Apostila -MikroTik MTCNA

Treinamento oficial Mikrotik Modulo MTCNA (MikroTik Certified Network Associate)

Agenda
Treinamento das 08:30hs às 18:30hs
Coffe break as 16:00hs
Almoço as 12:30hs – 1 hora de duração

1- Introdução

2

Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
Evite conversas paralelas.
Deixe habilitado somente a interface ethernet de seu computador.

1- Introdução

3

Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.

1- Introdução

4

Objetivos do curso
Abordar todos os tópicos necessários para o exame de certificação MTCNA.
Prover um visão geral sobre o Mikrotik RouterOS e as RouterBoards.
Fazer uma abordagem simples e objetiva com a maioria das ferramentas que o Mikrotik RouterOS dispõe para prover boas soluções.

1- Introdução

5

Onde está a Mikrotik ?


Mikrotik(MK): Empresa
Roterboard(RB):Hardware
RouterOS(ROS): Software 1- Introdução

6

Oque são Routerboards?
Hardware criado pela Mikrotik.
Atende desde usuários domésticos até grandes empresas.
Hardware relativamente barato se comparado com outros fabricantes.

1- Introdução

7

Nomenclatura das routerboards Serie 400

RB 450

0 ou nenhuma wireless

5 interfaces ethernet

3 slots p/ wireless Serie 400

RB 433 3 interfaces ethernet 1- Introdução

8

RouterOS
RouterOS além de estar disponível para Routerboards também pode ser instalado em hardware x86.
RouterOS é o sistema operacional das Routerboards e que pode ser configurado como:
Roteador
Controlador de conteúdo (Web-proxy)
Controlador de banda (Queues)
Controlador de fluxo para QoS(Firewall mangle + Queues)
Firewall (camada 2,3 e 7)
Access Point wireless 802.11a/b/g/n (o hardware deve possuir wlan)
Outros

1- Introdução

9

Winbox
Winbox é uma utilitário usado para acessar o RouterOS via MAC ou IP.
Usuário padrão é “admin” e senha vazio.

1- Introdução

10

Primeiros passos
Conecte o cabo de rede na interface 3 da routerboard e ligue ao seu computador.
Caso você não tenha o utilitário winbox no seu computador faça o seguinte: – Altere seu computador para “Obter endereço IP automaticamente”. – Abra o navegador e digite 192.168.88.1. – No menu a esquerda clique na ultima opção (logout). – Agora na pagina de login , clique sobre o aplicativo winbox e salve no seu computador.

1- Introdução

11

Resetando seu router
Abra o winbox clique em
Clique no endereço MAC ou IP.
No campo Login coloque “admin”.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em “New Terminal”.
Com terminal aberto digite: – system reset-configuration no-defaults=yes Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.

1- Introdução

12

Identificando seu roteador

1- Introdução

13

Diagrama da rede


Lembre-se de seu número: XY 1- Introdução

14

Configuração básica
Configurando endereço de IP
Configurando mascara de sub-rede
Configurando DNS
Conectando seu router a um ponto de acesso
Configurando seu computador
Realizando testes de conectividade

1- Introdução

15

Configuração do roteador
Adicione os IPs nas interfaces

1- Introdução

16

Configuração do roteador
Adicione a rota padrão

1- Introdução

17

Configuração do roteador
Adicione o servidor DNS
Quando você checa a opção “Alow remote requests”, você está habilitando seu router como um servidor de DNS.

1- Introdução

18

Configuração do roteador
Configuração da interface wireless

1- Introdução

19

MNDP MikroTik Neighbor Discovery protocol
Habilite a interface wlan em Discovery Interface

1- Introdução

20

Configure seu Notebook

1- Introdução

21

Teste de conectividade
Pingar a partir da Routerboard o seguinte ip:172.25.X.254.
Pingar a partir da Routerboard o seguinte endereço: www.uol.com 172.25.255.254
Pingar a partir do notebook o seguinte ip: 10.X.Y.1
Pingar a partir do notebook o seguinte endereço: www.uol.com
Analisar os resultados.

1- Introdução

22

Corrigir o problema de conectividade
Diante do cenário apresentado quais soluções podemos apresentar?
Adicionar rotas estáticas.
Utilizar protocolos de roteamento dinâmico.
Utilizar NAT(Network Address Translation).

1- Introdução

23

Utilização do NAT
O mascaramento é a técnica que permite que vários hosts de uma rede compartilhem um mesmo endereço IP de saída do roteador. No Mikrotik o mascaramento é feito através do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui um endereço IP de origem e destino. Para mascarar o endereço, o NAT faz a troca do endereço IP de origem. Quando este pacote retorna ele é encaminhando ao host que o originou.

1- Introdução

24

Adicionando uma regra de source nat
Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1.

1- Introdução

25

Teste de conectividade
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Após a confirmação de que tudo está funcionando, faça o backup da routerboard e armazene-o no notebook. Ele será usado ao longo do curso.

1- Introdução

26

Faça um backup
Clique no menu Files e depois em Backup para salvar sua configurações.
Arraste o arquivo que foi gerado para seu computador.

1- Introdução

27

Instalação do RouterOS Porque é importante saber instalar o RouterOS?
Necessário quando se deseja utilizar um hardware próprio.
Assim como qualquer S.O. o RouterOS também pode corromper o setor de inicialização (geralmente causado por picos elétricos).
Necessário quando se perde o usuário e senha de acesso ao sistema.

1- Introdução

28

Instalação do RouterOS
Assim como qualquer sistema operacional o RouterOS precisa ser instalado(em routerboards já vem instalado por padrão) , as duas principais maneiras de instalar o ROS são:


ISO botável (imagem)
Via rede utilizando o Netinstall

1- Introdução

29

Download http://www.mikrotik.com/download

1- Introdução

30

Download
No link acima você pode fazer o download das imagens ISO ou do arquivo contendo todos os pacotes.
Sempre ao fazer o download fique atento a arquitetura de hardware (mipsbe, mipsle,x86).
Obs: Nunca instale versões de teste em roteadores em produção sempre selecione versões estáveis.

1- Introdução

31

Instalando pela ISO
Em caso de você estar utilizando uma maquina física grave a ISO em um CD e ajuste a sequencia de boot para CD/DVD.

1- Introdução

32

Instalando via netinstall em routerboards
Para se instalar em uma Routerboard, inicialmente temos que entrar na routerboard via cabo serial e alterar a sequencia de inicialização para ethernet (placa de rede).
Dentro da Routerboad temos um tutorial completo de como instalar o RouterOS em Routerboards.

1- Introdução

33

Pacotes do RouterOS
System: Pacote principal contendo os serviços básicos e drivers. A rigor é o único que é obrigatório.
PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente, Relay e Servidor DHCP.
Advanced-tools: Ferramentas de diagnóstico, netwatch e outros utilitários.
HotSpot: Suporte a HotSpot.
NTP: Servidor de horário oficial mundial.
IPv6: Suporte a endereçamento IPv6
MPLS: Suporte a MPLS
Routing: Suporte a roteamento dinâmico.
Security : IPSEC, SSH, Secure WinBox. Não é possível adicionar drivers ou qualquer outro tipo de pacote que não seja criado diretamente pela Mikrotik.

1- Introdução

34

Gerenciando pacotes
Você pode habilitar e desabilitar pacotes em:

1- Introdução

35

Primeiro acesso
Por padrão o processo de instalação não atribui nenhum endereço de IP ao router então o primeiro acesso pode ser feito por:
Cabo serial (linha de comando)
Teclado e monitor em x86 (linha de comando)
Via mac-telnet (linha de comando)
Winbox via MAC (interface gráfica)

1- Introdução

36

Mac-telnet

1- Introdução

37

Outros modos de acesso
Após configurar um endereço de IP no RouterOS existem outros modos de acesso.
SSH
FTP
Telnet
Web

1- Introdução

38

SSH e telnet

1- Introdução

39

FTP
Usado para transferir arquivos.

1- Introdução

40

WEB
O acesso via web traz quase todas as funções existentes no winbox.

1- Introdução

41

Upgrade do RouterOS
Faça download de Upgrade package (.npk).
Arraste para dentro de Files no winbox e reinicie seu router.

4

1- Introdução 2

42

Atualizando a RB
Confira a versão atual.
Faça download do pacote .npk.
Envie o pacote para sua Routerboard usando o winbox ou via FTP.
Reinicie o roteador.
Confira se a nova versão foi instalada.
Novas versões estão disponíveis no site. http://www.mikrotik.com/download 4

1- Introdução 3

43

Atualizando a RB
Certifique se que sua routerboard tem conectivade com a internet.
Cliquem em System=> Packages=> Check for Updates

1- Introdução

44

Upgrade de firmware
Para fazer upgrade de firmware clique em:

1- Introdução

45

Níveis de licença
O RouterOS trabalha com níveis de licença isso significa que cada nível lhe oferece um numero X de recursos.
Quanto a atualização de versão L3/4 = versão atual + 1 = pode ser usada L5/6 = versão atual + 2 = pode ser usada
A chave de licença é gerada sobre um software-id fornecido pelo sistema.
A licença fica vinculada ao HD ou Flash e/ou placa mãe.
A formatação com outras ferramentas muda o software-id causa a perda da licença.

1- Introdução

46

Níveis de licença

1- Introdução

47

NTP
As routerboard não tem fonte de alimentação interna, logo toda vez que é reiniciada o sistema perde a data e a hora, isso vem a ser um grande problema quando é necessário analisar os logs.
Para que seu equipamento fique sempre com a data e hora correta devemos usar o cliente NTP (Network time protocol). 1- Introdução

48

Configurando Cliente NTP

1- Introdução

49

Ajustando fuso horário

1- Introdução

50

Backup
Existem duas maneiras de se realizar backup do sistema:
Backup comum = Salva todo o conteúdo do router em um arquivo criptografado que não pode ser editado(salva inclusive os usuários e senhas de login no router).
Backup com comando export = Você pode exportar um backup completo ou apenas uma parte. Com esse tipo de backup o arquivo gerado não é criptografado e pode ser aberto por qualquer editor de texto(não exporta dados de usuários e senhas de login no router).

1- Introdução

51

Backup comum


Observe que o arquivo gerado recebe o identificação do router mais as informações de data e hora. 1- Introdução

52

Backup pelo comando export


Para exportar as configurações para dentro de um arquivo use opção “file” e dê um nome ao arquivo e sempre use a opção “compact” para que seu arquivo venha apenas com as informações necessárias(evita exporta mac-address de um equipamento para outro). 1- Introdução

53

Localizando e editando backup Após o comando “export file=bkp_router_XY compact” O arquivo gerado está no menu files.

Após transferir o arquivo para sua maquina ele poderá ser editado pelo bloco de notas. 1- Introdução

54

Backup
Faça os dois tipos de backup.
Arraste os dois backups para seu computador e tente abrir com o bloco de notas e observe o resultado
Agora acesse o link abaixo e faça o upload do arquivo de backup criptografado. http://mikrotikpasswordrecovery.com/

1- Introdução

55

Modo seguro
O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione “CTRL+X” ou na parte superior clique em Safe Mode.

1- Introdução

56

Modo seguro
Se um usuário entra em modo seguro, quando já há um nesse modo, a seguinte mensagem será dada: “Hijacking Safe Mode from someone – unroll/release/ – u: desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro – d: deixa tudo como está – r: mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte mensagem:

“Safe Mode Released by another user”

1- Introdução

57

Dúvidas e perguntas ?

1- Introdução

58

Modelo OSI, TCP/IP e protocolos 2 - OSI, TCP/IP e protocolos

59

Um pouco de historia
1962 – Primeiras comunicações em rede.
1965 – Primeira comunicação WAN.
1969 – Desenvolvido o TCP.
1978 – Vários padrões de comunicação.
1981 – Inicio de discussões sobre padronizações.
1984 – Chegada do modelo OSI Siglas ISO - International Organization for Standardization OSI - Open Systems Interconnection 2 - OSI, TCP/IP e protocolos

60

Modelo OSI vs TCP/IP Modelo OSI

Modelo TCP/IP

Modelo usado para estudos

Modelo usado na prática

2 - OSI, TCP/IP e protocolos

61

Um pouco mais sobre o modelo OSI
Os dados são gerados na camada de aplicação, e a partir de então serão encapsulados camada por camada até chegar a camada física onde serão transformados em sinais (elétricos ,luminosos etc...)
Em cada camada são adicionados cabeçalhos. Veja abaixo os tipos de informações que são imputadas em cada cabeçalho.

Cabeçalho possui porta (TCP/UDP) de origem e destino Cabeçalho possui IP de origem e destino Cabeçalho possui MAC de origem e destino

2 - OSI, TCP/IP e protocolos

62

Encapsulamento Dados

Camada 7 aplicação - Dados

Dados

Camada 4 transporte - Portas

Dados

Camada 3 rede - IP

Dados

Camada 2 enlace - MAC

2 - OSI, TCP/IP e protocolos

63

PDU - Protocol data unit
Protocol data unit ou em português Unidade de dados de protocolo em telecomunicações descreve um bloco de dados que é transmitido entre duas instâncias da mesma camada. Camada

PDU

Camada física

Bit

Camada de enlace

Quadro ou trama

Camada de rede

Pacote

Camada de transporte

Segmento

2 - OSI, TCP/IP e protocolos

64

1 - Camada física
A camada física define as características técnicas dos dispositivos elétricos.
É nesse nível que são definidas as especificações de cabeamento estruturado, fibras ópticas, etc...
Banda, frequência e potencia são grandeza que podemos alterar diretamente na camada 1.

