Seguridad y Auditora de Redes Yony Richard Montoya Burgos Universidad Mayor de San Simn Contenido Introduccin RouterOS Protocolos Internet Interfaces Tunneling Firewall Enrutamiento Utilidades del Sistema Universidad Mayor de San Simn RouterOS Soporta Firewall and NAT Routing Data Rate Management HotSpot Point-to-Point tunneling Simple tunnels IPsec Web proxy Universidad Mayor de San Simn RouterOS Caching, DNS client DHCP, Universal Client VRRP - Virtual Router Redundancy Protocol UPnP NTP Monitoring/Accounting SNMP MNDP y CDP HERRAMIENTAS - ping; traceroute; bandwidth test; telnet; SSH; packet sniffer 2 Universidad Mayor de San Simn RouterOS Formas de Acceso Conexin via puerto serial RS232 a 9600 8N1 Conexin Telnet o SSH Administracin WEB (Winbox) Universidad Mayor de San Simn Terminal de Consola Permite acceder al enrutador en terminales tipo texto. Estructura de shell similar a Unix. Comandos Organizados en niveles de men jerrquicos. Estructura de directorios (/ indica la raiz o base, .. Indica el nivel posterior) Universidad Mayor de San Simn Terminal de Consola / IP SYSTEM ADDRESS ROUTE ... ... ... ... / .. .. Universidad Mayor de San Simn Terminal de Consola Sigue una estructura tipo unix, por lo que: [TAB] permite completar comandos ?: Da ayuda acerca de los comandos comando ?: ayuda acerca de los parmetros de un comando comando parmetro ?: Informacin acerca del parmetro (o parmetros de un comando) 3 Universidad Mayor de San Simn Comandos en RouterOS Muchos comandos manejan listas El Orden no siempre es el mismo. Siempre se memoriza el ltimo comando print [ admi n@Mi kr oTi k] > i nt er f ace pr i nt Fl ags: X - di sabl ed, D - dynami c, R - r unni ng # NAME TYPE RX- RATE TX- RATE MTU 0 R Publ i c et her 0 0 1500 1 R Local et her 0 0 1500 Parmetro print da informacin acerca del comando I dentifica un valor de la lista, Nmero identificador Universidad Mayor de San Simn Comandos en RouterOS Opciones de borrado, insercin o modificacin requieren el Nmero Identificador Se puede acceder a los valores mediante el nombre [ admi n@Mi kr oTi k] i nt er f ace> set 0 mt u=1200 [ admi n@Mi kr oTi k] i nt er f ace> set Local mt u=1300 [ admi n@Mi kr oTi k] i nt er f ace> pr i nt Fl ags: X - di sabl ed, D - dynami c, R - r unni ng # NAME TYPE RX- RATE TX- RATE MTU 0 R Publ i c et her 0 0 1200 1 R Local et her 0 0 1300 Universidad Mayor de San Simn Comandos Generales Se pueden agrupar items con el smbolo , set 0,1,2 mtu=1200 Comandos Generales Print: Muestra informacin accesible de algn comando. Set: Permite modificar informacin de un comando. Add: Permite aadir un nuevo item. Remove: Elimina un item de la lista. Move: Cambia el orden en la lista de items. Universidad Mayor de San Simn Comandos Generales [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # DST-ADDRESS G GATEWAY DISTANCE INTERFACE 0 S 0.0.0.0/0 r 192.168.2.1 1 ether2 1 DC 192.168.2.0/24 r 0.0.0.0 0 ether2 [admin@MikroTik] ip route> add dst-address=192.168.1.0/24 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # DST-ADDRESS G GATEWAY DISTANCE INTERFACE 0 S 0.0.0.0/0 r 192.168.2.1 1 ether2 1 IS 192.168.1.0/24 1 2 DC 192.168.2.0/24 r 0.0.0.0 0 ether2 4 Universidad Mayor de San Simn Comandos Generales [admin@MikroTik] ip route> set 1 gateway=192.168.2.1 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # DST-ADDRESS G GATEWAY DISTANCE INTERFACE 0 S 0.0.0.0/0 r 192.168.2.1 1 ether2 1 S 192.168.1.0/24 r 192.168.2.1 1 ether2 2 DC 192.168.2.0/24 r 0.0.0.0 0 ether2 [admin@MikroTik] ip route> remove 1 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # DST-ADDRESS G GATEWAY DISTANCE INTERFACE 0 S 0.0.0.0/0 r 192.168.2.1 1 ether2 2 DC 192.168.2.0/24 r 0.0.0.0 0 ether2 Universidad Mayor de San Simn Protocolos y Servicios Servicios Bsicos Telnet: Servicio de Telnet, acceso al servidor FTP: Acceso FTP al servidor WWW: Servicio de WEB (necesario para el Winbox) [ admi n@Mi kr oTi k] > ip service [ admi n@Mi kr oTi k] i p ser vi ce> pr i nt Fl ags: X - di sabl ed, I - i nval i d # NAME PORT ADDRESS CERTI FI CATE 0 t el net 23 0. 0. 0. 0/ 0 1 f t p 21 0. 