Treinamento diário das 09:00hs às 19:00hs. Almoço as 13:00hs 1 hora de duração

Transcrição

1 AGENDA Treinamento diário das 09:00hs às 19:00hs Coffe break as 16:00hs Almoço as 13:00hs 1 hora de duração 2

2 Algumas regras importantes Por ser um curso oficial, o mesmo não poderá ser filmado ou gravado Procure deixar seu aparelho celular desligado ou em modo silencioso Durante as explanações evite as conversas paralelas. Elas serão mais apropriadas nos laboratórios Desabilite qualquer interface wireless ou dispositivo 3G em seu laptop 3

3 Algumas regras importantes Perguntas são sempre bem vindas. Muitas vezes a sua dúvida é a dúvida de todos. O acesso a internet será disponibilizado para efeito didático dos laboratórios. Portanto evite o uso inapropriado. O certificado de participação somente será concedido a quem obtiver presença igual ou superior a 75%. 4

4 Apresente-se a turma Diga seu nome; Sua empresa; Seu conhecimento sobre o RouterOS; Seu conhecimento com redes; O que você espera do curso; Lembre-se de seu número: XY 5

5 Objetivos do curso Prover um visão geral sobre o Mikrotik RouterOS e as RouterBoards. Mostrar de um modo geral todas ferramentas que o Mikrotik RouterOS dispõe para prover boas soluções. 6

6 Onde está a Mikrotik? 7

7 RouterBoards São hardwares criados pela Mikrotik; Atualmente existe uma grande variedade de RouterBoards. 8

8 Mikrotik RouterOS RouterOSé o sistema operacional das RouterBoards e que pode ser configurado como: Um roteador dedicado Controlador de banda Firewall Gerenciador de usuários Dispositivo QoS personalizado Qualquer dispositivo wirless a/b/g/n Além das RouterBoardsele também pode ser instalado em PC s. 9

9 Instalação do RouterOS O Mikrotik RouterOS pode ser instalado a partir de: CD ISO bootável imagem Via rede com utilitário Netinstall 10

10 Onde obter o Mikrotik RouterOS Para obter os últimos pacotes do Mikrotik RouterOS basta acessar: Lá você poderá baixar as imagens.iso Os pacotes combinados E os pacotes individuais 11

11 Instalando pelo CD Inicie o PC com o modo boot pelo CD 12

12 Pacotes do RouterOS System: Pacote principal contendo os serviços básiscos e drivers. A rigor é o único que é obrigatório PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc.. DHCP: Cliente, Relay e Servidor DHCP Advanced-tools: Ferramentas de diagnóstico, netwatch e outros ultilitários Arlan: Suporte a uma antiga placa Aironet antiga arlan Calea: Pacote para vigilância de conexões (Exigido somente nos EUA) GPS: Suporte a GPS ( tempo e posição ) HotSpot: Suporte a HotSpot ISDN: Suporte as antigas conexões ISDN LCD: Suporte a display LCD NTP: Servidor de horário oficial mundial 13

13 Radiolan: Suporte a placa RadioLan RouterBoard: Utilitário para RouterBoards Pacotes do RouterOS Routing: Suporte a roteamento dinâmico tipo RIP, OSPF, MME e BGP Security: Suporte a ssh, IPSec e conexão segura do winbox Synchronous: suporte a placas síncronas Moxa, Cyclades PC300, etc... Telephony: Pacote de suporte a telefônia protocolo h.323 UPS: Suporte as no-breaks APC User-Manager: Serviço de autenticação User-Manager Web-Proxy: Serviço Web-Proxy Wireless: Suporte a placas Atheros e PrismII Wireless-Nv2: Suporte ao protocolo nstreme versão 2 14

14 Instalando pelo CD Pode-se selecionar os pacotes desejados usando a barra de espaços ou a para todos. Em seguida pressione i para instalar os pacotes selecionados. Caso haja configurações pode-se mantê-las pressionando y. 15

15 Instalação com Netinstall Pode ser instalado em PC que boota via rede(configurar na BIOS) Pode ser baixado também em: O netinstall é um excelente recurso para reinstalar em routerboards quando o sistema foi danificado ou quando se perde a senha do equipamento. 16

16 Instalação com Netinstall Para se instalar em uma RouterBoard, inicialmente temos que entrar via serial, com cabo null modem e os seguintes parâmetros: Velocidade: bps Bits de dados: 8 Bits de parada: 1 Controle de fluxo: hardware 17