2 - OSI, TCP/IP e protocolos

65

2 - Camada de enlace
Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da camada I.
Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede.
Switchs, bridges ,ethernets e PPP são exemplos de dispositivos que trabalham em camada II.

2 - OSI, TCP/IP e protocolos

66

Endereço MAC
É o único endereço físico de um dispositivo de rede.
É usado para comunicação com a rede local.
Exemplo de endereço MAC:

00:0C:42:00:00:00 2 - OSI, TCP/IP e protocolos

67

3 - Camada de rede
Responsável pelo endereçamento lógico dos pacotes.
Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade.

2 - OSI, TCP/IP e protocolos

68

4 - Camada de transporte
Quando no lado do remetente, é responsável por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede.
No lado do destinatário, pega os pacotes recebidos da camada de rede, remonta os dados originais e os envia para à camada superior.
Estão na camada IV: TCP, UDP, RTP

2 - OSI, TCP/IP e protocolos

69

Estado das conexões
É possível observar o estado das conexões no Mikrotik no menu Connections (IP=>Firewall=>Connections).
Essa tabela também é conhecida como conntrack. Muito utilizada para analises e debugs rápidos.

2 - OSI, TCP/IP e protocolos

70

5 - Camada de sessão
Administra e sincroniza diálogos entre dois processos de aplicação.
Une duas entidades para um relacionamento e mais tarde as desune. (ex. de união: login/autenticação e desunião: logoff).
Controla troca de dados, delimita e sincroniza operações em dados entre duas entidades.

2 - OSI, TCP/IP e protocolos

71

6 - Camada de apresentação
A principal função da camada de apresentação é assegurar que a informação seja transmitida de tal forma que possa ser entendida e usada pelo receptor.
Este nível pode modificar a sintaxe da mensagem, sempre preservando sua semântica.
O nível de apresentação também é responsável por outros aspectos da representação dos dados, como criptografia e compressão de dados. 2 - OSI, TCP/IP e protocolos

72

7 - Camada de aplicação
Muito confundem aplicação com aplicativo.
Usuário interagem com o aplicativo e o aplicativo interage com protocolos da camada de aplicação( HTTP, SMTP, FTP, SSH, Telnet ...).

HTTP HTTPS DNS

2 - OSI, TCP/IP e protocolos

73

Protocolos

2 - OSI, TCP/IP e protocolos

74

Endereço IP
É o endereço lógico de um dispositivo de rede.
É usado para comunicação entre redes.
Endereço IPv4 é um numero de 32 bits divido em 4 parte separado por pontos.
Exemplo de endereço IP: 200.200.0.1. 2 - OSI, TCP/IP e protocolos

75

Sub Rede
Como o próprio no já diz (sub rede)é a uma parte de rede ou seja uma rede que foi dividida.
O tamanho de uma sub rede é determinado por sua máscara de sub rede.
O endereço de IP geralmente é acompanhado da mascara de sub rede.
Com esses dois dados (Endereço IP e mascara de sub rede) podemos dimensionar onde começa e onde termina nossa sub rede.
Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
O endereço de REDE é o primeiro IP da sub rede.
O endereço de BROADCAST é o último IP da sub rede.
Esses endereços(Rede e broadcast) são reservados e não podem ser usados. End IP/Mas

10.1.2.3/8

10.1.2.3/16

10.1.2.3/24

End de Rede

10.0.0.0

10.1.0.0

10.1.2.0

End de Broadcast

10.255.255.255

10.1.255.255

10.1.2.255

2 - OSI, TCP/IP e protocolos

76

Protocolos - IP
Usado para identificar logicamente um host.
Possui endereços públicos e privados.
Possui duas versões IPv4 (quase esgotado) e IPv6.

2 - OSI, TCP/IP e protocolos

77

Endereçamento CIDR

2 - OSI, TCP/IP e protocolos

78

Protocolos - ARP
ARP – Address resolution protocol ou simplesmente protocolo de resolução de endereços.
Como o próprio nome sugere esse protocolo consegue resolver(encontrar) o endereço MAC através do endereço de IP e após feito isto o coloca em uma tabela.

2 - OSI, TCP/IP e protocolos

79

Como ARP funciona
Quando o dispositivo H1 precisa enviar dados para H2 que está no mesmo segmento de rede , o dispositivo H1 precisa descobrir o endereço MAC de H2.Então o protocolo ARP envia uma requisição para todos os diapositivos(MSG-01).
Então o host que com endereço de IP apropriado(H2) responde com o dado solicitado (MSG-02).
Então o dispositivo H1 recebe o endereço MAC e se prepara para o próximo passo para transmitir dados para H2. MSG-01 Quero saber o MAC do host com IP 10.11.11.2

MSG-02 Sou eu e meu MAC é 00:00:00:11:11:02

10.11.11.2/24 00:00:00:11:11:02

10.11.11.1/24 00:00:00:11:11:01 10.11.11.3/24 00:00:00:11:11:03

2 - OSI, TCP/IP e protocolos

80

Protocolos - UDP / TCP UDP

TCP

Serviço sem conexão; nenhuma sessão é estabelecida entre os hosts.

Serviço orientado por conexão; uma sessão é estabelecida entre os hosts.

O UDP não garante ou confirma a entrega nem sequencia os dados.

O TCP garante a entrega usando confirmações e entrega sequenciada dos dados.

O UDP é rápido, requer baixa sobrecarga e pode oferecer suporte à comunicação ponto a ponto e de ponto a vários pontos.

O TCP é mais lento, requer maior sobrecarga e pode oferecer suporte apenas à comunicação ponto a ponto.

2 - OSI, TCP/IP e protocolos

81

Protocolos - ICMP
Internet Control Message Protocol ou protocolo de mensagens de controle da Internet é usado para relatar erros e trocar informações de status e controle.
Geralmente usamos aplicativos que utilizam o protocolo ICMP para sabermos se um determinado host esta alcançável e/ou qual é a rota para aquele host(ping e tracert).

2 - OSI, TCP/IP e protocolos

82

Protocolos - DNS
Domain Name System - Sistema de Nomes de Domínios é utilizado para associar nomes a números e vice-versa.

2 - OSI, TCP/IP e protocolos

83

DHCP

2 - OSI, TCP/IP e protocolos

84

Perguntas ?

2 - OSI, TCP/IP e protocolos

85

Wireless no Mikrotik

5 - Wireless

86

Conceitos 802.11a/b/g/n
Nas interfaces wireless podemos alterar alguns campos que irão definir caracterizas físicas da transmissão: Banda Frequência Largura de Canal

5 - Wireless

87

Configurações Físicas Padrão IEEE

Frequência

Largura de banda máxima

Velocidade máx

802.11b

2.4Ghz

20Mhz

11 Mbps

802.11g

2.4Ghz

20Mhz

54 Mbps

802.11a

5Ghz

20Mhz

54 Mbps

802.11n

2.4Ghz e 5 Ghz

40Mhz

300 Mbps

802.11ac

5 Ghz

80Mhz

866 Mbps

5 - Wireless

88

802.11b - DSSS

1

2

3

4

5

6

2412

2422

2432

2442

2452

2462

2402

2422

2402

2422

+ 20Mhz 2402

2422

5 - Wireless

2402

2422

89

Canais não interferentes em 2.4 Ghz - DSSS

5 - Wireless

90

Canalização – 5Mhz e 10Mhz








Menor troughput Maior número de canais Menor vulnerabilidade a interferências Requer menor sensibilidade Aumenta o nível de potência de tx

5 - Wireless

91

Canalização – Modo Turbo








Maior troughput Menor número de canais Maior vulnerabilidade a interferências Requer maior sensibilidade Diminui o nível de potência de tx

5 - Wireless

92

Padrão 802.11n
MIMO
Velocidades do 802.11n
Bonding do canal
Agregação dos frames
Configuração dos cartões
Potência de TX em cartões N

5 - Wireless

93

MIMO
MIMO: Multiple Input and Multiple Output

5 - Wireless

94

802.11n - Velocidades nominais

5 - Wireless

95

802.11n - Bonding dos canais 2 x 20Mhz
Adiciona mais 20Mhz ao canal existente.
O canal é colocado abaixo ou acima da frequência principal.
É compatível com os clientes “legados” de 20Mhz.
Conexão feita no canal principal.


Permite utilizar taxas maiores. 5 - Wireless

96

Configurando no Mikrotik


Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é dobrada. 5 - Wireless

97

Tabela de potência

1- Introdução

98

Potências


Quando a opção “regulatory domain” está habilitada, somente as frequências permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país, levando em conta o valor em dBi informado em “Antenna Gain”.
Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13. 5 - Wireless

99

RX sensitivity
Refere a capacidade de “escuta” de cada equipamento.
Quanto menor melhor, pois o equipamento será capaz enlaçar com outro dispositivo com pouco sinal.
Deve sempre ser observado na hora de fazer escolhas de equipamentos

1- Introdução

100

Data Rates
A velocidade em uma rede wireless é definida pela modulação que os dispositivos conseguem trabalhar.
Supported Rates: São as velocidades de dados entre o AP e os clientes.
Basic Rates: São as velocidades que os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc...)

5 - Wireless

101

Ferramentas de Site Survey - Scan A -> Ativa B -> BSS P -> Protegida R -> Mikrotik


Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das conexões estabelecidas.

5 - Wireless

102

Ferramentas de Site Survey – Uso de frequências
Mostra o uso das frequências em todo o espectro para site survey conforme a banda selecionada no menu wireless.

5 - Wireless

103

Interface wireless - Sniffer
Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes.
Muito útil para detectar ataques.
Pode ser arquivado no próprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP.

5 - Wireless

104

Interface wireless - Snooper


Com a ferramenta snooper é possível monitorar a carga de tráfego em cada canal por estação e por rede.
Scaneia as frequências definidas em scan-list da interface. 5 - Wireless

105

Interface wireless – Modo de operação


ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada.
bridge: O mesmo que o o modo “ap bridge” porém aceitando somente um cliente.
station: Modo cliente de um ap. Não pode ser colocado em bridge com outras interfaces. 5 - Wireless

106

Interface wireless – Modo de operação


station pseudobridge: Estação que pode ser colocada em modo bridge, porém sempre passa ao AP seu próprio MAC.
station pseudobridge clone: Modo idêntico ao anterior, porém passa ao AP um MAC pré determinado anteriormente.
station wds: Modo estação que pode ser colocado em bridge com a interface ethernet e que passa os MACs de forma transparente. É necessário que o AP esteja em modo wds. 5 - Wireless

107

Interface wireless – Modo de operação


alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que são mandados a ela por outros dispositivos trabalhando no mesmo canal.
wds slave: Adéqua suas configurações conforme outro AP com mesmo SSID.
nstreme dual slave: Será visto no tópico especifico de nstreme.
station bridge: Faz um bridge transparente porém só pode ser usado para se conectar a um AP Mikrotik.

5 - Wireless

108

NV2 • Proprietário da Mikrotik (não funciona com outros fabricantes). • Baseado em TDMA (Time Division Multiple Access). • Resolver o problema do nó escondido. • Melhora throughput e latência especialmente em PtMP.

Funcionamento do NV2

• Diferente do padrão 802.11 onde não existe controle do meio, com a utilização de NV2 o AP controla todo o acesso ao meio (em outras palavras o AP decide quem irá transmitir e quem irá receber). • Em redes NV2 o AP divide o tempo em períodos fixos (Timeslot). • Esses períodos (Timeslot) são alocados para Download e Upload de forma organizada, sendo que dois clientes não irão transmitir ao mesmo tempo e logo temos o seguinte: - Evitamos colisões - Aproveitamos melhor a largura de banda - Aumento do throughput

Segurança de Acesso em redes sem fio

5 - Wireless

111

Falsa segurança
Nome da rede escondido:
Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes chamados “beacons”. Este comportamento pode ser modificado no Mikrotik habilitando a opção “Hide SSID”.


Pontos negativos:
SSID deve ser conhecido pelos clientes.
Scanners passivos o descobrem facilmente pelos pacotes de “probe request” dos clientes.

5 - Wireless

112

Falsa segurança
Controle de MACs:
Descobrir MACs que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer.
Spoofar um MAC é bem simples. Tanto usando windows, linux ou Mikrotik.

5 - Wireless

113

Interface Wireless – Controle de Acesso


A Access List é utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar.
A comunicação entre clientes da mesma interface, virtual ou real, também pode ser controlada na Access List.

5 - Wireless

114

Interface Wireless – Controle de Acesso
O processo de associação ocorre da seguinte forma:


Um cliente tenta se associar a uma interface wlan;




Seu MAC é procurado na access list da interface wlan;




Caso encontrado, a ação especifica será tomada:
Authentication: Define se o cliente poderá se associar ou não;
Fowarding: Define se os clientes poderão se comunicar. 5 - Wireless

115

Interface Wireless – Access List
MAC Address: Endereço MAC a ser liberado ou bloqueado.
Interface: Interface real ou virtual onde será feito o controle de acesso.
AP Tx Limit: Limite de tráfego enviado para o cliente.
Client Tx Limit: Limite de tráfego enviado do cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros Mikrotiks.