0. 0. 0/ 0 2 www 80 0. 0. 0. 0/ 0 Universidad Mayor de San Simn Protocolos y Servicios Los servicios slo pueden ser habilitados o deshabilitados Forman parte de algn paquete. Se pueden habilitar servicios para redes o ips especficos [ admi n@Mi kr oTi k] i p ser vi ce> set 1 disabled=yes [ admi n@Mi kr oTi k] i p ser vi ce> set 0 address=192.168.2.0/24 Fl ags: X - di sabl ed, I - i nval i d # NAME PORT ADDRESS CERTI FI CATE 0 t el net 23 192. 168. 2. 0/ 24 1 X f t p 21 0. 0. 0. 0/ 0 2 www 80 0. 0. 0. 0/ 0 Universidad Mayor de San Simn Protocolos y Servicios Se pueden manejar: IP IPSEC EoIP SNMP VLAN VRRP PPPoE ARP PPTP OSPF IPIP RIP L2TP BGP Prefix List UPnP 5 Universidad Mayor de San Simn DHCP Se pueden manejar Cliente y Servidor DHCP. Cliente DHCP se asigna a una interface [admin@MikroTik] ip dhcp-client> set enabled=yes interface=ether1 [admin@MikroTik] ip dhcp-client> print enabled: yes interface: ether1 host-name: "" client-id: "" add-default-route: yes use-peer-dns: yes Universidad Mayor de San Simn DHCP Para consultar el enlace se puede utilizar la opcion lease. [admin@MikroTik] ip dhcp-client lease> print status: bounded address: 180.232.241.15/21 dhcp-server: 10.1.0.172 expires: oct/20/2002 09:43:50 gateway: 180.232.240.1 primary-dns: 195.13.160.52 secondary-dns: 195.122.1.59 [admin@MikroTik] ip dhcp-client lease> Universidad Mayor de San Simn DHCP Utilice renew para re-enlazar el IP. Si la operacin no es exitosa se intenta enlazar automaticamente. Universidad Mayor de San Simn DHCP Server Puede trabajar como servidor DHCP Se requiere configurar gateway, dns (primario, secundario), servidor WINS, pool de direcciones IP Se activa con /ip dhcp-server 6 Universidad Mayor de San Simn DHCP Server Se puede habilitar DHCP server por cada interfaz. Habiltar el DHCP una vez creada. [admin@MikroTik] ip dhcp-server> add name=oficina \ \... address-pool=clientes interface=ether1 lease-time=2h [admin@MikroTik] ip dhcp-server> enable oficina [admin@MikroTik] ip dhcp-server> print Flags: X - disabled, I - invalid # NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP 0 oficina ether1 clientes 2h no [admin@MikroTik] ip dhcp-server> Universidad Mayor de San Simn DHCP Server Habilitar Opciones para los clientes [admin@MikroTik] ip dhcp-server network> add netmask=0 \ \... gateway=192.168.1.1 \ \... dns-server=166.114.109.226,166.114.109.227 \ \... wins=server=192.168.1.11 [admin@MikroTik] ip dhcp-server network> Universidad Mayor de San Simn DHCP Server Pool de direcciones IP Se puede utilizar rangos, o valores sencillos agrupados por comas Para ver los valores usados del pool de Ips utilizar used print [admin@MikroTik] ip pool> add name=clientes \ \... ranges=192.168.1.32-192.168.1.64 [admin@MikroTik] ip pool> print # NAME RANGES 0 clientes 192.168.1.32-192.168.1.64 [admin@MikroTik] ip pool> used print Universidad Mayor de San Simn DHCP Server Si se tiene otro servidor DHCP se pueden hacer relay [admin@MikroTik] ip dhcp-relay> add name=relay interface=ether1 \ \... dhcp-server=10.0.0.1 disabled=no [admin@MikroTik] ip dhcp-relay> print Flags: X - disabled, I - invalid # NAME INTERFACE DHCP-SERVER LOCAL-ADDRESS 0 relay ether1 10.0.0.1 0.0.0.0 7 Universidad Mayor de San Simn DNS Cliente y Servidor Habilitar DNS con la opcion /ip dns [admin@MikroTik] ip dns> set primary-dns=167.157.1.5\ \... secondary-server=167.157.1.11 \ \... allow-remote-requests: no [admin@MikroTik] ip pool> print primary-dns: 167.157.1.5 secondary-dns: 167.157.1.11 allow-remote-requests: no cache-size: 2048 kB cache-max-ttl: 7d cache-used: 11 kB Universidad Mayor de San Simn IP y ARP Nivel de identificacin en la red mediante TCP/IP Se pueden asignar mltiples IP a una interface. Si se usa Bridge una niterfaz puedo no tener direccin IP. Universidad Mayor de San Simn IP y ARP Se pueden tener direcciones: Estticas: manualmente asignadas a la interface. Dinmicas: automticamente asignadas a la interface si se usa ppp, ppptp o pppoe. No se pueden tener asignados Ips del mismo segmento de red en las interfaces Universidad Mayor de San Simn IP y ARP Indicar mnimamente la direccin y la interface [ admi n@Mi kr oTi k] i p addr ess> add addr ess=10. 