Вы находитесь на странице: 1из 362

TREINAMENTO MIKROTIK

CERTIFICAÇÃO – MTCNA

Produzido por: Alive Solutions Instrutor: Guilherme Ramires

AGENDA

Treinamento diário das 09:00hs às 19:00hs

Coffe break as 16:00hs

Almoço as 13:00hs – 1 hora de duração

Algumas regras importantes

Por ser um curso oficial, o mesmo não poderá ser filmado ou gravado

Procure deixar seu aparelho celular desligado ou em modo silencioso

Durante as explanações evite as conversas paralelas. Elas serão mais apropriadas nos laboratórios

Desabilite qualquer interface wireless ou dispositivo 3G em seu laptop

Algumas regras importantes

Perguntas são sempre bem vindas. Muitas vezes a sua dúvida é a dúvida de todos.

O acesso a internet será disponibilizado para efeito didático dos laboratórios. Portanto evite o uso inapropriado.

O certificado de participação somente será concedido a quem obtiver presença igual ou superior a 75%.

4

Apresente-se a turma

Diga seu nome;

Sua empresa;

Seu conhecimento sobre o RouterOS;

Seu conhecimento com redes TCP/IP;

O que você espera do curso;

Lembre-se de seu número: XY

Objetivos do curso

Prover um visão geral sobre o Mikrotik RouterOS e as RouterBoards.

Mostrar de um modo geral todas ferramentas que o Mikrotik RouterOS dispõe para prover boas soluções.

6

Onde está a Mikrotik ?

Onde está a Mikrotik ? 7
Onde está a Mikrotik ? 7
Onde está a Mikrotik ? 7

7

RouterBoards

São hardwares criados pela Mikrotik;

Atualmente existe uma grande variedade de RouterBoards.

RouterBoards • São hardwares criados pela Mikrotik; • Atualmente existe uma grande variedade de RouterBoards. 8
RouterBoards • São hardwares criados pela Mikrotik; • Atualmente existe uma grande variedade de RouterBoards. 8

Mikrotik RouterOS

RouterOS é o sistema operacional das RouterBoards e que pode ser configurado como:

Um roteador dedicado

Controlador de banda

Firewall

Gerenciador de usuários

Dispositivo QoS personalizado

Qualquer dispositivo wirless 802.11a/b/g/n

Além das RouterBoards ele também pode ser instalado em PC’s.

Instalação do RouterOS

O Mikrotik RouterOS pode ser instalado a partir de:

CD ISO bootável – imagem

Via rede com utilitário Netinstall

Onde obter o Mikrotik RouterOS

Para obter os últimos pacotes do Mikrotik RouterOS basta acessar:

http://www.mikrotik.com/download.html

Lá você poderá baixar as imagens “.iso”

Os pacotes combinados

E os pacotes individuais

Instalando pelo CD

Inicie o PC com o modo boot pelo CD

Instalando pelo CD • Inicie o PC com o modo boot pelo CD 12

Pacotes do RouterOS

System: Pacote principal contendo os serviços básiscos e drivers. A rigor é o único que é obrigatório

PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc

DHCP: Cliente, Relay e Servidor DHCP

Advanced-tools: Ferramentas de diagnóstico, netwatch e outros ultilitários

Arlan: Suporte a uma antiga placa Aironet – antiga arlan

Calea: Pacote para vigilância de conexões (Exigido somente nos EUA)

GPS: Suporte a GPS ( tempo e posição )

HotSpot: Suporte a HotSpot

ISDN: Suporte as antigas conexões ISDN

LCD: Suporte a display LCD

NTP: Servidor de horário oficial mundial

Pacotes do RouterOS

Radiolan: Suporte a placa RadioLan

RouterBoard: Utilitário para RouterBoards

Routing: Suporte a roteamento dinâmico tipo RIP, OSPF, MME e BGP

Security: Suporte a ssh, IPSec e conexão segura do winbox

Synchronous: suporte a placas síncronas Moxa, Cyclades PC300, etc

Telephony: Pacote de suporte a telefônia – protocolo h.323

UPS: Suporte as no-breaks APC

User-Manager: Serviço de autenticação User-Manager

Web-Proxy: Serviço Web-Proxy

Wireless: Suporte a placas Atheros e PrismII

Wireless-Nv2: Suporte ao protocolo nstreme versão 2

Instalando pelo CD

Pode-se selecionar os pacotes desejados usando a barra de espaços ou “a” para todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja configurações pode-se mantê-las pressionando “y”.

“i” para instalar os pacotes selecionados. Caso haja configurações pode-se mantê-las pressionando “y”. 15

15

Instalação com Netinstall

Pode ser instalado em PC que boota via rede(configurar na BIOS)

Pode ser baixado também em:

http://www.mikrotik.com/download.html

O netinstall é um excelente recurso para reinstalar em routerboards quando o sistema foi danificado ou quando se perde a senha do equipamento.

recurso para reinstalar em routerboards quando o sistema foi danificado ou quando se perde a senha

16

Instalação com Netinstall

Para se instalar em uma RouterBoard, inicialmente temos que entrar via serial, com cabo null modem e os seguintes parâmetros:

Velocidade: 115.200 bps

Bits de dados: 8

Bits de parada: 1

Controle de fluxo: hardware

Instalação com Netinstall

Atribuir um IP para o Net Booting na mesma faixa da placa de rede da máquina

Coloque na máquina os pacotes a serem instalados

Bootar e selecionar os pacotes a serem instalados

máquina • Coloque na máquina os pacotes a serem instalados • Bootar e selecionar os pacotes

18

Primeiro acesso

O processo de instalação não configura IP no Mikrotik. Portanto o primeiro acesso pode ser feito das seguintes maneiras:

Direto no console (em pcs)

Via terminal

Via telnet de MAC, através de outro Mikrotik ou sistema que suporte telnet de MAC e esteja no mesmo barramento físico de rede

Via Winbox

de outro Mikrotik ou sistema que suporte telnet de MAC e esteja no mesmo barramento físico

19

Console no Mikrotik

Através do console do Mikrotik é possível acessar todas configurações do sistema de forma hierárquica conforme os exemplos abaixo:

Acessando o menu “interface” [admin@MikroTik] > interface [admin@MikroTik] interface > ethernet

Para retornar ao nível anterior basta digitar [admin@MikroTik] interface ethernet> [admin@MikroTik] interface >

Para voltar ao raiz digite / [admin@MikroTik] interface ethernet> / [admin@MikroTik] >

Console no Mikrotik

? Mostra um help para o diretório em que se esteja

? Após um comando incompleto mostra as opções disponíveis para o comando

Comandos podem ser completados com a tecla TAB

Havendo mais de uma opção para o já digitado, pressione TAB 2 vezes para mostrar as opções disponíveis

Console no Mikrotik

Comando PRINT mostra informações de configuração:

[admin@MikroTik] > interface ethernet> print Flags: X - disabled, R - running, S - slave

#

NAME

MTU

MAC-ADDRESS

ARP

MASTER-PORT

SWITCH

0 R ether1

1500

00:0C:42:34:F7:02

enabled

[admin@MikroTik] > interface ethernet> print detail

0 R name="ether1" mtu=1500 l2mtu=1526 mac-address=00:0C:42:34:F7:02 arp=enabled auto-negotiation=yes full-duplex=yes speed=100Mbps

22

Console no Mikrotik

É possível monitorar o status das interfaces com o seguinte comando:

[guilherme@MKT] > interface wireless monitor wlan1 status: running-ap band: 5ghz frequency: 5765MHz noise-floor: -112dBm overall-tx-ccq: 93% registered-clients: 8 authenticated-clients: 8 current-ack-timeout: 33 nstreme: no current-tx-powers:

9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21)

24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/

18)

23

Console no Mikrotik

Comandos para manipular regras

add, set, remove: adiciona, muda e remove regras;

disabled: desabilita regra sem deletar;

move: move a regra cuja a ordem influência.

Comando Export

Exporta todas as configurações do diretoria acima;

Pode ser copiado e colado em um editor de textos;

Pode ser exportado para arquivo.

Comando Import

Importa um arquivo de configuração criado pelo comando export.

WINBOX

Winbox é o utilitário para administração do Mikrotik em modo gráfico. Funciona em Windows. Para funcionar no Linux é necessário a instalação do emulador Wine. A comunicação é feita pela porta TCP 8291 e caso você habilite a opção “Secure Mode” a comunicação será criptografada.

Para baixar o winbox acesse o link:

http://www.mikrotik.com/download.html

a comunicação será criptografada. • Para baixar o winbox acesse o link: http://www.mikrotik.com/download.html 25

25

• Acessando pelo WINBOX É possível acessar o Mikrotik inicialmente sem endereço IP, através do MAC

Acessando pelo WINBOX

É possível acessar o Mikrotik inicialmente sem endereço IP, através do MAC da interface do dispositivo que está no mesmo barramento físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o MAC que aparecerá.

está no mesmo barramento físico que o usuário. Para isso basta clicar nos 3 pontos e

Configuração em Modo Seguro

O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione “CTRL+X”.

modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione “CTRL+X”.

27

Configuração em Modo Seguro

Se um usuário entra em modo seguro, quando já há um nesse modo, a seguinte mensagem será dada:

“Hijacking Safe Mode from someone – unroll/release/dont take it [u/r/d]

u – desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro

d – deixa tudo como está

r – mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte mensagem:

“Safe Mode Released by another user”

Configuração em Modo Seguro

Todas configurações são desfeitas caso você perca comunicação com o roteador, o terminal seja fechado clicando no “x” ou pressionando CTRL+D.

