idnticas as regras da lista de acesso.
338
Para que o proxy funcione de forma correta e segura, necessrio criar algumas regras no firewall nat e no firewall filter. Primeiramente precisamos desviar o fluxo de pacotes com destino a porta 80 para o servidor web proxy. Em seguida precisamos garantir que somente os clientes da rede local tero acesso ao servidor web proxy.
339
/ip firewall nat add chain=dstnat protocol=tcp protocol dst-port=80 action=redirect to-ports=8080
/ip firewall filter add chain=input protocol=tcp protocol dst-port=8080 ininterface=wan action=drop
340
Exerccio final
Abra um New Terminal Digite: /system reset-configuration configuration
341
Dvidas ????
342
343
No Linux:
Instalar o wine e a partir da proceder como no windows.
O espao em disco consumido pela The Dude considervel, entre outras coisas, devido aos grficos e logs a serem armazenados. Assim, no caso de instalao em Routerboards aconselhvel o uso daquelas que possuam armazenamento adicional como:
RB 433UAH Aceita HD externo via USB RB 450G Aceita MicroSD RB 600 Aceita SD RB 800 Aceita MicroSD RB 1100 Aceita MicroSD
No aconselhvel a instalao em outras Routerboards por problemas de perdas de dados devido a impossibilidade de efetuar backups. Problemas de processamento tambm devem ser considerados.
347
The
Dude - Comeando
A instalao do The Dude sempre instala o cliente e o servidor e no primeiro uso ele sempre ir tentar usar o Servidor Local(localhost). Local( Caso queira se conectar em outro servidor clique no raio.
348
The
Dude - Comeando
O auto discovery permite que o servidor The Dude localize os dispositivos de seu segmento de rede, atravs de provas de ping, arp, snmp, etc... E por servios tambm. Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por seus vizinhos (neighbours). Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.
349
The
O The Dude tem um wizard para criao de dispositivos. Informe o IP e, se o dispositivo for Mikrotik, marque a opo Router OS.
350
The
Em seguida descubra os servios que esto rodando nesse equipamento. Aps isso o dispositivo estar criado.
351
The
Clique no dispositivo criado para ajustar vrios parmetros. Dentre esses os principais:
Nome de exibio Tipo do dispositivo
352
The
O The Dude possui vrios dispositivos pr-definidos, pr mas pode-se criar novos dispositivos personalizados para que o desenho realmente reflita a realidade prtica. Por razes de produtividade aconselhvel que todos os dispositivos existentes na rede sejam criados com suas propriedades especificas antes do desenho da rede, mas nada impede que isso seja feito depois.
353
The
Quando a rede possui elementos no configurveis por IP como switchs L2, necessrio criar dispositivos estticos para fazer as ligaes. Com isso possvel concluir o diagrama da rede de forma mais realista e parecida com a real.
354
The
Para criar links entre os dispositivos basta clicar no mapa com o boto direito, selecionar Add Link e ligar os dois dispositivos informando:
Device: : Dispositivo que ir fornece as informaes do link. Mastering type: : Informa como as informaes sero obtidas. Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha a interface que deseja monitorar a velocidade e estado do link. Speed: : Informando a velocidade do link, ativado a sinalizao do estado do mesmo baseando-se em cores. Type: : Tipo de conexo fsica entre os dispositivos.
355
The
Dude Notificaes
Efetue um duplo clique no dispositivo e v na guia Notifications. Nela voc pode informar o tipo de notificao que deseja receber.
356
The
Com o The Dude podemos monitorar servios que no desejamos que estejam ativos.
357
The
Dude grficos
Podemos manipular a forma como os grficos iro ser apresentados para identificar servios, estado dos links etc...
358
The
As configuraes so salvas automaticamente na medida em que so feitas. Para se ter um backup externo use o export para gerar um arquivo .xml . com todas as configuraes que podero ser importadas sempre que necessrio.
359
Dvidas ????
360
Laboratrio Final
Abram um terminal Executem: /system reset-configuration nodefaults=yes
361
OBRIGADO!