10. 10. 1/ 24 i nt er f ace=et her 2 [ admi n@Mi kr oTi k] i p addr ess> pr i nt Fl ags: X - di sabl ed, I - i nval i d, D - dynami c # ADDRESS NETWORK BROADCAST I NTERFACE 0 2. 2. 2. 1/ 24 2. 2. 2. 0 2. 2. 2. 255 et her 2 1 10. 5. 7. 244/ 24 10. 5. 7. 0 10. 5. 7. 255 et her 1 2 10. 10. 10. 1/ 24 10. 10. 10. 0 10. 10. 10. 255 et her 2 8 Universidad Mayor de San Simn IP y ARP ARP Protocolo de Resolucin de Direcciones Permite mapear el nivel 3 de OSI (direcciones IP) con el nivel 2 (direccin MAC) El router maneja la table de direcciones ARP. Tabla dinmica, mas para seguridad se puede manejar estticamente. Se usa con /ip arp Universidad Mayor de San Simn IP y ARP [admin@MikroTik] ip arp> add address=10.10.10.1 interface=ether2 mac- address=06 \ \... :21:00:56:00:12 [admin@MikroTik] ip arp> print Flags: X - disabled, I - invalid, H - DHCP, D - dynamic # ADDRESS MAC-ADDRESS INTERFACE 0 D 2.2.2.2 00:30:4F:1B:B3:D9 ether2 1 D 10.5.7.242 00:A0:24:9D:52:A4 ether1 2 10.10.10.1 06:21:00:56:00:12 ether2 [admin@MikroTik] ip arp> Universidad Mayor de San Simn IP y ARP Se puede habilitar o deshabilitar ARP en cada interface [ admi n@Mi kr oTi k] i p ar p> / i nt er f ace et her net set et her 2 ar p=r epl y- onl y [ admi n@Mi kr oTi k] i p ar p> pr i nt Fl ags: X - di sabl ed, I - i nval i d, H - DHCP, D dynami c # ADDRESS MAC- ADDRESS I NTERFACE 0 D 10. 5. 7. 242 00: A0: 24: 9D: 52: A4 et her 1 1 10. 10. 10. 10 06: 21: 00: 56: 00: 12 et her 2 Universidad Mayor de San Simn IP y ARP Con arp=disabled los clientes tambin deben tener arp esttico asociado Con arp=reply-only slo se responden a mapeos estticos. Si se quiere que todas las solicitudes sean respondidas con el MAC del router usar arp=proxy-arp 9 Universidad Mayor de San Simn Enrutamiento Mikrotik maneja dos tipos de rutas: Rutas Conectadas: Red que puede ser accedida directamente por la interface, se aaden automticamente Rutas Estticas: Rutas aadidas manualmente que indican como ser enviado el trfico de la red Universidad Mayor de San Simn Enrutamiento El balanceo de carga se maneja con la caracetrstica de Equal-Cost Multi-Path. [ admi n@Mi kr oTi k] i p r out e> add dst - addr ess=192. 168. 0. 0/ 16 gat eway=10. 10. 10. 2 [ admi n@Mi kr oTi k] i p r out e> add gat eway 10. 10. 10. 1 [ admi n@Mi kr oTi k] i p r out e> pr i nt Fl ags: X - di sabl ed, I - i nval i d, D - dynami c, J - r ej ect ed, C - connect , S - st at i c, r - r i p, o - ospf , b - bgp # DST- ADDRESS G GATEWAY DI STANCE I NTERFACE 0 S 192. 168. 0. 0/ 16 r 10. 10. 10. 2 1 Local 1 S 0. 0. 0. 0/ 0 r 10. 10. 10. 1 1 Publ i c 2 DC 10. 10. 10. 0/ 24 r 0. 0. 0. 0 0 Publ i c Universidad Mayor de San Simn Enrutamiento Balanceo de carga [ admi n@Mi kr oTi k] i p r out e> set 0 gat eway=10. 10. 10. 2, 10. 10. 10. 254 [ admi n@Mi kr oTi k] i p r out e> pr i nt Fl ags: X - di sabl ed, I - i nval i d, D - dynami c, J - r ej ect ed, C - connect , S - st at i c, r - r i p, o - ospf , b - bgp # DST- ADDRESS G GATEWAY DI STANCE I NTERFACE 0 S 192. 168. 0. 0/ 16 r 10. 10. 10. 2 1 Local r 10. 10. 10. 254 Local 1 S 0. 0. 0. 0/ 0 r 10. 10. 10. 1 1 Publ i c 2 DC 10. 10. 10. 0/ 24 r 0. 0. 0. 0 0 Publ i c Universidad Mayor de San Simn Enrutamiento Tablas de Rutas, permiten seleccionar rutas para variar el uso de la red. Manejo de mltiples tablas y reglas de cmo manejar las tablas Se pueden manejar direccin destino y fuente. 10 Universidad Mayor de San Simn Enrutamiento /ip policy-routing permite agrupar las rutas en grupos Se pueden agregar nuevas tablas de rutas [ admi n@Mi kr oTi k] i p pol i cy- r out i ng> add name=mt [ admi n@Mi kr oTi k] i p pol i cy- r out i ng> pr i nt Fl ags: D - dynami c # NAME 0 mt 1 D mai n Universidad Mayor de San Simn Enrutamiento Cada tabla tiene informacin de rutas independientes [ admi n@Mi kr oTi k] i p pol i cy- r out i ng> t abl e mai n [ admi n@Mi kr oTi k] i p pol i cy- r out i ng t abl e mai n> pr i nt Fl ags: X - di sabl ed, I - i nval i d, D - dynami c, R - r ej ect ed # TYPE DST- ADDRESS G GATEWAY DI STANCE I NTERFACE 0 st at i c 192. 