17 Instalação com Netinstall Atribuir um IP para o Net Booting na mesma faixa da placa de rede da máquina Coloque na máquina os pacotes a serem instalados Bootar e selecionar os pacotes a serem instalados 18

18 Primeiro acesso O processo de instalação não configura IP no Mikrotik. Portanto o primeiro acesso pode ser feito das seguintes maneiras: Direto no console (em pcs) Via terminal Via telnetde MAC, através de outro Mikrotik ou sistema que suporte telnetde MAC e esteja no mesmo barramento físico de rede Via Winbox 19

19 Console no Mikrotik Através do console do Mikrotik é possível acessar todas configurações do sistema de forma hierárquica conforme os exemplos abaixo: Acessando o menu interface [admin@mikrotik] > interface [admin@mikrotik] interface > ethernet Para retornar ao nível anterior basta digitar.. [admin@mikrotik] interface ethernet>.. [admin@mikrotik] interface> Para voltar ao raiz digite / [admin@mikrotik] interface ethernet> / [admin@mikrotik] > 20

20 Console no Mikrotik? Mostra um help para o diretório em que se esteja? Após um comando incompleto mostra as opções disponíveis para o comando Comandos podem ser completados com a tecla TAB Havendo mais de uma opção para o já digitado, pressione TAB 2 vezes para mostrar as opções disponíveis 21

21 Console no Mikrotik Comando PRINT mostra informações de configuração: > interface ethernet> print Flags: X -disabled, R -running, S -slave # NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH 0 R ether :0C:42:34:F7:02 enabled [admin@mikrotik] > interface ethernet> print detail 0 R name="ether1" mtu=1500 l2mtu=1526 mac-address=00:0c:42:34:f7:02 arp=enabled auto-negotiation=yes full-duplex=yes speed=100mbps 22

22 Console no Mikrotik É possível monitorar o status das interfaces com o seguinte comando: [guilherme@mkt] > interface wireless monitor wlan1 status: running-ap band: 5ghz frequency: 5765MHz noise-floor: -112dBm overall-tx-ccq: 93% registered-clients: 8 authenticated-clients: 8 current-ack-timeout: 33 nstreme: no current-tx-powers: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18) 23

23 Console no Mikrotik Comandos para manipular regras add, set, remove: adiciona, muda e remove regras; disabled: desabilita regra sem deletar; move: move a regra cuja a ordem influência. Comando Export Exporta todas as configurações do diretoria acima; Pode ser copiado e colado em um editor de textos; Pode ser exportado para arquivo. Comando Import Importa um arquivo de configuração criado pelo comando export. 24

24 WINBOX Winbox é o utilitário para administração do Mikrotik em modo gráfico. Funciona em Windows. Para funcionar no Linux é necessário a instalação do emulador Wine. A comunicação é feita pela porta TCP 8291 e caso você habilite a opção Secure Mode a comunicação será criptografada. Para baixar o winbox acesse o link: 25

25 Acessando pelo WINBOX É possível acessar o Mikrotik inicialmente sem endereço IP, através do MAC da interface do dispositivo que está no mesmo barramento físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o MAC que aparecerá. 26

26 Configuração em Modo Seguro O Mikrotik permite o acesso ao sistema através do modo seguro. Este modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione CTRL+X. 27

27 Configuração em Modo Seguro Se um usuário entra em modo seguro, quando já há um nesse modo, a seguinte mensagem será dada: Hijacking Safe Mode from someone unroll/release/dont take it [u/r/d] u desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro d deixa tudo como está r mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte mensagem: Safe Mode Released by another user 28

28 Configuração em Modo Seguro Todas configurações são desfeitas caso você perca comunicação com o roteador, o terminal seja fechado clicando no x ou pressionando CTRL+D. Configurações realizadas em modo seguro não são sofrem marcações na lista de historico até serem confirmadas ou desfeitas. A flag U significa que a ação não será desfeita. A flag R significa que a ação foi desfeita. É possível visualizar o histórico de modificações através do menu: /system history print Obs.: O número máximo de registros em modo seguro é de

29 Manutenção do Mikrotik Atualização Gerenciando pacotes Backup Informações sobre licenciamento 30

30 Atualizações As atualizações podem ser feitas a partir de um conjunto de pacotes combinados ou individuais. Os arquivo tem extensão.npk e para atualizar a versão basta fazer o upload para o diretório raiz e efetuar um reboot. O upload pode ser feito por FTP ou copiando e colando pelo Winbox. 31

