Beruflich Dokumente
Kultur Dokumente
Consultoria e Treinamentos
Integrao de Equipamentos
Mikrotik RouterOS
uma pequena histria de grande sucesso
Atualmente:
O RouterOS da Mikrotik tende a ser um padro de fato para provedores de servio internet
podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.
3
Instalao do Mikrotik
Obtendo o RouterOS
http://www.mikrotik.com/download.html
Instalando por CD
Uma vz baixado o pacote e descompactado, precisamos gerar o CD de boot
No exemplo abaixo usamos o Nero para gravar o CD
Instalando por CD
Seleciona-se a imagem .iso descompacatada e clica-se em Burn
Instalando por CD
Prepare o PC para bootar pelo CD. Aps o boot ser apresentada a seguinte tela:
ppp:
DHCP:
advanced-tools:
arlan:
calea:
gps:
hotspot:
Suporte a hotspots
ISDN:
lcd:
ntp:
routerboard:
routing:
rstp-bridge-test
protocolo rstp
security:
synchronous:
telephony:
ups:
user-manager:
web-proxy:
Servio de Web-Proxy
wireless:
wireless-legacy:
Instalando por CD
Pode-se seleccionar os pacotes desejados pressionando-se a barra de espaos
ou a para todos. Em seguida i ir instalar os pacotes selecionados.
Caso haja configuraes pode-se mante-las selecionando-se y
12
Entra-se na Routerboard e
seleciona-se
o - boot device
e depois:
e - Etherboot
14
15
Acesso ao Mikrotik
Console do Mikrotik
Na console do Mikrotik tem-se acesso a todas as configuraes por um sistema de
diretrios hierrquicos pelos quais se pode navegar digitando o caminho.
Exemplo:
[admin@MikroTik] > ip
[admin@MikroTik] ip> address
Pode-se voltar um nvel de diretrio digitando-se ..
[admin@MikroTik] ip address> ..
[admin@MikroTik] ip>
Pode-se ir direto ao diretrio raiz, digitando-se /
[admin@MikroTik] ip address> /
[admin@MikroTik] >
17
Console do Mikrotik
Ajuda
? Mostra um help para o diretrio em que se esteja [Mikrotik] > ?
? Aps um comando incompleto mostra as opes disponveis para esse
comando - [Mikrotik] > interface ?
Tecla TAB
Comandos no precisam ser totalmente digitados, podendo ser completados
com a tecla TAB
Havendo mais de uma opo para o j digitado, pressionar TAB 2 vezes
mostra todas as opes disponveis.
18
Console do Mikrotik
Print: mostra informaes de configurao
[admin@MikroTik] interface ethernet> print
Flags: X - disabled, R - running
# NAME
MTU MAC-ADDRESS
ARP
0 R ether1
1500 00:03:FF:9F:5F:FD enabled
Pode ser usado com diversos argumentos como print status, print detail e print
interval. Exemplo:
[admin@MikroTik] interface ethernet> print detail
Flags: X - disabled, R - running
0 R name="ether1" mtu=1500 mac-address=00:03:FF:9F:5F:FD arp=enabled
disable-running-check=yes auto-negotiation=yes full-duplex=yes cablesettings=default speed=100Mbps
19
Console do Mikrotik
Comando Monitor
Mostra continuamente vrias informaes de interfaces
[admin@Escritorio] > interface ethernet monitor ether1
status: link-ok
auto-negotiation: done
rate: 100Mbps
full-duplex: yes
default-cable-setting: standard
20
Console do Mikrotik
Comandos para manipular regras
add, set, remove adiciona, muda ou remove regras
disabled desabilita a regra sem deletar
move move algumas regras cuja ordem influencie( firewall por
exemplo )
Comando export
exporta todas as configuraes do diretrio corrente acima ( se
estiver em /, do roteador todo)
pode ser copiado com o boto direito do mouse e colado em editor de
textos
pode ser exportado para um arquivo com export file=nome do arquivo
Comando import
importa um arquivo de configuraes criado pelo comando export.
21
Winbox
Obtem-se o Winbox na URL abaixo
ou direto em um mikrotik
www.mikrotik.com/download.html
Winbox
Com o Winbox possvel acessar um Mikrotik sem IP, atravs do seu MAC. Para
tanto popnha os dois no mesmo barramento de rede e clique nas reticncias
O acesso pelo MAC pode ser feito para fazer as configuraes iniciais, como dar um
endereo IP para o Mikrotik.
Aps ter configurado um IP e uma mscara de rede. aconselha-se preferencialmente
o acesso via IP que mais estvel.
23
24
26
Manuteno do Mikrotik
Atualizao
Backups
Acrscimo de funcionalidades
Detalhes do licenciamento
27
Manuteno do Mikrotik
Atualizaes
As atualizaes podem ser
feitas com o conjunto de pacotes
combinados ou com os pacotes
separados disponveis no site da
Mikrotik.
Os arquivos tem a extenso
.npk e basta coloca-los no
diretrio raiz do Mikrotik e bootalo para subir a nova verso.
O upload pode ser feito por
FTP ou copiando e colando no
WInbox.
28
Manuteno do Mikrotik
acrscimo de novas funcionalidades
Alguns pacotes no fazem parte
da distribuio normal mas podem
ser instalados posteriormente.
Exemplo o pacote User Manager..
Os arquivos tambm tem a
extenso .npk e basta coloca-los no
diretrio raiz do Mikrotik e boota-lo
para subir a nova verso.
O upload pode ser feito por FTP
ou copiando e colando no WInbox.
29
Manuteno do Mikrotik
Manipulao de pacotes
Alguns pacotes podem no ter sido instalados no momento da instalao ou podem estar
desabilitados. Pacotes podem ser habilitados/desabilitados de acordo com as necessidades.
verifica-se e manipula-se o estado dos
pacotes em / system packages
Pacote desabilitado
30
Manuteno do Mikrotik
Manipulao de pacotes
Existem os pacotes estveis e os pacotes test, que esto ainda sendo reescritos e
podem estar sujeitos a bugs e carencia de documentao.
Quando existem 2 iguais e um test deve-se escolher um deles para trabalhar.
web-proxy e
web-proxy-test
31
Manuteno do Mikrotik
Backup
OBS: O Backup feito dessa forma ao ser restaurado em outro hardware ter problemas com
diferentes endereos MAC. Para backupear partes das configuraes use o comando export
32
Licenciamento do Mikrotik
Detalhes de licenciamento
A chave gerada sobre um software-id fornecido pelo prprio sistema
Fica vinculada ao HD ou Flash
A licena pode ser colada na janela de terminal ou enviada por ftp
Esse HD / Flash pode ser montado em qualquer outro computador
aproveitando a licena
Importante: a formatao com ferramentas de terceiros faz perder a
licena instalada
34
Poltica de
Licenciamento
As Licenas nunca expiram
Podem ser ser atualizadas para
a ltima verso do prximo release.
ex: 2.9.x 3beta 3.x
Podem ser usadas vrias interfaces
Uma licena por mquina
35
36
37
O Modelo OSI
(Open Systems Interconnection)
APLICAO
APRESENTAO
SESSO
TRANSPORTE
REDE
ENLACE
FSICA
Camada I - Fsica
A camada fsica define as caractersticas tcnicas dos dispositivos eltricos .
que fazem parte da rede
nesse nvel que esto definidas as especificaes de cabeamento
estruturado, fibras ticas, etc. No caso de Wireless, na camada I que se
definem as modulaes assim como a frequencia e largura de banda das
portadoras
So especificaes de Camada I:
RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T,100BASE-TX , ISDN, SONET, DSL,
FHSS, DSSS, OFDM etc
39
Camada I - Fsica
40
41
Camada II - Enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao meio
e correo de erros da camada I
O endereamento fsico se faz pelos endereos MAC (Controle de acesso ao
meio) que so (ou deveriam ser) nicos no mundo e que so atribudos aos
dispositivos de rede
Bridges so exemplos de dispositivos que trabalham na camada II.
So especificaes de Camada II:
Ethernet, Token Ring, FDDI, PPP, HDLC, Q.921, Frame Relay, ATM
42
Camada II - Enlace
Exemplo de configurao de Camada II (Enlace)
43
44
Protocolo IP
45
Endereamento IP
O Protocolo TCP/IP utiliza 4 sequencias de 8 bits (octetos) para representao
dos endereos IP:
Exemplo :
11000000.10101000.000000001.000000001, em notao binria,
convertida para decimal fica:
11000000 2^7+2^6
= 128+64 = 192
10101000 2^7+2^5+2^3 = 128+32+8 = 168
00000001 2^0
=1
00000001 2^0
=1
192.168.1.1
46
Mscaras de rede
Computadores em uma rede TCP/IP fazem uso das mscaras de rede para separar
computadores em sub-redes. As mscaras de rede so tambem 4 octetos binrios
Como abaixo representado:
11111111.11111111.11111111.00000000
11111111 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 + 2^1 = 255
mscara equivalente em decimal:
255.255.255.0
47
Mscaras de rede
Alm da forma binria e decimal as mscaras de rede podem ser representadas pela
notao em bitmask (soma dos bits que compe a mscara);
Exemplos:
11111111.11111111.11111111.11111111
decimal : 255.255.255.255
bitmask: /32
11111111.11111111.11111111.11111100
decimal: 255.255.255.252
bitmask: /30
11111111.00000000.00000000.0000000
decimal: 255.0.0.0
bitmask: /8
48
Endereamento de rede
Para separar computadores em sub redes realizada uma multiplicao binria do
endereo IP com a mscara de rede, sendo ento calculado o endereo de rede para
aquele host.
Exemplo: 200.200.200.10 com mscara 255.255.255.192 (ou /26)
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.10
11001000
11001000
11001000
00001010
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
11001000
00000000
Multiplicao binria
Endereamento de rede
200.200.200.10/26 200.200.200.20/26
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.10
11001000
11001000
11001000
00001010
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
00001010
00000000
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.20
11001000
11001000
11001000
00010100
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
11001000
00000000
Multiplicao binria
Multiplicao binria
50
Endereamento de rede
200.200.200.10/26 200.200.200.200/26
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.10
11001000
11001000
11001000
00001010
Mask
255.255.255.192
11111111
11111111
11111111
1100000
11001000
11001000
00001010
00000000
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.200
11001000
11001000
11001000
11001000
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
11001000
11000000
Multiplicao binria
Multiplicao binria
51
Endereos IP no Mikrotik
Configurao de Rede
No AP Central:
1 Cadastrar o IP 192.168.100.254 com mscara 255.255.255.0 na wlan1
Nos alunos:
1 Cadastrar um IP 192.168.100.XY com mscara 255.255.255.0 wlan1 do
Mikrotik
2 Como ficou sua tabela de rotas ?
53
Protocolo ARP
(Address resolution Protocol)
Utilizado para associar IPs com endereos fsicos faz a interface entre a camada II
e a camada III.
Funcionamento:
O solicitante de ARP manda um pacote de broadcast com a informao do IP de
destino, IP de origem e seu MAC, perguntando sobre o MAC de destino
O Host que tem o IP de destino manda um pacote de retorno fornecendo seu
MAC
Para minimizar os broadcasts devido ao ARP, so mantidas no SO, as tabelas
ARP, constando o par IP MAC
54
Protocolo ARP
(Address resolution Protocol)
55
Roteamento
No AP Central:
1 Cadastrar a rota default no AP Central.
Nos alunos:
1 Cadastrar a rota default
2 Como ficou sua tabela de rotas ?
56
57
Configurao de DNS
No AP Central:
1 Configure o DNS apontando-o para o DNS da operadora
Nos alunos:
1 Configure o DNS apontando para o AP Central
2 Teste a resoluo de nomes a partir do seu mikrotik
58
Camada IV - Transporte
No lado do remetente responsvel por pegar os dados das camadas
superiores dividir em pacotes para que sejam transmitidos para a camada de
rede.
No lado do destinatrio pega os pacotes recebidos da camada de rede,
remonta os dados originais e envia s camadas superiores.