168. 1. 0/ 24 r 192. 168. 0. 50 1 Local 1 st at i c 0. 0. 0. 0/ 0 r 10. 0. 0. 1 1 Publ i c 2 D connect 192. 168. 0. 0/ 24 r 0. 0. 0. 0 0 Local 3 D connect 10. 0. 0. 0/ 24 r 0. 0. 0. 0 0 Publ i c Universidad Mayor de San Simn Enrutamiento Reglas de enrutamiento Se pueden manejar por destino o fuente del paquete. Pueden configurarse de una interface o de todas las interfaces. Si se usa marcado de paquetes se puede encaminar paquetes por su marca. Se puede eliminar, enrutar o dar como desconocida una ruta Universidad Mayor de San Simn Enrutamiento Polticas de Enrutamiento Enruta los paquetes de la direccin 10.0.0.144 por las rutas de la tabla mt [ admi n@Mi kr oTi k] i p pol i cy- r out i ng r ul e> add sr c- addr ess=10. 0. 0. 144/ 32 \ \ . . . t abl e=mt act i on=l ookup [ admi n@Mi kr oTi k] i p pol i cy- r out i ng r ul e> pr i nt Fl ags: X - di sabl ed, I - i nval i d # SRC- ADDRESS DST- ADDRESS I NTE. . . FLOWACTI ON TABLE 0 0. 0. 0. 0/ 0 0. 0. 0. 0/ 0 al l l ookup mai n 1 10. 0. 0. 144/ 32 0. 0. 0. 0/ 0 al l l ookup mt 11 Universidad Mayor de San Simn Enrutamiento Configuracin Bsica de Polticas Paquetes de la red 1.1.1.0/24 usan el gateway 10.0.0.1 Paquetes de la rd 2.2.2.0/24 usan el gateway 10.0.0.2 El resto usa el gateway 10.0.0.254 Universidad Mayor de San Simn Web Proxy Se pueden usar: Proxy HTTP regular Proxy Transparente. Listas de Acceso por fuente, destino, URL y mtodos de consulta Cache access list (indica que objetos almacenar y cuales no) Direct Access List (Recurosos que puedes accederse directamente y cuales con otro proxy) Facilidad de Autentificacin Universidad Mayor de San Simn Web Proxy Se maneja con /ip web-proxy [ admi n@Mi kr oTi k] i p web- pr oxy> set enabl ed=yes por t =8080 [ admi n@Mi kr oTi k] i p web- pr oxy> pr i nt enabl ed: no sr c- addr ess: 0. 0. 0. 0 por t : 8080 host name: pr oxy t r anspar ent - pr oxy: no par ent - pr oxy: 0. 0. 0. 0: 0 cache- admi ni st r at or : webmast er . . . . Universidad Mayor de San Simn Web Proxy Monitoreo del Proxy [ admi n@Mi kr oTi k] > i p web- pr oxy moni t or st at us: r unni ng upt i me: 4d19h8m14s cl i ent s: 9 r equest s: 10242 hi t s: 3839 cache- si ze: 328672 kB r ecei ved- f r om- ser ver s: 58108 kB sent - t o- cl i ent s: 65454 kB hi t s- sent - t o- cl i ent s: 7552 kB 12 Universidad Mayor de San Simn Web Proxy Listas de acceso Las reglas se utilizan de arriba hacia abajo. Se pueden manejar accesos mediante direccin destino, fuente, puerto, subcadena URL. Se usa mediante /ip web-proxy access Universidad Mayor de San Simn Web Proxy Deshabilitar la bajada de MP3, y conexiones FTP excepto del servidor 10.0.0.1 [admin@MikroTik] ip web-proxy access> add url=".mp3" action=deny [admin@MikroTik] ip web-proxy access> add src-address=10.0.0.1/32 action=allow [admin@MikroTik] ip web-proxy access> add url="ftp://" action=deny Universidad Mayor de San Simn Web Proxy Listas de Acceso Directas Se usa con parent-proxy habilitado. Se puede pasar la solicitud al servidor proxy principal o manejar directamente la conexin. Se usa mediante /ip web-proxy direct Universidad Mayor de San Simn Web Proxy Manejar directamente las conexiones al servidor 167.157.4.1 y las conexiones seguras redirigirlas al proxy principal [admin@MikroTik] ip web-proxy direct> add dst-address=167.157.4.1/32 action=allow [admin@MikroTik] ip web-proxy direct> add url=https://" action=deny 13 Universidad Mayor de San Simn Web Proxy Cache Access List Permite indicar que solicitudes (pginas, servidores, dominios) son almacenadas o no. Por defecto se almacenan los objetos si no se encuentra una regla especfica. Se usa con /ip web-proxy cache Universidad Mayor de San Simn Web Proxy No almacenar pginas de los directorios cgi- bin (dinamicas) o que tengan un ? en el URL [ admi n@Mi kr oTi k] i p web- pr oxy cache> pr i nt Fl ags: X - di sabl ed 0 sr c- addr ess=0. 0. 0. 0/ 0 dst - addr ess=0. 0. 0. 