Configurações realizadas em modo seguro não são sofrem marcações na lista de historico até serem confirmadas ou desfeitas. A flag “U” significa que a ação não será desfeita. A flag “R” significa que a ação foi desfeita.

É possível visualizar o histórico de modificações através do menu:

/system history print

Obs.: O número máximo de registros em modo seguro é de 100.

Manutenção do Mikrotik

Atualização

Gerenciando pacotes

Backup

Informações sobre licenciamento

Atualizações

As atualizações podem ser feitas a partir de um conjunto de pacotes combinados ou individuais.

Os arquivo tem extensão .npk e para atualizar a versão basta fazer o upload para o diretório raiz e efetuar um reboot.

O upload pode ser feito por FTP ou copiando e colando pelo Winbox.

para o diretório raiz e efetuar um reboot. • O upload pode ser feito por FTP

31

Pacotes

Adicionar novas funcionalidades podem ser feitas através de alguns pacotes que não fazem parte do conjunto padrão de pacotes combinado.

Esses arquivos também possuem extensão .npk e para instalá-los basta fazer o upload para o Mikrotik e efetuar um reboot do sistema.

Alguns pacotes como “User Manager” e “Multicast” são exemplos de pacotes adicionais que não fazem parte do pacote padrão.

Pacotes

Alguns pacotes podem ser habilitados e desabilitados conforme sua necessidade.

ser habilitados e desabilitados conforme sua necessidade. Pacote desabilitado Pacote marcado para ser desabilitado

Pacote desabilitado

desabilitados conforme sua necessidade. Pacote desabilitado Pacote marcado para ser desabilitado Pacote marcado para ser

Pacote marcado para ser desabilitado

Pacote marcado para ser habilitado

conforme sua necessidade. Pacote desabilitado Pacote marcado para ser desabilitado Pacote marcado para ser habilitado 33

Backup

Para efetuar o backup basta ir em Files e clicar no botão “Backup”.

Para restaurar o backup basta selecionar o arquivo e clicar em “Restore”.

backup basta selecionar o arquivo e clicar em “Restore”. • Este tipo de backup pode causar

Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup por partes use o comando “export”.

Licenciamento

Licenciamento • A chave é gerada sobre um software-id fornecido pelo sistema. • A licença fica

A chave é gerada sobre um software-id fornecido pelo sistema.

A licença fica vinculada ao HD ou Flash e/ou placa mãe.

A formatação com outras ferramentas muda o software-id causa a perda da licença.

35

Dúvidas ???

Dúvidas ??? 36

Nivelamento de conhecimentos TCP/IP

Nivelamento de conhecimentos TCP/IP 37

Modelo OSI (Open System Interconnection)

CAMADA 7 – Aplicação: Comunicação com os programas. SNMP e TELNET.

CAMADA 6 – Apresentação: Camada de tradução. Compressão e criptografia

CAMADA 5 – Sessão: Estabelecimento das sessões TCP.

CAMADA 4 – Transporte: Controle de fluxo, ordenação dos pacotes e correção de erros

CAMADA 3 – Rede: Associa endereço físico ao endereço lógico

CAMADA 2 – Enlace: Endereçamento físico. Detecta e corrige erros da camada 1

CAMADA 1 – Física: Bits de dados

38

Camada I – Camada Física

A camada física define as características técnicas dos dispositivos elétricos.

É nesse nível que são definidas as

especificações de cabeamento estruturado,

fibras ópticas, etc

camada I que define as modulações, frequências e largura de banda das portadores.

No caso da wireless é a

Camada II - Enlace

Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da camada I.

Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede.

Ethernets e PPP são exemplos de dispositivos que trabalham em camada II.

Endereço MAC

É o único endereço físico de um dispositivo de rede

É usado para comunicação com a rede local

Exemplo de endereço MAC: 00:0C:42:00:00:00

Camada III - Rede

Responsável pelo endereçamento lógico dos pacotes.

Transforma endereços lógicos(endereços IPs) em endereços físicos de rede.

Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade.

Endereço IP

É o endereço lógico de um dispositivo de rede

É usado para comunicação entre redes

Exemplo de endereço ip: 200.200.0.1

Sub Rede

É uma faixa de endereços IP que divide as redes em segmentos

Exemplo de sub rede: 255.255.255.0 ou /24

O endereço de REDE é o primeiro IP da sub rede

O endereço de BROADCAST é o último IP da sub rede

Esses endereços são reservados e não podem ser usados

End. IP/Máscara

End. de Rede

End. Broadcast

192.168.0.5/23

192.168.0.0

192.168.1.255

192.168.0.5/24

192.168.0.0

192.168.0.255

192.168.1.5/24

192.168.1.0

192.168.1.255

192.168.1.5/25

192.168.1.0

192.168.1.127

192.168.1.5/26

192.168.1.0

192.168.1.63

44

Endereçamento CIDR

Endereçamento CIDR 45
Endereçamento CIDR 45

Protocolo ARP – Address Resolution Protocol

Utilizado para associar IP’s com endereços físicos.

Faz a intermediação entre a camada II e a camada III da seguinte forma:

1. O solicitante de ARP manda um pacote de broadcast com informação do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC de destino.

2. O host que tem o IP de destino responde fornecendo

seu MAC.

3. Para minimizar o broadcast, o S.O mantém um tabela ARP constando o par (IP – MAC).

Camada IV - Transporte

Quando no lado do remetente é responsável por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede.

No lado do destinatário pega pega os pacotes recebidos da camada de rede, remonta os dados originais e os envia para à camada superior.

Estão na camada IV: TCP, UDP, RTP

47

Camada IV - Transporte

Protocolo TCP:

O TCP é um protocolo de transporte que executa importantes funções para garantir que os dados sejam entregues de forma confiável, ou seja, sem que os dados sejam corrompidos ou alterados.

Protocolo UDP:

O UDP é um protocolo não orientado a conexão e portanto é mais rápido que o TCP. Entretanto não garante a entrega dos dados.

48

Características do protocolo TCP

Garante a entrega de data gramas IP.

Executa a segmentação e reagrupamento de grande blocos de dados enviados pelos programas e garante o seqüenciamento adequado e a entrega ordenada de dados segmentados.

Verifica a integridade dos dados transmitidos usando cálculos de soma de verificação.

Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados. Ao usar confirmações seletivas, também são enviadas confirmações negativas para os dados que não foram recebidos.

Oferece um método preferencial de transporte de programas que devem usar transmissão confiável de dados baseados em sessões, como banco de dados cliente/servidor por exemplo.

49

Diferenças básicas entre TCP e UDP

TCP

UDP

Serviço orientado por conexão.

Serviço sem conexão. Não é estabelecida conexão entre os hosts.

Garante a entre a através do uso de confirmação e entrega seqüenciada dos dados.

g

Não garante ou não confirma entrega dos dados.

Programas que usam TCP tem garantia de transporte confiável de dados.

Programas que usam UDP são responsáveis pela confiabilidade dos dados.

Mais lento, usa mais recursos e somente dá suporte a ponto a ponto.

Rápido, exige poucos recursos e oferece comunicação ponto a ponto e multiponto.

50

Estado das conexões

É possível observar o estado das conexões no MikroTik no menu Connections.

Estado das conexões • É possível observar o estado das conexões no MikroTik no menu Connections.

51

Portas TCP/UDP Protocolo TCP/UDP FTP -T SSH -T DNS-U WEB-T Porta 21 Porta 22 Porta
Portas TCP/UDP
Protocolo
TCP/UDP
FTP -T
SSH -T
DNS-U
WEB-T
Porta 21
Porta 22
Porta 53
Porta 80

O uso de portas, permite o funcionamento de vários serviços, ao mesmo tempo, no mesmo computador, trocando informações com um ou mais serviços/servidores.

Portas abaixo de 1024 são registradas para serviços especiais.

Dúvidas ????

Dúvidas ???? 53

DIAGRAMA INICIAL

DIAGRAMA INICIAL 54

Configuração do Router

Adicione os ips as interfaces

Configuração do Router • Adicione os ips as interfaces Obs.: Atente para selecionar as interfaces corretas.

Obs.: Atente para selecionar as interfaces corretas.

Configuração do Router • Adicione os ips as interfaces Obs.: Atente para selecionar as interfaces corretas.

55

Configuração do Router

Adicione a rota padrão

3 1 4 2
3
1
4
2

Configuração do Router

Adicione o servidor DNS

1 3 2 4
1
3
2
4

Configuração do Router

Configuração da interface wireless

Configuração do Router • Configuração da interface wireless 58

58

Teste de conectividade

Teste de conectividade • Pingar a partir da RouterBoard o seguinte ip: 192.168.X.254 • Pingar a

Pingar a partir da RouterBoard o seguinte ip:

192.168.X.254

Pingar a partir da RouterBoard o seguinte endereço: www.mikrotik.com;

Pingar a partir do notebook o seguinte ip:

192.168.X.254

Pingar a partir do notebook o seguinte endereço:

www.mikrotik.com;

Analisar os resultados

59

Corrigir o problema de conectividade

Diante do cenário apresentado quais soluções podemos apresentar?

Adicionar rotas estáticas;

Utilizar protocolos de roteamento dinâmico;

Utilizar NAT(Network Address Translation).

Utilização do NAT

O mascaramento é a técnica que permite que vários hosts de uma rede compartilhem um mesmo endereço IP de saída do roteador. No Mikrotik o mascaramento é feito através do Firewall na funcionalidade do NAT.

Todo e qualquer pacote de dados de uma rede possui um endereço IP de origem e destino. Para mascarar o endereço, o NAT faz a troca do endereço IP de origem. Quando este pacote retorna ele é encaminhando ao host que o originou.

Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1.

3 1 2 4
3
1
2
4

62

Teste de conectividade

Efetuar os testes de ping a partir do notebook;

Analisar os resultados;

Efetuar os eventuais reparos.

Após a confirmação de que tudo está funcionando, faça o backup da routerboard e armazene-o no notebook. Ele será usado ao longo do curso.

Gerenciando usuários

O acesso ao roteador pode ser controlado;

Pode-se criar usuários e/ou grupos diferentes;

1 2
1
2

64

Gerenciamento de usuários

Gerenciamento de usuários • Adicione um novo usuário com seu nome e dê a ele acesso

Adicione um novo usuário com seu nome e dê a ele acesso “Full”

Mude a permissão do usuário “admin” para “Read”

Faça login com seu novo usuário.

65

Atualizando a RouterBoard

Atualizando a RouterBoard • Faça o download dos pacotes no seguinte endereço: ftp://172.31.254.2 • Faça o

Faça o download dos pacotes no seguinte endereço: ftp://172.31.254.2

Faça o upload dos pacotes para sua RouterBoard

Reinicie a RouterBoard para que os pacotes novos sejam instalados

Confira se os novos pacotes foram instalados com sucesso.

66

Wireless no Mikrotik

Wireless no Mikrotik 67

Configurações Físicas

Padrão IEEE

Frequência

Tecnologia

Velocidades

802.11b

2.4

Ghz

DSSS

1, 2, 5.5 e 11 Mbps

802.11g

2.4

Ghz

OFDM

6, 9, 12, 18, 24, 36, 48 e 54

 

Mbps

802.11a

5 Ghz

OFDM

6, 9, 12, 18, 24, 36, 48 e 54

Mbps

802.11n

2.4

Ghz e 5

BQSP, QPSQ e QAM

De 6.5Mbps até 600 Mbps

Ghz

68

802.11b - DSSS

802.11b - DSSS 69

Canais não interferentes em 2.4 Ghz - DSSS

Canal 1 Canal 6 Canal 11 2.412 GHz 2.437 GHz 2.462 GHz
Canal 1
Canal 6
Canal 11
2.412 GHz
2.437 GHz
2.462 GHz

Configurações Físicas – 2.4Ghz

Configurações Físicas – 2.4Ghz • 2.4Ghz-B : Modo 802.11b, que permite velocidades de 1 à 11

2.4Ghz-B: Modo 802.11b, que permite velocidades de 1 à 11 Mbps e utiliza espalhamento espectral.

2.4Ghz-only-G: Modo 802.11g, que permite velocidades de 6 à 54 Mbps e utiliza OFDM.

2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser usado somente em processo de migração.

71

Canais do espectro de 5Ghz

Canais do espectro de 5Ghz • Em termos regulatórios a frequência de 5Ghz é dividida em

Em termos regulatórios a frequência de 5Ghz é dividida em 3 faixas:

Faixa baixa:

Faixa média: 5470 a 5725 Mhz

Faixa alta:

5150 a 5350 Mhz

5725 a 5850 Mhz

Aspectos legais do espectro de 5Ghz

Faixa Baixa Faixa Média Faixa Alta Freqüências 5150-5250 5250-5350 5470-5725 5725-5850 Largura 100 Mhz 100
Faixa Baixa
Faixa Média
Faixa Alta
Freqüências
5150-5250
5250-5350
5470-5725
5725-5850
Largura
100 Mhz
100 Mhz
255 Mhz
125 Mhz
Canais
4 canais
4 canais
11 canais
5 canais
Detecção
de radar
obrigatória
Detecção
de radar
obrigatória

Configurações Físicas – 5 Ghz

Configurações Físicas – 5 Ghz • 5Ghz : Modo 802.11a opera nas três faixas permitidas com

5Ghz: Modo 802.11a opera nas três faixas permitidas com velocidades que vão de 6Mbps a 54 Mbps.

O modo 5Ghz permite ainda as variações de uso em 10Mhz e 5Mhz de largura de banda que permite selecionar freqüências mais especificas, porém reduzindo a velocidade nominal.

Permite ainda a seleção do modo turbo ou “a/n” dependendo do modelo do cartão.

Canalização em 802.11a – Modos 5Mhz e

10Mhz

Canalização em 802.11a – Modos 5Mhz e 10Mhz Menor troughput Maior número de canais Menor vulnerabilidade

Menor troughput Maior número de canais Menor vulnerabilidade a interferências Requer menor sensibilidade Aumenta o nível de potência de tx

75

Canalização em 802.11a – Modo Turbo

Canalização em 802.11a – Modo Turbo Maior troughput Menor número de canais Maior vulnerabilidade a

Maior troughput Menor número de canais Maior vulnerabilidade a interferências Requer maior sensibilidade Diminui o nível de potência de tx

Padrão 802.11n

INDICE:

MIMO Velocidades do 802.11n Bonding do canal Agregação dos frames Configuração dos cartões Potência de TX em cartões N Bridge transparente para links N utilizando MPLS/VPLS

MIMO

MIMO: Multiple Input and Multiple Output

SDM: Spatial Division Multiplexing

Streams espaciais múltiplas através de múltiplas antenas.

Configurações de antenas múltiplas para receber e transmitir:

1x1, 1x2, 1x3;

2x2, 2x3;

3x3

802.11n - Velocidades nominais

802.11n - Velocidades nominais 79

79

802.11n - Bonding dos canais 2 x 20Mhz

Adiciona mais 20Mhz ao canal existente

O canal é colocado abaixo ou acima da frequência principal

É compatível com os clientes “legados” de 20Mhz

Conexão feito no canal principal

Permite utilizar taxas maiores

802.11n – Agregação dos frames

Combina múltiplos frames de dados em um simples frame. O que diminui o overhead

Agregação de unidade de dados protocolo MAC (AMPDU)

Aggregated MAC Protocol Data Units

Usa Acknowledgement em bloco

Pode aumentar a latência. Por padrão habilitado somente para tráfego de melhor esforço

Agregação de unidade de dados de serviços MAC (AMSDU)

Enviando e recebendo AMSDU’s causa aumento de processamento, pois este é processado a nível de software.

81

Configurando no Mikrotik

HT Tx Chains / HT Rx Chains:

No caso dos cartões “n” a configuração da antena é ignorada.

HT AMSDU Limit: Máximo AMSDU que o dispositivo pode preparar.

HT AMSDU Threshold: Máximo tamanho de frame que é permitido incluir em AMSDU.

que o dispositivo pode preparar. • HT AMSDU Threshold : Máximo tamanho de frame que é

82

Configurando no Mikrotik

HT Guard Interval: Intervalo de guarda.

Any: Longo ou curto, dependendo da velocidade de transmissão.

Longo: Intervalo longo.

HT Extension Channel: Define se será usado a extensão adicional de 20Mhz.

Below: Abaixo do canal principal

Above: Acima do canal principal

HT AMPDU Priorities: Prioridades do frame para qual o AMPDU deve ser negociado e utilizado.

do canal principal • HT AMPDU Priorities : Prioridades do frame para qual o AMPDU deve

83

Configurando no Mikrotik

Configurando no Mikrotik • Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão
Configurando no Mikrotik • Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão
Configurando no Mikrotik • Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão
Configurando no Mikrotik • Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão

Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é dobrada.

84

Bridge transparente em enlaces “N”

WDS não suporta agregação de frames e portanto não provê a velocidade total da tecnologia “n”

EoIP incremente overhead

Para fazer bridge transparente com velocidades maiores com menos overhead em enlaces “n” devemos utilizar MPLS/VPLS.

Bridge transparente em enlaces “N”

Para se configurar a bridge transparente em enlaces “n”, devemos estabelecer um link AP <-> Station e configure uma rede ponto a ponto /30.

Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)

Habilitar o LDP (Label Distribution Protocol) em ambos lados.

Adicionar a wlan1 a interface MPLS

– Habilitar o LDP (Label Distribution Protocol) em ambos lados. – Adicionar a wlan1 a interface

86

Bridge transparente em enlaces “N”

Configurar o túnel VPLS em ambos os lados

Crie uma bridge entre a interface VPLS e a ethernet conectada

Confira o status do LDP e do túnel VPLS

lados • Crie uma bridge entre a interface VPLS e a ethernet conectada • Confira o
87
87

Bridges VPLS - Considerações

O túnel VPLS incrementa o pacote. Se este pacote excede o MPLS MTU da interface de saida, este será fragmentado.

Se a interface ethernet suportar MPLS MTU de 1522 ou superior, a fragmentação pode ser evitada alterando o MTU da interface MPLS.

Uma lista completa sobre as MTU das RouterBoards pode ser encontrada em:

http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards

Setup Outdoor para enlaces “n”

Recomendações segundo a Mikrotik:

Teste de canal separadamente antes de usá-los ao mesmo tempo.

Para operação em 2 canais, usar polarizações diferentes

Quando utilizar antenas de polarização dupla, a isolação mínima recomendada da antena é de 25dB.

Enlaces “n”

Enlaces “n” Estabeleça um link “N” com seu vizinho Teste a performance com um e dois

Estabeleça um link “N” com seu vizinho

Teste a performance com um e dois canais

Crie uma bridge transparente usando VPLS

90

Configurações de camada física - Potências

Configurações de camada física - Potências • default : Não altera a potência original do cartão

default: Não altera a potência original do cartão

cards rates: Fixa mas respeita as variações das taxas para cada velocidade

all rates fixed: Fixa um valor para todas velocidades

manual: permite ajustar potências diferentes para cada velocidade

91

Configurações de camada física - Potências

Configurações de camada física - Potências • Quando a opção “regulatory domain” está habilitada, somente as

Quando a opção “regulatory domain” está habilitada, somente as frequências permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país, levando em conta o valor em dBi informado em “Antenna Gain”.

Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13

92

Configurações da camada física – Seleção de antena

Configurações da camada física – Seleção de antena • Em cartões que tem duas saidas para

Em cartões que tem duas saidas para antenas, é possível escolher:

antena a: utiliza antena “a”(main) para tx e rx

antena b: utiliza antena “b”(aux) para tx e rx

rx-a/tx-b: recepção em “a” e transmissão em “b”

tx-a/rx-b: transmissão em “b” e recepção em “a”

93

Configurações da camada física – DFS

Configurações da camada física – DFS • no radar detect : escaneia o meio e escolhe

no radar detect: escaneia o meio e escolhe o canal em que for encontrado o menor número de redes

radar detect: escaneia o meio e espera 1 minuto para entrar em operação no canal escolhido se não for detectada a ocupação do canal

Obs.: O modo DFS é obrigatório no Brasil para as faixas de 5250-5350 e

5350-5725

94

Configurações da camada física – Prop. Extensions e WMM

Configurações da camada física – Prop. Extensions e WMM • Proprietary Extensions : Opção com a

Proprietary Extensions: Opção com a única finalidade de dar compatibilidade com chipsets Centrino.

WMM Support: QoS no meio físico(802.11e)

enabled: permite que o outro dispositivo use wmm

required: requer que o outro dispositivo use wmm

disabled: desabilita a função wmm

95

Configurações da camada física – AP e Client tx rate / Compression

Defaul AP TX Rate: Taxa máxima que o AP pode transmitir para cada um de seus clientes. Funciona para qualquer cliente.

Default Client TX Rate: Taxa máxima que o cliente pode transmitir para o AP. Só funciona para clientes Mikrotik.

transmitir para o AP. Só funciona para clientes Mikrotik. • Compression : Recurso de compressão em

Compression: Recurso de compressão em Hardware disponível em chipsets Atheros. Melhora o desempenho se o cliente possuir este recurso e não afeta clientes que não possuam o recurso. Porém este recurso é incompatível com criptografia.

96

Configurações da camada física – Data Rates

A velocidade em uma rede wireless é definida pela modulação que os dispositivos conseguem trabalhar.

Supported Rates: São as velocidades de dados entre o AP e os clientes.

Basic Rates: São as velocidades que os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc

)

as velocidades que os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc )

97

Configurações da camada física – ACK

Dispositivo

“A”

Dados

da camada física – ACK Dispositivo “A” Dados ACK Dispositivo “B” • O ACK timeout é
da camada física – ACK Dispositivo “A” Dados ACK Dispositivo “B” • O ACK timeout é

ACK

Dispositivo “B”
Dispositivo
“B”

O ACK timeout é o tempo que um dispositivo wireless espera pelo pacote Ack que deve ser transmitido para confirmar toda transmissão wireless.

Dynamic: O Mikrotik calcula dinamicamente o Ack de cada cliente mandando de tempos em tempos sucessivos pacotes com Ack timeouts diferentes e analisando as respostas.

indoors: Valor constante para redes indoors.

Pode-se também fixar valores manualmente.

Configurações da camada física – ACK

Tabela de valores referenciais para ACK Timeout

– ACK • Tabela de valores referenciais para ACK Timeout Obs.: Utilize a tabela somente para

Obs.: Utilize a tabela somente para referência inicial.

99

Ferramentas de Site Survey - Scan

Ferramentas de Site Survey - Scan • Escaneia o meio. A -> Ativa B -> BSS

Escaneia o meio.

A

-> Ativa

B

-> BSS

P

-> Protegida

R

-> Mikrotik

N

-> Nstreme

Obs.: Qualquer operação de site survey causa queda das conexões estabelecidas.

100

Ferramentas de Site Survey – Uso de frequências

Mostra o uso das frequências em todo o espectro para site survey conforme a banda selecionada no menu wireless.

• Mostra o uso das frequências em todo o espectro para site survey conforme a banda

101

Interface wireless - Alinhamento

Interface wireless - Alinhamento • Ferramenta de alinhamento com sinal sonoro – Colocar o MAC do

Ferramenta de alinhamento com sinal sonoro

Colocar o MAC do AP remoto no campo Filter MAC Address e Audio Monitor.

Rx Quality: Potência em dBm do último pacote recebido

Avg. Rx Quality: Potência média dos pacotes recebidos

Last Rx: Tempo em segundos do último pacote recebido

Tx Quality: Potência do último pacote transmitido

Tx Quality : Potência do último pacote transmitido Last TX : Tempo em segundos do último
Tx Quality : Potência do último pacote transmitido Last TX : Tempo em segundos do último
Tx Quality : Potência do último pacote transmitido Last TX : Tempo em segundos do último

Last TX: Tempo em segundos do último pacote transmitido

Correct: Número de pacotes recebidos sem erro

102

Interface wireless - Sniffer

Interface wireless - Sniffer • Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes. •

Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes.

Muito útil para detectar ataques do tipo deauth e monkey jack.

Pode ser arquivado no próprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP.

103

Interface wireless - Snooper

Interface wireless - Snooper • Com a ferramenta snooper é possível monitorar a carga de tráfego

Com a ferramenta snooper é possível monitorar a carga de tráfego em cada canal por estação e por rede.

Scaneia as frequências definidas em scan-list da interface

Interface wireless - Geral

Comportamento do protocolo ARP

enable: Aceita e responde requisições ARP.

disable: Não responde a requisições ARP. Clientes devem acessar através de tabelas estáticas.

proxy-arp: Passa seu próprio MAC quando há uma requisição para algum host interno ao roteador.

reply-only: Somente responde as requisições. Endereços vizinhos são resolvidos estaticamente.

ao roteador. reply-only : Somente responde as requisições. Endereços vizinhos são resolvidos estaticamente. 105

105

Interface wireless – Modo de operação

Interface wireless – Modo de operação • ap bridge : Modo de ponto de acesso. Repassa

ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada.

bridge: O mesmo que o o modo “ap bridge” porém aceitando somente um cliente.

station: Modo cliente de um ap. Não pode ser colocado em bridge com outras interfaces.

Interface wireless – Modo de operação

Interface wireless – Modo de operação • station pseudobridge : Estação que pode ser colocada em

station pseudobridge: Estação que pode ser colocada em modo bridge, porém sempre passa ao AP seu próprio MAC.

station pseudobridge clone: Modo idêntico ao anterior, porém passa ao AP um MAC pré determinado anteriormente.

station wds: Modo estação que pode ser colocado em bridge com a interface ethernet e que passa os MACs de forma transparente. É necessário que o AP esteja em modo wds.

Interface wireless – Modo de operação

Interface wireless – Modo de operação • alignment only : Modo utilizado para efetuar alinhamento de

alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que são mandados a ela por outros dispositivos trabalhando no mesmo canal.

wds slave: Adéqua suas configurações conforme outro AP com mesmo SSID.

nstreme dual slave: Será visto no tópico especifico de nstreme.

Interface wireless – AP Virtual Com as interfaces virtuais podemos montar várias redes dando perfis

Interface wireless – AP Virtual

Interface wireless – AP Virtual Com as interfaces virtuais podemos montar várias redes dando perfis de

Com as interfaces virtuais podemos montar várias redes dando perfis de serviço diferentes.

montar várias redes dando perfis de serviço diferentes . Name : Nome da rede virtual MTU

Name: Nome da rede virtual MTU: Unidade máxima de transferência(bytes) MAC: Endereço MAC do novo AP ARP: Modo de operação do protocolo ARP

Obs.: As demais configurações são idênticas as de um AP.

109
109

Camada Física - Wireless

Camada Física - Wireless • Como trabalha o CSMA? – Redes ethernet tradicionais utilizam o método

Como trabalha o CSMA?

Redes ethernet tradicionais utilizam o método CSMA/CD (Colision Detection).

Redes wireless 802.11 utilizam o método CSMA/CA (Colision Avoidance).

110

Protocolo Nstreme - Configuração

Protocolo Nstreme - Configuração Framer Policy Dynamic size : O Mikrotik determina. Best fit : Agrupa

Framer Policy

Dynamic size: O Mikrotik determina.

Best fit: Agrupa até o valor em “Frame Limit” sem fragmentar.

Exact Size: Agrupa até o valor em “Frame Limit” fragmentando se necessário.

Enable Nstreme: Habilita o nstreme.

Enable Polling: Habilita o mecanismo de polling. Recomendado.

Disable CSMA: Desabilita o Carrier Sense. Recomendado.

Framer Limit: Tamanho máximo do pacote em bytes.

111

Protocolo Nstreme Dual - Configuração

Protocolo Nstreme Dual - Configuração 1 – Colocar a interface em modo “nstreme dual slave”. 2
Protocolo Nstreme Dual - Configuração 1 – Colocar a interface em modo “nstreme dual slave”. 2
Protocolo Nstreme Dual - Configuração 1 – Colocar a interface em modo “nstreme dual slave”. 2

1 – Colocar a interface em modo “nstreme dual slave”.

2 – Adicionar uma interface Nstreme

Dual e definir quem será TX e quem será RX.

Obs.: Utilize sempre canais distantes.

112

Protocolo Nstreme Dual - Configuração

3 – Verifique o MAC escolhido pela interface Nstreme e informe no lado oposto.

4 – Criar uma bridge e adicionar as interfaces ethernet e a interface Nstreme Dual

adicionar as interfaces ethernet e a interface Nstreme Dual Práticas de RF recomendadas : Use antenas
adicionar as interfaces ethernet e a interface Nstreme Dual Práticas de RF recomendadas : Use antenas

Práticas de RF recomendadas:

Use antenas de qualidade, Polarizações diferentes, canais distantes e mantenha uma boa distância entre as antenas.