59
Protocolo TCP
60
TCP
Portas TCP
Cliente
Servidor
ACK (401)
64
Data 1
Remetente
ACK
Destinatrio
Data 2
NO ACK
Data 2
ACK
65
Cliente
ACK
Servidor
FIN
ACK
66
Protocolo UDP
- O UDP (User Datagram Protocol) utilizado para o transporte rpido
entre hosts
- O UDP um servio de rede sem conexo, ou seja no garante a
entrega do pacote
- Mensagens UDP so encapsuladas em datagramas IP
67
TCP
69
70
71
73
Mikrotik
&
Wireless
74
75
Freqncia
Tecnologia
Velocidades
802.11b
2.4 Ghz
DSSS
1, 2, 5.5 e 11mbps
802.11g
2.4 Ghz
OFDM
`802.11a
5 Ghz
OFDM
Canais em 2.4Ghz
22 Mhz
2412
2437
2462
2412
2437
2462
2.4Ghz-B: Modo 802.11b, que permite velocidades nominais de 1, 2, 5.5 e 11 mbps. Utiliza
espalhamento espectral em seqncia direta.
2.4Ghz-B/G: Modo misto 802.11b e 802.11g que permite as velocidades acima 802.11b e 6,
9, 12, 18, 24, 36, 48 e 54 mbps quando em G. Utiliza OFDM em 802.11g
2.4Ghz-only-G: Modo apenas 802.11g.
Faixa Mdia:
Faixa Alta:
Faixa Baixa
Faixa Mdia
Faixa Alta
Freqncias
5150-5250
5250-5350
5470-5725
57255850
Largura
100 Mhz
100 Mhz
255 Mhz
125 Mhz
canais
4 canais
4 canais
11 canais
5 canais
Deteco de radar
obrigatria
Deteco de radar
obrigatria
5Ghz: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite velocidades
nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)
Largura faixa
Nmero de canais
5150 5350
200 Mhz
4
5470 - 5725
5725 - 5850
255 Mhz
125 Mhz
11
5
82
Canalizao em 802.11a
Modo Turbo
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requerida sensibilidade maior
Diminui nvel de potencia de Tx
83
5Ghz-turbo: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite
velocidades nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)
Largura faixa
Nmero de canais
5150 5350
200 Mhz
2
5470 - 5725
5725 - 5850
255 Mhz
125 Mhz
2
84
Canalizao em 802.11a
Modos 10 e 5 Mhz
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requerida menor sensibilidade
Aumenta nvel de potencia de Tx
85
Freqncia (Mhz)
Largura faixa
902 907.5
5.5 Mhz
915 - 928
13 Mhz
Na V3:
86
87
88
89
90
91
B
Ack
OBS: Valores orientativos. Valores ideais podem estar em uma faixa de +- 15 microsegundos
97
102
106
Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao e
por rede.
Escaneia as frequencias definidas em scan-list da interface
107
Configuraes de Modo de
Operao
108
ap bridge: Modo Ponto de Acesso (AP) repassa os MACs do meio Wireless de forma
transparente para o meio Cabeado.
bridge: Modo idntico ao modo ap bridge, porm aceitando um cliente apenas.
station: Modo cliente de um AP No pode ser colocado em bridge com outras interfaces
110
station pseudobridge: Estao que pode ser colcada em modo bridge, porm que passa
ao AP sempre o seu prprio endereo MAC (uma bridge verdadeira passa os MACs
internos a ela).
station pseudobridge clone: Modo idntico ao pseudobridge, porm que passa ao AP um
MAC pr determinado do seu interior.
station wds: Modo estao, que pode ser colocado em bridge com a interface ethernet e
que passa de forma transparente os MACs internos (bridge verdadeira). necessrio que o
AP esteja em modo WDS (ver tpico especfico de WDS, a frente)
111
alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal.
Neste modo a interface Wireless escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.
wds slave: Ser visto no tpico especfico de WDS.
Nstreme dual slave: Visto no tpico especfico de Nstreme / Nstreme Dual
112
Configuraes Fsicas
Protocolo Nstreme
113
Estao B
CRS
Mtodo CSMA/CD
CRS
defer
Estao C
CRS
(Collision Detection)
CRS
COLISO
Estao A
backoff
Mtodo CSMA/CA
CRS
Estao C
defer
backoff
CRS
CRS
(Collision Avoidance)
backoff (rest)
CRS
114
115
116
Prticas de RF recomendadas:
Antenas de qualidade, Polarizaes invertidas, canais distantes, distancia entre
antenas.
117
118
CANAL 1
CANAL 1
Bridge learn
table
AP-3
Bridge learn
table
Wireless PC-Card
yyy
xxx
yyy
xxx
Wireless PC-Card
Tabela de associaes
STA-2
Tabela de associaes
WDS Relay
STA-1
Packet for STA-2
WDS Relay
ACK
Pacote para STA-2
ACK
ACK
BSS-B
STA-1
xxx
BSS-A
STA-2
yyy
INTERNET
CANAL 1
INTERNET
O (R)STP inicialmente elege uma root bridge e utiliza o algortimo breadth-first search que
quando encontra um MAC pela primeira vz, torna o link ativo. Se o encontra outra vz,
torna o link desabilitado.
Normalmente habilitar o (R)STP j o suficiente para atingir os resultados. No entanto
possvel interferir no comportamento padro, modificando custos, prioridades, etc.
122
123
A Bridge usa o endereo MAC da porta ativa com o menor nmero de porta
A porta Wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fique variando, possvel atribuir manualmente
um endereo MAC.
124
WDS:
Cria-se as interfaces WDS, dando os parametros:
Name: Nome da rede WDS
Master Interface: Interface sobre a qual
funcionar o WDS, podendo esta inclusive ser uma
interface virtual
WDS ADDRESS: Endereo MAC que a interface
WDS ter.
126
127
128
APs Virtuais
129
Wireless / Interfaces
Interfaces Virtuais:
Criando interfaces virtuais podemos montar vrias
redes dando perfis de servio diferentes
Name: Nome da rede virtual
MTU: Unidade de transferencia mxima (bytes)
MAC Address: D o MAC que quiser para o novo AP !
ARP
Enable/Disable: habilita/desabilita
proxy-arp: passa seu MAC
reply-only
OBS: Demais configuraes identicas de uma AP
130
Controle de Acesso
131
O Access List utilizado pelo Access Point para restringir associaes de clientes.
Esta lista contem os endereos MAC de clientes e determina qual a ao deve ser
tomada quando um cliente tenta conectar. A comunicao entre clientes da mesma
interface, virtual ou real, tambm controlada nos Access List.
O processo de associao ocorre da seguinte forma:
- Um cliente tenta se associar a uma interface Wlanx
- Seu MAC procurado no acces list da interface Wlanx.
- Caso encontrada a ao especificada ser tomada:
- authenticate marcado: deixa o cliente se autenticar
- forwarding marcado, o cliente se comunica com outros..
132
134
Segurana em Wireless
135
136
+ SEGURANA
137
Authentication Types:
WPA: Mtodo no padro IEEE utilizado durante algum
tempo pela indstria para evitar problemas do WEP
WPA2: Mtodo compatvel com 802.11i do IEEE.
PSK: Pr Shared Key Chave compartilhada entre dois
dispositivos.
EAP: Extensive Authentication Protocol
OBS: O AP ir divulgar todos os modos de autenticao
marcados aqui e as estaes escolhero o mtodo
considerado mais seguro. Exemplo, WPA EAP ao invs de
WPA PSK.
138
Unicast Chipers:
TKIP: Protocolo de integridade de chave Temporal. Mtodo
utilizado durante algum tempo para contornar problemas da WEP.
Proxim implementa como WEP plus
AES CCM: Mtodo de criptografia WPA mais seguro, que utiliza
algortimo AES.
PSK: Pr Shared Key Chave compartilhada entre dois
dispositivos.
EAP: Extensive Authentication Protocol
OBS: O AP ir divulgar todos os modos de autenticao marcados
aqui e as estaes escolhero o mtodo considerado mais seguro.
Exemplo, WPA EAP ao invs de WPA PSK.
139
Mtodos EAP:
Passtrough: Repassa o pedido de autenticao para um
Servidor Radius ( esta opo somente usada em APs)
EAP/TLS: Utiliza um Certificado TLS ( Transport Layer
Certificate)
TLS Mode:
no-certificate: Certificados so negociados
dinamicamente utilizando o algortimo de Diffie-Helmman
dont-verify-certificate: exige o certificado, porm no o
confere com uma entidade certificadors.
verify-certificate: exige e verifica
TLS Certificate: Habilita um certificado importado em
/certificates
140
Static Keys:
Utilizado em caso de WEP
141
Firewall
com Mikrotik
142
Firewall
143
145
Filtro Forward
Deciso de
Deciso de
Filtro Input
Filtro Output
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
roteamento
Roteamento
146
147
149
151
Regra
Regra
Regra
Regra
Regra
JUMP
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
JUMP
Regra
Regra
Regra
Regra
RETURN
Regra
Regra
Regra
Regra
Regra
Regra
Regra
154
Aes:
add dst to address list: adiciona o IP de destino lista
add src to address list: adiciona o IP de origem lista
Address List: nome da lista de endereos
Timeout: por quanto tempo a entrada ir permanecer
155
Connection Tracking
Connection Tracking ( seguimento de conexes ) se refere a habilidade do roteador
de manter o estado da informao relativa s conexes, tais como endereos IP de
origem ou destino e pares de porta, estados da conexo, tipos de protocolos e
timeouts. Firewalls que fazem connection tracking so chamados de "stateful" e so
mais seguros que aqueles que fazem o processamento "stateless
156
Connection Tracking
- O sistema de Connection Tracking ou Conntrack o corao do Firewall. Ele obtem e
mantm informaes sobre todas as conexes ativas.
- Quando se desabilita a Funo de Connection Tracking so perdidas as
funcionalidades de NAT e marcao de pacotes que dependam de conexo. Pacotes
no entanto podem ser marcados diretamente.
Localizao da Conntrack
Filtro Forward
Deciso de
roteamento
Filtro Input
Conntrack
Filtro Output
Deciso de
Roteamento
Conntrack
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
158
Connection Tracking
Firewall Filter
Protegendo o prprio Roteador e os Clientes
160
161
Regras de Firewall
tratamento de conexes
Regras no Canal Input
Descarta conexes invlidas
Aceita conexes estabelecidas
Aceita conexes relacionadas
Aceita todas as conexes da rede interna
Descarta o restante
162
Regras de Firewall
Controle de servios
163
Regras de Firewall
Filtrando trfego prejudicial/intil
164
Regras de Firewall
Filtrando trfego indesejvel e possveis ataques
Controle de ICMP
-Internet Control Message Protocol (ICMP) basicamente uma ferramenta para
diagnstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados.
-Um roteador tipicamente utiliza apenas 5 tipos de ICMP (type:code), que so:
- PING Mensagens 0:0 e 8:0
- TRACEROUTE Mensagens 11:0 e 3:3
- PMTUD Path MTU discovery mensagem 3:4
Os outros tipos de ICMP podem ser bloqueados.
165
Regras de Firewall
Filtrando trfego indesejvel
IPs Bogons:
Existem mais de 4 milhes de endereos IPV4
Existem muitos ranges de IP restritos em redes pblicas
Existem vrias ranges de IPs reservados (no usados at o momento) para
propsitos especficos.
No material do curso est disponvel uma Lista de IPs Bogons atualizada em maio de
2008, baseado no site Cymru que mantm a movimentao desses IPs atualizada.
http://www.cymru.com/Documents/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a IPs privados e
uma boa prtica filtra-los.