5 - Wireless

116

Interface Wireless – Connect List
A Connect List tem a finalidade de listar os APs que o Mikrotik configurado como cliente pode se conectar.
MAC Address: MAC do AP a se conectar.
SSID: Nome da rede.
Area Prefix: String para conexão com AP de mesma área.
Security Profile: Definido nos perfis de segurança. Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP falso. 5 - Wireless

117

Falsa segurança
Criptografia WEP:
“Wired Equivalent Privacy” – Foi o sistema de criptografia inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia.
Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar a chave, como:
Airodump.
Airreplay.
Aircrack.


Hoje com essas ferramentas é bem simples quebrar a WEP.

5 - Wireless

118

Evolução dos padrões de segurança

5 - Wireless

119

Chave WPA e WPA2 - PSK
A configuração da chave WPA/WAP2PSK é muito simples no Mikrotik.
No menu wireless clique na Security Profile e adicione um novo perfil
Configure o modo de chave dinâmico e a chave pré combinada para cada tipo de autenticação.
Em cada Wlan selecione o perfil de segurança desejado. Obs.: As chaves são alfanuméricas de 8 até 64 caracteres.

5 - Wireless

120

Segurança de WPA / WPA2
Atualmente a única maneira conhecida para se quebrar a WPA-PSK é somente por ataque de dicionário.
A maior fragilidade paras os WISP’s é que a chave se encontra em texto plano nos computadores dos clientes ou no próprio Mikrotik. 5 - Wireless

121

Método alternativo com Mikrotik
A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP e é vinculada ao MAC Address do cliente, possibilitando que cada um tenha sua chave.

Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visível a usuários do Mikrotik.

5 - Wireless

122

Perguntas ?

5 - Wireless

123

Roteamento

6 - Roteamento

124

O que é roteamento
Em termos gerais, o roteamento é o processo de encaminhar pacotes entre redes conectadas.


Para redes baseadas em TCP/IP, o roteamento faz parte do protocolo IP.
Para que o roteamento funcione ele trabalha em combinação com outros serviços de protocolo. 6 - Roteamento

125

Quando o roteamento é utilizado?
Sempre que um determinado host precisar se comunicar como outro host/server que não esteja na mesma sub-rede ele irá precisar de um roteador (gateway) para alcançar seu destino. 192.168.1.201/24 192.168.1.1 192.168.20.2/24

192.168.20.1

Exemplo 1

192.168.1.200/24

Não necessita de roteamento

Exemplo 2 Necessita de roteamento

Origem

Destino

Origem

Destino

192.168.1.201

192.168.1.200

192.168.1.201

192.168.20.2

6 - Roteamento

126

Funcionamento padrão 192.168.1.1

192.168.1.200

187.15.15.134

8.8.8.8

Pacote IP Origem

Destino

192.168.1.99

8.8.8.8

Tabela de rotas

• Quando um pacote chega a um roteador e consulta sua tabela de rotas para encontrar a melhor rota para o destino solicitado 6 - Roteamento

Tudo que for destinado a: (Dst. Address)

Encaminhe para o roteador: (Gateway)

0.0.0.0/0

192.168.1.1

10.10.10.0/24

192.168.4.1

10.172.0.0/23

10.172.4.1

8.8.0.0/16

10.172.5.1

127

Na tabela de rotas
Para cada encaminhamento o roteador faz um leitura completa da tabela de rotas.
Se o roteador encontrar mais de uma rota para o destino solicitado ele sempre irá utilizar a rota mais especifica. Tabela de rotas
A rota defult será Dst. Address Gateway 0.0.0.0/0 192.168.1.1 utilizada sempre que 8.0.0.0/8 10.172.6.1 não houver uma rota para o determinado 8.8.0.0/16 10.172.5.1 destino. 6 - Roteamento

128

Roteamento - LAB 10.10.1.0/30

10.10.2.0/30

10.10.3.0/30

172.25.1.0/24

172.25.2.0/24 10.10.4.0/30

6 - Roteamento

129

Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento estático: As rotas são criadas pelo usuário através de inserções pré-definidas em função da topologia da rede.
Roteamento dinâmico: As rotas são geradas automaticamente através de um protocolo de roteamento dinâmico ou de algum agregado de endereço IP.


O Mikrotik também suporta ECMP(Equal Cost Multi Path) que é um mecanismo que permite rotear pacotes através de vários links e permite balancear cargas.
É possível ainda no Mikrotik se estabelecer políticas de roteamento dando tratamento diferenciado a vários tipos de fluxos a critério do administrador. 6 - Roteamento

130

Políticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer uma política de roteamento:
As políticas podem ser por marca de pacotes, por classes de endereços IP e portas.
As marcas dos pacotes devem ser adicionadas no Firewall, no módulo Mangle com mark-routing.
Aos pacotes marcados será aplicada uma política de roteamento, dirigindo-os para um determinado gateway.
É possível utilizar política de roteamento quando se utiliza NAT. 6 - Roteamento

131

Políticas de Roteamento
Uma aplicação típica de políticas de roteamento é trabalhar com dois um mais links direcionando o tráfego para ambos. Por exemplo direcionando tráfego p2p por um link e tráfego web por outro.
É impossível porém reconhecer o tráfego p2p a partir do primeiro pacote, mas tão somente após a conexão estabelecida, o que impede o funcionamento de programas p2p em casos de NAT de origem.
A estrátegia nesse caso é colocar como gateway default um link “menos nobre”, marcar o tráfego “nobre” (http, dns, pop, etc.) e desvia-lo pelo link nobre. Todas outras aplicações, incluindo o p2p irão pelo link menos nobre.

6 - Roteamento

132

Políticas de Roteamento
Exemplo de política de roteamento. O roteador nesse caso terá 2 gateways com ECMP e checkgateway. Dessa forma o tráfego será balanceado e irá garantir o failover da seguinte forma: /ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 checkgateway=ping 6 - Roteamento

133

Ex. de Política de Roteamento 1. Marcar pacotes da rede 192.168.10.0/24 como lan1 e pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma: /ip firewall mangle add src-address=192.168.10.0/24 action=markrouting new-marking-routing=lan1 chain=prerouting /ip firewall mangle add src-address=192.168.20.0/24 action=markrouting new-marking-routing=lan2 chain=prerouting 2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e os pacotes da rede lan2 para o gateway 10.112.0.1 usando as correspondentes marcas de pacotes da seguinte forma: /ip routes add gateway=10.111.0.1 routing-mark=lan1 checkgateway=ping /ip routes add gateway=10.112.0.1 routing-mark=lan2 checkgateway=ping /ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway=ping

6 - Roteamento

134

Roteamento Dinâmico

6 - Roteamento

135

Roteamento Dinâmico
O Mikrotik suporta os seguintes protocolos:
RIP versão 1 e 2;
OSPF versão 2 e 3;
BGP versão 4.


O uso de protocolos de roteamento dinâmico permite implementar redundância e balanceamento de links de forma automática e é uma forma de se fazer uma rede semelhante as redes conhecidas como Mesh, porém de forma estática. 6 - Roteamento

136

Roteamento dinâmico - BGP
O protocolo BGP é destinado a fazer comunicação entre AS(Autonomos System) diferentes, podendo ser considerado como o coração da internet.
O BGP mantém uma tabela de “prefixos” de rotas contendo informações para se encontrar determinadas redes entre os AS’s.
A versão corrente do BGP no Mikrotik é a 4, especificada na RFC 1771. 6 - Roteamento

137

Roteamento Dinâmico - OSPF
O protocolo Open Shortest Path First, é um protocolo do tipo “link state”. Ele usa o algoritmo de Dijkstra para calcular o caminho mais curto para todos os destinos.
O OSPF distribui informações de roteamento entre os roteadores que participem de um mesmo AS(Autonomous System) e que tenha o protocolo OSPF habilitado.
Para que isso aconteça, todos os roteadores tem de ser configurados de uma maneira coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocolo OSPF.
O protocolo OSPF é iniciado depois que é adicionado um registro na lista de redes. As rotas são aprendidas e instaladas nas tabelas de roteamento dos roteadores.

6 - Roteamento

138

Roteamento Dinâmico - OSPF
Tipos de roteadores em OSPF:
Roteadores internos a uma área.
Roteadores de backbone (área 0).
Roteadores de borda de área (ABR).
OS ABRs devem ficar entre dois roteadores e devem tocar a área 0.


Roteadores de borda Autonomous System (ASBR).
São roteadores que participam do OSPF mas fazem comunicação com um AS.

6 - Roteamento

139

OSPF - Áreas


O protocolo OSPF permite que vários roteadores sejam agrupados entre si. Cada grupo formado é chamado de área e cada área roda uma cópia do algoritmo básico, e cada área tem sua própria base de dados do estado de seus roteadores.
A divisão em áreas é importante pois como a estrutura de uma área só é visível para os participantes desta, o tráfego é sensivelmente reduzido. Isso também previne o “recalculo” das distâncias por áreas que não participam da área que promoveu alguma mudança de estado.
É aconselhável utilizar no entre 50 e 60 roteadores em cada área. 6 - Roteamento

140

OSPF - Redes
Aqui definimos as redes OSPF com os seguintes parâmetros:
Network: Endereço IP/Mascara, associado. Permite definir uma ou mais interfaces associadas a uma área. Somente redes conectadas diretamente podem ser adicionadas aqui.
Area: Área do OSPF associada.

6 - Roteamento

141

OSPF - Opções
Router ID: Geralmente o IP do roteador. Caso não seja especificado o roteador usará o maior IP que exista na interface.
Redistribute Default Route:
Never: nunca distribui rota padrão.
If installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, dhcp ou PPP.
If installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, dhcp ou PPP.
Always (as type 1): Sempre, com métrica 1.
Always (as type 2): Sempre, com métrica 2.

6 - Roteamento

142

OSPF - Opções
Redistribute Connected Routes: Caso habilitado, o roteador irá distribuir todas as rotas relativas as redes que estejam diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma estática em /ip routes.
Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP.
Na aba “Metrics” é possível modificar as métricas que serão exportadas as diversas rotas.

6 - Roteamento

143

OSPF - LAB 10.10.1.0/30

10.10.2.0/30

10.10.3.0/30

172.25.1.0/24

10.10.4.0/30

6 - Roteamento

172.25.2.0/24

144

OSPF - LAB 10.10.1.0/30

10.10.2.0/30

10.10.3.0/30

172.25.1.0/24

10.10.4.0/30

6 - Roteamento

172.25.2.0/24

145

OSPF - LAB 10.10.1.0/30

10.10.2.0/30

10.10.3.0/30

172.25.1.0/24

10.10.4.0/30

6 - Roteamento

172.25.2.0/24

146

Perguntas ?

6 - Roteamento

147

Firewall no Mikrotik

7 - Firewall

148

Firewall
O firewall é normalmente usado como ferramenta de segurança para prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de entrada, de saída e passante.
Além da segurança é no firewall que serão desempenhadas diversas funções importantes como a classificação e marcação de pacotes para desenvolvimento de regras de QoS.
A classificação do tráfego feita no firewall pode ser baseada em vários classificadores como endereços MAC, endereços IP, tipos de endereços IP, portas, TOS, tamanho do pacotes, etc...

7 - Firewall

149

Firewall - Opções


Filter Rules: Regras para filtro de pacotes.
NAT: Onde é feito a tradução de endereços e portas.
Mangle: Marcação de pacotes, conexão e roteamento.
Service Ports: Onde são localizados os NAT Helpers.
Connections: Onde são localizadas as conexões existentes.
Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e que podem ser utilizadas em várias partes do firewall.
Layer 7 Protocols: Filtros de camada 7. 7 - Firewall

150

Estrutura do Firewall Firewall Tabela Filter

Tabela NAT

Canal input

Canal SRCNAT

regras

regras

regras

regras

Tabela Mangle Canal input regras Canal Output regras

Canal Output

Canal DSTNAT

regras

regras

regras

regras

Canal Forward regras Canal Prerouting

Canal Forward

regras

regras

Canal Posrouting

regras

regras 7 - Firewall

151

Fluxo do Firewall Chegada Canal Prerouting Canal DSTNAT

Decisão de roteamento

Canal Forward Canal Output

Canal Posrouting Canal SRCNAT

Canal Input Decisão de roteamento

Saída

Processo local 7 - Firewall

152

Firewall – Connection Track
Refere-se a habilidade do roteador em manter o estado da informação relativa as conexões, tais como endereços IP de origem e destino, as respectivas portas, estado da conexão, tipo de protocolos e timeouts. Firewalls que fazem connection track são chamados de “statefull” e são mais seguros que os que fazem processamentos “stateless”.

7 - Firewall

153

Firewall – Connection Track
O sistema de connection tracking é o coração do firewall. Ele obtém e mantém informações sobre todas conexões ativas.
Quando se desabilita a função “connection tracking” são perdidas as funcionalidades NAT e as marcações de pacotes que dependam de conexão. No entanto, pacotes podem ser marcados de forma direta.
Connection track é exigente de recursos de hardware. Quando o equipamento trabalha somente como bridge é aconselhável desabilitá-la. 7 - Firewall

154

Localização da Connection Tracking Chegada conntrack Canal Prerouting Canal DSTNAT

Decisão de roteamento

Canal Forward Canal Output

Canal Posrouting

conntrack

Canal SRCNAT

Decisão de roteamento

Saída

Canal Input

Processo local 7 - Firewall

155

Firewall – Connection Track


Estado das conexões:
established: Significa que o pacote faz parte de uma conexão já estabelecida anteriormente.
new: Significa que o pacote está iniciando uma nova conexão ou faz parte de uma conexão que ainda não trafegou pacotes em ambas direções.
related: Significa que o pacote inicia uma nova conexão, porém está associada a uma conexão existente.
invalid: Significa que o pacote não pertence a nenhuma conexão existente e nem está iniciando outra. 7 - Firewall

156

Firewall – Princípios gerais


As regras de firewall são sempre processadas por canal, na ordem que são listadas de cima pra baixo.
As regras de firewall funcionam como expressões lógicas condicionais, ou seja: “se então ”.
Se um pacote não atende TODAS condições de uma regra, ele passa para a regra seguinte.