31 Pacotes Adicionar novas funcionalidades podem ser feitas através de alguns pacotes que não fazem parte do conjunto padrão de pacotes combinado. Esses arquivos também possuem extensão.npke para instalá-los basta fazer o uploadpara o Mikrotik e efetuar um reboot do sistema. Alguns pacotes como UserManager e Multicast são exemplos de pacotes adicionais que não fazem parte do pacote padrão. 32

32 Pacotes Alguns pacotes podem ser habilitados e desabilitados conforme sua necessidade. Pacote desabilitado Pacote marcado para ser desabilitado Pacote marcado para ser habilitado 33

33 Backup Para efetuar o backup basta ir em Files e clicar no botão Backup. Para restaurar o backup basta selecionar o arquivo e clicar em Restore. Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup por partes use o comando export. 34

34 Licenciamento A chave é gerada sobre um software-id fornecido pelo sistema. A licença fica vinculada ao HD ou Flash e/ou placa mãe. A formatação com outras ferramentas muda o software-id causa a perda da licença. 35

35 Dúvidas??? 36

36 Nivelamento de conhecimentos TCP/IP 37

37 Modelo OSI (Open System Interconnection) CAMADA 7 Aplicação: Comunicação com os programas. SNMP e TELNET. CAMADA 6 Apresentação: Camada de tradução. Compressão e criptografia CAMADA 5 Sessão: Estabelecimento das sessões TCP. CAMADA 4 Transporte: Controle de fluxo, ordenação dos pacotes e correção de erros CAMADA 3 Rede: Associa endereço físico ao endereço lógico CAMADA 2 Enlace: Endereçamento físico. Detecta e corrige erros da camada 1 CAMADA 1 Física: Bitsde dados 38

38 Camada I Camada Física A camada física define as características técnicas dos dispositivos elétricos. É nesse nível que são definidas as especificações de cabeamento estruturado, fibras ópticas, etc... No caso da wireless é a camada I que define as modulações, frequências e largura de banda das portadores. 39

39 Camada II -Enlace Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da camada I. Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede. Ethernets e PPP são exemplos de dispositivos que trabalham em camada II. 40

40 Endereço MAC É o único endereço físico de um dispositivo de rede É usado para comunicação com a rede local Exemplo de endereço MAC: 00:0C:42:00:00:00 41

41 Camada III -Rede Responsável pelo endereçamento lógico dos pacotes. Transforma endereços lógicos(endereços IPs) em endereços físicos de rede. Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade. 42

42 Endereço IP É o endereço lógico de um dispositivo de rede É usado para comunicação entre redes Exemplo de endereço ip:

43 Sub Rede É uma faixa de endereços IP que divide as redes em segmentos Exemplo de sub rede: ou /24 O endereço de REDE é o primeiro IP da sub rede O endereço de BROADCAST é o último IP da sub rede Esses endereços são reservados e não podem ser usados End. IP/Máscara End. de Rede End. Broadcast / / / / /

44 Endereçamento CIDR 45

45 Protocolo ARP Address Resolution Protocol Utilizado para associar IP s com endereços físicos. Faz a intermediação entre a camada II e a camada III da seguinte forma: 1. O solicitante de ARP manda um pacote de broadcast com informação do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC de destino. 2. O host que tem o IP de destino responde fornecendo seu MAC. 3. Para minimizar o broadcast, o S.O mantém um tabela ARP constando o par (IP MAC). 46

46 Camada IV -Transporte Quando no lado do remetente é responsável por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede. No lado do destinatário pega pegaos pacotes recebidos da camada de rede, remonta os dados originais e os envia para à camada superior. Estão na camada IV: TCP, UDP, RTP 47

47 Camada IV -Transporte Protocolo TCP: O TCP é um protocolo de transporte que executa importantes funções para garantir que os dados sejam entregues de forma confiável, ou seja, sem que os dados sejam corrompidos ou alterados. Protocolo UDP: O UDP é um protocolo não orientado a conexão e portanto é mais rápido que o TCP. Entretanto não garante a entrega dos dados. 48

48 Características do protocolo TCP Garante a entrega de data gramas IP. Executa a segmentação e reagrupamento de grande blocos de dados enviados pelos programas e garante o seqüenciamento adequado e a entrega ordenada de dados segmentados. Verifica a integridade dos dados transmitidos usando cálculos de soma de verificação. Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados. Ao usar confirmações seletivas, também são enviadas confirmações negativas para os dados que não foram recebidos. Oferece um método preferencial de transporte de programas que devem usar transmissão confiável de dados baseados em sessões, como banco de dados cliente/servidor por exemplo. 49