166
Firewall
Protees de ataques
Ping Flood
Ping Flood consiste usualmente de
grandes volumes de mensagens de ICMP
aleatrias
possvel detectar essa condio com a
regra ao lado
Interessante associar essa regra com
uma de log
167
168
169
170
171
172
Firewall
Protees de ataques
dDOS
Ataques de dDos (dDoS) so bastante
parecidos com os de DoS, porm partem de
um grande nmero de hosts infectados
173
Regras de Firewall
Proteo da Rede Interna
Regras primeiras no Canal Forward
Descarta conexes invlidas
Aceita conexes estabelecidas
Aceita conexes relacionadas
174
SRC
DST
SRC NAT
Novo SRC
DST
DST
DST NAT
176
NAT
Filtro Forward
Dstnat
Deciso de
Roteamento
Filtro Output
Deciso de
Roteamento
Conntrack
Filtro Input
Conntrack
Srcnat
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
177
NAT - Exemplos
Source NAT - Mascarando a rede 192.168.0.0/24 atrs do IP 200.200.200.200 que est
configurado na interface ether1
178
NAT - Exemplos
Destination NAT e Source NAT (1:1) Apontando o IP 200.200.200.200 para o host interno
192.168.0.100
179
NAT - Exemplos
Redirecionamento de Portas: Fazendo com que tudo que chegue na porta 5100 v para
o servidor WEB que est na mquina interna 192.168.0.100 e tudo que chegar na porta 5200
v para a mquina 192.168.0.200
180
NAT - Exemplos
NAT 1:1 com netmap: Apontando a rede interna 192.168.0.0/24 para a rede pblica
200.200.200.200/24
181
NAT Helpers
Address Lists
183
184
185
186
188
FIREWALL MANGLE
189
Estrutura do Mangle
As regras de Mangle so organizadas em canais e obedecem as mesmas regras
gerais das regras de filtros, quanto a sintaxe.
possvel tambm criar canais pelo usurio
H 5 canais padro:
Prerouting: marca antes da fila Global-in
Postrouting: marca antes da fila Global-out
Input: marca antes do filtro de Input
Output: marca antes do filtro Output
Forward: marca antes do filtro Forward
191
Diagrama do Mangle
Mangle
Forward
Mangle
Deciso de
Deciso de
Mangle
Prerouting
Roteamento
Roteamento
Postrouting
Interface de
Mangle
Mangle
entrada
Input
Input
Processo Local
Processo Local
IN
OUT
Interface de
Sada
192
Aoes do Mangle
As opes de marcao incluem:
mark-connection apenas o primeiro pacote.
mark-packet marca um fluxo (todos os pacotes)
mark-routing marca pacotes para polticas de
roteamento
193
Marcando Conexes
Use mark-connection para identificar um ou um grupo de conexes com uma
marca especfica de conexo.
Marcas de conexo so armazenadas na tabela de connection tracking.
S pode haver uma marca de conexo para uma conexo.
A facilidade Connection Tracking ajuda a associar cada pacote a uma conexo
especfica.
194
Marcando Pacotes
Pacotes podem ser marcados:
Indiretamente, usando a facilidade de connection tracking, com
base em marcas de conexo previamente criaddas ( mais rpido e
mais eficiente )
Diretamente, sem o connection tracking no necessrio marcas
de conexo e o roteador ir comparar cada pacote com determinadas
condies.
195
196
197
198
Mangle
Exemplos
Queremos dar um tratamento diferenciado a vrios tipos de fluxos e
Precisamos marcar:
FTP
MSN
ICMP
P2P
Dvidas ??
201
QoS
&
Controle de Banda
202
Qualidade de Servio
Normalmente a Internet trabalha com a filosofia do melhor esforo: cada
usurio compartilha largura de banda com outros e, portanto, a transmisso
de seus dados concorre com as transmisses dos demais usurios.
Os dados empacotados so encaminhados da melhor forma possvel,
conforme as rotas e banda disponveis. Quando h congestionamento, os
pacotes so descartados sem distino. No h garantia de que o servio
ser realizado com sucesso.
Entretanto, aplicaes como voz sobre IP e videoconferncia necessitam
de tais garantias. Durante a transmisso podem existir inmeras coisas aos
pacotes enquanto circulam entre pontos, que resultam nos seguintes
problemas, do ponto de vista emissor/receptor:
pacotes descartados
pacotes com atraso
203
Qualidade de Servio
cont.
pacotes descartados (dropped packets) - os roteadores podem recusarse a entregar alguns pacotes (drop) se estes chegarem quando os
buffers se encontram preenchidos. Estes podem ser descartados todos,
ou apenas alguns, dependendo do estado da rede, e no existe forma de
determinar quais so prioritrios. As aplicaes a receber sero ento
responsveis por pedir a retransmisso, o que resulta frequentemente
em engasgos" na transmisso;
atraso (delay) - pode decorrer muito tempo at um pacote atingir o seu
destino, j que este mantido em longas filas, ou segue um caminho
alternativo (menos direto) para evitar congestionamento da rede. No
entanto a transmisso tambm pode ocorrer muito rapidamente, e no
existe forma de determinar perante qual das situaes nos encontramos;
204
Qualidade de Servio
Qualidade de Servio (QoS) significa que o roteador deve priorizar e controlar o trfego
na rede. Diferentemente da limitao ou controle de banda o QoS tem a misso de
racionalizar os recursos da rede, balanceando o fluxo de dados com a melhor
velocidade possvel, evitando o monoplio do canal.
Os mecanismos para prover QoS do Mikrotik so:
limitar banda para certos IPs, subredes, protocolos, portas e outros parametros
limitar trfego peer to peer
priorizar certos tipos de fluxos de dados em relao a outros
utilizar bursts para melhorar o desempenho de acesso WEB
aplicar filas em intervalos de tempo fixos
compartilhar a banda disponvel entre os usurios de forma ponderada e
dependendo da carga do canal
utilizao de WMM Wireless Multimedia
205
Qualidade de Servio
cont.
Para ordenar e controlar o fluxo de dados, aplicada uma poltica de enfileiramento
aos pacotes que estejam deixando o Roteador, ou seja,
As filas so aplicadas na interface onde o fluxo est saindo !
A limitao de banda feita mediante o descarte de pacotes. No caso de protocolo
TCP, os pacotes descartados sero reenviados, de forma que no h com que se
preocupar com relao perda de dados. O mesmo no vale para UDP.
206
Qualidade de Servio
Interfaces Virtuais
global-in representa todas as interfaces de entrada em geral
(INGRESS queue). As filas atreladas global-in recebem todo o trfego
entrante no roteador, antes da filtragem de pacotes.
global-out representa todas as interfaces de sada em geral
(EGRESS queue). As filas atreladas global-out recebem todo o trfego
que sai do roteador.
global-total representa uma interface virtual atravs da qual passa
todo o fluxo de dados. Quando se associa uma poltica de filas globaltotal, a limitao feita em ambas as direes.
Por exemplo se configurarmos um total-max-limit de 256kbps, teremos um
total de upload+download limitado em 256 kbps, podendo haver assimetria.
207
Qualidade de Servio
cont.
Os principais termos utilizados em QoS so:
queuing discipline (qdisc) disciplina de enfileiramento um algortimo que
mantm e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem (
podendo inclusive reordena-los ) e detremina quais pacotes sero descartados.
Limit At ou CIR (Committed Information Rate) Taxa de dados garantida a
velocidade mnima que se fornece a um circuito.
Max Limit ou MIR (Maximal Information Rate) Banda mxima que ser
fornecida, ou seja limite a partir do qual os pacotes sero descartados
Priority Prioridade a ordem de importancia que o trfego ser processado.
Pode-se determinar qual tipo de trfego ser processado primeiro
208
Interfaces Virtuais
Roteador
Global-in
n interfaces
de entrada
Global-total
RoteadorR
Proc.
Global-out
m interfaces
de sada
Interno
209
Global In
(+Global Total)
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Postrouting
Mangle
Prerouting
Mangle
Input
Mangle
Input
Global-out
(+Global-Total)
Interface de
entrada
Processo Local
IN
Processo Local
OUT
Interface de
Sada
210
Tipos de Filas
Antes de enviar os pacotes por uma interface, eles so processados por uma disciplina
de filas (queue types). Por padro as disciplinas de filas so colocadas sob /queue
interface para cada interface fsica (este padro no mantido usando interfaces
virtuais).
Uma vz adicionada uma fila (em /queue tree ou /queue simple) para uma interface
fsica, a fila padro da interface (interface default queue), definida em /queue
interface, ser ignorada para a mesma. Isso significa que quando um pacote no
encontra (match) qualquer filtro, ele enviado atravs da interface com prioridade
mxima.
211
Tipos de Filas
Disciplinas Scheduler e Shaper
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
schedulers apenas (re)ordenam pacotes de acordo com um
determinado algortimo e descartam aqueles que se enquadram na
disciplina. Disciplinas Scheduler so:
PFIFO, BFIFO, SFQ, PCQ, RED
shapers tambm fazem a limitao. So:
PCQ e HTB
212
Tipos de Filas
PFIFO e BFIFO
Estas disciplinas de filas so baseadas no algortimo FIFO (First-In First-Out), ou seja, o
primeiro que entra o primeiro que sai.
A diferena entre PFIFO e BFIFO que, um medido em pacotes e o outro em bytes.
Existe apenas um parmetro chamado pfifo-limit (bfifo-limit) que determina a quantidade
de dados uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se a fila
est cheia) ser descartado. Tamanhos grandes de fila podero aumentar a latncia, em
compensao prov uma melhor utilizao do canal.
Recomenda-se o uso desse tipo de fila em links no congestionados
213
Tipos de Filas
RED
RED- Random Early Detection Deteco aleatria antecipada um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho mdio da
fila .
Quando o tamanho mdio da fila atinge o valor configurado em red-min-threshold, o RED
aleatriamente escolhe um pacote para descartar. A probabilidade do nmero de pacotes que
sero descartados cresce na medida em que a mdia do tamanho da fila tambm cresce. Se o
tamanho mdio da fila atinge red-max-threshold, os pacotes so descartados com a
probabilidade mxima. Entretanto existem casos em que o tamanho real da fila (no a mdia)
muito maior que red-max-threshold, ento todos os pacotes que excederem red-limit sero
descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito
rpido funciona bem com TCP.
214
SFQ
Tipos de Filas
Tipos de Filas
SFQ
Por conta do algortmo de hashing, vrias sesses poderiam acabar em um mesmo
segmento, o que iria reduzir metade a oportunidade de cada sesso enviar um pacote,
assim, reduzir para metade a velocidade disponvel. Para evitar que essa situao se
torne perceptvel, SFQ muda seu algoritmo hashing muitas vezes de maneira que duas
sesses colidindo iro ocorrer apenas em um pequeno nmero de segundos.
recomendado o uso de SFQ em links congestionados para garantir que as
conexes no degradem. SFQ especialmente indicado em conexes sem fio.
216
Tipos de Filas
PCQ
O PCQ - Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico tipo de enfileiramento de baixo nvel que pode
fazer limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm cria
sub-filas considerando o parametro pcq-classifier. Cada sub-fila tem um taxa de
transmisso estabelecida em pcq-rate e o tamanho do pacote mximo igual a pcq-limit. O
tamanho total de uma fila a PCQ fica limitado ao que for configurado em pcq-total-limit.
O exemplo abaixo mostra o uso do PCQ com pacotes classificados pelo endereo de origem
217
Tipos de Filas
PCQ
Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero agrupados em sub-filas diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-fila com o parmetro pcq-rate. Talvez a parte
mais significante decidir em qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo trfego da interface pblica ser agrupado pelo endereo de origem (e
provavelmente no o que se deseja), mas ser for empregada na interface pblica todo o
trfego de nossos clientes ser agrupado pelo endereo de origem, o que torna fcil
equalizar ou limitar o upload dos clientes. O mesmo controle pode ser feito para downloads,
mas, nesse caso ser utilizado o classificador dst-address e configurado na interface local.
PCQ uma boa ferramenta para controlar ou equalizar a banda entre diversos
usurios com pouco trabalho de administrao.
218
QoS - HTB
HTB (Hierarchical Token Bucket) uma disciplina de enfileiramento hierrquica que usual
para aplicar diferentes polticas para diferentes tipos de trfego. Geralmente possvel
apenas se fazer uma fila para uma interface, mas no Mikrotik as filas so associadas ao HTB
e assim podem herdar determinadas propriedades de uma fila pai. Como exemplo,
poderamos configurar um total mximo de banda para um grupo de trabalho e ento
distribuir essa banda entre os seus membros:
Explicao sucinta
- No nvel 1 a classe pai est ligada as
classes filhas.
- Nas classes filhas no nvel 0, os pacotes
recebem um tratamento determinado pelo
filtro (endereo IP, porta, marcas do
mangle, etc) e pela disciplina de fila a ela
associada( fifo, bfifo, etc.)
- De acordo com esse tratamento, os
pacotes so classificados, reordenados e
se for o caso alguns descartados.
- Se as classes filhas esto dentro do seu
219
limit-at podem trafegar, independente
da
classe pai, caso contrrio ficam submetidas
a disponibilidade desta.
QoS - HTB
Termos do HTB:
Filter - um processo que classifica pacotes. Os filtros so responsveis pela
classificao de pacotes para que eles sejam colocados nas correspondentes qdiscs.
Todos os filtros so aplicados no fila raiz HTB e classificados diretamente no qdiscs,
sem atravessar a rvore HTB. Se um pacote no est classificado em nenhuma das
qdiscs, enviado para a interface diretamente, atravessando o HTB, por isso
nenhuma regra HTB aplicada aos pacotes (isso significa prioridade maior que
qualquer pacote do fluxo gerido pelo HTB) .