0/ 0 dst - por t =" " ur l =" cgi - bi n \ ?" met hod=any act i on=deny Universidad Mayor de San Simn Web Proxy Reconstruyendo el Cache Si existen problemas con el cache el sistema intentar reparar la estructura de directorios. Si no fuese posible se debe borrar y recrear la estructura. Universidad Mayor de San Simn Web Proxy Para borrar el cache el web-proxy debe estar deshabilitado [ admi n@Mi kr oTi k] i p web- pr oxy> set enabl ed=no [ admi n@Mi kr oTi k] i p web- pr oxy> cl ear - cache Cl ear al l web pr oxy cache, yes? [ y/ N] : y cache wi l l be cl ear ed shor t l y [ admi n@Mi kr oTi k] i p web- pr oxy> 14 Universidad Mayor de San Simn Web Proxy Proxy Transparente Solo se puede manejar el protocolo HTTP de forma transparente. Se debe usar una regla de NAT de destino. Especificar que conexiones (puertos) deben de ser transparentemente redirigidos Universidad Mayor de San Simn Web Proxy Redirigir todo el trfico al puerto 80 en la interface ether1 al proxy (puerto 8080) [ admi n@Mi kr oTi k] i p f i r ewal l dst - nat > add i n- i nt er f ace=et her 1 pr ot ocol =t cp \ dst - addr ess=! 192. 168. 2. 1/ 32: 80 act i on=r edi r ect t o- dst - por t =8080 [ admi n@Mi kr oTi k] i p f i r ewal l dst - nat > pr i nt Fl ags: X - di sabl ed, I - i nval i d 0 sr c- addr ess=0. 0. 0. 0/ 0: 0- 65535 i n- i nt er f ace=et her 1 dst - addr ess=! 192. 168. 2. 1/ 32: 80 pr ot ocol =t cp i cmp- opt i ons=any: any f l ow="" sr c- mac- addr ess=00: 00: 00: 00: 00: 00 l i mi t - count =0 l i mi t - bur st =0 l i mi t - t i me=0s act i on=r edi r ect t o- dst - addr ess=0. 0. 0. 0 t o- dst - por t =8080 Universidad Mayor de San Simn Ancho de Banda Mikrotik soporta: PFIFO - Packets First-In First-Out BFIFO - Bytes First-In First-Out SFQ - Stochastic Fair Queuing RED - RandomEarly Detection HTB - Hierarchical Token Bucket PCQ - Per Connection Queue Universidad Mayor de San Simn Ancho de Banda Se pueden usar las colas para limitar el ancho de banda de direcciones IP, protocolos o puertos. Se configuran generalmente en interfaces de salida. Se pueden manejar paquetes de entrada (global-in) o de salida (global- out) 15 Universidad Mayor de San Simn Ancho de Banda Se pueden manejar mediante colas simples con /queue simple [admin@MikroTik] queue simple> add dst-address=192.168.2.0/24 interface=ether1\ \... max-limit=64000/128000 [admin@MikroTik] queue simple> print Flags: X - disabled, I - invalid, D - dynamic 0 name="queue1" target-address=0.0.0.0/0 dst-address=192.168.2.0/24 interface=ether1 queue=default priority=8 limit-at=0/0 max-limit=64000/128000 [admin@MikroTik] queue simple> Universidad Mayor de San Simn Ancho de Banda Controles especiales de ancho de banda por puerto, protocolo, rangos de IP, etc. Usar Arboles de Colas. Manejar con /queue tree Universidad Mayor de San Simn Ancho de Banda Limitar el trfico http (puerto 80) [admin@MikroTik] queue tree> add name=HTTP parent=ether1 flow=http1 \ max-limit=128000 [admin@MikroTik] queue tree> print Flags: X - disabled, I - invalid, D - dynamic 0 name="HTTP" parent=ether1 flow=http1 limit-at=0 queue=default priority=8 max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0 [admin@MikroTik] queue tree> Universidad Mayor de San Simn Ancho de Banda Se debe marcar todo el trfico HTTP [admin@MikroTik] ip firewall mangle> add action=passthrough mark-flow=http1 \ \... protocol=tcp target-port=80 [admin@MikroTik] ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0 target-address=:80 protocol=tcp action=passthrough mark-flow=http1 [admin@MikroTik] ip firewall mangle> 16 Universidad Mayor de San Simn Ancho de Banda Se puede monitorear el trfico que se esta limitando. [admin@MikroTik] queue simple> print bytes Flags: X - disabled, I - invalid, D - dynamic # TARGET-ADDRESS DST-ADDRESS BYTES TOTAL-BYTES 0 192.168.2.11/32 0.0.0.0/0 1696036619/2048966230 3745004349 1 192.168.2.21/32 0.0.0.0/0 2949768/5241093 8191101 2 192.168.2.22/32 0.0.0.0/0 2621795/95592983 98215402 [admin@MikroTik] queue simple> Universidad Mayor de San Simn Ancho de Banda Simular una lnea de 128Kb de bajada y 64 de Subida, excluir al servidor de la limitacin Universidad Mayor de San Simn Interfaces Se manejan una serie de Interfaces Se pueden revisar con el