49 Diferenças básicas entre TCP e UDP TCP Serviço orientado por conexão. Garante a entrega através do usode confirmação e entrega seqüenciada dos dados. Programasque usam TCP tem garantia de transporte confiável de dados. Maislento, usa mais recursos e somente dá suporte a ponto a ponto. UDP Serviço sem conexão.não é estabelecida conexão entre os hosts. Não garante ou não confirma entrega dos dados. Programasque usam UDP são responsáveis pela confiabilidade dos dados. Rápido, exigepoucos recursos e oferece comunicação ponto a ponto e multiponto. 50

50 Estado das conexões É possível observar o estado das conexões no MikroTik no menu Connections. 51

51 Portas TCP/UDP Protocolo TCP/UDP FTP -T SSH -T DNS-U WEB-T Porta 21 Porta 22 Porta 53 Porta 80 O uso de portas, permite o funcionamento de vários serviços, ao mesmo tempo, no mesmo computador, trocando informações com um ou mais serviços/servidores. Portas abaixo de 1024 são registradas para serviços especiais. 52

52 Dúvidas???? 53

53 DIAGRAMA INICIAL 54

54 Configuração do Router Adicione os ips as interfaces Obs.: Atente para selecionar as interfaces corretas. 55

55 Configuração do Router Adicione a rota padrão

56 Configuração do Router Adicione o servidor DNS

57 Configuração do Router Configuração da interface wireless 58

58 Teste de conectividade Pingar a partir da RouterBoardo seguinte ip: X.254 Pingar a partir da RouterBoardo seguinte endereço: Pingar a partir do notebook o seguinte ip: X.254 Pingar a partir do notebook o seguinte endereço: Analisar os resultados 59

59 Corrigir o problema de conectividade Diante do cenário apresentado quais soluções podemos apresentar? Adicionar rotas estáticas; Utilizar protocolos de roteamento dinâmico; Utilizar NAT(Network Address Translation). 60

60 Utilização do NAT O mascaramento é a técnica que permite que vários hosts de uma rede compartilhem um mesmo endereço IP de saída do roteador. No Mikrotik o mascaramento é feito através do Firewall na funcionalidade do NAT. Todo e qualquer pacote de dados de uma rede possui um endereço IP de origem e destino. Para mascarar o endereço, o NAT faz a troca do endereço IP de origem. Quando este pacote retorna ele é encaminhando ao host que o originou. 61

61 Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan

62 Teste de conectividade Efetuar os testes de pinga partir do notebook; Analisar os resultados; Efetuar os eventuais reparos. Após a confirmação de que tudo está funcionando, faça o backup da routerboarde armazene-o no notebook. Ele será usado ao longo do curso. 63

63 Gerenciando usuários O acesso ao roteador pode ser controlado; Pode-se criar usuários e/ou grupos diferentes;

64 Gerenciamento de usuários Adicione um novo usuário com seu nome e dê a ele acesso Full Mude a permissão do usuário admin para Read Faça logincom seu novo usuário. 65

65 Atualizando a RouterBoard Faça o download dos pacotes no seguinte endereço: ftp:// Faça o uploaddos pacotes para sua RouterBoard Reinicie a RouterBoardpara que os pacotes novos sejam instalados Confira se os novos pacotes foram instalados com sucesso. 66

66 Wireless no Mikrotik 67

67 Configurações Físicas Padrão IEEE Frequência Tecnologia Velocidades b 2.4 Ghz DSSS 1, 2, 5.5 e 11 Mbps g 2.4 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54 Mbps a 5Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54 Mbps n 2.4 Ghze5 Ghz BQSP, QPSQ e QAM De 6.5Mbpsaté 600 Mbps 68

68 802.11b -DSSS 69

69 Canais não interferentes em 2.4 Ghz-DSSS Canal 1 Canal 6 Canal GHz GHz GHz 70

70 Configurações Físicas 2.4Ghz 2.4Ghz-B: Modo b, que permite velocidades de 1 à 11 Mbps e utiliza espalhamento espectral. 2.4Ghz-only-G: Modo g, que permite velocidades de 6 à 54 Mbps e utiliza OFDM. 2.4Ghz-B/G: Modo misto b e g recomendado para ser usado somente em processo de migração. 71