Level - posio de uma classe na hierarquia.
Class - algoritmo de limitao no fluxo de trfego para uma determinada taxa. Ela
no guarda quaisquer pacotes (esta funo s pode ser realizada por uma fila). Uma
classe pode conter uma ou mais subclasses (inner class) ou apenas uma e um qdisc
(leaf class).
220
QoS - HTB
Termos do HTB:
Inner class - uma classe que tenha uma ou mais classes filhas ligadas a ela.
No armazenam quaisquer pacotes, ento qdiscs no podem ser associados a
elas (qdisc e configuraes de filtros so ignoradas, embora possam ser exibidos
na configurao do RouterOS). S fazem limitao de trfego. Definio de
prioridade tambm ignorada.
Leaf class - uma classe que tem uma classe pai, mas ainda no tem nenhuma
classe filha. Leaf class esto sempre localizadas no level 0 da hierarquia.
Self feed - uma sada (fora da rvore HTB para a interface) para os pacotes de
todas as classes ativas no seu nvel de hierarquia. Existe uma self feed por level,
cada uma constituda por 8 self slots, que representam as prioridades.
221
QoS - HTB
Termos do HTB:
Auto slot - um elemento de uma self feed que corresponde a cada prioridade.
Existe um auto slot por nvel. Todas as classes ativas no mesmo nvel, com a
mesma prioridade, so anexados a um auto slot que enviam os pacotes para fora.
Active class (para um nvel particular) - uma class que est associada a um auto
slot em determinado nvel.
Inner feed - semelhante a uma self feed, constitudos de inner self slots,
presentes em cada classe interior. Existe um inner feed por inner class.
Inner feed slot - similar auto slot. Cada inner feed constitudo de inner slots
os quais representam uma prioridade.
222
QoS - HTB
Cada class tem um pai e pode ter uma
ou mais filhas. As que no tm filhas, so
colocados no level 0, onde as filas so
mantidas, e so chamadas de leaf
class.
223
QoS - HTB
Filas Simples
Filas Simples
226
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.
Os parametros que controlam o Burst so:
burst-limit: limite mximo que alcanar
burst-time: tempo que durar o burst
burst-threshold: patamar onde comea a limitar
max-limit: MIR
227
Exemplo
max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
- dado ao cliente inicialmente a banda burst-limit=512 kbps. O algortimo calcula a taxa
mdia de consumo de banda durante o burst-time de 8 segundos.
- com 1 segundo a taxa mdia (0+0+0+0+0+0+0+512)/8 = 64kbps (abaixo do threshold)
- com 2 segundos j de (0+0+0+0+0+0+512+512)/8 = 128 kbs (abaixo do threshold)
- com 3 segundos (0+0+0+0+0+512+512+512)/8 = 192 ( o ponto de inflexo onde acaba o
burst)
A partir do momento que foi atingido o ponto de inflexo o Burst desabilitado e a taxa
mxima do cliente passa a ser o max-limit
228
Utilizao de PCQ
Utilizao de PCQ
230
Utilizao de PCQ
512k
128k
Banda total
2 clientes
128
64k
4 clientes
8 clientes
231
Utilizao de PCQ
256k
512k
512k
256k
64k
Banda total
1 cliente
2 clientes
8 clientes
232
rvores de Filas
- Trabalhar com rvores de filas uma maneira mais elaborada de administrar o
trfego. Com elas possvel construir sob medida uma hierarquia de classes.
- Os filtros de rvores de filas so aplicados na interface especificada. Os filtros so
apenas marcas que o Firewall faz nos fluxos de pacotes na opo Mangle. Os
filtros enxergam os pacotes na ordem em que eles chegam ao roteador.
- Os filtros nas interfaces global-in e global-out so executados antes dos filtros
simples. Note-se que as filas simples esto separadas em 2 partes: direct em
global-out e reverse em global-in.
- Normalmente utilizamos as interfaces reais WAN e LAN, uma vez que usamos a
queue tree para configurao de servio QoS.
233
rvores de Filas
- As rvores de filas so configuradas em
/queue tree
- Dentre as propriedades configurveis se
incluem;
Escolher uma marca de trfego
(feita no Mangle)
parent-class ou interface de
sada ( incluindo as interfaces virtuais global-in
e global-out )
Tipo de Fila
configuraes de limit-at, maxlimit, priority e burst
234
Dvidas ??
235
Tneis
&
VPNs
com Mikrotik
236
VPNs
Uma Rede Particular Virtual (Virtual Private Network - VPN) uma rede de
comunicaes privada normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituies, construda em cima de uma rede de comunicaes pblica
(como por exemplo, a Internet). O trfego de dados levado pela rede pblica
utilizando protocolos padro, no necessariamente seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a
confidencialidade, autenticao e integridade necessrias para garantir a privacidade
das comunicaes requeridas. Quando adequadamente implementados, estes
protocolos podem assegurar comunicaes seguras atravs de redes inseguras.
237
VPNs
As principais caractersticas das VPNs so:
Promover acesso seguro sobre meios fsicos pblicos como a Internet por
exemplo.
Promover acesso seguro sobre linhas dedicadas, wireless, etc.
Promover acesso seguro a servios em ambiente corporativo de correio,
impressoras, etc.
Fazer com que o usurio, na prtica, se torne parte da rede corporativa
remota recebendo IPs desta e perfis de segurana definidos.
A base da formao das VPNs o tunelamento entre dois pontos, porm
tunelamento no sinnimo de VPN.
238
Tunelamento
A definio de Tunnelling a capacidade de criar tneis entre duas mquinas por
onde certas informaes passam.
O Mikrotik implementa diversos tipos de Tunelamento, podendo ser tanto servidor
como cliente desse protocolos..
- PPP ( Point to Point Protocol )
- PPPoE ( Point to Point Protocol over Ethernet )
- PPtP ( Point to Point Tunneling Protocol )
- L2TP ( Layer 2 Tunneling Protocol )
- IPSec ( IP Security )
- Tneis IPIP
- Tneis EoIP
239
240
MRRU: tamanho mximo do pacote, em bytes, que poder ser recebido no link. Se um
pacote ultrapassa o valor definido ele ser divido em pacotes menores, permitindo o
melhor dimensionamento do tnel. Especificar MRRU significa permitir MP (Multilink
PPP) sobre um tnel simples. Essa configurao til para o protocolo PMTU
Discovery superar falhas. O MP deve ser ativado em ambos os lados (cliente e
servidor).
241
Change MSS (Mximum Segment Size Field, ou seja o tamanho mximo do segmento de dados.).
Um pacote com MSS que ultrapassa o MSS dos roteadores por onde um tnel est estabelecido
deve ser fragmentado antes de envi-lo. Em alguns casos o PMTUD est quebrado ou os
roteadores no conseguem trocar as informaes de maneira eficiente e causam uma srie de
problemas com transferncia HTTP, FTP e correio eletrnico, alm de mensageiros instantneos.
Neste caso o Mikrotik ROS proporciona ferramentas onde possvel intervir e configurar uma
diminuio do MSS dos prximos pacotes atravs do tnel visando resolver o problema.
242
243
245
PPP Client
Configurao do Dial-out:
Phone: nmero a ser discado
Dial Command: string a ser enviada ao modem local
User / Password: usurio e senha no servidor remoto
Profile: perfil de segurana definido em /ppp profiles
Dial On Demand: discar sempre que algum aplicativo tentar usar sada
Add Default Route: usa a rota default configurada em / ip route
Use Peer DNS: usa os servidores de DNS definidos no servidor remoto.
247
249
251
252
Segurana no PPPoE
Para assegurar um servidor PPPoE
pode-se utilizar Filtros de Bridge,
configurando a entrada ou repasse
(depende da configurao do Mikrotik
ROS) os protocolos pppoe-discovery e
pppoe-session, e descartando todos os
demais.
Mesmo que haja somente uma
interface, ainda assim possvel utilizar
os Fitros de Bridge, bastando para tal,
criar um bridge e associar em Ports
apenas esta interface. Em seguida
alterar no PPPoE Server a interface que
o mesmo escuta.
257
AC Name: nome do Concentrador. Deixando em branco conecta com qualquer um.
Dial on Demand: disca automaticamente sempre que gerado um trfego de sada.
Add default route: adiciona uma rota padro (no usa a do servidor).
Use Peer DNS: Usa o DNS configurado no Concentrador.
258
Segurana no PPPoE
Para assegurar um servidor PPPoE
pode-se utilizar Filtros de Bridge,
deixando somente passar os protocolos
pppoe-discovery e pppoe-session, e
descartando todos os outros.
Mesmo que haja somente uma interface,
ainda assim possvel utilizar os Fitros
de Bridge.
259
1 Adicione um usurio
/ppp secret add caller-id="" comment="" disabled=no limitbytes-in=0 limit-bytes-out=0 name=pptp-cliente
password=123456 profile=default-encryption routes=""
service=pptp
No se esquea de
Configurar o Perfil
e um pool de IP.
L2TP
L2TP Layer 2 Tunnel Protocol Protocolo de tunelamento de camada 2
L2TP um protocolo de tunelamento seguro para transportar trfego IP utilizando PPP. O protocolo
L2TP trabalha no layer 2 de forma criptografada ou no e permite enlaces entre dispositivos de
diferentes redes unidos por diferentes protocolos.
Como exemplo, um usurio conectado em um RAS de uma companhia telefonica pode se conectar ao
backbone de um provedor de acesso que lhe atribui banda e endereamento IP prprio.
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados. A porta UDP
1701 utilizada para o estabelecimento do link e o trfego em si utiliza qualquer porta UDP disponvel,
o que significa que L2TP pode ser usado com a maioria dos Firewalls e Routers, funcionando tambm
atravs de NAT.
As normas indicam que a maneira mais segura para encriptar os dados utilizando L2TP sobre IPSec
(mtodo padro para MS Windows).
263
264
Open VPN
O OpenVPN uma implementao livre da tecnologia VPN, com ele
podemos criar tneis ponto-a-ponto encriptados entre computadores.
Ele foi desenvolvido por James Yonan e publicado sob licena livre GNU
GPL.
Como funciona o OpenVPN ?
O OpenVPN permite autenticao por chaves compartilhadas/esttica, certificados ou
usurio/senha. Ele utiliza encriptao advinda da biblioteca OpenSSL e protocolos
conhecidos como SSLv3/TSLv1. Est disponvel para sistemas Solaris, Linux, OpenBSD,
FreeBSD, NetBSD, MAC OS X e at mesmo para sistemas proprietrios como o Windows
2000/XP e Mikrotik ROS. Dispe de vrios recursos de controle e segurana, no
baseado em WEB VPNs e no compatvel com IPSEC ou qualquer outro tipo de pacotes
VPN. Todo o Pacote do OpenVPN consiste em um binrio para conexes tanto para o
cliente e servidor, um arquivo de configuraes opcional, e uma ou mais chaves dependendo
da forma de autenticao escolhida.
OpenVPN funciona sobre os protocolos UDP (preferencial, e padro) ou TCP. Funciona
266 bem
atravs da maioria de servidores proxy (incluindo HTTP) e NAT, tornando-se uma boa opo
para uso atravs de firewall.
Open VPN
O Mikrotik RouterOS na verso 3.x suporta OpenVPN no modo servidor e cliente.
necessrio a instalao e ativao do pacote PPP. Existe uma limitao usando OpenVPN
no Mikrotik ROS: atualmente somente o protocolo TCP suportado. O protocolo UDP no
funciona.
OpenVPN trabalha com certificados SSL. Podemos criar estes certficados atravs do
servio http://cacert.org ou usar scripts prprios como easy-rsa, distribuidos em vrios
instaladores do OpenVPN. No Mikrotik devemos fazer o upload via ftp (certificado CA e
chave privada) e importar usando /certificate import.
Criando Certificados com CAcert.org
Realize o cadastro no CAcert.org. Faa o login e defina seu domnio (Domains > Add).