113

WDS & WDS MESH

WDS & WDS MESH 114

WDS – WIRELESS DISTRIBUTION SYSTEM

WDS – WIRELESS DISTRIBUTION SYSTEM • WDS é a melhor forma garantir uma grande área de

WDS é a melhor forma garantir uma grande área de cobertura wireless utilizando vários APs e prover mobilidade sem a necessidade de re-conexão dos usuários. Para tanto, todos os AP’s devem ter o mesmo SSID e mesmo canal.

WDS e o protocolo STP

WDS e o protocolo STP • A “mágica” do wds só é possível por conta do
WDS e o protocolo STP • A “mágica” do wds só é possível por conta do

A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de forma semelhante porém o RSTP é mais rápido.

O RSTP inicialmente elege uma root bridge e utiliza o algoritmo “breadth- first search” que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado.

Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No entanto é possível interferir no comportamento padrão, modificando custos, prioridades e etc

WDS e o protocolo STP

WDS e o protocolo STP Quanto menor a prioridade, maior a chance de ser eleita como
WDS e o protocolo STP Quanto menor a prioridade, maior a chance de ser eleita como
WDS e o protocolo STP Quanto menor a prioridade, maior a chance de ser eleita como
WDS e o protocolo STP Quanto menor a prioridade, maior a chance de ser eleita como

Quanto menor a prioridade, maior a chance de ser eleita como bridge root.

Quando os custos são iguais é eleita a porta com prioridade mais baixa.

O custo da porta permite um caminho ser eleito em lugar do outro.

117

WDS e o protocolo STP

WDS e o protocolo STP • A Bridge usa o endereço MAC da porta ativa com

A Bridge usa o endereço MAC da porta ativa com menor número de porta.

A porta wireless está ativa somente quando existem hosts conectados a ela.

Para evitar que os MACs fiquem variando, é possível atribuir um MAC manualmente.

118

WDS / WDS MESH

WDS / WDS MESH • WDS Mode • WDS Default Bridge : A bridge padrão para

WDS Mode

WDS Default Bridge: A bridge padrão para as interfaces wds.

WDS Default Cost: Custo da porta bridge do link wds.

WDS Cost Range: Margem de custo que pode ser ajustada com base no troughtput do link.

dynamic: As interfaces wds são adicionada dinamicamente quando um dispositivo wds encontra outro compatível.

static: As interfaces wds devem ser adicionadas manualmente apontando o MAC da outra ponta.

(mesh): WDS com um algoritmo proprietário para melhoria do link. Só possui compatibilidade com outros dispositivos Mikrotik.

119

WDS / MESH • Altere o modo de operação da wireless para: ap-bridge WDS :

WDS / MESH

Altere o modo de operação da wireless para: ap-bridge

• Altere o modo de operação da wireless para: ap-bridge WDS : Selecione o modo wds

WDS: Selecione o modo wds dynamic-mesh.

WDS Default Bridge:

Selecione a bridge criada.

Obs:. Certifique-se que todos estão no canal 5180 e SSID:

wds-lab.

WDS Default Bridge : Selecione a bridge criada. Obs: . Certifique-se que todos estão no canal

120

Interface Wireless – Controle de Acesso

Interface Wireless – Controle de Acesso • A Access List é utilizada pelo AP para restringir

A Access List é utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar.

A comunicação entre clientes da mesma interface, virtual ou real, também é controlada na Access List.

Interface Wireless – Controle de Acesso

Interface Wireless – Controle de Acesso • O processo de associação ocorre da seguinte forma: 1.

O processo de associação ocorre da seguinte forma:

• O processo de associação ocorre da seguinte forma: 1. Um cliente tenta se associar a
• O processo de associação ocorre da seguinte forma: 1. Um cliente tenta se associar a

1. Um cliente tenta se associar a uma interface wlan;

2. Seu MAC é procurado na access list da interface wlan;

3. Caso encontrado, a ação especifica será tomada:

Authentication: Define se o cliente poderá se associar ou

não; Fowarding: Define se os clientes poderão se comunicar.

122

Interface Wireless – Access List

MAC Address: Endereço MAC a ser liberado ou bloqueado.

Interface: Interface real ou virtual onde será feito o controle de acesso.

AP Tx Limit: Limite de tráfego enviado para o cliente.

Client Tx Limit: Limite de tráfego enviado do cliente para o AP.

Private Key: Chave wep criptografada.

Private Pre Shared Key: Chave WPA.

Chave wep criptografada. Private Pre Shared Key : Chave WPA. Management Protection Key : Chave usada

Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros Mikrotiks.

123

Interface Wireless – Connect List

A Connect List tem a finalidade de listar os APs que o Mikrotik configurado como cliente pode se conectar.

MAC Address: MAC do AP a se conectar

pode se conectar. MAC Address : MAC do AP a se conectar SSID : Nome da

SSID: Nome da rede

Area Prefix: String para conexão com AP de mesma área

Security Profile: Definido nos perfis de segurança.

Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP falso.

124

Segurança de Acesso em redes sem fio

Segurança de Acesso em redes sem fio 125

Falsa segurança

Nome da rede escondido:

Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes chamados “beacons”. Este comportamento pode ser modificado no Mikrotik habilitando a opção “Hide SSID”.

Pontos negativos:

SSID deve ser conhecido pelos clientes

Scanners passivos o descobrem facilmente pelos pacotes de “probe request” dos clientes.

pelos clientes – Scanners passivos o descobrem facilmente pelos pacotes de “probe request” dos clientes. 126

126

Falsa segurança

Controle de MACs:

Descobrir MACs que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer.

Spoofar um MAC é bem simples. Tanto usando windows, linux ou Mikrotik.

Falsa segurança

Criptografia WEP:

“Wired Equivalent Privacy” – Foi o sistema de criptografia inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia.

Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar a chave, como:

Airodump Airreplay Aircrack

Hoje com essas ferramentas é bem simples quebrar a WEP.

128

Evolução dos padrões de segurança

Evolução dos padrões de segurança 129

Fundamentos de Segurança

Privacidade

As informações não

Integridade

As informações não transito.

podem ser legíveis para terceiros.

podem ser alteradas quando em

Autenticação

AP

terceiros. podem ser alteradas quando em Autenticação AP Cliente: O AP tem que garantir que o

Cliente: O AP tem que garantir que o cliente é

quem diz ser.

Cliente

O AP tem que garantir que o cliente é quem diz ser. Cliente AP: O cliente

AP: O cliente tem que se certificar que está

conectando no AP correto. Um AP falso possibilita o chamado ataque do “homem do meio”.

Privacidade e Integridade

Tanto a privacidade como a integridade são garantidos por técnicas de criptografia.

O algoritmo de criptografia de dados em WPA é o RC4, porém implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se o AES.

Para a integridade dos dados WPA usa TKIP(Algoritmo de Hashing “Michael”) e WPA2 usa CCM(Cipher Chaining Message Authentication Check – CBC – MAC)

131

Chave WPA e WPA2 - PSK

A configuração da chave WPA/WAP2-PSK é muito simples no Mikrotik.

Configure o modo de chave dinâmico e a chave pré- combinada para cada tipo de autenticação.

Obs.: As chaves são alfanuméricas de 8 até 64 caracteres.

a chave pré- combinada para cada tipo de autenticação. Obs.: As chaves são alfanuméricas de 8
132
132
a chave pré- combinada para cada tipo de autenticação. Obs.: As chaves são alfanuméricas de 8
a chave pré- combinada para cada tipo de autenticação. Obs.: As chaves são alfanuméricas de 8
a chave pré- combinada para cada tipo de autenticação. Obs.: As chaves são alfanuméricas de 8

Segurança de WPA / WPA2

Atualmente a única maneira conhecida para se quebrar a WPA-PSK é somente por ataque de dicionário.

Como a chave mestra PMK combina uma contra- senha com o SSID, escolhendo palavras fortes torna o sucesso de força bruta praticamente impossível.

A maior fragilidade paras os WISP’s é que a chave se encontra em texto plano nos computadores dos clientes ou no próprio Mikrotik.

Configurando EAP-TLS – Sem Certificados

Crie o perfil EAP-TLS e associe a interface Wireless cliente.

Configurando EAP-TLS – Sem Certificados Crie o perfil EAP-TLS e associe a interface Wireless cliente. 134
Configurando EAP-TLS – Sem Certificados Crie o perfil EAP-TLS e associe a interface Wireless cliente. 134
134
134

Segurança de EAP-TLS sem certificados

O resultado da negociação anônima resulta em uma chave PMK que é de conhecimento exclusivo das duas partes. Depois disso toda a comunicação é criptografada por AES(WPA2) e o RC4(WPA).

Seria um método muito seguro se não houvesse a possibilidade de um atacante colocar um Mikrotik com a mesma configuração e negociar a chave normalmente como se fosse um cliente.

Uma idéia para utilizar essa configuração de forma segura é criando um túnel criptografado PPtP ou L2TP entre os equipamentos depois de fechado o enlace.

135

Trabalhando com certificados

Certificado digital é um arquivo que identifica de forma inequívoca o seu proprietário.

Certificados são criados por instituições emissoras chamadas de CA (Certificate Authorities).

Os certificados podem ser:

Assinados por uma instituição “acreditada” (Verisign,

Thawte, etc

)

Certificados auto-assinados.