71 Canais do espectro de 5Ghz Em termos regulatórios a frequência de 5Ghz é dividida em 3 faixas: Faixa baixa: 5150 a 5350 Mhz Faixa média: 5470 a 5725 Mhz Faixa alta: 5725 a 5850 Mhz 72

72 Aspectos legais do espectro de 5Ghz Faixa Baixa Faixa Média Faixa Alta Freqüências Largura 100 Mhz 100 Mhz 255 Mhz 125 Mhz Canais 4 canais 4 canais 11 canais 5 canais Detecção de radar obrigatória Detecção de radar obrigatória 73

73 Configurações Físicas 5 Ghz 5Ghz: Modo a opera nas três faixas permitidas com velocidades que vão de 6Mbps a 54 Mbps. O modo 5Ghz permite ainda as variações de uso em 10Mhz e 5Mhz de largura de banda que permite selecionar freqüências mais especificas, porém reduzindo a velocidade nominal. Permite ainda a seleção do modo turbo ou a/n dependendo do modelo do cartão. 74

74 Canalização em a Modos 5Mhz e 10Mhz Menor troughput Maior número de canais Menor vulnerabilidade a interferências Requer menor sensibilidade Aumenta o nível de potência de tx 75

75 Canalização em a Modo Turbo Maior troughput Menor número de canais Maior vulnerabilidade a interferências Requer maior sensibilidade Diminui o nível de potência de tx 76

76 Padrão n INDICE: MIMO Velocidades do n Bondingdo canal Agregação dos frames Configuração dos cartões Potência de TX em cartões N Bridge transparente para links N utilizando MPLS/VPLS 77

77 MIMO MIMO: Multiple Input and Multiple Output SDM: Spatial Division Multiplexing Streams espaciais múltiplas através de múltiplas antenas. Configurações de antenas múltiplas para receber e transmitir: 1x1, 1x2, 1x3; 2x2, 2x3; 3x3 78

78 802.11n -Velocidades nominais 79

79 802.11n -Bonding dos canais 2 x 20Mhz Adiciona mais 20Mhz ao canal existente O canal é colocado abaixo ou acima da frequência principal É compatível com os clientes legados de 20Mhz Conexão feito no canal principal Permite utilizar taxas maiores 80

80 802.11n Agregação dos frames Combina múltiplos frames de dados em um simples frame. O que diminui o overhead Agregação de unidade de dados protocolo MAC (AMPDU) Aggregated MAC Protocol Data Units Usa Acknowledgement em bloco Pode aumentar a latência. Por padrão habilitado somente para tráfego de melhor esforço Agregação de unidade de dados de serviços MAC (AMSDU) Enviando e recebendo AMSDU scausa aumento de processamento, pois este é processado a nível de software. 81

81 Configurando no Mikrotik HT Tx Chains / HT Rx Chains: No caso dos cartões n a configuração da antena é ignorada. HT AMSDU Limit: Máximo AMSDU que o dispositivo pode preparar. HT AMSDU Threshold: Máximo tamanho de frame que é permitido incluir em AMSDU. 82

82 Configurando no Mikrotik HT Guard Interval: Intervalo de guarda. Any: Longo ou curto, dependendo da velocidade de transmissão. Longo: Intervalo longo. HT Extension Channel: Define se será usado a extensão adicional de 20Mhz. Below: Abaixo do canal principal Above: Acima do canal principal HT AMPDU Priorities: Prioridades do frame para qual o AMPDU deve ser negociado e utilizado. 83

83 Configurando no Mikrotik Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é dobrada. 84

84 Bridgetransparente em enlaces N WDS não suporta agregação de frames e portanto não provê a velocidade total da tecnologia n EoIP incremente overhead Para fazer bridgetransparente com velocidades maiores com menos overhead em enlaces n devemos utilizar MPLS/VPLS. 85

85 Bridgetransparente em enlaces N Para se configurar a bridge transparente em enlaces n, devemos estabelecer um link AP <-> Station e configure uma rede ponto a ponto /30. Ex.: X.Y/30(AP) e X.Y/30(Station) Habilitar o LDP (Label Distribution Protocol) em ambos lados. Adicionar a wlan1 a interface MPLS 86

86 Bridgetransparente em enlaces N Configurar o túnel VPLS em ambos os lados Crie uma bridge entre a interface VPLS e a ethernet conectada Confira o status do LDP e do túnel VPLS 87