No Mikrotik RouterOS, abra o Terminal e crie uma requisio de certificado com o
comando:
267
/certificate create-certificate-request
Open VPN
Agora necessrio preencher algumas questes:
certificate request file name: certificate-request.pem
file name: private-key.pem
passphrase: ********
verify passphrase: ********
rsa key bits: 1024
country name: BR
state or province name: SP
268
Open VPN
Agora necessrio preencher algumas questes:
locality name: Sao Paulo
organization name: Mikrotik Brasil
organization unit name: Training
common name: host.mikrotikbrasil.com.br
email address: suporte@mikrotikbrasil.com.br
challenge password: <enter>
unstructured address: <enter>
269
Open VPN
Os campos com relevncia a serem informados so a Passphrase e Common Name, sendo
que os outros podero ser deixados em branco. Aps alguns segundos ser informado que
a Requisio de Certificado foi gerada.
echo: system,info,critical certificate request file certificate-request.pem and private key file privatekey.pem created
Copie o arquivo certificate-request.pem para seu computador e abra com algum editor de
textos simples (exceto bloco de notas). Acesse sua conta no CAcert.org e crie um novo
Certificado para Servidor (Server Certificates > New). Copie o contedo do arquivo
certificate-request.pem e cole na caixa "Paste Your CSR(Certificate Signing Request)
below...". Envie o formurio e aguarde a mensagem "Below is your Server Certificate" ser
exibida. Copie e cole as informaes usando um editor de textos simples (exceto bloco de
notas) e salve como certificate-response.pem. Faa o upload deste arquivo para o
Mikrotik ROS e importe usando o menu Certificates:
270
272
/interface ovpn-client
add add-default-route=no auth=none
certificate=none cipher=none comment=" connectto=200.200.200.200 disabled=no macaddress=00:00:00:00:00:00 max-mtu=1500 mode=ip
name=ovpn-out1 password=123456 port=1194
profile=default user=usuario-ovpn
273
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio protocolo IP baseado na
RFC 2003. um protocolo simples que pode ser usado para ligar duas Intranets
atravs da Internet usando 2 routers.
A Interface do tnel IPIP aparece na lista de interfaces como se fosse uma interface
real.
Vrios Roteadores comerciais, icluindo o Cisco e baseados em Linux suportam esse
protocolo.
Um exemplo prtico de uso de IPIP seria a necessidade de monitorar hosts atravs de
um NAT, onde o tnel IPIP colocaria a rede privada disponvel para o host que realiza
o monitoramento, sem necessidade de criao de usurio e senha como nas VPNs.
274
Tneis IPIP
Exemplo:
Supondo que temos de unir as redes que esto por trs dos roteadores 200.200.200.1 e
200.200.100.1. Para tanto basta que criemos as interfaces IPIP em ambos routers, da
seguinte forma:
275
Tneis IPIP
Em seguida atribui-se endereo IP s interfaces criadas ( de preferncia ponto a ponto )
Pronto, est criado o Tnel IPIP e agora as redesfazem parte do mesmo domnio de
Broadcast.
276
Tneis EoIP
EoIP ( Ethernet over IP ) um protocolo proprietrio Mikrotik para encapsulamento de todo
tipo de trfego sobre o protocolo IP. Quando habilitada a funo de Bridge dos roteadores
que esto interligados atravs de um tnel EoIP, todo o trfego passado de um lado para o
outro como se houvesse um cabo de rede interligando os pontos, mesmo roteando pela
Internet e por vrios protocolos.
EoIP possibilita:
- Interligao em bridge de LANs remotas atravs da Internet
- Interligao em bridge de LANs atravs de tneis criptografados
- Possibilidade de bridgear LANs sobre redes Ad Hoc 802.11
Caractersticas:
- A interface criada pelo tnel EoIP suporta todas as funcionalidades de uma interface
Ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP.
- O protocolo EoIP encapsula frames Ethernet atravs do protocolo GRE.
277
-O nmero mximo de tneis suportados no Mikrotik ROS so 65536.
Tneis EoIP
Tneis EoIP
279
Dvidas ??
280
Hotspot
no
Mikrotik
281
Hotspot
O que ?
Hotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um servio
de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes tpicas
incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc.
O conceito de Hotspot pode ser usado no entanto para dar acesso controlado a uma rede
qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Como funciona ?
Quando em uma rea de cobertura de um Hotspot, um usurio que possua um Laptop e tente
navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais,
normalmente usurio e senha. Ao fornece-las e sendo um cliente autorizado pelo Hotspot o
usurio ganha acesso Internet podendo sua atividade ser controldada e bilhetada.
282
Hotspot
Setup do Hotspot:
1 Escolha a interface que vai
ouvir o Hotspot
2 Escolha o IP em que vai rodar
o Hotspot e indique se a rede ser
mascarada
3 D um pool de endereos que
sero distribuidos para os
usurios do Hotspot (se no tiver,
crie em /ip pool)
4 Selecione um certificado, caso
queira usar.
continua
283
Hotspot
Setup do Hotspot:
continuao
5 Se quiser forar a usar o
seu smtp, indique o IP aqui
6 D o endereo IP dos
servidores de DNS que iro
resolver os nomes para os
usurios do Hotspot
7 D o nome do DNS (
aparecer no Browser dos
clientes ao invs do IP)
Pronto, est configurado o
Hotspot !
Hotspot
Embora tenha sido uma configurao bastante fcil e rpida, o Mikrotik se encarregou
de fazer o trabalho pesado, criando as regras apropriadas no Firewall, bem como uma
fila especfica para o Hotspot.
285
HTML Directory:
Diretrio onde esto colocadas as pginas desse Hotspot
HTTP Proxy / HTTP Proxy Port
Endereo e porta do Servidor de Web Proxy
SMTP Server:
Endereo do servidor de SMTP
rate-limit:
Cria uma simple Queue para todo o Hotspot (vai aps as filas dinamicas dos
usurios.
287
290
293
Hotspot Users
295
Hotspot Users
Detalhes de cada usurio:
all para todos os hotspots configurados ou para um especfico.
Name: Nome do usurio. Se o modo trial estiver habilitado o Hotspot
colocar automticamente o nome T-MAC_address. No caso de autenticao
por MAC, o MAC pode ser adicionado como username (sem senha).
Endereo IP: caso queira vincular esse usurio a um endereo fixo.
MAC Address: caso queira vincular esse usurio a um MAC determinado
Profile: perfil de onde esse usurio herda as propriedades
Routes: rota que ser adicionada ao cliente quando esse se conectar.
Sintaxe endereo de destino gateway metrica. Exemplo 192.168.1.0/24
192.168.166.1 1. Vrias rotas separadas por vrgula podem ser adicionadas.
Email: ?
296
Hotspot Users
Limit Uptime: Total de tempo que o usurio pode usar o Hotspot.
til para fazer acesso pr pago. Sintaxe hh:mm:ss. Default = 0s
sem limite.
Limit Bytes In: total de Bytes que o usurio pode transmitir. (bytes
que o roteador recebe do usurio.
Limit Bytes Out: total de Bytes que o usurio pode receber. (bytes
que o roteador transmite para o usurio.
Os limites valem para cada usurio. Se um usurio j fez o download
de parte de seu limite, o campo session limit vai mostrar o restante.
Quando o usurio exceder seu limite ser impedido de logar. As
estatsticas so atualizadas cada vez que o usurio faz o logoff, ou
seja enquanto ele estiver logado as estatsticas no sero mostradas.
Use /ip hotspot active para ver as estatsticas atualizadas nas
sesses correntes dos usurios.
Se um usurio tem o endereo IP especificado somente poder haver
um logado. Caso outro entre com o mesmo usurio/senha, o primeiro
ser desconectado.
297
Hotspot Active
IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.
Esta facilidade denominada DAT na AP 2500 e eezee no StarOS.
possvel fazer tambm tradues NAT estticas com base no IP original, ou IP da
rede ou no MAC do cliente. possvel tambm permitir a certos endereos
contornarem (by-passarem) a autenticao do Hotspot. Ou seja sem ter de logar
na rede inicialmente. Tambm possvel bloquear endereos
continua
299
IP Bindings
Hotspot Ports
A facilidade de NAT e NAT 1:1 do Hotspot causa problemas com alguns protocolos
incompatveis com NAT. Para que esses protocolos funcionem de forma
consistente, devem ser usados os mdulos helpers
No caso de NAT 1:1 o nco problema com relao ao mdulo de FTP que deve
ser configurado para usar as portas 20 e 21.
.
301
Walled Garden
Configurando um Walled Garden ou Jardim Murado possvel oferecer ao usurio o acesso a
determinados servios sem necessidade de autenticao. Por exemplo em um Aeroporto poderse-ia disponibilizar informaes climticas, horrios de voos, etc sem a necessidade do usurio
adquirir crditos para acesso externo.
Quando um usurio no logado no Hotspot requisita um servio do Walled Garden o gateway no
o intercepta e, no caso de http, redireciona a reuisio para o destino ou para um proxy.
Para implementar o Walled Garden para requisies http, existe um Web Proxy embarcado no
Miktotik, de forma que todas as requisies de usurios no autorizados passem de fato por esse
proxy.
Observar que o proxy embarcado no tem as funes de fazer cache, pelo menos por ora. Notar
tambm que esse proxy embarcado faz parte do pacote system e no requer o pacote webproxy.
302
Walled Garden
305
Hotspot - Cookies
306
Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e alm disso possvel criar conjuntos
totalmente diferentes das pginas do Hotspot para vrios perfis de usrios especificando
diferentes diretrios html raiz ) /ip hotspot profile html-directory.
Principais pginas que so mostradas aos usurios:
redirect.html redireciona o usurio a uma pgina especfica
login.html Pgina de login que pede ao usurio o login e senha. Esta pgina tem os
seguintes parametros:
username / password
dst URL original que o usurio solicitou antes do redirecionamento (ser
aberta aps o login com sucesso)
popup se ser aberto uma janela de pop-up quando o usurio se logar com
sucesso.
307
Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e podem ser
editadas em qualquer editor html, sendo depois atualizadas no
mikrotik.
possvel criar conjuntos totalmente diferentes de pginas do
Hotspot para vrios perfis de usrios especificando diferentes
diretrios html raiz ) /ip hotspot profile html-directory.
Essa possibilidade, associada a criao de APs virtuais possibilita
que em uma mesma rea pblica o detentor da infraestrutura
possa fornecer servio a vrios operadores, utilizando os mesmos
equipamentos.
308
309
Dvidas ??
310
User Manager
311
User Manager
O que o User Manager ?
um sistema de gerenciamento de usurios que pode ser utilizado para controlar
Usurios de Hotspot
Usurios PPP (PPtP e PPPoE)
Usurios DHCP
Usurios Wireless em Geral
Usurios do sistema RouterOS em si
312
User Manager
Como implementar
Fazer o download do pacote / FTP para o Router / Reboot
Criar o primeiro subscriber (somente no terminal)
[admin@MikrotikBrasil] tool user-manager customer> add login="admin"
password=1234" permissions=owner
315
No Router:
/ ip hotspot profile set hsprof1 use-radius=yes
/ radius add service=hotspot address=x.x.x.x secret=123456
No User Manager:
/ tool user-manager customer add login="MikrotikBrasil" password=1234"
permissions=owner
/ tool user-manager router add subscriber=MikrotikBrasil ip-address=10.5.50.1 sharedsecret=123456
/ tool user-manager user add username=demo password=demo subscriber=MikrotikBrasil
No caso, para usar somente uma mquina, basta apontar o mesmo IP x.x.x.x que ela ser
o Hotspot e ao mesmo tempo o User Manager
Em seguida pode-se criar planos e senhas em batch, fornecendo-as ao Hotel, de
preferencia gerenciadas por algum aplicativo simples em Windows.
316
Dvidas ??
317
Roteamento
Mikrotik RouterOS suporta dois tipos de roteamento:
Roteamento Esttico: As rotas criadas pelo usurio atravs de insero
de rotas pr definidas em funo da topologia da rede
Roteamento Dinmico: As rotas so geradas automticamente atravs de
algum agregado de endereamento IP ou por protocolos de roteamento
O Mikrotik suporta ECMP - Equal Cost Multipath Routing (Roteamento por
multicaminhos com mesmo Custo), que um mecanismo que permite rotear pacotes
atravs de vrios links e permite balanceamento de carga.
possvel ainda no Mikrotik se estabelecer Polticas de Roteamento (Policy Routing)
dando tratamento diferenciado a vrios tipos de fluxo a critrio do adminstrador.
318
ECMP
Este mecanismo de roteamento habilita o roteamento de pacotes em vrios links com
custo igual, assegurando um certo balanceamento de carga. Com ECMP podem ser
usados mais de um gateway para um destino.
Com ECMP habilitado um novo gateway escolhido para cada novo par de IPs
origem/destino. Por exemplo uma conexo FTP aberta para um servidor usar um
link, enquanto que uma segunda conexo para outro servidor usar o prximo link.