Passos para implementação de EAP-TLS com certificados auto Assinados

1. Crie a entidade certificadora(CA)

2. Crie as requisições de Certificados

3. Assinar as requisições na CA

4. Importar os certificados assinados para os Mikrotiks

5. Se necessário, criar os certificados para máquinas windows

EAP-TLS sem Radius em ambos lados

EAP-TLS sem Radius em ambos lados • O método EAP-TLS também pode ser usado com certificados.

O método EAP-TLS também pode ser usado com certificados.

EAP-TLS sem Radius em ambos lados • O método EAP-TLS também pode ser usado com certificados.

EAP-TLS sem Radius em ambos lados

Metodos TLS

dont verify certificate: Requer um certificado, porém não verifica.

no certificates: Certificados são negociados dinamicamente com o algoritmo de Diffie Hellman.

verify certificate: Requer um certificado e verifica se foi assinado por uma CA.

com o algoritmo de Diffie Hellman. verify certificate : Requer um certificado e verifica se foi

139

WPAx com radius

140
140

EAP-TLS com certificado

EAP-TLS (EAP – Transport Layer Security)

O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse método para um Servidor Radius.

Prover maior nível de segurança e necessita de certificados em ambos lados(cliente e servidor).

O passo a passo completo para configurar um servidor Radius pode ser encontrado em:

http://under-linux.org/wiki/Tutoriais/Wireless/freeradius-

mikrotik

EAP-TLS com Radius em ambos lados

A configuração da parte do cliente é bem simples.

Selecione o método EAP-TLS

Certifique-se que os certificados estão instalados e assinados pela CA.

Associe o novo perfil de segurança a interface wireless correspondente.

estão instalados e assinados pela CA. – Associe o novo perfil de segurança a interface wireless
estão instalados e assinados pela CA. – Associe o novo perfil de segurança a interface wireless

142

EAP-TLS com Radius em ambos lados

No lado do AP selecione o método EAP “passthrough”.

Selecione o certificado correspondente.

• Selecione o certificado correspondente. Obs.: Verifique sempre se o sistema está com o cliente NTP

Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado. Caso a data do sistema não esteja correta, poderá causar falha no uso de certificados devido a data validade dos mesmos.

143

Segurança de EAP-TLS com Radius

Sem dúvida este é o método mais seguro que podemos obter. Entretanto existe um ponto que podemos levantar como possível fragilidade:

um ponto que podemos levantar como possível fragilidade: Ponto de fragilidade – Se um atacante tem
um ponto que podemos levantar como possível fragilidade: Ponto de fragilidade – Se um atacante tem

Ponto de fragilidade

Se um atacante tem acesso físico ao link entre o AP e o Radius ele pode tentar um ataque de força bruta para descobrir a PMK.

Uma forma de proteger este trecho é usando um túnel

L2TP.

144

Resumo dos metodos de implantação e seus problemas.

WPA-PSK

Chaves presentes nos clientes e acessíveis aos operadores.

Método sem certificados

Passível de invasão por equipamento que também opere nesse modo. Problemas com processador.

Mikrotik com Mikrotik com EAP-TLS

Método seguro porém inviável economicamente e de implantação praticamente impossível em redes existentes.

145

Resumo dos métodos de implantação e seus problemas.

Mikrotik com Radius

EAP-TLS e EAP-PEAP:

Sujeito ao ataque do “homem do meio” e pouco disponível em equipamentos atuais.

EPA-TLS

Método seguro, porém também não disponível na maioria dos equipamentos. Em placas PCI é possível implementá-lo.

Método alternativo com Mikrotik

A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP e é vinculada ao MAC Address do cliente, possibilitando que cada um tenha sua chave.

do cliente, possibilitando que cada um tenha sua chave. Obs.: Cadastrando as PSK na access list,

Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visível a usuários do Mikrotik.

chave. Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visível a

147

Método alternativo com Mikrotik

Por outro lado, o Mikrotik permite que essas chaves sejam distribuídas por Radius, o que torna esse método muito interessante.

Para isso é necessário:

Criar um perfil WPA2 qualquer;

Habilitar a autenticação via MAC no AP;

Ter a mesma chave configurada tanto no cliente como no Radius.

Método alternativo com Mikrotik

Configurando o perfil:

Método alternativo com Mikrotik • Configurando o perfil: 149
Método alternativo com Mikrotik • Configurando o perfil: 149

149

Configurando o Radius

Arquivo users: (/etc/freeradius)

#Sintaxe:

# MAC

Cleartext-Password:=“MAC”

#

Mikrotik-Wireless-Psk = “Chave_Psk”

000C42000001

Cleartext-Password:=“000C42000001”

000C42000002

Mikrotik-Wireless-Psk = “12341234”

Cleartext-Password:=“000C43000002”

Mikrotik-Wireless-Psk = “2020202020ABC”

Corrigindo o dicionário de atributos

(/usr/share/freeradius/dictionary.mikrotik)

VENDOR

Mikrotik

 

14988

ATTRIBUTE

Mikrotik-Recv-Limit

1

integer

ATTRIBUTE

Mikrotik-Xmit-Limit

2

integer

ATTRIBUTE

Mikrotik-Group

3

string

ATTRIBUTE

Mikrotik-Wireless-Forward

4

integer

ATTRIBUTE

Mikrotik-Wireless-Skip-Dot1x

5

integer

ATTRIBUTE

ATTRIBUTE

Mikrotik-Wireless-Enc-Algo

Mik

-

tik Wi

l

E

K

ey

ro

re ess- nc-

6

7

integer

t i

s r ng

ATTRIBUTE

Mikrotik-Rate-Limit

 

8

string

ATTRIBUTE

Mikrotik-Realm

 

9

string

ATTRIBUTE

Mikrotik-Host-IP

10

ipaddr

ATTRIBUTE

Mikrotik-Mark-Id

11

string

ATTRIBUTE

Mikrotik-Advertise-URL

 

12

string

ATTRIBUTE

Mikrotik-Advertise-Interval

13

integer

ATTRIBUTE

Mikrotik-Recv-Limit-Gigawords

14

integer

ATTRIBUTE

Mikrotik-Xmit-Limit-Gigawords

15

integer

ATTRIBUTE Mikrotik-Wireless-Psk 16 string
ATTRIBUTE
Mikrotik-Wireless-Psk
16
string

Firewall no Mikrotik

Firewall no Mikrotik 152

Firewall

O firewall é normalmente usado como ferramenta de segurança para prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de entrada, de saída e passante.

Além da segurança é no firewall que serão desempenhadas diversas funções importantes como a classificação e marcação de pacotes para desenvolvimento de regras de QoS.

A classificação do tráfego feita no firewall pode ser baseada em vários classificadores como endereços MAC, endereços IP, tipos de endereços IP, portas, TOS, tamanho do pacotes, etc

Firewall - Opções

Firewall - Opções Filter Rules : Regras para filtro de pacotes. NAT : Onde é feito

Filter Rules: Regras para filtro de pacotes.

NAT: Onde é feito a tradução de endereços e portas.

Mangle: Marcação de pacotes, conexão e roteamento.

Service Ports: Onde são localizados os NAT Helpers.

Connections: Onde são localizadas as conexões existentes.

Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e que podem ser utilizadas em várias partes do firewall.

Firewall – Canais default

O Firewall opera por meio de regras. Uma regra é uma expressão lógica que diz ao roteador o que fazer com um tipo particular de pacote.

Regras são organizadas em canais(chain) e existem 3 canais “default”.

INPUT: Responsável pelo tráfego que CHEGA no router;

OUTPUT: Responsável pelo tráfego que SAI do router;

FORWARD: Responsável pelo tráfego que PASSA pelo router.

155

Firewall – Fluxo de pacotes

Interface de Entrada
Interface de
Entrada
Interface de Saida
Interface de
Saida
Decisão de Roteamento
Decisão de
Roteamento
Processo Local IN Processo Local OUT Filtro Input Filtro Output
Processo Local
IN
Processo Local
OUT
Filtro Input
Filtro Output
Decisão de Roteamento
Decisão de
Roteamento
OUT Filtro Input Filtro Output Decisão de Roteamento Filtro Forward • Para maiores informações acesse:
Filtro Forward
Filtro Forward
Input Filtro Output Decisão de Roteamento Filtro Forward • Para maiores informações acesse:

Para maiores informações acesse:

http://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Firewall – Princípios gerais

Firewall – Princípios gerais 1. As regras de firewall são sempre processadas por canal, na ordem
Firewall – Princípios gerais 1. As regras de firewall são sempre processadas por canal, na ordem

1. As regras de firewall são sempre processadas por canal, na ordem que são listadas de cima pra baixo.

2. As regras de firewall funcionam como expressões lógicas condicionais, ou seja: “se <condição> então <ação>”.

3. Se um pacote não atende TODAS condições de uma regra, ele passa para a regra seguinte.

Firewall – Princípios gerais

4. Quando um pacote atende TODAS as condições da regra, uma ação é tomada com ele não importando as regras que estejam abaixo nesse canal, pois elas não serão processadas.

5. Algumas exceções ao critério acima devem ser consideradas como as ações de: “passthrough”, log e “add to address list”.

6. Um pacote que não se enquadre em qualquer regra do canal, por padrão será aceito.

Firewall – Filters Rules

Firewall – Filters Rules • As regras de filtro pode ser organizadas e mostradas da seguinte

As regras de filtro pode ser organizadas e mostradas da seguinte forma:

all: Mostra todas as regras.

dynamic: Regras criadas dinamicamente por serviços.

forward, input output: Regras referente a cada canal.

static: Regras criadas estaticamente pelos usuários.