comando /interface Universidad Mayor de San Simn Interfaces [admin@MikroTik] interface> print Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R ADSL-2 ether 0 0 1500 1 R TX ether 0 0 1500 2 R SETBOL ether 0 0 1500 3 R Supernet ether 0 0 1500 4 R ADSL-1 ether 0 0 1500 17 Universidad Mayor de San Simn Interfaces Para monitorear el trfico de la interface utilizar: [admin@MikroTik] interface> monitor-traffic numbers: 0 received-packets-per-second: 9 received-bits-per-second: 20.3kbps sent-packets-per-second: 12 sent-bits-per-second: 11.1kbps [admin@MikroTik] interface> Universidad Mayor de San Simn I nterfaces Ethernet Se maneja la informacin de las interfaces tipo Ethernet. Usar /interface ethernet Se puede monitorear el estadao de las interfaces con: /inteface ethernet monitor Universidad Mayor de San Simn Interfaces Wireless Opera usando IEEE 802.11 Se puede configurar como clientes wireless (station), bridge wireless (bridge) y como puntos de acceso (ap- bridge). El control de posicionamiento puede ser manejado. Soporta 802.11a, 802.11b y 802.11g Universidad Mayor de San Simn Interfaces Wireless Maneja el protocolo Nstrem (propietario de Mikrotik) Beneficios del protocolo nstreme: Client polling Poca sobrecarga del protocolo, premitiendo transmisiones altas. Sin limites de protocolo en grandes distancias No existe degradacion para grandes distancias Ajustes dinmicos dependiendo del tipo de trfico y los recursos usados 18 Universidad Mayor de San Simn Interfaces Wireless Se puede usar: Conexiones Punto a Punto: Con antenas en ambos lados Punto a Punto Dual (Nstreme2): Se pueden usar 2 radios en ambos lados simultaneamente, uno para transmisin y otro para recepcin. Punto Multipunto. Universidad Mayor de San Simn Interfaces Wireless Se maneja mediante /interface wireless Manjear mnimamente el ssid (Service Set Identifier), la frecuencia y la nada de operacin. Universidad Mayor de San Simn Interfaces Wireless Mostrar informacin [admin@MikroTik] interface wireless> print Flags: X - disabled, R - running 0 R name="WLAN" mtu=1500 mac-address=00:01:24:70:4B:BF arp=proxy-arp disable-running-check=no interface-type=Atheros AR5211 mode=ap-bridge ssid="umss" frequency=5805 band=5GHz scan-list=default-ism supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=1Mbps basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps max-station-count=2007 ack-timeout=dynamic tx-power=20 802.1x-mode=none noise-floor-threshold=default burst-time=disabled fast-frames=no dfs-mode=none antenna-mode=ant-a wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no default-authentication=yes default-forwarding=yes hide-ssid=no Universidad Mayor de San Simn Interfaces Wireless Tablas de registro. Informacin de los clientes conectados. /interface wireless registration-table [admin@MikroTik] interface wireless registration-table> print # INTERFACE MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME 0 WLAN 00:01:24:70:4B:AB no -75 24Mbps 1d02:47:16 1 WLAN 00:01:24:70:4B:B7 no -78 24Mbps 1d02:47:15 [admin@MikroTik] interface wireless registration-table> print stats 0 interface=WLAN mac-address=00:01:24:70:4B:AB ap=no rx-rate=24Mbps tx-rate=24Mbps packets=560115,628954 bytes=79808969,536159406 uptime=1d02:47:31 last-activity=00:00:00 signal-strength=-75 ack-timeout=56 distance=56 19 Universidad Mayor de San Simn Interfaces Wireless Control de Acceso mediante acess list (en AP Bridge) [admin@MikroTik] interface wireless access-list> add mac-address= \ \... 