7 - Firewall

157

Processamento das regras SE combina com os campos ENTÃO executa a ação. SE IP de destino=8.8.8.8

ENTÃO execute Drop

SE proto=TCP e dst-port=80 ENTÃO executa Accept

7 - Firewall

158

Firewall – Princípios gerais
Quando um pacote atende TODAS as condições da regra, uma ação é tomada com ele, não importando as regras que estejam abaixo nesse canal, pois elas não serão processadas.
Algumas exceções ao critério acima devem ser consideradas como as ações de: “passthrough”, log e “add to address list”.
Um pacote que não se enquadre em qualquer regra do canal, por padrão será aceito. 7 - Firewall

159

Firewall – Filter Rules Forward Input Output
As regras são organizadas em canais(chain) e existem 3 canais “default” de tabela filters.
INPUT: Responsável pelo tráfego que CHEGA no router;
OUTPUT: Responsável pelo tráfego que SAI do router;
FORWARD: Responsável pelo tráfego que PASSA pelo router. 7 - Firewall

160

Firewall – Filters Rules
Algumas ações que podem ser tomadas nos filtros de firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de icmp ou tcp reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas não aloca recursos.

7 - Firewall

161

Firewall – Organização das regras


As regras de filtro pode ser organizadas e mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por serviços.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usuários. 7 - Firewall

162

Filter Rules – Canais criados pelo usuário


Além dos canais criados por padrão o administrador pode criar canais próprios. Esta prática ajuda na organização do firewall.
Para utilizar o canal criado devemos “desviar” o fluxo através de uma ação JUMP.
No exemplo acima podemos ver 3 novos canais criados.
Para criar um novo canal basta adicionar uma nova regra e dar o nome desejado ao canal. 7 - Firewall

163

Firewall – Filters Rules
Ações relativas a canais criados pelo usuário:
jump: Salta para um canal definido em jump-target.
jump target: Nome do canal para onde se deve saltar.
return: Retorna para o canal que chamou o jump. 7 - Firewall

164

Como funciona o canal criado pelo usuário

7 - Firewall

165

Como funciona o canal criado pelo usuário

7 - Firewall

166

Firewall – Address List


A address list contém uma lista de endereços IP que pode ser utilizada em várias partes do firewall.
Pode-se adicionar entradas de forma dinâmica usando o filtro ou mangle conforme abaixo:
Action:
add dst to address list: Adiciona o IP de destino à lista.
add src to address list: Adiciona o IP de origem à lista.
Address List: Nome da lista de endereços.
Timeout: Por quanto tempo a entrada permanecerá na lista. 7 - Firewall

167

Firewall Protegendo o roteador

7 - Firewall

168

Princípios básicos de proteção
Proteção do próprio roteador :
Tratamento das conexões e eliminação de tráfego prejudicial/inútil.
Permitir somente serviços necessários no próprio roteador.
Prevenir e controlar ataques e acessos não autorizado ao roteador.


Proteção da rede interna :
Tratamento das conexões e eliminação de tráfego prejudicial/inútil.
Prevenir e controlar ataques e acesso não autorizado em clientes.

7 - Firewall

169

Firewall – Proteção básica


Regras do canal input
Descarta conexões inválidas.
Aceitar conexões estabelecidas.
Aceitar conexões relacionadas.
Aceitar todas conexões da rede interna.
Descartar o restante. 7 - Firewall

170

Firewall – Proteção básica


Regras do canal input
Permitir acesso externo ao winbox.
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras. 7 - Firewall

171

Firewal – Port Scan
Port Scan:





Consiste no escaneamento de portas TCP e/ou UDP. A detecção de ataques somente é possível para o protocolo TCP. Portas baixas (0 – 1023) Portas altas (1024 – 65535)

7 - Firewall

172

Firewall – Técnica do “knock knock”

7 - Firewall

173

Firewall – Técnica do “knock knock”
A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu endereço IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereços IP´s que estejam na lista “libera_winbox”: /ip firewall filter add chain=input protocol=tcp dst-port=2771 action=add-src-to-address list address-list=knock address-list-timeout=15s comment="" disabled=no add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add src-to-address-list address-list=libera_winbox address-list-timeout=15m comment="" disabled=no add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept disabled=no add chain=input protocol=tcp dst-port=8291 action=drop disbled=no 7 - Firewall

174

Firewall – Ping flood
Ping Flood consiste no envio de grandes volumes de mensagens ICMP aleatórias.
Para evitar o Ping flood, podemos bloquear todo tráfego de ICMP.
Ao bloquear todo trafego de ICMP podemos ter problemas com algumas aplicações (monitoramento e outros protocolos).
Por isso é aconselhável colocarmos uma exceção permitindo um pelo menos 30 mensagens de ICMP por segundo. 7 - Firewall

175

Firewal – Evitando ping flood

/ip firewall filter add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp

7 - Firewall

176

Firewal – Ataques do tipo DoS
Ataques DoS:
O principal objetivo do ataque de DoS é o consumo de recursos de CPU ou banda.
Usualmente o roteador é inundado com requisições de conexões TCP/SYN causando resposta de TCP/SYN-ACK e a espera do pacote TCP/ACK.
O ataque pode ser intencional ou causado por vírus em clientes.
Todos os IP’s com mais de 15 conexões com o roteador podem ser considerados atacantes. 7 - Firewall

177

Firewal – Ataques do tipo DoS
Se simplesmente descartamos as conexões, permitiremos que o atacante crie uma nova conexão.
Para que isso não ocorra, podemos implementar a proteção em dois estágios:
Detecção – Criar uma lista de atacantes DoS com base em “connection limit”.
Supressão – Aplicando restrições aos que forem detectados.

7 - Firewall

178

Firewal – Detectando um ataque DoS
Criar a lista de atacantes para posteriormente aplicarmos a supressão adequada.

7 - Firewall

179

Firewal – Suprimindo um ataque DoS
Com a ação “tarpit” aceitamos a conexão e a fechamos, não deixando no entanto o atacante trafegar.
Essa regra deve ser colocada antes da regra de detecção ou então a address list irá reescrevê-la todo tempo. 7 - Firewall

180

Firewal – DDoS
Ataque DDoS:
Ataque de DDoS são bastante parecidos com os de DoS,porém partem de um grande número de hosts infectados.
A única medida que podemos tomar é habilitar a opção TCP SynCookie no Connection Tracking do firewall.

7 - Firewall

181

Firewall - NAT

Tradução de endereços e portas

7 - Firewall

182

Firewall - NAT
NAT – Network Address Translation é uma técnica que permite que vários hosts em uma LAN usem um conjunto de endereços IP’s para comunicação interna e outro para comunicação externa.
Existem dois tipos de NAT :
SRC NAT: O roteador faz alterações de IP ou porta de origem.


DST NAT: O roteador faz alterações de IP ou porta de destino.

7 - Firewall

183

Firewall - NAT
As regras de NAT são organizadas em canais:
dstnat: Processa o tráfego enviado PARA o roteador e ATRAVÉS do roteador, antes que ele seja dividido em INPUT e/ou FORWARD.
srcnat: Processa o tráfego enviado A PARTIR do roteador e ATRAVÉS do roteador, depois que ele sai de OUTPUT e/ou FORWARD.

7 - Firewall

184

Firewall NAT – Fluxo de pacotes

7 - Firewall

185

Firewall - SRCNAT
Source NAT: A ação “mascarade” troca o endereço IP de origem de uma determinada rede pelo endereço IP da interface de saída. Portanto se temos, por exemplo, a interface ether5 com endereço IP 185.185.185.185 e uma rede local 192.168.0.0/16 por trás da ether1, podemos fazer o seguinte:


Desta forma, todos os endereços IPs da rede local vão obter acesso a internet utilizando o endereço IP 185.185.185.185

7 - Firewall

186

Firewall - DSTNAT
Redirecionamento de portas: O NAT nos possibilita redirecionar portas para permitir acesso a serviços que rodem na rede interna. Dessa forma podemos dar acesso a serviços de clientes sem utilização de endereço IP público.
Redirecionamento para acesso ao servidor WEB do cliente 192.168.1.200 pela porta 80.

7 - Firewall

187

Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional a um determinado endereço IP. Dessa forma, um endereço IP de rede local pode ser acessado através de um IP público e vice-versa.

7 - Firewall

188

Firewall - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso bi-birecional de rede para rede. Com isso podemos mapear, por exemplo, a rede 187.15.15.0/24 para a rede 192.168.1.0/24 assim:

7 - Firewall

189

Firewall – NAT Helpers


Hosts atrás de uma rede “nateada” não possuem conectividade fim-afim verdadeira. Por isso alguns protocolos podem não funcionar corretamente neste cenário. Serviços que requerem iniciação de conexões TCP fora da rede, bem como protocolos “stateless” como UDP, podem não funcionar. Para resolver este problema, a implementação de NAT no Mikrotik prevê alguns “NAT Helpers” que têm a função de auxiliar nesses serviços.

7 - Firewall

190

Firewall – Mangle
O mangle no Mikrotik é uma facilidade que permite a introdução de marcas em pacotes IP ou em conexões, com base em um determinado comportamento especifico.
As marcas introduzidas pelo mangle são utilizadas em processamento futuro e delas fazem uso o controle de banda, QoS, NAT, etc... Elas existem somente no roteador e portanto não são passadas para fora.
Com o mangle também é possível manipular o determinados campos do cabeçalho IP como o “ToS”, TTL, etc... 7 - Firewall

191

Firewall – Mangle
As regras de mangle são organizadas em canais e obedecem as mesma regras gerais das regras de filtro quanto a sintaxe.
Também é possível criar canais pelo próprio usuário.
Existem 5 canais padrão:
prerouting: Marca antes da fila “Global-in”;
postrouting: Marca antes da fila “Global-out”;
input: Marca antes do filtro “input”;
output: Marca antes do filtro “output”;
forward: Marca antes do filtro “forward”; 7 - Firewall

192

Firewall – Diagrama do Mangle

7 - Firewall

193

Firewall – Mangle
As opções de marcações incluem:
mark-connection: Marca apenas o primeiro pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para política de roteamento.

Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo tempo. Porém não pode conter 2 marcas do mesmo tipo.

7 - Firewall

194

Firewall – Mangle
Marcando rotas:
As marcas de roteamento são aproveitadas para determinar políticas de roteamento.
A utilização dessas marcas será abordada no tópico do roteamento.

7 - Firewall

195

Firewall – Mangle
Marcando conexões:
Use mark-connection para identificar uma ou um grupo de conexões com uma marca especifica de conexão.
Marcas de conexão são armazenadas na contrack.
Só pode haver uma marca de conexão para cada conexão.
O uso da contrack facilita na associação de cada pacote a uma conexão específica. 7 - Firewall

196

Firewall – Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo continuo de pacotes.
Marcas de pacotes são utilizadas para controle de tráfego e estabelecimento de políticas de QoS.

7 - Firewall

197

Firewall – Mangle
Marcando pacotes:
Indiretamente: Usando a facilidade da connection tracking, com base em marcas de conexão previamente criadas. Esta é a forma mais rápida e eficiente.
Diretamente: Sem o uso da connection tracking não é necessário marcas de conexões anteriores e o roteador irá comparar cada pacote com determinadas condições.

7 - Firewall

198

Firewall - Mangle
Um bom exemplo da utilização do mangle é marcando pacotes para elaboração de QoS.

Após marcar a conexão, agora Precisamos marcar os pacotes provenientes desta conexão. 7 - Firewall

199

Firewall - Mangle Obs.: A marcação de P2P disponibilizada no Mikrotik não inclui os programas que usam criptografia.

Com base na conexão já Marcada anteriormente, podemos fazer as marcações dos pacotes. 7 - Firewall

200

Perguntas ?

7 - Firewall

201

Failover

8 - Balance e Failover

202

Simulando um segundo link Adicione uma VLAN Adicione um IP para a VLAN

8 - Balance e Failover

203

Adicionando uma segunda rota


Não esquecer de criar uma nova regra de NAT. 8 - Balance e Failover

204

Definindo principal e backup
Quando o router tem duas rotas com o endereço de destino iguais o campo distace irá determinar qual rota será usado para o encaminhamento de pacotes.

8 - Balance e Failover

205

Monitorando um host remoto
Para que possamos saber se um link realmente está fora devemos monitorar um host qualquer na internet.
Devemos fazer com que o teste de monitoramento seja encaminhado sempre por um único link, pois caso isso não aconteça podemos ter um falso positivo.
Como fazer com que um determinado host seja acessado por um único link?

8 - Balance e Failover

206

Criando o script

8 - Balance e Failover

207

Balanceamento de Carga com PCC

8 - Balance e Failover

208

Balanceamento de Carga com PCC
O PCC é uma forma de balancear o tráfego de acordo com um critério de classificação pré-determinado das conexão. Os parâmetros de configuração são:

Obs.: O PCC só está disponível no Mikrotik a partir da versão 3.24.