As rotas ECMP podem ser criadas por protocolos de roteamento (RIP ou OSPF) ou
adicionando uma rota esttica com mltiplos gateways separados por vrgula. O
trfego pode ser ponderado entre links diferentes usando o mesmo gateway mais de
uma vz. Por exemplo, se temos um link de 1 mega e outro de dois megas e queremos
que os pacotes saiam nessa proporo, declaramos o gateway de 2 megas duas
vezes.
319
ECMP
- ECMP no significa redundncia, pois no cuida do estado dos links.
- ECMP no um protocolo voltado conexo, o que pode significar problemas de
downloads interrompidos.
Para que o ECMP seja habilitado basta adicionar vrios gateways para a mesma rota,
por exemplo:
/ip route add gateway=192.168.0.1, 192.168.1.1, 192.168.1.1
No exemplo acima, indiretamente o gateway 192.168.1.1 ter peso 2, ou seja de 3
pacotes, 1 ir pelo primeiro link e dois pelo segundo.
320
Exemplo de ECMP
Temos que rotear os pacotes da rede
192.168.0.0/24 por dois links distintos:
- 10.1.0.1 de 2 mbps
- 10.1.1.1 de 4 mbps
A soluo para balancear o link configurar um
gateway com o primeiro link e dois com o segundo.
/ip route add gateway=10.1.0.1, 10.1.1.1, 10.1.1.1
321
Exemplo de ECMP
Temos que rotear os pacotes da rede
192.168.0.0/24 por dois links distintos:
- 10.1.0.1 de 2 mbps
No Winbox :
- 10.1.1.1 de 4 mbps
A soluo para balancear o link configurar um
gateway com o primeiro link e dois com o segundo.
/ip route add gateway=10.1.0.1, 10.1.1.1, 10.1.1.1
322
Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer uma poltica de
roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos Ip e portas.
A marca dos pacotes deve ser adicionada no Firewall, no mdulo Mangle com
routing-mark
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo-os para
um determinado gateway.
possivel utilizar poltica de roteamento quando se utiliza mascaramento (NAT)
323
Polticas de Roteamento
Observaes Importantes:
Uma aplicao tpica de Polticas de Roteamento trabalhar com dois links
direcionando parte do trfego por um e parte por outro. Por exemplo a canalizao de
aplicaes peer-to-peer por um link menos nobre
impossvel porm reconhecer o trfego peer-to-peer do a partir do primeiro pacote,
mas to somente aps as conexes estabelecidas, o que impede o funcionamento dos
programas P2P em caso de NAT de origem.
A estratgia nesse caso colocar como gateway default o link menos nobre, marcar
o trfego conhecido e nobre ( HTTP, DNS, POP3, SMTP, etc) e desvia-lo para o link
nobre. Todas as outras aplicaes, incluido o P2P, iro para o link no nobre.
324
325
326
327
Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
De balanceamento na V3 somente
328
2,2
200.200.200.1
192.168.0.0/24
Internet
200.200.100.2
200.200.100.1
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2
add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1
333
335
336
337
338
339
340
341
342
Regra 1
343
Regra 2
344
345
Regra 3
346
Regra 4
347
Regra 5
348
349
350
351
Regra 9
352
Regra 10
353
354
355
Dvidas ??
359
Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
De balanceamento na V2.9 somente !!
360
1,2,1
364
1,2,1
365
200.200.200.1
192.168.0.0/24
Internet
200.200.100.2
200.200.100.1
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2
add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1
366
369
370
371
372
373
374
375
Regra 1
376
Regra 2
377
378
Regra 3
379
Regra 4
380
Regra 5
381
382
383
384
Regra 9
385
Regra 10
386
387
388
Dvidas ??
392
Roteamento Dinmico
O Mikrotik RouterOS suporta os seguintes protocolos de roteamento:
RIP verso 1 e RIP verso 2
OSPF verso 2
BGP verso 4
- Verses em desenvolvimento do Mikrotik do suporte a verses mais recentes
desses protocolos, mas ainda em fase beta.
- O uso de roteamento dinamico permite implementar redundncia e balanceamento de
carga de forma automtica e uma forma de se fazer uma rede semelhante s redes
conhecidas como Mesh, porm de forma esttica.
393
Roteamento BGP
O protocolo BGP (Border Gateway Protocol) destinado a fazer comunicao entre
Autonomous Systems diferentes, podendo ser considerado como o corao da Internet.
O BGP mantm uma tabela de prefixos de rotas contendo as informaes de
encontrabilidade de redes (NLRI Network Layer Reachbility Information) entre os ASs.
Ao contrrio de outros protocolos, o BGP no se utiliza de mtricas para encontrar o melhor
caminho, mas sim de polticas administrativas.
A verso corrente do BGP a verso 4, especificada na RFC 1771.
394
BGP - Settings
AS: nmero do Autonomous System Number atribuido por uma entidade que gerencia esses nmeros
(No caso da Amrica Latina, a LACNIC). Os nmeros AS vo de 1 a 65356
Router ID: string de identificao do Roteador, na forma de um nmero IP
Redistribute Connected: Se o roteador deve distribuir as rotas a ele conectadas diretamente
Redistribute Static: Se o roteador deve distribuir as rotas estticas nele configuradas.
Redistribute RIP: Se deve distribuir as rotas aprendidas por RIP
Redistribute OSPF: Se deve distribuir as rotas aprendidas por OSPF
395
BGP - Peer
necessrio especificar pelo menos um Peer com o qual se quer trocar informaes
de roteamento, sendo que para a troca acontecer uma conexo TCP tem que ser
estabelecida (porta179)
Remote AS: nmero do AS remoto
Multihop: Caso habilitada, essa opo permite sesses BGP mesmo em
segmentos no diretamente conectados. Porm a sesso no ser estabelecida caso
a nica rota para o endereo do Peer seja a rota default 0.0.0.0/0
Route Reflect: route reflect uma tcnica para evitar que um roteador de um AS
tenha que repassar as tabelas de roteamento para todos os roteadores internos ao
AS permitindo que o que receber passe adiante, sem necessidade de um esquema
full mesh (http://www.faqs.org/rfcs/rfc2796.html
396
BGP - Peer
Prefix List In: Nome da lista de prefixo para filtragem de pacotes entrantes.
Prefix List Out: Nome da lista de prefixo para filtragem de pacotes entrantes
saintes.
State: Mostra o estado do BGP
Route Received: nmero de rotas recebidas de outros Peers BGP
397
Prefix List
As listas de Prefixo podem ser adicionadas ao roteador com a opo
/routing prefix-list add para que sejam usadas posteriormente pelos
protocolos Rip ou pelo BGP
Prefix List: Nome dado lista de prefixo
Prefixo: identificador da rede em forma de IP
Prefix Length: tamanho do prefixo
Action: Ao ser tomada
398
OSPF
O protocolo Open Shortest Path First (Abra primeiro o caminho mais curto) um
protocolo do tipo link-state. Ele usa o algortimo de Dijkstra para calcular o caminho
mais curto para todos os destinos.
O OSPF distribui informaes de roteamento entre os roteadores que participem de um
mesmo AS ( Autonomous System) e que tenham obviamente o protocolo OSPF
habillitado.
Para que isso acontea todos os roteadores tem de ser configurados de uma maneira
coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocolo
OSPF.
O protocolo OSPF iniciado depois que adicionado um registro na lista de redes. As
rotas so aprendidas e instaladas nas tabelas de roteamento dos roteadores.
artigo da Cisco sobre OSPF: http://www.cisco.com/warp/public/104/1.html#t3
399
OSPF
Settings
Router ID: IP do roteador. Caso no especificado o roteador utiliza o maior endereo IP que exista
na interface.
Redistribute Default Route: Especifica como deve ser distribuida a rota default
never: nunca distribui
if installed (as type 1): envia (com mtrica 1) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
if installed (as type 2): envia (com mtrica 2) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
always (as type 1): sempre, com mtrica 1
always (as type 2): sempre, com mtrica 2
401
OSPF Settings
402
reas de OSPF
O protocolo OSPF permite que vrios roteadores
sejam agrupados entre si. Cada grupo formado
chamado de rea e cada rea roda uma cpia do
algortimo bsico, e que cada rea tem sua prpria
base de dados do estado de seus roteadores.
A diviso em reas importante pois como a
estrutura de uma rea s visvel para os
participantes desta, o trfego sensivelmente
reduzido.
aconselhvel utilizar no mximo 60 a 80
roteadores em cada rea..
Acessa-se as opes de rea em / routing ospf
area
403
No diagrama acima, se a rea 1 definida como uma rea stub, as rotas IGRP no podem
ser propagadas para dentro do domnio do OSPF porque reas stub no permitem a
propagao de rotas externas.
Porm se definirmos a rea 1 como NSSA, as rotas IGRP podero adentrar o OSPF e
entraro como do tipo 7, sendo propagadas para as outras reas somente se a poltica do
roteador de borda (NSSA ABR) assim permitir ( e propagar como tipo 5)
Por outro lado as rotas RIP que entram na rea 2 no sero permitidas na rea 1. reas
NSSA no permitem anncios do tipo 5, agindo nesse caso como stubs.
Mais detalhes em: http://www.cisco.com/warp/public/104/nssa.html#intro
406
reas de OSPF
- Name: nome a ser dado rea
- rea ID: IP identificador da rea. A rea defoult com IP 0.0.0.0
a rea de backbone. O Backbone OSPF sempre contem
todos os roteadores de borda das outras reas, sendo o
responsvel por distribuir informaes de roteamento elas.
Todas reas tem de tocar logicamente o backbone, podendo
ser por um link virtual.
407
reas de OSPF
-Type: tipo da rea
stub: rea configurada como stub
nssa: rea configurada como nssa
-Translator Role:
translate never: nunca faz a
traduo do
tipo 7 para tipo 5.
translate always: faz sempre
translate candidate: pode ou no fazer a traduo
Rede OSPF
Define-se aqui a Rede OSPF, com os seguintes
parametros:
- rea: rea do OSPF associada
- Network: Endereo IP/Mscara, associado. Permite
definir uma ou mais interfaces associadas a uma
rea. Somente redes conectadas diretamente podem
ser adicionadas aqui.
409
OSPF - Interface
Para simplesmente rodar o OSPF, no necessrio qualquer
configurao da Interface. Essa facilidade existe no RouterOS
para um refino mais aprofundado das propriedades do OSPF.
Interface: Interface onde vai rodar o OSPF
Cost: custo da Interface (mtrica)
Priority: roteadores com esse valor mais alto tero prioridade
sobre outros
authentication key: senha de autenticao (texto) caso os
roteadores estejam usando autenticao.
Network Type: tipo da rede
ponto a ponto
multiponto
Broadcast: tipicamente Ethernet
nbma (non broadcast multiple address): tipicamente FrameRelay e X25
410
OSPF - Interface
Retransmit Interval: tempo entre anuncios de perda de link.
Quando um roteador manda um anuncio de estado de link (LSA)
para seu vizinho, ele mantes o LSA at que receba de volta a
confirmao (acknowledgment). Caso no receba em tempo,
retransmite o LSA. O valor recomendado para redes Broadcast
5 segundos e para ponto a ponto 10 segundos.
Transmit Delay: intervalo de tempo para transmisso de
LSA.
Hello Interval: Intervalo de tempo entre os pacotes hello
que o roteador manda na interface. Quanto menor o intervalo
hello, mais rpidas sero detectadas as modificaes na
topologia da rede, com o consequente aumento do trfego. Este
valor obrigatoriamente deve ser o mesmo em cada adjacencia.
Router Dead Interval: Especifica o intervalo de tempo aps
o qual um vizinho considerado morto. O intervalo
anunciado nos pacotes hello e seu valor tem de ser
obrigatoriamente o mesmo para todos os roteadores da rede.
411
OSPF Neighbors
Conforme estabelecido na RFC do OSPF, a rea de backbone deve ser contgua. No entanto possvel definir reas de
forma que o backbone no seja contguo, porm com a conectividade assegurada por links virtuais.
Os links virtuais podem ser configurados entre dois roteadores atravs de uma rea comum chamada de rea transito,
sendo que uma das reas interligadas deve tocar fisicamente o backbone.
O protocolo trata dois roteadores ligados por um link virtual como se estivessem ligados por uma rede ponto a ponto no
numerada.