00:01:24:70:3A:BB interface=wlan1 private-algo=40bit-wep private-key=1234567890 [admin@MikroTik] interface wireless access-list> print Flags: X - disabled 0 mac-address=00:01:24:70:3A:BB interface=wlan1 authentication=yes forwarding=yes skip-802.1x=yes private-algo=40bit-wep private-key="1234567890 [admin@MikroTik] interface wireless access-list> Universidad Mayor de San Simn Interfaces Wireless Informacin adicional de la tarjeta [admin@MikroTik] interface wireless> info print 0 interface-type=Atheros AR5211 tx-power-control=yes ack-timeout-control=yes alignment-mode=yes virtual-aps=yes noise-floor-control=yes scan-support=yes burst-support=yes supported-bands=2GHz-B,5GHz,5GHz-turbo 2GHz-B-channels=2412,2417,2422,2427,2432,2437,2442,2447,2452,2457,2462,2467, 2472,2512,2532,2552,2572,2592,2612,2632,2652,2672,2692,2712, 2732,2484 5GHz-channels=5120,5125,5130,5135,5140,5145,5150,5155,5160,5165,5170,5175, 5180,5185,5190,5195,5200,5205,5210,... Universidad Mayor de San Simn Interfaces Wireless WDS (Wireless Distribution System) Permite pasar los paquetes de un AP a otro como si estos estuviesen en un etherneth Switch. Pueden ser dinmicos o estticos. Los AP deben estar en la misma nada y trabajar en la misma frecuencia. Universidad Mayor de San Simn Interfaces Wireless Usar con /interface wireless wds [ admi n@Mi kr oTi k] i nt er f ace wi r el ess wds> add mast er - i nt er f ace=wl an1 \ \ . . . wds- addr ess=00: 0B: 6B: 30: 2B: 27 di sabl ed=no [ admi n@Mi kr oTi k] i nt er f ace wi r el ess wds> pr i nt Fl ags: X - di sabl ed, R - r unni ng, D - dynami c 0 R name=" wds1" mt u=1500 mac- addr ess=00: 0B: 6B: 30: 2B: 23 ar p=enabl ed di sabl e- r unni ng- check=no mast er - i nt ef ace=wl an1 wds- addr ess=00: 0B: 6B: 30: 2B: 27 MAC address del AP remoto 20 Universidad Mayor de San Simn Interfaces Wireless Funcin de Alineamiento Se puede usar el alineamiento para el apuntamiento de los equipos. Se usa con la opcin /interface wireless align. Slo se puede manejar si el modo de la interface es alignment-only Si se usa align monitor el modo de la tarjeta se modifica automticamente Universidad Mayor de San Simn Interfaces Wireless Datos de alineamiento [ admi n@Mi kr oTi k] i nt er f ace wi r el ess al i gn> pr i nt f r ame- si ze: 300 act i ve- mode: yes r ecei ve- al l : yes audi o- moni t or : 00: 00: 00: 00: 00: 00 f i l t er - mac: 00: 00: 00: 00: 00: 00 ssi d- al l : yes f r ames- per - second: 25 audi o- mi n: - 100 audi o- max: - 20 Universidad Mayor de San Simn Interface Wireless Monitoreo del alineamiento Muestra informacin del alineamiento, para una seal estable se aconseja tener un Signal Strength (RXQ) mayor a -80 [ admi n@Mi kr oTi k] i nt er f ace wi r el ess al i gn> moni t or WLAN ADDRESS SSI D RXQ AVG- RXQ LAST- RX TXQ LAST- TX CORRECT 00: 01: 24: 70: 4B: BF umss - 74 - 75 0. 04 Universidad Mayor de San Simn Interface Wireless Escaneo de la Red Se puede verificar que equipos existen en la red. Todos los enlaces se pierden mientras se hace un scan, al igual que con el alineamiento. Si se encuentra enlazado se pierde la conexin mientras se hace el escaneo. 21 Universidad Mayor de San Simn Interfaces Wireless Se muestra la informacin de los equipos Wireless encontrados con las caractersticas mas importantes [ admi n@Mi kr oTi k] i nt er f ace wi r el ess> scan WLAN r ef r esh- i nt er val =1s ADDRESS SSI D BAND FREQ BSS PRI VACY SI GNAL- STRENGTH 00: 01: 24: 70: 4B: BF umss 5GHz 5805 yes no - 75 Universidad Mayor de San Simn Interfaces Wireless Seguridad Wireless Maneja protocolo WEP (Wired Equivalent Privacy) Algoritmos de encriptacion de 64bits (40bit), 128bits y AES-CCM (Advanced Encryption Standard with Counter with CBC-MAC). Se usa mediante /interface wireless security Universidad Mayor de San Simn Interfaces Wireless Se puede definir seguridad opcional o requerida. [ admi n@Mi kr oTi k] i nt er f ace wi r el ess secur i t y> pr i nt 0 name="WLAN" secur i t y=none al go- 0=none key- 0="" al go- 1=none key- 1=" " al go- 2=none key- 2="" al go- 3=none key- 3="" t r ansmi t - key=key- 0 st a- pr i vat e- al go=none st a- pr i vat e- key=" " r adi us- mac- aut hent i cat i on=no Universidad Mayor de San Simn Interfaces Wireless WDS (Wireless Distribution System) Permite conectar APs con el mismo SSID Permite compartir la red entre APs UNO DOS 192.168.0.2 192.168.0.1 22 Universidad Mayor de San Simn Interface Wireless Configurar el AP UNO [ admi n@Home] i nt er f ace wi r el ess wds> add wds- addr ess=00: 01: 24: 70: 3B: AE \ \ . . . mast er - i nt ef ace=wl an1 di sabl ed=no [ admi n@Home] i nt er f ace wi r el ess wds> pr i nt Fl ags: X - di sabl ed, R - r unni ng, D - dynami c 0 name=" wds1" mt u=1500 mac- addr ess=00: 01: 24: 70: 3A: 83 ar p=enabl ed di sabl e- r unni ng- check=no mast er - i nt ef ace=wl an1 wds- addr ess=00: 01: 24: 70: 3B: AE [ admi n@Home] i p addr ess> add addr ess=192. 