8 - Balance e Failover

209

Balanceamento de Carga com PCC

• A partir do classificador selecionado será gerado um numerador que será divido pelo denominador e o resto será levado em conta para dizer se o pacote combina ou não com a regra do firewall. 8 - Balance e Failover

210

Funcionamento do PCC Classificador

Denominador

Contador

Regra que classifica para link 1 Regra que classifica para link 2 Exemplo 1 - Pacote IP Origem

Destino

192.168.1.99

8.8.8.8

Exemplo 1 - Pacote IP Origem

Destino

192.168.1.10

8.8.8.8











Número gerado pelo classificador => 192+168+1+99=460 Dividindo o número gerado pelo denominador => 460/2 = 230 resto=0 Resto da divisão é igual o numero do contador da regra 1 então o pacote é classificado na regra 1.

Número gerado pelo classificador => 192+168+1+10=371 Dividindo o número gerado pelo denominador => 371/2 = 135 resto=1 Resto da divisão é igual o numero do contador da regra 2 então o pacote é classificado na regra 2.

8 - Balance e Failover

211

Balanceamento de Carga com PCC
Primeiro precisamos fazer marcas rota para que possamos direcionar os pacotes por mais de um gateway.
Poderíamos simplesmente marca as rotas , porém isso pode consumir muito recurso de processamento do roteador.
Para evitar o consumo excessivo de CPU primeiro marcamos a conexão e depois marcamos a rota com base na conexão que já foi marcada.
Todas as marcações são feitas no mangle do firewall

8 - Balance e Failover

212

Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

Primeiro vamos marcar as conexões. Atente para a redes dos clientes , o denominador (links) e o contador que inicia em zero.

8 - Balance e Failover

213

Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

8 - Balance e Failover

214

Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

Agora vamos marcar as rotas com base nas marcações de conexões já feitas anteriormente. Atente agora para desmarcar a opção “passthrough”.

8 - Balance e Failover

215

Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

8 - Balance e Failover

216

Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

Agora vamos criar as rotas baseadas nas marcações de rotas. Iremos considerar que os 2 gateways internet são: 10.10.10.1, 20.20.20.1 8 - Balance e Failover

217

Túneis e VPN

9 - Tuneis e VPN

218

VPN • Uma Rede Privada Virtual é uma rede de comunicações privada normalmente utilizada por uma empresa ou conjunto de empresas e/ou instituições, construídas em cima de uma rede pública. O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros. • VPNs seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras.

9 - Tuneis e VPN

219

VPN • As principais características da VPN são: – Promover acesso seguro sobre meios físicos públicos como a internet por exemplo. – Promover acesso seguro sobre linhas dedicadas, wireless, etc... – Promover acesso seguro a serviços em ambiente corporativo de correio, impressoras, etc... – Fazer com que o usuário, na prática, se torne parte da rede corporativa remota recebendo IPs desta e perfis de segurança definidos. – A base da formação das VPNs é o tunelamento entre dois pontos, porém tunelamento não é sinônimo de VPN.

9 - Tuneis e VPN

220

Tunelamento • A definição de tunelamento é a capacidade de criar túneis entre dois hosts por onde trafegam dados. • O Mikrotik implementa diversos tipos de tunelamento, podendo ser tanto servidor como cliente desses protocolos: – PPP (Point to Point Protocol) – PPPoE (Point to Point Protocol over Ethernet) – PPTP (Point to Point Tunneling Protocol) – L2TP (Layer 2 Tunneling Protocol) – OVPN (Open Virtual Private Network) – IPSec (IP Security) – Túneis IPIP – Túneis EoIP – Túneis VPLS – Túneis TE – Túneis GRE 9 - Tuneis e VPN

221

Site-to-site

9 - Tuneis e VPN

222

Conexão remota

9 - Tuneis e VPN

223

Endereçamento ponto a ponto /32
Geralmente usado em túneis
Pode ser usado para economia de IPs. Router 1

Router 2

9 - Tuneis e VPN

224

PPP – Definições Comuns para os serviços • MTU/MRU: Unidade máximas de transmissão/ recepção em bytes. Normalmente o padrão ethernet permite 1500 bytes. Em serviços PPP que precisam encapsular os pacotes, deve-se definir valores menores para evitar fragmentação. • Keepalive Timeout: Define o período de tempo em segundos após o qual o roteador começa a mandar pacotes de keepalive por segundo. Se nenhuma reposta é recebida pelo período de 2 vezes o definido em keepalive timeout o cliente é considerado desconectado. •

Authentication: As formas de autenticação permitidas são: – Pap: Usuário e senha em texto plano sem criptografica. – Chap: Usuário e senha com criptografia. – Mschap1: Versão chap da Microsoft conf. RFC 2433 – Mschap2: Versão chap da Microsoft conf. RFC 2759 9 - Tuneis e VPN

225

PPP – Definições Comuns para os serviços • PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então será necessário que haja algum mecanismo para avisar que esta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a resposta dos roteadores intermediarios e a adequação dos pacotes posteriores é chamada Path MTU Discovery ou PMTUD. Normalmente esta funcionalidade está presente em todos roteadores, sistemas Unix e no Mikrotik ROS. • MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes menores, permitindo o melhor dimensionamento do túnel. Especificar o MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser configurado em ambos lados. 9 - Tuneis e VPN

226

PPP – Definições Comuns para os serviços Change MSS: Maximun Segment Size, tamanho máximo do segmento de dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns caso o PMTUD está quebrado ou os roteadores não conseguem trocar informações de maneira eficiente e causam uma série de problemas com transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona ferramentas onde é possível interferir e configurar uma diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema.

9 - Tuneis e VPN

227

PPPoE – Cliente e Servidor • PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui informações sobre o remetente e o destinatário, desperdiçando mais banda. Cerca de 2% a mais. • Muito usado para autenticação de clientes com base em Login e Senha. O PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a internet. • O cliente não tem IP configurado, o qual é atribuído pelo Servidor PPPoE(concentrador) normalmente operando em conjunto com um servidor Radius. No Mikrotik não é obrigatório o uso de Radius pois o mesmo permite criação e gerenciamento de usuários e senhas em uma tabela local. • PPPoE por padrão não é criptografado. O método MPPE pode ser usado desde que o cliente suporte este método. 9 - Tuneis e VPN

228

PPPoE – Cliente e Servidor • O cliente descobre o servidor através do protocolo pppoe discovery que tem o nome do serviço a ser utilizado. • Precisa estar no mesmo barramento físico ou os dispositivos passarem pra frente as requisições PPPoE usando pppoe relay. • No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará bem na maioria dos casos. Se configurarmos pra zero, o servidor não desconectará os clientes até que os mesmos solicitem ou o servidor for reiniciado.

9 - Tuneis e VPN

229

Configuração do Servidor PPPoE 1. Primeiro crie um pool de IPs para o PPPoE. /ip pool add name=pool-pppoe ranges=172.16.0.2-172.16.0.254

2. Adicione um perfil para o PPPoE onde: Local Address = Endereço IP do concentrado. Remote Address = Pool do pppoe. /ppp profile local-address=172.16.0.1 name=perfilpppoe remote-address=pool-pppoe 9 - Tuneis e VPN

230

Configuração do Servidor PPPoE 3. Adicione um usuário e senha /ppp secret add name=usuario password=123456 service=pppoe profile=perfil-pppoe Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID. Esta opção não é obrigatória, mas é um parametro a mais para segurança.

9 - Tuneis e VPN

231

Configuração do Servidor PPPoE 4. Adicione o Servidor PPoE Service Name = Nome que os clientes vão procurar (pppoe-discovery). Interface = Interface onde o servidor pppoe vai escutar. /interface pppoe-server server add authentication=chap, mschap1, mschap2 default-profile=perfil-pppoe disabled=no interface=wlan1 keepalive-timeout=10 maxmru= 1480 max-mtu=1480 max-sessions=50 mrru=512 one-session-per-host=yes servicename=" Servidor PPPoE"

9 - Tuneis e VPN

232

Mais sobre perfis •

Bridge: Bridge para associar ao perfil

• Incoming/Outgoing Filter: Nome do canal do firewall para pacotes entrando/saindo. •

Address List: Lista de endereços IP para associar ao perfil.

• DNS Server: Configuração dos servidores DNS a atribuir aos clientes. • Use Compression/Encryption/Change TCP MSS: caso estejam em default, vão associar ao valor que está configurado no perfil default-profile.

9 - Tuneis e VPN

233

Mais sobre perfis •

Session Timeout: Duração máxima de uma sessão PPPoE.

•

Idle Timeout: Período de ociosidade na transmissão de uma sessão. Se não houver tráfego IP dentro do período configurado, a sessão é terminada.

•

Rate Limit: Limitação da velocidade na forma rx-rate/tx-rate. Pode ser usado também na forma rx-rate/tx-rate rx-burst-rate/tx-burstrate rx-burst-threshould/tx-burst-threshould burst-time priority rx-rate-min/tx-rate-min.

•

Only One: Permite apenas uma sessão para o mesmo usuário. 9 - Tuneis e VPN

234

Mais sobre o database •

Service: Especifica o serviço disponível para este cliente em particular.

•

Caller ID: MAC Address do cliente.

•

Local/Remote Address: Endereço IP Local (servidor) e remote(cliente) que poderão ser atribuídos a um cliente em particular.

•

Limits Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sessão PPPoE.

•

Routes: Rotas que são criadas do lado do servidor para esse cliente especifico. Várias rotas podem ser adicionadas separadas por vírgula.

9 - Tuneis e VPN

235

Mais sobre o PPoE Server O concentrador PPPoE do Mikrotik suporta múltiplos servidores para cada interface com diferentes nomes de serviço. Além do nome do serviço, o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador é a identidade do roteador. O valor de MTU/MRU inicialmente recomendado para o PPPoE é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser configurado no AP. Para clientes Mikrotik, a interface de rádio pode ser configurada com a MTU em 1600 bytes e a MTU da interface PPPoE em 1500 bytes.

Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio de clientes MS Windows. A opção One Session Per Host permite somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número máximo de sessões que o concentrador suportará.

9 - Tuneis e VPN

236

Configurando o PPPoE Client

• • • • •

AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um. Service: Nome do serviço designado no servidor PPPoE. Dial On Demand: Disca sempre que é gerado tráfego de saída. Add Default Route: Adiciona um rota padrão(default). User Peer DNS: Usa o DNS do servidor PPPoE. 9 - Tuneis e VPN

237

PPTP e L2TP • L2TP – Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada 2 é um protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma criptografada ou não e permite enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos. • O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacote de dados. A porta UDP 1701 é utilizada para o estabelecimento do link e o tráfego em si utiliza qualquer porta UDP disponível, o que significa que o L2TP pode ser usado com a maioria dos Firewalls e Routers, funcionando também através de NAT. • L2TP e PPTP possuem as mesma funcionalidades.

9 - Tuneis e VPN

238

Configuração do Servidor PPTP e L2TP

• Configure um pool, um perfil para o PPTP, adicione um usuário em “secrets” e habilite o servidor PPTP conforme as figuras. 9 - Tuneis e VPN

239

Configuração do Servidor PPTP e L2TP • Configure os servidores PPTP e L2TP. • Atente para utilizar o perfil correto. • Configure nos hosts locais um cliente PPTP e realize conexão com um servidor da outra rede. Ex.: Hosts do Setor1 conectam em servidores do Setor2 e vice-versa.

9 - Tuneis e VPN

240

Configuração do Servidor PPTP e L2TP

• As configurações para o cliente PPTP e L2TP são bem simples, conforme observamos nas imagens. 9 - Tuneis e VPN

241

Túneis IPIP • IPIP é um protocolo que encapsula pacotes IP sobre o próprio protocolo IP baseado na RFC 2003. É um protocolo simples que pode ser usado pra interligar duas intranets através da internet usando 2 roteadores. • A interface do túnel IPIP aparece na lista de interfaces como se fosse uma interface real. • Vários roteadores comerciais, incluindo CISCO e roteadores baseados em Linux suportam esse protocolo. • Um exemplo prático de uso do IPIP seria a necessidade de monitorar hosts através de um NAT, onde o túnel IPIP colocaria a rede privada disponível para o host que realiza o monitoramento, sem a necessidade de criar usuário e senha como nas VPNs. 9 - Tuneis e VPN

242

Túneis IPIP

• Supondo que temos que unir as redes que estão por trás dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta criemos as interfaces IPIP em ambos, da seguinte forma: 9 - Tuneis e VPN

243

Túneis IPIP • Agora precisamos atribuir os IPs as interfaces criadas.

• Após criado o túnel IPIP as redes fazem parte do mesmo domínio de broadcast.

9 - Tuneis e VPN

244

Túneis EoIP •

EoIP(Ethernet over IP) é um protocolo proprietário Mikrotik para encapsula mento de todo tipo de tráfego sobre o protocolo IP.

•

Quando habilitada a função de Bridge dos roteadores que estão interligados através de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de forma transparente mesmo roteado pela internet e por vários protocolos.

•

O protocolo EoIP possibilita: - Interligação em bridge de LANs remotas através da internet. - Interligação em bridge de LANs através de túneis criptografados.