Firewall – Filters Rules

Algumas ações que podem ser tomadas nos filtros de firewall:

passthrough: Contabiliza e passa adiante. drop: Descarta o pacote silenciosamente. reject: Descarta o pacote e responde com uma mensagem de icmp ou tcp reset. tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas não aloca recursos.

mensagem de icmp ou tcp reset. tarpit : Responde com SYN/ACK ao pacote TCP SYN entrante,
160
160

Filter Rules – Canais criados pelo usuário

Filter Rules – Canais criados pelo usuário • Além dos canais padrão o administrador pode criar

Além dos canais padrão o administrador pode criar canais próprios. Esta prática ajuda na organização do firewall.

Para utilizar o canal criado devemos “desviar” o fluxo através de uma ação JUMP.

No exemplo acima podemos ver 3 novos canais criados.

Para criar um novo canal basta adicionar uma nova regra e dar o nome desejado ao canal.

161

Firewall – Filters Rules

Ações relativas a canais criados pelo usuário:

jump: Salta para um canal definido em jump-target

jump target: Nome do canal para onde se deve saltar

return: Retorna para o canal que chamou o jump

– jump target : Nome do canal para onde se deve saltar – return : Retorna
– jump target : Nome do canal para onde se deve saltar – return : Retorna

162

Como funciona o canal criado pelo usuário

REGRA REGRA REGRA REGRA REGRA REGRA JUMP REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA

Canal criado pelo usuário

Como funciona o canal criado pelo usuário

REGRA REGRA REGRA REGRA REGRA REGRA JUMP RETURN REGRA REGRA REGRA REGRA REGRA REGRA REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
RETURN
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA

Caso exista alguma regra de RETURN, o retorno é feito de forma antecipada e as regras abaixo serão ignoradas.

Firewall – Address List

Firewall – Address List • A address list contém uma lista de endereços IP que pode
Firewall – Address List • A address list contém uma lista de endereços IP que pode

A address list contém uma lista de endereços IP que pode ser utilizada em várias partes do firewall.

Pode-se adicionar entradas de forma dinâmica usando o filtro ou mangle conforme abaixo:

Ações:

add dst to address list: Adiciona o IP de destino à lista.

add src to address list: Adiciona o IP de origem à lista.

Address List: Nome da lista de endereços.

Timeout: Porque quanto tempo a entrada permanecerá na lista.

165

Firewall – Técnica do “knock knock”

Firewall – Técnica do “knock knock” 166

166

Firewall – Técnica do “knock knock”

A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu endereço IP em uma determinada address list.

Neste exemplo iremos restringir o acesso ao winbox somente a endereços IPs que estejam na lista “libera_winbox”

/ip firewall filter

add chain=input protocol=tcp dst-port=2771 action=add-src-to-address-list address-list=knock \ address-list-timeout=15s comment="" disabled=no

add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add-src-to-address-list \ address-list=libera_winbox address-list-timeout=15m comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept disabled=no

add chain=input protocol=tcp dst-port=8291 action=drop disabled=no

167

Firewall – Connection Track

Refere-se a habilidade do roteador em manter o estado da informação relativa as conexões, tais como endereços IP de origem e destino, as respectivas portas, estado da conexão, tipo de protocolos e timeouts. Firewalls que fazem connection track são chamados de “statefull” e são mais seguros que os que fazem processamentos “stateless”.

connection track são chamados de “statefull” e são mais seguros que os que fazem processamentos “stateless”.

168

Firewall – Connection Track

O sistema de connection track é o coração do firewall. Ele obtém e mantém informações sobre todas conexões ativas.

Quando se desabilita a função “connection tracking” são perdidas as funcionalidades NAT e as marcações de pacotes que dependam de conexão. No entanto, pacotes podem ser marcados de forma direta.

Connection track é exigente de recursos de hardware. Quando o equipamento trabalha somente como bridge é aconselhável desabilitá-la.

Localização da Connection Tracking

Interface de Entrada Processo Local IN Processo Local OUT
Interface de
Entrada
Processo Local
IN
Processo Local
OUT
Conntrack Decisão de Roteamento
Conntrack
Decisão de
Roteamento
IN Processo Local OUT Conntrack Decisão de Roteamento Filtro Input Conntrack Filtro Output Filtro Forward
Filtro Input
Filtro Input

Conntrack

Conntrack Decisão de Roteamento Filtro Input Conntrack Filtro Output Filtro Forward Interface de Saida Decisão

Filtro Output

Decisão de Roteamento Filtro Input Conntrack Filtro Output Filtro Forward Interface de Saida Decisão de Roteamento
Filtro Forward
Filtro Forward
Interface de Saida Decisão de Roteamento
Interface de
Saida
Decisão de
Roteamento
de Roteamento Filtro Input Conntrack Filtro Output Filtro Forward Interface de Saida Decisão de Roteamento 170

Firewall – Connection Track

Firewall – Connection Track • Estado das conexões : – established : Significa que o pacote

Estado das conexões:

established: Significa que o pacote faz parte de uma conexão já estabelecida anteriormente.

new: Significa que o pacote está iniciando uma nova conexão ou faz parte de uma conexão que ainda não trafegou pacotes em ambas direções.

related: Significa que o pacote inicia uma nova conexão, porém está associada a uma conexão existente.

invalid: Significa que o pacote não pertence a nenhuma conexão existente e nem está iniciando outra.

Firewall Protegendo o Roteador e os Clientes

Firewall Protegendo o Roteador e os Clientes 172

Princípios básicos de proteção

Proteção do próprio roteador

Tratamento das conexões e eliminação de tráfego prejudicial/inútil. Permitir somente serviços necessários no próprio roteador. Prevenir e controlar ataques e acessos não autorizado ao roteador.

Proteção da rede interna

Tratamento das conexões e eliminação de tráfego prejudicial/inútil. Permitir somente os serviços necessários nos clientes. Prevenir e controlar ataques e acesso não autorizado em clientes.

173

Firewall – Tratamento de conexões • Regras do canal input – Descarta conexões inválidas. –

Firewall – Tratamento de conexões

Firewall – Tratamento de conexões • Regras do canal input – Descarta conexões inválidas. – Aceitar

Regras do canal input

Descarta conexões inválidas.

Aceitar conexões estabelecidas.

Aceitar conexões relacionadas.

Aceitar todas conexões da rede interna.

Descartar o restante.

174

Firewall – Controle de serviços • Regras do canal input – Permitir acesso externo ao

Firewall – Controle de serviços

Firewall – Controle de serviços • Regras do canal input – Permitir acesso externo ao winbox.

Regras do canal input

Permitir acesso externo ao winbox.

Permitir acesso externo por SSH.

Permitir acesso externo ao FTP.

Realocar as regras.

175

Firewall – Filtrando tráfego prejudicial/inútil

Firewall – Filtrando tráfego prejudicial/inútil • Bloquear portas mais comuns utilizadas por vírus. • Baixar

Bloquear portas mais comuns utilizadas por vírus.

Baixar lista com portas e protocolos utilizados por vírus.

ftp://172.31.254.1/virus.rsc

Importar o arquivo virus.rsc e criar um “jump” para que as regras funcionem.

176

Firewall – Filtrando tráfego indesejável e possíveis ataques.

Controle de ICMP

Internet Control Message Protocol é basicamente uma ferramenta para diagnóstico da rede e alguns tipos de ICMP devem ser liberados obrigatoriamente.

Um roteador usa tipicamente apenas 5 tipos de ICMP(type:code), que são:

Ping – Mensagens (8:0) e (0:0)

Traceroute – Mensagens (11:0) e (3:0-1)

PMTUD – Mensagens (3:4)

Os outros tipos de ICMP podem ser bloqueados.

177

Firewall – Filtrando tráfego indesejável

IP’s Bogons:

Existem mais de 4 milhões de endereços IPV4.

Existem muitas ranges de IP restritos em rede públicas.

Existem várias ranges reservadas para propósitos específicos.

Uma lista atualizada de IP’s bogons pode ser encontrada em:

http://www.team-cymru.org/Services/Bogons/bogon-dd.html

IP’s Privados:

Muitos aplicativos mal configurados geram pacotes destinados a IP’s privados e é uma boa prática filtrá-los.

178

Firewal – Proteção básica

Ping Flood:

Ping Flood consiste no envio de grandes volumes de mensagens ICMP aleatórias.

É possível detectar essa condição no Mikrotik criando uma regra em firewall filter e podemos associá-la a uma regra de log para monitorar a origem do ataque ou simplesmente dropar.

em firewall filter e podemos associá-la a uma regra de log para monitorar a origem do
em firewall filter e podemos associá-la a uma regra de log para monitorar a origem do
em firewall filter e podemos associá-la a uma regra de log para monitorar a origem do

179

Firewal – Proteção básica

Port Scan:

Consiste no scaneamento de portas TCP e/ou UDP.

A detecção de ataques somente é possível para o protocolo TCP.

Portas baixas (0 – 1023)

Portas altas (1024 – 65535)

ataques somente é possível para o protocolo TCP. – Portas baixas (0 – 1023) – Portas

180

Firewal – Proteção básica

Ataques DoS:

O principal objetivo do ataque de DoS é o consumo de recursos de CPU ou banda.

Usualmente o roteador é inundado com requisições de conexões TCP/SYN causando resposta de TCP/SYN-ACK e a espera do pacote TCP/ACK.

Normalmente não é intencional ou é causada por vírus em clientes.

Todos os IP’s com mais de 15 conexões com o roteador podem ser considerados atacantes.

Firewal – Proteção básica

Ataques DoS:

Se simplesmente descartamos as conexões, permitiremos que o atacante crie uma nova conexão.

Para que isso não ocorra, podemos implementar a proteção em dois estágios:

Detecção – Criar uma lista de atacantes DoS com base em “connection limit”.