168. 25. 2/ 24 i nt er f ace=wds1 [ admi n@Home] i p addr ess> pr i nt Fl ags: X - di sabl ed, I - i nval i d, D - dynami c # ADDRESS NETWORK BROADCAST I NTERFACE 0 192. 168. 25. 2/ 24 192. 168. 25. 0 192. 168. 25. 255 wds1 MAC Adress del Host Remoto (DOS) Universidad Mayor de San Simn Interface Wireless Configurar AP DOS [ admi n@Home] i nt er f ace wi r el ess>set wl an1 mode=ap- br i dge ssi d=wds- t est \ \ . . . wds- mode=st at i c di sabl ed=no [ admi n@Home] i nt er f ace wi r el ess wds> add wds- addr ess=00: 01: 24: 70: 3A: 83 \ \ . . . mast er - i nt ef ace=wl an1 di sabl ed=no [ admi n@Home] i p addr ess> add addr ess=192. 168. 25. 1/ 24 i nt er f ace=wds1 [ admi n@Home] i p addr ess> pr i nt Fl ags: X - di sabl ed, I - i nval i d, D - dynami c # ADDRESS NETWORK BROADCAST I NTERFACE 0 192. 168. 25. 1/ 24 192. 168. 25. 0 192. 168. 25. 255 wds1 Universidad Mayor de San Simn Interface Bridge Se pueden crear una interface lgica que maneja transparentemente mas de una interface Soporta STP Firewall en la interfaces bridge Mltiples Interfaces Bridge Universidad Mayor de San Simn Interface Bridge Para poder manejar varias interfaces se debe crear una interface bridge Usar /interface bridge add Manejar los puertos (interfaces) componentes del bridge /interface bridge port set ether1,ether2,... bridge=.... 23 Universidad Mayor de San Simn Interface Bridge Se puede asignar un nico a la interface Se puede monitorear la interface usando /interface bridge Universidad Mayor de San Simn Interface Bridge Configurar una interface bridge, aadirle Ip si fuese necesario Universidad Mayor de San Simn Tunneling EoIP (Ethernet over IP) Permite crear un tunel entre dos enrutadores. Todo el trafico se pasa entre los equipos como si se tuviera una conexin fsica directa La meta es crear un canal seguro entre los equipos Universidad Mayor de San Simn Tunneling 24 Universidad Mayor de San Simn Tunneling EoIP [ admi n@Our _GW] i nt er f ace eoi p> add name="eoi p- r emot e" t unnel - i d=0 \ \ . . . r emot e- addr ess=10. 0. 0. 2 [ admi n@Our _GW] i nt er f ace eoi p> enabl e eoi p- r emot e [ admi n@Our _GW] i nt er f ace eoi p> pr i nt Fl ags: X - di sabl ed, R - r unni ng 0 name=eoi p- r emot e mt u=1500 ar p=enabl ed r emot e- addr ess=10. 0. 0. 2 t unnel - i d=0 [ admi n@Remot e] i nt er f ace eoi p> add name="eoi p" t unnel - i d=0 \ \ . . . r emot e- addr ess=10. 0. 0. 1 [ admi n@Remot e] i nt er f ace eoi p> enabl e eoi p- mai n [ admi n@Remot e] i nt er f ace eoi p> pr i nt Fl ags: X - di sabl ed, R - r unni ng 0 name=eoi p mt u=1500 ar p=enabl ed r emot e- addr ess=10. 0. 0. 1 t unnel - i d=0 Universidad Mayor de San Simn VLAN Se pueden crear VLAN en cada interface Se usa mediante: /interface vlan Universidad Mayor de San Simn Firewall Universidad Mayor de San Simn Firewall Se tienen 3 niveles de seguridad Entrada Interna Salida Todo se maneja en funcin a reglas Usar /ip firewall rule .... 25 Universidad Mayor de San Simn Firewall Se puede manejar el trfico P2P Marcar paquetes para uso posterior Hacer Nat de destino o Nat fuente. Universidad Mayor de San Simn Manejo de Configuracin Copias de Respaldo /system backup load name=... Permite recuperar la configuracin de un archivo. Todos los archivos se guardan en el sistema y puede ser bajados via FTP. Se pueden ver los archivos con /file print Universidad Mayor de San Simn Manejo de Configuracin Se puede exportar la configuracin a un archivo de texto Usar /export Si se exporta a un archivo se puede manejar la configuracin importando la misma. Usar /import nombre_archivo Universidad Mayor de San Simn Scripts Se pueden crear scripts para configurar cierta funcionalidad Usar con /system script Todos los scripts creados pueden ser manejados mediante tareas. Usar /system script job Una ves creadas las tareas se las puede colocar en un calendario Usar /system scheduler