• A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O protocolo EoIP encapsula frames ethernet através do protocolo GRE. 9 - Tuneis e VPN

245

Túneis EoIP • Criando um túnel EoIP entre as redes por trás dos roteadores 10.0.0.1 e 22.63.11.6. • Os MACs devem ser diferentes e estar entre o rage: 00-00-5E80-00-00 e 00-00-5E-FF-FF-FF, pois são endereços reservados para essa aplicação. • O MTU deve ser deixado em 1500 para evitar fragmentação. • O túnel ID deve ser igual para ambos. 9 - Tuneis e VPN

246

Túneis EoIP

• Adicione a interface EoIP a bridge, juntamente com a interface que fará parte do mesmo domínio de broadcast.

9 - Tuneis e VPN

247

Perguntas ?

9 - Tuneis e VPN

248

QoS e Controle de banda

10 - QoS

249

Conceitos básicos de Largura e Limite de banda
Largura de banda: Em telecomunicações, a largura da banda ou apenas banda (também chamada de débito) usualmente se refere à bitrate de uma rede de transferência de dados, ou seja, a quantidade em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de frequências é justificada pelo fato de que o limite de transferência de dados de um meio está ligado à largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56 kbps), na chamada conexão discada.
Limite de banda: O limite de banda é o limite máximo de transferência de dados, onde também é designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56 kilobits (7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de 1Mbps, você conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também chamado de Taxa ou Velocidade de Transferência ou (throughput), que varia aproximadamente entre 10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps, você conseguirá taxas de transferencia de no máximo 5,6 a 6,7 kbps aproximadamente, enquanto numa banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a 30,7kbps

10 - QoS

250

Traffic Shaping • Traffic shaping é um termo da língua inglesa, utilizado para definir a prática de priorização do tráfego de dados, através do condicionamento do débito de redes, a fim de otimizar o uso da largura de banda disponível. • O termo passou a ser mais conhecido e utilizado após a popularização do uso de tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da internet. O uso desta tecnologia permite que a comunicação entre localidades distintas tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns. • No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas utilizam programas de gestão de dados que acompanham e analisam a utilização e priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP, assim prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente adotada para outros tipos de serviços, conhecidos por demandar grande utilização da largura de banda, como os de transferência de arquivos, por exemplo, P2P e FTP. • Os programas de traffic shaping podem ainda fazer logs dos hábitos de utilizadores, capturar informações sobre IPs acedidos, ativar gravações automáticas a partir de determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador, bloqueando redes peer-to-peer (P2P) ou FTP.

10 - QoS

251

Qualidade de Serviço • No campo das telecomunicações e redes de computadores, o termo Qualidade de Serviço (QoS) pode tender para duas interpretações relacionadas, mas distintas.

• Em redes de comutação de circuitos, refere-se à probabilidade de sucesso em estabelecer uma ligação a um destino. Em redes de comutação de pacotes refere-se à garantia de largura de banda ou, como em muitos casos, é utilizada informalmente para referir a probabilidade de um pacote circular entre dois pontos de rede.

• Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurança substancial. É simples e eficaz, mas na prática é assumido como dispendioso, e tende a ser ineficaz se o valor de pico aumentar além do previsto: reservar recursos gasta tempo. O segundo método é o de obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetário associado!

10 - QoS

252

Qualidade de Serviço
Os mecanismos para prover QoS no Mikrotik são: – Limitar banda para certos IP’s, subredes, protocolos, serviços e outros parâmetros. – Limitar tráfego P2P. – Priorizar certos fluxos de dados em relação a outros. – Utilizar burst’s para melhorar o desempenho web. – Compartilhar banda disponível entre usuários de forma ponderada dependendo da carga do canal. – Utilização de WMM – Wireless Multimídia. – MPLS – Multi Protocol Layer Switch 10 - QoS

253

Qualidade de Serviço Os principais termos utilizados em QoS são: – Queuing discipline(qdisc): Disciplina de enfileiramento. É um algoritmo que mantém e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem, podendo inclusive reordená-los, e determina quais pacotes serão descartados. – Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. É a garantia de banda fornecida a um circuito ou link. – Max Limit ou MIR(Maximal Information Rate): Taxa máxima de dados que será fornecida. Ou seja, limite a partir do qual os pacotes serão descartados. – Priority: É a ordem de importância que o tráfego é processado. Pode-se determinar qual tipo de tráfego será processado primeiro.

10 - QoS

254

Filas - Queues
Para ordenar e controlar o fluxo de dados, é aplicada uma política de enfileiramento aos pacotes que estejam deixando o roteador. Ou seja: “As filas são aplicadas na interface onde o fluxo está saindo.”
A limitação de banda é feita mediante o descarte de pacotes. No caso do protocolo TCP, os pacotes descartados serão reenviados, de forma que não há com que se preocupar com relação a perda de dados. O mesmo não vale para o UDP.

10 - QoS

255

Tipos de filas
Antes de enviar os pacotes por uma interface, eles são processados por uma disciplina de filas(queue types). Por padrão as disciplinas de filas são colocadas sob “queue interface” para cada interface física.


Uma vez adicionada uma fila para uma interface física, a fila padrão da interface, definida em queue interface, não será mantida. Isso significa que quando um pacote não encontra qualquer filtro, ele é enviado através da interface com prioridade máxima.

10 - QoS

256

Tipos de filas
As disciplinas de filas são utilizadas para (re)enfileirar e (re)organizar pacotes na medida em que os mesmos chegam na interface. As disciplinas de filas são classificadas pela sua influência no fluxo de pacotes da seguinte forma: – Schedulers: (Re) ordenam pacotes de acordo com um determinado algoritmo e descartam aqueles que se enquadram a disciplina. As disciplinas “schedulers” são: PFIFO, BFIFO, SFQ, PCQ e RED. – Shapers: Também fazem limitação. Esses são: PCQ e HTB.

10 - QoS

257

Controle de tráfego

10 - QoS

258

Controle de tráfego O controle de tráfego é implementado através de dois mecanismos: – Pacotes são policiados na entrada: • Pacotes indesejáveis são descartados. – Pacotes são enfileirados na interface de saída: • Pacotes podem ser atrasados, descartados ou priorizados. 10 - QoS

259

Controle de tráfego
O controle de tráfego é implementado internamente por 4 tipos de componentes: - Queuing Disciplines (qdisc): Algoritmos que controlam o enfileiramento e envio de pacotes. Ex.: FIFO. - Classes: Representam entidades de classificação de pacotes. Cada classe pode estar associada a um qdisc. - Filters: Utilizados para classificar os pacotes e atribuí-los as classes. - Policers: Utilizados para evitar que o tráfego associado a cada filtro ultrapasse limites pré-definidos.

10 - QoS

260

Controle de tráfego – Tipos de fila
PFIFO e BFIFO: Estas disciplinas de filas são baseadas no algoritmo FIFO(First-in First-out), ou seja, o primeiro que entra é o primeiro que sai. A diferença entre PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes. Existe apenas um parâmetro chamado Queue Size que determina a quantidade de dados em uma fila FIFO pode conter. Todo pacote que não puder ser enfileirado (se fila estiver cheia) será descartado. Tamanhos grandes de fila poderão aumentar a latência. Em compensação provê melhor utilização do canal. 10 - QoS

261

Controle de tráfego – Tipos de fila
RED: Random Early Detection – Detecção Aleatória Antecipada é um mecanismo de enfileiramento que tenta evitar o congestionamento do link controlando o tamanho médio da fila. Quando o tamanho médio da fila atinge o valor configurado em min threshould, o RED escolhe um pacote para descartar. A probabilidade do número de pacotes que serão descartados cresce na medida em que a média do tamanho da fila cresce. Se o tamanho médio da fila atinge o max threshould, os pacotes são descartados com a probabilidade máxima. Entretanto existem casos que o tamanho real da fila é muito maior que o max threshould então todos os pacotes que excederem o min threshould serão descartados.
RED é indicado em links congestionados com altas taxas de dados. Como é muito rápido funciona bem com TCP.

10 - QoS

262

Controle de tráfego – Tipos de fila
SFQ: Stochastic Fairness Queuing – Enfileiramento Estocástico “com justiça” é uma disciplina que tem “justiça” assegurada por algoritmos de hashing e round roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4 opções: – src-address – dst-address – src-port – dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritmo round roubin distribui a banda disponível para estas sub-filas, a cada “rodada” configurada no parâmetro allot(bytes). Não limita o tráfego. O objetivo é equalizar os fluxos de tráfegos(sessões TCP e streaming UDP) quando o link(interface) está completamente cheio. Se o link não está cheio, então não haverá fila e, portanto, qualquer efeito, a não ser quando combinado com outras disciplinas (qdisc).

10 - QoS

263

Controle de tráfego – Tipos de fila • SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e há 1024 sub-filas disponíveis. • É recomendado o uso de SFQ em links congestionados para garantir que as conexões não degradem. SFQ é especialmente recomendado em conexões wireless.

10 - QoS

264

Controle de tráfego – Tipos de fila
PCQ: Per Connection Queuing – Enfileiramento por conexão foi criado para resolver algumas imperfeições do SFQ. É o único enfileiramento de baixo nível que pode fazer limitação sendo uma melhoria do SFQ, sem a natureza “estocástica”. PCQ também cria sub-filas considerando o parâmetro pcq-classifier. Cada sub-fila tem uma taxa de transmissão estabelecida em rate e o tamanho máximo igual a limit. O tamanho total de uma fila PCQ fica limitado ao configurado em total limit. No exemplo abaixo vemos o uso do PCQ com pacotes classificados pelo endereço de origem.

10 - QoS

265

Controle de tráfego – Tipos de fila PCQ: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes com diferentes endereços serão organizados em sub-filas diferentes. Nesse caso é possível fazer a limitação ou equalização para cada sub-fila com o parâmetro Rate. Neste ponto o mais importante é decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na interface local, todo o tráfego da interface pública será agrupado pelo endereço de origem.O que não é interessante. Mas se for empregado na interface pública todo o tráfego dos clientes será agrupado pelo endereço de origem, o que torna mais fácil equalizar o upload dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o classificador será o “dst. Address” e configurado na interface local.

10 - QoS

266

QoS - HTB • Hierarchical Token Bucket é uma disciplina de enfileiramento hierárquico que é usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB simula vários links em um único meio físico, permitindo o envio de diferentes tipos de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito útil para limitar download e upload de usuários em uma rede. Desta forma não existe saturamento da largura de banda disponível no link físico. Além disso, no Mikrotik, é utilizado para fazer QoS.

Cada class tem um pai e pode ter uma ou mais filhas. As que não tem filhas são colocadas no level 0, onde as filas são mantidas e chamadas de leafs class. Cada classe na hierarquia pode priorizar e dar forma ao tráfego.

10 - QoS

267

QoS - HTB Queue01 limit-at=0Mbps max-limit=10Mbps Queue02 limit-at=4Mbps max-limit=10Mbps Queue03 limit-at=6Mbps max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5

Exemplo de HTB

Queue03 irá receber 6Mbps Queue04 irá receber 2Mbps Queue05 irá receber 2Mbps Obs.: Neste exemplo o HTB foi configurado de modo que, satisfazendo todas as garantias, a fila pai não possuirá nenhuma capacidade para distribuir mais banda caso seja solicitado por uma filha.

10 - QoS

268

QoS - HTB

Exemplo de HTB

Queue01 limit-at=0Mbps max-limit=10Mbps Queue02 limit-at=8Mbps max-limit=10Mbps Queue03 limit-at=2Mbps max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5 Queue03 irá receber 2Mbps Queue04 irá receber 6Mbps Queue05 irá receber 2Mbps Exemplo de HTB 228 Obs.: Após satisfazer todas garantias, o HTB disponibilizará mais banda, até o máximo permitido para a fila com maior prioridade. Mas, neste caso, permitirá-se uma reserva de 8M para as filas Queue04 e Queue05, as quais, a que possuir maior prioridade receberá primeiro o adicional de banda, pois a fila Queue2 possui garantia de banda atribuída.

10 - QoS

269

QoS - HTB
Termos do HTB: – Filter: Um processo que classifica pacotes. Os filtros são responsáveis pela classificação dos pacotes para que eles sejam colocados nas correspondentes qdisc. Todos os filtros são aplicados na fila raiz HTB e classificados diretamente nas qdiscs, sem atravessar a árvore HTB. Se um pacote não está classificado em nenhuma das qdiscs, é enviado a interface diretamente, por isso nenhuma regra HTB é aplicada aos pacotes. – Level: Posição de uma classe na hierarquia. – Class: Algoritmo de limitação no fluxo de tráfego para uma determinada taxa. Ela não guarda quaisquer pacotes. Uma classe pode conter uma ou mais subclasses(inner class) ou apenas uma e um qdisc(leaf classe).

10 - QoS

270

QoS - HTB
Estados das classes HTB: – Cada classe HTB pode estar em um dos 3 estados, dependendo da banda que está consumindo: • Verde: de 0% a 50% da banda disponível está em uso. • Amarelo: de 51% a 75% da banda disponível está em uso. • Vermelho: de 76% a 100% da banda disponível está em uso. Neste ponto começam os descartes de pacotes que se ultrapassam o max-limit.

10 - QoS

271

QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro locais diferentes. – Interfaces: • Global-in: Representa todas as interfaces de entrada em geral(INGRESS queue). As filas atreladas à Global-in recebem todo tráfego entrante no roteador, antes da filtragem de pacotes. • Global-out: Representa todas as interfaces de saida em geral(EGRESS queue). As filas atreladas à Global-out recebem todo tráfego que sai do roteador. • Global-total: Representa uma interface virtual através do qual se passa todo fluxo de dados. Quando se associa uma politíca de filas à Global-total, a limitação é feita em ambas direções. Por exemplo se configurarmos um totalmaxlimit de 300kbps, teremos um total de download+upload de 300kbps, podendo haver assimetria. • Interface X: Representa uma interface particular. Somente o tráfego que é configurado para sair através desta interface passará através da fila HTB.