Os parametros de configurao so:
Neighbor ID: IP do roteador vizinho
Transit Area; rea de transito
OBS: no possivel fazer links virtuais entre reas stub
413
OSPF
414
OSPF
415
OSPF
416
OSPF
417
Dvidas ??
418
Dvidas ??
419
WEB - Proxy
420
WEB - Proxy
Um web proxy em execuo, mesmo sem cache, pode ser til como um firewall HTTP e
FTP (negar acesso a determinados tipos de arquivo, como por exemplo MP3) ou ainda para
WEB - Proxy
422
WEB - Proxy
Web-Proxy configurado para 10 GiB de cache, escutando na porta 8080:
Clear Cache Serve para esvaziar o cache
armazenado (dependendo do tamaho do cache
esta opo poder ser bastante lenta).
Enable Utilizado para habilitar ou desabilitar o
web-proxy.
Src.Address - poder ficar em branco. Em caso
de uma hierarquia de proxy, este ser o endereo
IP utilizado pelo protocolo ICP. O src.address
quando deixado em branco (0.0.0.0/0) ser
automaticamente configurado pela tabela de
roteamento.
423
WEB - Proxy
Port - A porta onde o web-proxy escutar.
Parent Proxy - Utilizado para indicar o IP de um servidor proxy pai numa hierarquia de
proxy.
Parent Proxy Port - A porta que o parent proxy escuta.
Cache Administrator - Um nome ou endereo de e-mail para exibio no caso de avisos
emitidos aos clientes.
Max. Cache Size - Tamanho mximo em kiBytes que o cache atingir.
Cache on Disk - Habilita o proxy a armazenar o cache em disco. Caso fique desabilitado
o armazenamento ser na RAM (Random Access Memory).
424
WEB - Proxy
Max Client Connections - nmero mximo de conexes simultneas de clientes permitidas
no proxy. Aps antigido o limite configurado todas as novas conexes sero rejeitadas.
Max Server Connections - nmero mximo de conexes simultneas do proxy para
servidores externos. Todas as novas conexes sero colocadas em espera at que
algumas das conexes ativas sejam encerradas.
Max Fresh Time: um limite mximo de quanto tempo objetos sem um termo explcito de
validade sero consideradas atuais (depois de quanto o tempo o proxy dever realizar uma
nova consulta e atualizar os objetos).
Serialize Connections: No habilitar mltiplas conexes ao servidor para mltiplas
conexes do cliente, quando possvel (servidor suportar conexes HTTP persistentes). Os
clientes sero atendidos em princpio pelo mtodo FIFO; o prximo cliente processado
quando a transferncia para a sesso anterior for concluda. Se um cliente est inativo por
algum tempo (no mximo 5 segundos, por padro), o servidor ir interromper a conexo e
abrir outra.
425
WEB - Proxy
Always From Cache - ignorar pedidos de atualizao dos clientes, caso o contedo seja
considerado atual.
Cache Hit DSCP (TOS) - Marca automaticamente hits do cache com o valor DSCP
configurado.
Cache Drive - exibe o disco que est em uso para o armazenamento dos objetos em
cache. Para configurar o disco necessrio acessar o menu Stores.
OBSERVAO:
O web proxy escuta todos os endereos IP que esto configurados no servidor.
426
WEB - Proxy
Stores
Submenu:/stores
Com esta opo podemos gerenciar a mdia
onde ser armazenado os objetos do cache.
Possvel adicionar mais de 1 disco.
Copiar o contedo de um disco para outro.
Realizar checagen do disco para
verificao de bad blocks.
Realizar formatao do disco, desde que
no seja onde o sistema est instalado.
427
WEB - Proxy
Monitorando o Web-Proxy
Monitorando o Web-Proxy
WEB - Proxy
Monitorando o Web-Proxy
Lista de Conexes
WEB - Proxy
430
Monitorando o Web-Proxy
Lista de Conexes
WEB - Proxy
State
idle - esperando prximo cliente
resolving - resolvendo nome DNS
rx-body - recebendo quadro HTTP
rx-header - recebendo cabealho; ou esperando prxima requisio do cliente
tx-body - transmitindo quadro HTTP
tx-header - transmitindo cabealho HTTP
tx-bytes - quantidade de bytes enviados remotamente
431
Access List
WEB - Proxy
432
Access List
WEB - Proxy
local-port (port) - especifica a porta do web-proxy que recebe os pacotes. Este valor deve
corresponder a porta que o web-proxy est escutando.
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma pgina
web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
action (allow | deny; default: allow) - especifica a ao de negar ou liberar os pacotes que
atravessam o web-proxy.
433
Access List
WEB - Proxy
Nota
Por padro, aconselhvel configurar uma regra para prevenir requisies nas portas
443 e 563 (conexes atravs de SSL e NEWS).
As opes dst-host e path, corresponde a uma string completa (ex.: no existir um
matching para "example.com" se for configurado apenas "example").
O uso de curingas tambm possvel: '*' (combina um nmero qualquer de caracteres)
e '? '(combina um caractere qualquer).
Expresses regulares tambm so permitidas, e devero iniciar por 2 pontos (':') como
no exemplo:
ip web-proxy access> add url=":\\.mp\[3g\]$" action=deny
434
WEB - Proxy
Lista de Gerenciamento do Cache
Submenu: /ip proxy cache
A Lista de Gerenciamento do Cache
especifica como as requisies (domnios,
servidores, pginas) sero cacheadas ou
no pelo servidor web-proxy. Esta lista lista
implementada da mesma forma que a
Lista de Acesso. A ao padro cachear
os objetos se no existir nenhuma regra.
Descrio das propriedades
src-address (IP address/netmask) - IP de origem do pacote.
dst-address (IP address/netmask) - IP de destino do pacote.
dst-port (port{1,10}) - uma lista de portas que o pacote destinado.
local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor
dever corresponder a porta que o web-proxy est escutando.
435
WEB - Proxy
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
allow - cacheia o objeto de acordo com a regra.
deny no cacheia o objeto de acordo com a regra.
436
WEB - Proxy
WEB - Proxy
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
Nota
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
Diferentemente da Lista de Acesso, a Lista de Acesso Direto tem a ao padro deny.
Esta ao ocorre quando no so especificadas regras nas requisies.
438
WEB - Proxy
WEB - Proxy
WEB - Proxy
Lista de endereos IP, os quais no faro parte das regras de redirect ou dst-nat.
Submenu: /ip firewall adress-list
441
WEB - Proxy
Filtro de firewall para proteger o acesso ao web-proxy
Submenu: /ip firewall filter
/ip firewall filter
add action=drop chain=input comment="" disabled=no dst-port=8080 in-interface=WAN
protocol=tcp
442
Mtodos HTTP
Descrio
WEB - Proxy
OPTIONS
Este mtodo uma requisio de informaes sobre as opes da comunicao
disponvel entre o cliente e o servidor (web-proxy) identificadas por Request URI (Uniform
Resource Identifier, um termo genrico para todos os tipos de nomes e endereos aos
quais referem-se os objetos da WEB. A URL um tipo de URI). Este mtodo permite que o
cliente determine as opes e (ou) as requisies associadas a um recurso sem iniciar
qualquer recuperao da comunicao.
GET
Este mtodo recupera qualquer informao identificada pelo Request-URI. Se o
Request-URI refere-se a um processo de tratamento de dados a resposta ao mtodo GET
dever conter os dados produzidos pelo processo, e no o cdigo fonte do processo ou
procedimento(s), a menos que o cdigo fonte seja o resultado do processo.
O mtodo GET pode tornar-se um GET condicional se o pedido inclui uma
mensagem If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match ou If-Range no
cabealho do pacote. O mtodo GET condicional utilizado para reduzir o trfego de rede
com a especificao de que a transferncia da conexo dever ocorrer apenas nas
circunstncias descritas pela(s) condio(es) do cabealho do pacote.
443
Mtodos HTTP
Descrio
WEB - Proxy
O mtodo GET pode tornar-se um GET parcial se o pedido inclui uma mensagem
Range no cabealho do pacote. O mtodo GET parcial destinado a reduzir o uso
desnecessrio de rede, solicitando apenas partes dos objetos sem transferncia dos dados j
realizada pelo cliente. A resposta a uma solicitao GET pode ser cacheada somente se ela
preencher os requisitos para cache HTTP.
HEAD
Este mtodo compartilha todas as caractersticas do mtodo GET exceto pelo fato
de que o servidor no deve retornar uma message-body na resposta. Este mtodo recupera
a meta informao do objeto intrnseco requisio, que conduz a uma ampla utilizao da
mesma para testar links de hipertexto, acessibilidade e modificaes recentes.
As respostas a uma requisio HEAD podem ser cacheadas da mesma forma
que as informaes contidas nas respostas podem ser utilizadas para atualizar o cache
previamente identificados pelo objeto.
444
Mtodos HTTP
Descrio
WEB - Proxy
POST
Esse mtodo solicita que o servidor de origem aceite uma requisio do objeto,
subordinado a um novo recurso identificado pelo Request-URI. A verdadeira ao realizada
pelo mtodo POST determinada pelo servidor de origem e normalmente dependente da
Request-URI. Respostas ao mtodo POST no so cacheadas, a menos que a resposta
inclua Cache-Control ou Expires no cabealho do pacote.
PUT
Esse mtodo solicita que o servidor de destino fornea uma Request-URI. Se
existe outro objeto sob a RequestURI especificada, o objeto deve ser considerado como
atualizado sobre a verso residente no servidor de origem. Se a Request-URI no est
apontando para um recurso existente, o servidor origem devem criar um recurso com a URI.
Se a requisio passa atravs de um cache e as Request-URI identificam um ou
mais objetos no cache, essas inscries devem ser tratadas como atualizveis (antigas).
Respostas a este mtodo no so cacheadas.
445
Mtodos HTTP
Descrio
WEB - Proxy
TRACE
Este mtodo invoca remotamente um loop-back na camada de aplicao da mensagem de
requisio. O destinatrio final da requisio dever responder a mensagem recebida para
o cliente uma resposta 200 (OK) no corpo da mesma. O destinatrio final no a origem
nem o primeiro servidor proxy a receber um MAX-FORWARD de valor 0 na requisio.
Uma requisio TRACE no inclui um objeto. As respostas a este mtodo no devem ser
cacheadas.
446
Segurana de acesso em
redes sem fio
447
Segurana Rudimentar
(O que no segurana)
1 Nome de rede (SSID) escondido
Pontos de Acceso sem fio por padro fazem o
broadcast do seu SSID nos pacotes chamados
beacons. Este comportamiento puede ser
modificado no Mikrotik habilitando a opo
Hide SSID.
Fragilidades:
SSID tem de ser conhecido pelos clientes
Scanners Passivos descobrem facilmente
pelos pacores de probe requestdos clientes.
448
Segurana Rudimentar
(O que no segurana)
2 Controle de MACs
Descobrir MACs que trafegam no ar muito simples com ferramentas
apropriadas
Airopeek para Windows
Kismet, Wellenreiter, etc para Linux/BSD
Spoofar um MAC muito fcil, tanto em Linux como em Windows.
- FreeBSD :
ifconfig <interface> -L <MAC>
- Linux :
ifconfig <interface> hw ether <MAC>
449
Segurana Rudimentar
(O que no segurana)
3 Criptografia WEP
Wired Equivalent Privacy foi o sistema de criptografia inicialmente
especificado no padro 802.11 e est baseada no compartilhamento de um
segredo (semente) entre o ponto de Acesso e os clientes, usando o algortimo
RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na Internet, existindo muitas ferramentas para quebrar a chave,
como:
Airodump
Airreplay
Aircrack
Hoje trivial a quebra da WEP que pode ser feita em poucos minutos com
tcnicas baseadas nas ferramentas acima.
450
451
IEEE 802.11i
Devido aos problemas apresentados pela WEP o IEEE criou o Grupo de
trabalho 802.11i cuja tarefa principal era fazer a especificao de um padro
de fato seguro.
Antes da concluso do trabalho do grupo 802.11i a indstria lanou padres
intermedirios, como o WEP+, TKIP e o WPA (Wireless Protected Access)
Em junho de 2004 o padro foi aprovado e a indstria deu o nome comercial de
WPA2.
IEEE
WEP
Indstria
(Wi-Fi Alliance)
WEP
802.11i
WEP +
TKIP
WPA
WPA2
452
Fundamentos de Segurana
Privacidade
A informao no pode ser legvel por terceiros
Integridade
A informao no pode ser alterada quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz ser.