Supressão – Aplicando restrições aos que forem detectados.

Firewal – Proteção para ataques DoS

Firewal – Proteção para ataques DoS Criar a lista de atacantes para posteriormente aplicarmos a supressão
Firewal – Proteção para ataques DoS Criar a lista de atacantes para posteriormente aplicarmos a supressão
Firewal – Proteção para ataques DoS Criar a lista de atacantes para posteriormente aplicarmos a supressão
Firewal – Proteção para ataques DoS Criar a lista de atacantes para posteriormente aplicarmos a supressão

Criar a lista de atacantes para posteriormente aplicarmos a supressão adequada.

183

Firewal – Proteção para ataques DoS

Com a ação “tarpit” aceitamos a conexão e a fechamos, não deixando no entanto o atacante trafegar.

Essa regra deve ser colocada antes da regra de detecção ou então a address list irá reescrevê-la todo tempo.

Essa regra deve ser colocada antes da regra de detecção ou então a address list irá
Essa regra deve ser colocada antes da regra de detecção ou então a address list irá
Essa regra deve ser colocada antes da regra de detecção ou então a address list irá

184

184

Firewal – Proteção básica

Ataque dDoS:

Ataque de dDoS são bastante parecidos com os de DoS, porém partem de um grande número de hosts infectados.

A única medida que podemos tomar é habilitar a opção TCP SynCookie no Connection Track do firewall.

– A única medida que podemos tomar é habilitar a opção TCP SynCookie no Connection Track
– A única medida que podemos tomar é habilitar a opção TCP SynCookie no Connection Track

185

Firewall - NAT

NAT – Network Address Translation é uma técnica que permite que vários hosts em uma LAN usem um conjunto de endereços IP’s para comunicação interna e outro para comunicação externa.

Existem dois tipos de NAT.

Src NAT: Quando o roteador reescreve o IP ou porta de origem.

SRC

DST

SRC DST – SRC DST SRC NAT DST NAT

SRC DST
SRC
DST
SRC DST – SRC DST SRC NAT DST NAT

SRC NAT

DST NAT

SRC DST – SRC DST SRC NAT DST NAT
Novo SRC DST
Novo SRC
DST

Dst NAT: Quando o roteador reescreve o IP ou porta de destino.

SRC Novo DST
SRC
Novo DST

186

Firewall - NAT

As regras de NAT são organizadas em canais:

dstnat: Processa o tráfego enviado PARA o roteador e ATRAVÉS do roteador, antes que ele seja dividido em INPUT e/ou FORWARD.

srcnat: Processa o tráfego enviado A PARTIR do roteador e ATRAVÉS do roteador, depois que ele sai de OUTPUT e/ou FORWARD.

Firewall NAT – Fluxo de pacotes

Interface de Entrada
Interface de
Entrada
Conntrack
Conntrack
dstnat Decisão de Roteamento
dstnat
Decisão de
Roteamento
Interface de Saida
Interface de
Saida
srcnat Decisão de Roteamento
srcnat
Decisão de
Roteamento
Processo Local IN Processo Local OUT
Processo Local
IN
Processo Local
OUT
Decisão de Roteamento Processo Local IN Processo Local OUT Filtro Input Conntrack Filtro Output Filtro Forward
Decisão de Roteamento Processo Local IN Processo Local OUT Filtro Input Conntrack Filtro Output Filtro Forward
Filtro Input
Filtro Input

Conntrack

Decisão de Roteamento Processo Local IN Processo Local OUT Filtro Input Conntrack Filtro Output Filtro Forward

Filtro Output

Decisão de Roteamento Processo Local IN Processo Local OUT Filtro Input Conntrack Filtro Output Filtro Forward
Decisão de Roteamento Processo Local IN Processo Local OUT Filtro Input Conntrack Filtro Output Filtro Forward
Filtro Forward
Filtro Forward

188

Firewall - NAT

Source NAT: A ação “mascarade” troca o endereço IP de origem de uma determinada rede pelo endereço IP da interface de saída. Portanto se temos, por exemplo, a interface ether2 com endereço IP 185.185.185.185 e uma rede local 192.168.0.0/16 por trás da ether1, podemos fazer o seguinte:

por trás da ether1, podemos fazer o seguinte: Desta forma, todos os endereços IPs da rede
por trás da ether1, podemos fazer o seguinte: Desta forma, todos os endereços IPs da rede

Desta forma, todos os endereços IPs da rede local vão obter acesso a internet utilizando o endereço IP 185.185.185.185

189

Firewall - NAT

NAT (1:1): Serve para dar acesso bi-direcional a um determinado endereço IP. Dessa forma, um endereço IP de rede local pode ser acessado através de um IP público e vice-versa.

endereço IP. Dessa forma, um endereço IP de rede local pode ser acessado através de um
endereço IP. Dessa forma, um endereço IP de rede local pode ser acessado através de um

Firewall - NAT

Redirecionamento de portas: O NAT nos possibilita redirecionar portas para permitir acesso a serviços que rodem na rede interna. Dessa forma podemos dar acesso a serviços de clientes sem utilização de endereço IP público.

Redirecionamento para acesso ao servidor WEB do cliente 192.168.100.10 pela porta 6380.

ao servidor WEB do cliente 192.168.100.10 pela porta 6380. Redirecionamento para acesso ao servidor WEB do
ao servidor WEB do cliente 192.168.100.10 pela porta 6380. Redirecionamento para acesso ao servidor WEB do

Redirecionamento para acesso ao servidor WEB do cliente 192.168.100.20 pela porta 6480.

191

Firewall - NAT

NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso bi-direcional de rede para rede. Com isso podemos mapear, por exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:

de rede para rede. Com isso podemos mapear, por exemplo, a rede 185.185.185.0/24 para a rede
de rede para rede. Com isso podemos mapear, por exemplo, a rede 185.185.185.0/24 para a rede

Firewall – NAT Helpers

Firewall – NAT Helpers • Hosts atrás de uma rede nateada não possuem conectividade fim-a-fim verdadeira.

Hosts atrás de uma rede nateada não possuem conectividade fim-a-fim verdadeira. Por isso alguns protocolos podem não funcionar corretamente neste cenário. Serviços que requerem iniciação de conexões TCP fora da rede, bem como protocolos “stateless” como UDP, podem não funcionar. Para resolver este problema, a implementação de NAT no Mikrotik prevê alguns “NAT Helpers” que têm a função de auxiliar nesses serviços.

Firewall – Mangle

O mangle no Mikrotik é uma facilidade que permite a introdução de marcas em pacotes IP ou em conexões, com base em um determinado comportamento especifico.

As marcas introduzidas pelo mangle são utilizadas em processamento futuro e delas fazem uso o controle de banda, QoS,

NAT, etc

passadas para fora.

Elas existem somente no roteador e portanto não são

Com o mangle também é possível manipular o determinados campos do cabeçalho IP como o “ToS”, TTL, etc

194

Firewall – Mangle

As regras de mangle são organizadas em canais e obedecem as mesma regras gerais das regras de filtro quanto a sintaxe.

Também é possível criar canais pelo próprio usuário.

Existem 5 canais padrão:

prerouting: Marca antes da fila “Global-in”;

postrouting: Marca antes da fila “Global-out”;

input: Marca antes do filtro “input”;

output: Marca antes do filtro “output”;

forward: Marca antes do filtro “forward”;

Firewall – Diagrama do Mangle

Interface de Entrada
Interface de
Entrada
Firewall – Diagrama do Mangle Interface de Entrada Mangle Prerouting Processo Local IN Processo Local OUT
Mangle Prerouting
Mangle
Prerouting
Processo Local IN Processo Local OUT Mangle Input Mangle Output Decisão de Decisão de Roteamento
Processo Local
IN
Processo Local
OUT
Mangle Input
Mangle Output
Decisão de
Decisão de
Roteamento
Roteamento
Mangle
Forward
Interface de Saida
Interface de
Saida
Output Decisão de Decisão de Roteamento Roteamento Mangle Forward Interface de Saida Mangle Postrouting 196
Mangle Postrouting
Mangle
Postrouting

Firewall – Mangle

As opções de marcações incluem:

mark-connection: Marca apenas o primeiro pacote.

mark-packet: Marca todos os pacotes.

mark-routing: Marca pacotes para política de roteamento.

Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo tempo. Porém não pode conter 2 marcas iguais.

Firewall – Mangle

Marcando rotas:

As marcas de roteamento são aproveitadas para determinar políticas de roteamento.

A utilização dessas marcas será abordada no tópico do roteamento.

Firewall – Mangle

Marcando conexões:

Use mark-connection para identificar uma ou um grupo de conexões com uma marca especifica de conexão.

Marcas de conexão são armazenadas na contrack.

Só pode haver uma marca de conexão para cada conexão.

O uso da contrack facilita na associação de cada pacote a uma conexão específica.

Firewall – Mangle

Marcando pacotes:

Use mark-packet para identificar um fluxo continuo de pacotes.

Marcas de pacotes são utilizadas para controle de tráfego e estabelecimento de políticas de QoS.

Firewall – Mangle

Marcando pacotes:

Indiretamente: Usando a facilidade da connection tracking, com base em marcas de conexão previamente criadas. Esta é a forma mais rápida e eficiente.

Diretamente: Sem o uso da connection tracking não é necessário marcas de conexões anteriores e o roteador irá comparar cada pacote com determinadas condições.

Firewall – Estrutura

Firewall – Estrutura 202

Firewall – Fluxo de pacotes

Firewall – Fluxo de pacotes 203

Firewall - Mangle

Um bom exemplo da utilização do mangle é marcando pacotes para elaboração de QoS.