10 - QoS

272

Interfaces virtuais e o Mangle

10 - QoS

273

Filas simples


As principais propriedades configuráveis de uma fila simples são: – Limite por direção de IP de origem ou destino – Interface do cliente – Tipo de fila – Limit-at, max-limit, priority e burst para download e upload – Horário.

10 - QoS

274

Filas simples - Burst
Bursts são usados para permitir altas taxas de transferência por um período curto de tempo.
Os parâmetros que controlam o burst são: - burst-limit: Limite máximo que o burst alcançará. - burst-time: Tempo que durará o burst. - burst-threshold: Patamar para começar a limitar. - max-limit: MIR

10 - QoS

275

Como funciona o Burst





max-limit=256kbps burst-time=8s burst-threshold=192kbps burst-limit=512kbps


Inicialmente é dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula a taxa média de consumo de banda durante o burst-time de 8 segundos. – Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold. – Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do threshold. – Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde acaba o burst.
A partir deste momento a taxa máxima do cliente passa a ser o max-limit.

10 - QoS

276

Utilização do PCQ
PCQ é utilizado para equalizar cada usuário ou conexão em particular.
Para utilizar o PCQ, um novo tipo de fila deve ser adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes parâmetros: – pcq-classifier – pcq-rate

10 - QoS

277

Utilização do PCQ • Caso 1: Com o rate configurado como zero, as subqueues não são limitadas, ou seja, elas poderão usar a largura máxima de banda disponível em max-limit. • Caso 2: Se configurarmos um rate para a PCQ as subqueues serão limitadas nesse rate, até o total de max-limit.

10 - QoS

278

Utilização do PCQ


Nesse caso, com o rate da fila é 128k, não existe limit-at e tem um max-limit de 512k, os clientes receberão a banda da seguinte forma:

10 - QoS

279

Utilização do PCQ


Nesse caso, com o rate da fila é 0, não existe limit-at e tem um maxlimit de 512k, os clientes receberão a banda da seguinte forma:

10 - QoS

280

Árvores de Fila
Trabalhar com árvores de fila é uma maneira mais elaborada de administrar o tráfego. Com elas é possível construir sob medida uma hierarquia de classes, onde poderemos configurar as garantias e prioridades de cada fluxo em relação à outros, determinando assim uma política de QoS para cada fluxo do roteador.
Os filtros de árvores de filas são aplicados na interface especifica. Os filtros são apenas marcas que o firewall faz no fluxo de pacotes na opção mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no roteador.
A árvore de fila é também a única maneira para adicionar uma fila em uma interface separada.
Também é possível ter o dobro de enfileiramento. Ex: priorizando o tráfego globalin e/ou global-out, limitação por cliente na interface de saída. Se é configurado filas simples e árvores de filas no mesmo roteador, as filas simples receberão o tráfego primeiro e em seguida o classificarão.

10 - QoS

281

Árvores de Fila
As árvores de fila são configuradas em queue tree.
Dentre as propriedades configuráveis podemos destacar: – Escolher uma marca de tráfego feita no firewall mangle; – parente-class ou interface de saída; – Tipo de fila; – Configurações de limit-at, max-limit,priority e burst.

10 - QoS

282

Árvores de Fila

Obs.: O roteador não conseguirá garantir banda para Q1 o tempo todo. 10 - QoS

283

Árvores de Fila


Filas com parent (hierarquia).

10 - QoS

284

Árvores de Fila
C1 possui maior prioridade, portanto consegue atingir o max-limit. O restante da banda é dividida entre as outras leaf-queue.

10 - QoS

285

Perguntas ?

10 - QoS

286

HotSpot no Mikrotik

3 - Hotspot

287

Estrutura do Hotspot Servidor de hotspot (Servers)


Um server por interface.

Perfis do hotspot (Server Profiles)


Defini como os usuário poderão logar.
Usar Radius ou não.
Definir o diretório que contém as páginas de login.

Perfis de usuário (User Profile)


Defini velocidade de cada perfil (planos).
Defini popups.
Defini scripts.

Usuários (Users)


Defini usuário e senha
Defini a qual plano o usuário esta associado. 3 - Hotspot

288

HotSpot
Geralmente usado em área pública como hotéis, aeroportos, shoppings, universidades, etc...
Acesso controlado a uma rede qualquer, com ou sem fio,
Autenticação baseada em nome de usuário e senha.
Com HotSpot, um usuário que tente navegação pela WEB é arremetido para uma página do HotSpot que pede suas credencias, normalmente usuário e senha.

3 - Hotspot

289

HotSpot

3 - Hotspot

290

HotSpot
Apesar de ter sido bem simples a criação do Hotspot o RouterOS criou algumas regras necessárias para o funcionamento.

3 - Hotspot

291

HotSpot – Detalhes do Servidor
Idle Timeout: Usado para detectar clientes que estão logados e não estão trafegando.
Keepalive Timeout: Usado para detectar clientes que estão logados porém não estão mais acessíveis.
Address Per MAC: Número de IPs permitidos para um determinado MAC.

3 - Hotspot

292

HotSpot – Perfil do Servidor
HTML Directory: Diretório onde são colocadas as páginas desse hotspot.
HTTP Proxy/Port: Endereço e porta do servidor de web proxy.
SMTP Server: Endereço do servidor SMTP.
Rate Limit: Usado para criar uma fila simples para todo o hotspot. Esta fila vai após as filas dinâmicas dos usuários.

3 - Hotspot

293

HotSpot – Perfil do Servidor
Login by: – MAC: Usa o MAC dos clientes primeiro como nome do usuário. Se existir na tabela de usuários local ou em um Radius, o cliente é liberado sem usuário/senha. – HTTP CHAP: Usa o método criptografado. – HTTP PAP: Usa autenticação em texto plano. – Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se o cliente não tiver mais o cookie ou se tiver expirado ele de usar outro método. –

HTTPS: Usa túnel SSL criptográfado. Para que este método funcione, um certificado válido deve ser importado para o roteador.

– Trial: Não requer autenticação por um determinado tempo. – Split User Domain: Corta o domínio do usuário no caso de [email protected] – HTTP Cookie Lifetime: Tempo de vida dos cookies. – MAC Cookie: Nova funcionalidade usada para facilitar a acessibilidade para smartphones.

3 - Hotspot

294

Hotspot - Radius
Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede que provê de forma centralizada autenticação, autorização e contabilização(Accounting em inglês). Autenticação

Roteador de borda

Internet

Roteadores buscando autenticação no Radius Servidor Radius 172.31.31.2

3 - Hotspot

295

Hotspot - Configurando Radius

3 - Hotspot

296

HotSpot – Perfil do Servidor • Use Radius: Utiliza servidor Radius para autenticação dos usuários do hotspot. • Location ID e Location Name: Podem ser atribuídos aqui e no Radius. Normalmente deixado em branco. • Accounting: Usado para registrar o histórico de logins, tráfego, desconexões, etc... • Interim Update: Frequência do envio de informações de accounting. 0 significa assim que ocorre o evento. • Nas Port Type: Wireless, ethernet ou cabo. Informação meramente para referência.

3 - Hotspot

297

HotSpot – Perfil de Usuários
O User Profile serve para dar tratamento diferenciado a grupos de usuários, como suporte, comercial, diretoria, etc...
Session Timeout: Tempo máximo permitido.
Idle Timeout/Keepalive: Mesma explicação anterior, no entanto agora somente para este perfil de usuários.
Status Autorefresh: Tempo de refresh da página de Status do HotSpot.
Shared Users: Número máximo de clientes com o mesmo username. 3 - Hotspot

298

HotSpot – Perfil de Usuários
Os perfis de usuário podem conter os limites de velocidade de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx burst-limit] [rxburstthreshold/tx-burst-threshold] [rx-burst-time/tx-bursttime][priority] [rx-limit-at/tx-limit-at] Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
128k de upload / 256k de download
256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de download

3 - Hotspot

299

HotSpot – Perfil de Usuários
Incoming Filter: Nome do firewall chain aplicado aos pacotes que chegam do usuário deste perfil.
Outgoing Filter: Nome do firewall chain aplicado aos pacotes vão para o usuário deste perfil.
Incoming Packet Mark: Marca colocada automaticamente em pacotes oriundos de usuários deste perfil.
Outgoing Packet Mark: Marca colocada automaticamente em pacotes que vão para usuários deste perfil.
Open Status Page: Mostra a página de status. - http-login: para usuários que logam pela WEB. - always: para todos usuários inclusive por MAC.
Tranparent Proxy: Se deve usar proxy transparente. 3 - Hotspot

300

HotSpot – Perfil de Usuários
Com a opção Advertise é possível enviar de tempos em tempos “popups” para os usuários do HotSpot.
Advertise URL: Lista de páginas que serão anunciadas. A lista é cíclica, ou seja, quando a última é mostrada, começa-se novamente pela primeira.
Advertise Interval: Intervalo de tempo de exibição de popups. Depois da sequência terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar para o anúncio ser mostrado, antes de bloquear o acesso a rede. - Pode ser configurado um tempo. - Nunca bloquear. - Bloquear imediatamente.

3 - Hotspot

301

HotSpot – Perfil de Usuários
O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem executados em alguma situação especifica.
No HotSpot é possível criar scripts que executem comandos a medida que um usuário desse perfil conecta ou desconecta do HotSpot.
Os parâmetros que controlam essa execução são: – On Login: Quando o cliente conecta ao HotSpot. – On Logout: Quando o cliente desconecta do HotSpot.
Os scripts são adicionados no menu: /system script 3 - Hotspot

302

HotSpot – Usuários

3 - Hotspot

303

HotSpot – Usuários
Server: all para todos hotspots ou para um específico.
Name: Nome do usuário. Se o modo Trial estiver ativado o hotspot colocará automaticamente o nome “TMAC_ Address”. No caso de autenticação por MAC, o mesmo deve ser adicionado como username sem senha.
Address: Endereço IP caso queira vincular esse usuário a um endereço fixo.
MAC Address: Caso queira vincular esse usuário a um endereço MAC especifico.
Profile: Perfil onde o usuário herda as propriedades.
Routes: Rotas que serão adicionadas ao cliente quando se conectar. Sintaxe: “Endereço destino gateway métrica”. Várias rotas separadas por vírgula podem ser adicionadas.

3 - Hotspot

304

HotSpot – Usuários
Limit Uptime: Limite máximo de tempo de conexão para o usuário.
Limit Bytes In: Limite máximo de upload para o usuário.
Limit Bytes Out: Limite máximo de download para o usuário.
Limit Bytes Total: Limite máximo considerando o download + upload.
Na aba das estatísticas é possível acompanhar a utilização desses limites. 3 - Hotspot

305

HotSpot – Active
Mostra dados gerais e estatísticas de cada usuário conectado.

3 - Hotspot

306

HotSpot – Liberações especiais
Para liberar acesso a internet para um determinado host utilize sem necessidade de autenticação IP Binding.
Para liberar acesso a um determinado site sem necessidade de autenticação utilize Walled Garden.
Para liberar acesso a um determinado IP ou porta sem necessidade de autenticação utilize o Walled Garden IP List. 3 - Hotspot

307

HotSpot – IP Bindings
O Mikrotik por default tem habilitado o “universal client” que é uma facilidade que aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.
É possível também fazer traduções NAT estáticas com base no IP original, ou IP da rede ou MAC do cliente. É possível também permitir certos endereços “contornarem” a autenticação do hotspot. Ou seja, sem ter que logar na rede inicialmente.
Também é possível fazer bloqueio de endereços.

3 - Hotspot

308

HotSpot – IP Bindings
MAC Address: mac original do cliente.
Address: Endereço IP do cliente.
To Address: Endereço IP o qual o original deve ser traduzido.
Server: Servidor hotspot o qual a regra será aplicada.
Type: Tipo do Binding. - Regular: faz tradução regular 1:1 - Bypassed: faz tradução mas dispensa o cliente de logar no hotspot. - Blocked: a tradução não será feita e todos os pacotes serão bloqueados.

3 - Hotspot

309

HotSpot –Walled Garden
Configurando um “walled garden” é possível oferecer ao usuário o acesso a determinados serviços sem necessidade de autenticação. Por exemplo em um aeroporto poderia se disponibilizar informações sobre o tempo ou até mesmo disponibilizar os sites dos principais prestadores de serviço para que o cliente possa escolher qual plano quer comprar.
Quando um usuário não logado no hotspot requisita um serviço do walled garden o gateway não intercepta e, no caso do http, redireciona a requisição para o destino ou um proxy.
Para implementar o walled garden para requisições http, existe um web proxy embarcado no Mikrotik, de forma que todas requisições de usuários não autorizados passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik não tem a função de cache, pelo menos por hora. Notar também que esse proxy faz parte do pacote system e não requer o pacote web-proxy.