Cliente AP: O Cliente tem que se certificar que est se conectando no
AP verdadeiro. Um AP falso possibilita o chamado ataque do
homem do meio
453
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidas por tcnicas de
criptografia.
O algortimo de criptografia de dados em WPA o RC4, porm
implementado de uma forma bem mais segura que na WEP. E na WPA2 utilizase o AES.
Para a Integridade dos dados WPA usa TKIP Algoritimo de Hashing
Michael e WPA2 usa CCMP (Cipher Block Chaining Message Authentication
Check CBC-MAC)
Encrypted
802.11
802.11
Header
Header
Data
MIC
454
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
455
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
456
Client
Passhrase (PSK)
Passhrase (PSK)
Derive PTK
S-nounce
Derive PTK,
OK, install MIC
Check MIC
Check MIC
Install Key
Install Key
Begin encrypting
Begin encrypting
Como a chave mestra - PMK combina uma contrasenha com o SSID, escolhendo
palavras fortes torna o sucesso por ataque de fora bruta praticamente
impossvel.
http://arstechnica.com/articles/paedia/wpaProjeto na Internet para estudocracked.ars/1
de fragilidades da WPA/WPA2 PSK
Cowpatty http://sourceforge.net/projects/cowpatty
459
Somente use PSK se tem absoluta certeza que as chaves esto protegidas
(somente tem acesso aos equipamentos dos clientes o prprio WISP)
No se esquea que as chaves PSK esto em texto plano nos Mikrotiks (at
para usurios read-only)
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
462
Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x
1.
2.
3.
4.
Side B
Generator
g
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
463
Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x
Side B
Generator
g
5.
6.
7.
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
Generator
g
Prime
number
p
Secret
number
y
K(b) = gy(mod p)
K(b)
464
Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x
Side B
Generator
g
8.
9.
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
Generator
g
Prime
number
p
Secret
number
y
K(b) = gy(mod p)
K(b)
Key = K(b)x(mod p)
Key = K(a)y(mod p)
Same value
465
Security Profile
466
Security Profile
467
Uma idia para utilizar essa configurao de forma segura utilizar esse mtodo,
e depois de fechado o enlace, criar um tnel criptografado PPtP ou L2TP entre os
equipamentos.
468
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
469
ou
Certificados auto-assinados
470
472
EAP-TLS
Usa Certificados
473
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
475
Porta controlada
AP/NAS
Client station
Authenticator
Supplicant
Radius Server
Authentication
Server
EAP
Porta no controlada
476
EAP
EAP um protocolo para identificao de hosts ou usurios originalmente
projetado para Protocolo Ponto a Ponto (PPP)
Client station
AP/NAS
Radius Server
Authenticator
Supplicant
Authentication
Server
EAP na LAN
Tipos de EAP
Authenticator
Key
Material
User
Name
In Clear
Certificate
Certificate
Yes
Yes
Yes
Username/Pwd
Certificate
Yes
No
Open
Yes
Username/Pwd
Certificate
Yes
No
Proprietary
Yes
Username/Pwd
Yes
Yes
Authentication Credentials
EAP
Type
Open/
Proprietary
Mutual
Auth
Supplicant
TLS
Open
Yes
TTLS
Open
PEAP
LEAP
478
Tipos de EAP
LEAP: (Lightweight EAP)
um protocolo proprietrio da Cisco patenteado antes mesmo da 802.11i e WPA/
baseado em nome de usurio e senha que se envia sem proteo.
Este mtodo no cuida da proteo das credenciais durante a fase de
autenticao do usurio com o servidor.
Trabalha com variados tipos de clientes, porm somente com APs da Cisco.
Ferramente para crackear LEAP: Asleap - http://asleap.sourceforge.net/
OBS: Mikrotik no suporta LEAP.
479
Tipos de EAP
PEAP: (Protected EAP) and EAP-TTLS (EAP tunneled TLS)
PEAP y TTLS so dois mtodos bastante parecidos e fazem uso de Certificados
Digitais do lado do Servidor e usurio e senha no lado cliente.
O processo segue a seguinte ordem:
1 O Servidor manda uma requisio EAP
2 Criado um tnel criptografado atravs do envio do Certificado
3 O usurio e senha passado de forma criptografada
O problema com TTLS e PEAP que possvel o ataque do homem-do-meio
OBS: A diferena entre TTLS e PEAP que PEAP compatvel com outros protocolos
como LEAP
480
Tipos de EAP
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse mtodo
para um Servidor Radius
Prov o maior nvel de segurana e necessita de Certificados nos lados do Cliente e
do Servidor Radius
Os passos de como configurar e instalar certificados em um Servidor RADIUS
podem ser obtidos em:
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
481
Station Configuration
Certificate
482
AP Configuration
483
AP/NAS
Radius Server
Authenticator
Supplicant
Authentication
Server
Atacando la entrega
da PMK
WPA-PSK:
EAP-TTLS e EAP-PEAP:
EAP-TLS
486
Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a
usurios do Mikrotik !
487
Felizmente porm o Mikrotik permite que a chave seja atribuda por Radius o que
torna muito interessante esse mtodo.
488
Configurando o Perfil
489
490
Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912
Cleartext-Password := "001B77AF82C9"
Mikrotik-Wireless-Psk = "12345678911"
491
Radius (dictionary)
/usr/share/freeradius/dictionary.mikrotik
492
Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912
493
494
Tuneis PPPoE
aspectos gerais
PPPoE : originalmente desenvolvido para redes cabeadas
O PPPoE Server (PPPoEd) escuta as requisies de clientes PPPoE que por
sua vz utilizam o protocolo PPPoE discovery tudo feito na camada 2
PPPoE por padro no criptografado pode ser configurado com criptografia
MPPE se o cliente suporta esse mtodo.
O mtodo CHAP protege apenas o nome de usurio e senha e nada alm disso.
495
Tneis PPPoE
aspectos gerais
496
PPPoE e Segurana
Un atacante que falsifique um endereo MAC em uma planta onde se rode
PPPoE no consegue navegar, porem causa muitos problemas aos usurios
verdadeiros.
.
Existem ataques a PPPoE quando falsos clientes disparam sucessivas
requisies de conexo (PPPoE discovery) causando negao de servio.
O mais grave no entanto que no PPPoE o usurio no autentica o
Servidor. Por esse motivo um ataque do tipo do homem-do-meio pode ser
facilmente implementado. Basta que o atacante ponha um AP falso em uma
posio privilegiada e configure um PPPoE Server para capturar as requisies
dos clientes. Isso pode ser usado para negar servio ou para capturar senhas.
497
Hotspots
aspectos gerais
Originalmente foram desenvolvidos para dar servio de conexo Internet em
Hotis, Shoppings, etc. Com o tempo tem sido utilizados como plataforma para
autenticar usurios de WISPs.
A interface configurada para ouvir o hotspot captura a tentativa de navegao e
pede usurio e senha.
Existem vrios mtodos de autenticao, inclusive com Certificados digitais
possvel fazea a autenticao por HTTPS.
498
Hotspots e Segurana
Uma vez que um usurio tenha sido autenticado e seu par IP + MAC seja
descoberto e falsificado por um atacante, este ganha acesso sem usurio e senha.
O ponto de acesso no v os dois, porm somente um usurio. O servio fica
precrio mas h a navegao de ambos.
Trabalhando com Certificados Digitais e HTTPS, dr-se-ia ao usurio a
possibilidade deste autenticar o ponto de acesso, evitando assim o ataque do
home-do-meio. No entanto dificilmente o usurio estar devidamente orientado
para tanto e a maioria deles aceitar um Certificado falso.
499
503
Case MD Brasil
Pontos de acesso:
Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto
100% clientes com WPA2 atribuda por Radius
504
Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente
Em seguida pedida autenticao Hotspot para cada cliente.
A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio
505
Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais
concentrao de clientes.
Web-Proxys dos pontos de acesso armazenam objetos pequenos
Web-Proxy central (no Mikrotik) armazena objetos grandes.
506
Laboratrio Final
Abram um terminal
system reset-configuration
507
Obrigado !
Edson Xavier Veloso Jr.
Srgio Souza
Wardner Maia
edson@mikrotikbrasil.com.br
sergio@mikrotikbrasil.com.br
maia@mikrotikbrasil.com.br
508
ANEXO
Scripting Host e Ferramentas
Complementares do
Mikrotik
509
Scripting Host
O Mikrotik possui uma poderosa linguagem interna de Scripts
com a qual diversas aes e tarefas de manuteno podem
ser executadas a partir da ocorrencia de eventos diversos.
Os scripts podem ser executados tanto pelo agendador de
tarefas como por outras ferramentas como o monitoramento
de trfego e o netwatch.
Os comandos de configurao so comandos padro do
RouterOS e as expresses so precedidas de : a
acessveis de todos os sub-menus.
510
Scripting Host
Inserindo os Scripts
Scripting Host
Exemplos
Faamos um script simples para monitorar o estado
de uma interface de rede ether1 a cada 10 segundos
e fazer com que seja mandado para o log qualquer
inatividade desta.
Script para monitorar:
:global estado-da-interface;
/interface ethernet monitor ether1 once do={:set
estado-da-interface $status};
:if ($status=no link) do={log message=O link
caiu!!!!};
515
Scripting Host
Exemplos
Em seguida colocamos no Agendador de Tarefas para que dispare o script
Monitora_Lan a cada 10 segundos. Equivalente na linha de comando:
/ system script
add name="Monitora_Lan" source="{:global estado-da-interface;/interface ethernet
monitor ether1 once do={:set estado-da-interface $status};:if\(\$status=no-link\) do={log
message=\"O link caiu!!!!\" }}"
/ system scheduler
add name="Monitora_Lan" on-event=Monitora_Lan start-date=jan/01/1970 starttime=00:00:00 interval=10s comment="" disabled=no
516
517
518
SCRIPTS - ANEXOS
Comandos e Operadores
520
NO lgico
[admin@MikroTik] interface> :put (!true)
false
[admin@MikroTik] interface> :put (!(2>3))
true
[admin@MikroTik] interface>
523
525
526
Scripting Host
Caracteres Especiais
Scripting Host
Exemplos
Scripts que podem ser baixados em http://wiki.mikrotik.com/wiki/Scripts
Filter a command output
Enable and Disable P2P connections
Send Backup email
Limiting a user to a given amount of traffic (using firewall)
Limiting a user to a given amount of traffic II (using queues)
Limiting a user to a given amount of traffic with user levels (using queues)
Generate bogons firewall chain based on routing-marks
Generate routes for stress testing BGP functionality
Set global and local variables
Dynamic DNS Update Script for ChangeIP.com
Reset Hotspot user count
Use SSH to execute commands (DSA key login)
Audible signal test
ECMP Failover Script
Sending text out over a serial port
Setting static DNS record for each DHCP lease
Improved Netwatch
530
533
537
538
Traffic Monitor
A ferramenta traffic monitor utilizada para
executar scripts de console, sempre que o trfego
em uma dada interface ultrapasse um valor
determinado.
Parametros de configurao:
Name: Nome do tem
Interface: Interface que ser monitorada
Traffic: se trafego transmitido ou recebido
Threshold: limite em bps que dispara o gatilho
Trigger: Se o gatilho disparado quando o valor
ultrapassa o Threshold ou cai abaixo ou o somente
atinge (subindo ou descendo)
On Event: script a ser executado.
539
Traffic Monitor
Exemplo: Queremos monitorar o trfego entrante em um roteador com duas interfaces de
rede ether1 e ether2. Quando o trfego exceder 15kbps na ether1 vamos habilitar a
ether2, que ser desabilitada quando o trfego recuar para menos de 12kbps
- Primeiro vamos criar os scripts de subida e descida
540
Traffic Monitor
Agora vamos definir as aes: quando o trfego passa de 15kbps ativa a
interface, mas s quando cai abaixo de 12 kbps que desabilita
541
Traffic Monitor
Vamos conferir como ficou na linha de comando:
/ system script
add name="sobe_ether2" source="/interface enable ether2
add name="baixa_ether2" source="/interface disable ether2
/ tool traffic-monitor
add name="acima_de_15" interface=ether1 traffic=received trigger=above
threshold=15000 on-event=sobe_ether2
add name="abaixo_de_12" interface=ether1 traffic=received trigger=above
threshold=12000 on-event=baixa_ether2
542
Obrigado !
Edson Xavier Veloso Jr.
Srgio Souza
Wardner Maia
edson@mikrotikbrasil.com.br
sergio@mikrotikbrasil.com.br
maia@mikrotikbrasil.com.br
543