3 - Hotspot

310

HotSpot –Walled Garden
É importante salientar que o walled garden não se destina somente a serviço WEB, mas qualquer serviço que se queira configurar. Para tanto existem 2 menus distintos conforme do figuras ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para outros serviços e protocolos. 3 - Hotspot

311

HotSpot –Walled Garden
Action: Permite ou nega.
Server: Hotspot para o qual o walled garden vale.
Src.Address: Endereço IP do usuário requisitante.
Dst. Address: Endereço IP do web server.
Method: Método http ou https.
Dst. Host: Nome do domínio do servidor de destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisição. Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser usado coringas. Também é possível utilizar expressões regulares devendo essas ser iniciadas com (:) 3 - Hotspot

312

HotSpot –Walled Garden
Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden vale.
Src. Address: Endereço IP do usuário requisitante.
Dst. Address: Endereço IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que será requisitada.
Dst. Host: Nome do domínio do servidor de destino.

3 - Hotspot

313

HotSpot – Cookies
Quando configurado o login por cookies, estes ficam armazenados no hotspot com nome do usuário, MAC e tempo de validade.
Enquanto estiverem válidos o usuário não precisa efetuar o procedimento de login e senha.
Podem ser deletados (-) forçando assim o usuário a fazer o login novamente.

3 - Hotspot

314

HotSpot – Ports
A facilidade NAT do hotspot causa problemas com alguns protocolos incompatíveis com NAT. Para que esses protocolos funcionem de forma consistente, devem ser usados os módulos “helpers”.


No caso do NAT 1:1 o único problema é com relação ao módulo de FTP que deve ser configurado para usar as portas 20 e 21. 3 - Hotspot

315

Personalizando o HotSpot
As páginas do hotspot são completamente configuráveis e além disso é possível criar conjuntos completamente diferentes das páginas do hotspot para vários perfis de usuários especificando diferentes diretórios raiz.
As principais páginas que são mostradas aos usuários são: – redirect.html – redireciona o usuário a uma página especifica. – login.html – página de login que pede usuário e senha ao cliente. Esta página tem os seguintes parâmetros: • Username/password. • Dst – URL original que o usuário requisitou antes do redirecionamento e que será aberta após a autenticação do usuário. • Popup – Será aberta uma janela popup quando o usuário se logar com sucesso.

3 - Hotspot

316

HotSpot com HTTPS
Para utilizar o hotspot com HTTPS é necessário que se crie um certificado, assinálo corretamente e em seguida importá-lo através do menu /system certificates.

3 - Hotspot

317

Perguntas ?

3 - Hotspot

318

Web Proxy

4 - Web proxy

319

Web Proxy
Com o serviço de web proxy podemos fazer cache de “objetos” da internet e com isso economizar banda.
Também é possível utilizar o web proxy como filtro de conteúdo sem a necessidade de fazer cache.

4 - Web proxy

320

Web Proxy – Como usar
Basicamente podemos usar o proxy de duas maneiras – Não transparente: É necessário configurar o endereço e porta do proxy nos computadores – Transparente: Não é necessário alterar nenhum configuração nos computadores(não tratar conexões HTTPS).

4 - Web proxy

321

Habilitando nosso Web Proxy

4 - Web proxy

322

Web Proxy – Não transparente
Precisamos configurar manualmente o endereço e porta do servidor de Proxy em nosso navegador.

4 - Web proxy

323

Web Proxy - Access
A lista de acesso permite controlar conteúdo que será permitido ou negado.
As regras adicionadas nesta lista são processadas de forma semelhante que as regras do firewall. Neste caso as regras irão processar as conexões e caso alguma conexão receba um “match” ela não será mais processada pelas demais regras.

4 - Web proxy

324

Web Proxy - Access











Src. Address: Endereço ip de origem. Dst. Address: Endereço ip de destino. Dst. Port: Porta ou lista de portas destino. Local Port: Porta correspondente do proxy. Dst. Host: Endereço IP ou nome de destino. Path: Nome da página dentro do servidor. Method: Método HTTP usado nas requisições. Action: Permite ou nega a regra. Redirect To: URL ao qual o usuário será redirecionado caso a regra seja de negação. Hits: Quantidade de vezes que a regra sofreu “macth”.

4 - Web proxy

325

Web Proxy – Criando regras
Crie algumas regras de acesso que permitam e neguem acesso a alguns sites.
Dica: Para bloquear sites que contêm uma palavra especifica utilize : antes da palavra.

4 - Web proxy

326

Web Proxy – Dst. Host e Path
Dst. Host = Nome DNS ou IP utilizado para acessar um determinado site (de vermelho).
Path = Caminho de uma página ou documento dentro de um determinado site (de verde). Exemplos: http://wiki.mikrotik.com/wiki/Manual:IP/Proxy http://www.mikrotik.com/thedude 4 - Web proxy

327

Web Proxy – Transparente
Redirecionando o fluxo HTTP para proxy paralelo. /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.10.254 to-ports=8080

4 - Web proxy

328

Web Proxy – Transparente
Redirecionando o fluxo HTTP para proxy local. /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect toports=8080

4 - Web proxy

329

Web Proxy – Redirecionamento

4 - Web proxy

330

Web Proxy - Parâmetros
Src. Address: Endereço IP do servidor proxy caso você possua vários ips no mesmo roteador.
Port: Porta onde o servidor irá escuta.
Parent Proxy: Servidor proxy pai usado em um sistema de hierarquia de proxy.
Parent Proxy Port: Porta do proxy pai.
Cache Administrator: Identificação do administrador do proxy(geralmente o email).
Max Cache Size: Tamanho máximo do cache em KiBytes.
Cache On Disk: Indica se o cache será em Disco ou em RAM.

4 - Web proxy

331

Web Proxy - Parâmetros
Max Client Connections: Número máximo de conexões simultâneas ao proxy.
Max Server Connections: Número máximo de conexões que o proxy fará a um outro servidor proxy.
Max Fresh Time: Tempo máximo que os objetos que não possuem tempo padrão definidos, serão considerados atuais.
Serialize Connections: Habilita múltiplas conexões entre o servidor e os clientes.
Always From Cache: Ignore requisições de atualização dos clientes caso o objeto(conteúdo) for considerado atual.

4 - Web proxy

332

Web Proxy - Parâmetros
Cache Hit DSCP (TOS): Adiciona marca DSCP com o valor configurado a pacotes que deram hit no proxy.
Cache Drive: Exibe o disco que o proxy está usando para armazenamento dos objetos. Esses discos podem ser acessados no menu: /system stores. 4 - Web proxy

333

Web Proxy - Status
Uptime: Tempo que o proxy está rodando.
Requests: Total de requisições ao proxy.
Hits: Número de pedidos que foram atendidos pelo cache do proxy.
Cache Used: Espaço usado em disco ou RAM usado pelo cache do proxy.
Total RAM Used: Total de RAM usada pelo proxy.


Received From Servers: Total de dados em Kibytes recebidos de servidores externos.
Sent To Clients: Total de dados em Kibytes enviados ao clientes.
Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos clientes. 4 - Web proxy

334

Web Proxy - Conexões Aqui podemos a lista de conexões ativas no proxys
Src. Address: Endereço IP das conexões remotas.
Dst. Address: Endereço destino que está sendo requisitado.
Protocol: Protocolo utilizado pelo navegador.
State: Status da conexão.
Tx Bytes: Total de bytes enviados.
Rx Bytes: Total de bytes recebidos remotamente.

4 - Web proxy

335

Web Proxy - Cache
A lista de cache define como as requisições serão armazenadas ou não no cache do proxy.
Esta lista é manipulada da mesma forma que a lista de acesso.
Os parâmetros de configuração das regras são idênticas as regras da lista de acesso. 4 - Web proxy

336

Web Proxy - Direct
A lista de acesso direto é utilizada quando um Parent Proxy está configurado. Desta forma é possível passar a requisição ao mesmo ou tentar encaminhar a requisição diretamente ao servidor de destino.
Esta lista é manipulada da mesma forma que a lista de acesso.
Os parâmetros de configuração das regras são idênticas as regras da lista de acesso. 4 - Web proxy

337

Web Proxy – Segurança
Quando habilitamos um servidor de Proxy, ele pode ser usado por qualquer usuário, estando este na sua rede interna ou externa.
Precisamos garantir que somente os clientes da rede local terão acesso ao Proxy. /ip firewall filter add action=drop chain=input in-interface=interface-wan

4 - Web proxy

338

Web Proxy – Regras de Firewall
Desviando o fluxo web para o proxy – /ip firewall nat add chain=dstnat protocol=tcp dstport=80 action=redirect to-ports=8080


Protegendo o proxy contra acessos externos não autorizados – /ip firewall filter add chain=input protocol=tcp dstport=8080 ininterface= wan action=drop

4 - Web proxy

339

Perguntas ?

4 - Web proxy

340

The Dude – O cara

11 - The Dude

341

The Dude – O cara
The Dude é uma ferramenta de monitoramento que:
Fornece informações acerca de quedas e restabelecimentos de redes, serviços, assim como uso de recursos de equipamentos.
Permite mapeamento da rede com gráficos da topologia e relacionamentos lógicos entre os dispositivos.
Notificações via áudio/video/email acerca de eventos.
Gráfico de serviços mostrando latência, tempos de respostas de DNS, utilização de banda, informações físicas de links, etc...
Monitoramento de qualquer dispositivo que suporte o protocolo SNMP. 11 - The Dude

342

The Dude – O cara
Possibilidade de utilizar ferramentas para acesso direto a dispositivos da rede a partir do diagrama da mesma.
Acesso direto a dispositivos Mikrotik através do winbox.
Armazenamento de histórico de eventos(logs) de toda a rede, com momentos de queda, restabelecimentos, etc...
Possibilidade de utilizar SNMP também para tomada de decisões através do SNMP Set. 11 - The Dude

343

Instalando o The Dude
No Windows:
Fazer o download, clicar no executável e responder sim para todas as perguntas.


No Linux:
Instalar o wine e a partir daí proceder como no windows.


Em Routerboard ou PC com Mikrotik:
Baixar o pacote referente a arquitetura especifica, enviar para o Mikrotik via FTP ou Winbox e rebootar o roteador.

11 - The Dude

344

The Dude em Routerboards
O espaço em disco consumido pela The Dude é considerável, entre outras coisas, devido aos gráficos e logs a serem armazenados. Assim, no caso de instalação em Routerboards é aconselhável o uso daquelas que possuam armazenamento adicional como:






RB 433UAH – Aceita HD externo via USB RB 450G – Aceita MicroSD RB 600 – Aceita SD RB 800 – Aceita MicroSD RB 1100 – Aceita MicroSD


Não é aconselhável a instalação em outras Routerboards por problemas de perdas de dados devido a impossibilidade de efetuar backups. Problemas de processamento também devem ser considerados.

11 - The Dude

345

The Dude - Começando
A instalação do The Dude sempre instala o cliente e o servidor e no primeiro uso ele sempre irá tentar usar o Servidor Local(localhost). Caso queira se conectar em outro servidor clique no “raio”.

11 - The Dude

346

The Dude - Começando
O auto discovery permite que o servidor The Dude localize os dispositivos de seu segmento de rede, através de provas de ping, arp, snmp, etc... E por serviços também.
Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por seus vizinhos (neighbours).
Apesar de ser uma “facilidade”, não é aconselhável utilizar este recurso.

11 - The Dude

347

The Dude – Adicionando dispositivos
O The Dude tem um wizard para criação de dispositivos. Informe o IP e, se o dispositivo for Mikrotik, marque a opção “Router OS”.

11 - The Dude

348

The Dude – Adicionando dispositivos
Em seguida descubra os serviços que estão rodando nesse equipamento. Após isso o dispositivo estará criado.

11 - The Dude

349

The Dude – Adicionando dispositivos
Clique no dispositivo criado para ajustar vários parâmetros. Dentre esses os principais:
Nome de exibição.
Tipo do dispositivo.

11 - The Dude

350

The Dude – Adicionando dispositivos
O The Dude possui vários dispositivos prédefinidos, mas pode-se criar novos dispositivos personalizados para que o desenho realmente reflita a realidade prática.
Por razões de produtividade é aconselhável que todos os dispositivos existentes na rede sejam criados com suas propriedades especificas antes do desenho da rede, mas nada impede que isso seja feito depois.

11 - The Dude

351

The Dude – Adicionando dispositivos
Quando a rede possui elementos não configuráveis por IP como switchs L2, é necessário criar dispositivos estáticos para fazer as ligações. Com isso é possível concluir o diagrama da rede de forma mais realista e parecida com a real.

11 - The Dude

352

The Dude – Criando links
Para criar links entre os dispositivos basta clicar no mapa com o botão direito, selecionar Add Link e ligar os dois dispositivos informando:
Device: Dispositivo que irá fornece as informações do link.
Mastering type: Informa como as informações serão obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha a interface que deseja monitorar a velocidade e estado do link.
Speed: Informando a velocidade do link, é ativado a sinalização do estado do mesmo baseando-se em cores.
Type: Tipo de conexão física entre os dispositivos.

11 - The Dude

353

The Dude – Notificações
Efetue um duplo clique no dispositivo e vá na guia “Notifications”. Nela você pode informar o tipo de notificação que deseja receber.

11 - The Dude

354

The Dude – Serviços indesejáveis
Com o The Dude podemos monitorar serviços que não desejamos que estejam ativos.

11 - The Dude

355

The Dude – gráficos
Podemos manipular a forma como os gráficos irão ser apresentados para identificar serviços, estado dos links etc...

11 - The Dude

356

The Dude – Efetuando Backups
As configurações são salvas automaticamente na medida em que são feitas. Para se ter um backup externo use o “export” para gerar um arquivo .xml com todas as configurações que poderão ser importadas sempre que necessário.

11 - The Dude

357

Perguntas ?

11 - The Dude

358