87 BridgesVPLS -Considerações O túnel VPLS incrementa o pacote. Se este pacote excede o MPLS MTU da interface de saida, este será fragmentado. Se a interface ethernet suportar MPLS MTU de 1522 ou superior, a fragmentação pode ser evitada alterando o MTU da interface MPLS. Uma lista completa sobre as MTU das RouterBoards pode ser encontrada em: 88

88 Setup Outdoor para enlaces n Recomendações segundo a Mikrotik: Teste de canal separadamente antes de usá-los ao mesmo tempo. Para operação em 2 canais, usar polarizações diferentes Quando utilizar antenas de polarização dupla, a isolação mínima recomendada da antena é de 25dB. 89

89 Enlaces n Estabeleça um link N com seu vizinho Teste a performance com um e dois canais Crie uma bridge transparente usando VPLS 90

90 Configurações de camada física -Potências default: Não altera a potência original do cartão cards rates: Fixa mas respeita as variações das taxas para cada velocidade all rates fixed: Fixa um valor para todas velocidades manual: permite ajustar potências diferentes para cada velocidade 91

91 Configurações de camada física -Potências Quando a opção regulatory domain está habilitada, somente as frequências permitidas para o país selecionado em Country estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país, levando em conta o valor em dbi informado em Antenna Gain. Para o Brasil esses ajustes só foram corrigidos a partir da versão

92 Configurações da camada física Seleção de antena Em cartões que tem duas saidas para antenas, é possível escolher: antena a: utiliza antena a (main) para tx e rx antena b: utiliza antena b (aux) para tx e rx rx-a/tx-b: recepção em a e transmissão em b tx-a/rx-b: transmissão em b e recepção em a 93

93 Configurações da camada física DFS no radar detect: escaneiao meio e escolhe o canal em que for encontrado o menor número de redes radar detect: escaneiao meio e espera 1 minuto para entrar em operação no canal escolhido se não for detectada a ocupação do canal Obs.: O modo DFS é obrigatório no Brasil para as faixas de e

94 Configurações da camada física Prop. Extensions e WMM Proprietary Extensions: Opção com a única finalidade de dar compatibilidade com chipsets Centrino. WMM Support: QoS no meio físico(802.11e) enabled: permite que o outro dispositivo use wmm required: requer que o outro dispositivo use wmm disabled: desabilita a função wmm 95

95 Configurações da camada física AP e Client tx rate / Compression Defaul AP TX Rate: Taxa máxima que o AP pode transmitir para cada um de seus clientes. Funciona para qualquer cliente. Default Client TX Rate: Taxa máxima que o cliente pode transmitir para o AP. Só funciona para clientes Mikrotik. Compression: Recurso de compressão em Hardware disponível em chipsets Atheros. Melhora o desempenho se o cliente possuir este recurso e não afeta clientes que não possuam o recurso. Porém este recurso é incompatível com criptografia. 96

96 Configurações da camada física Data Rates A velocidade em uma rede wireless é definida pela modulação que os dispositivos conseguem trabalhar. Supported Rates: São as velocidades de dados entre o AP e os clientes. Basic Rates: São as velocidades que os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc...) 97

97 Configurações da camada física ACK Dispositivo A Dados ACK Dispositivo B O ACK timeout é o tempo que um dispositivo wireless espera pelo pacote Ackque deve ser transmitido para confirmar toda transmissão wireless. Dynamic: O Mikrotik calcula dinamicamente o Ackde cada cliente mandando de tempos em tempos sucessivos pacotes com Ack timeouts diferentes e analisando as respostas. indoors: Valor constante para redes indoors. Pode-se também fixar valores manualmente. 98

98 Configurações da camada física ACK Tabela de valores referenciais para ACK Timeout Obs.: Utilize a tabela somente para referência inicial. 99

99 Ferramentas de Site Survey-Scan A -> Ativa B -> BSS P -> Protegida R -> Mikrotik N -> Nstreme Escaneiao meio. Obs.: Qualquer operação de site surveycausa queda das conexões estabelecidas. 100

100 Ferramentas de Site Survey Uso de frequências Mostra o uso das frequências em todo o espectro para site survey conforme a banda selecionada no menu wireless. 101

101 Interface wireless -Alinhamento Ferramenta de alinhamento com sinal sonoro Colocar o MAC do AP remoto no campo FilterMAC Address e Audio Monitor. Rx Quality: Potência em dbm do último pacote recebido Avg. Rx Quality: Potência média dos pacotes recebidos Last Rx: Tempo em segundos do último pacote recebido Tx Quality: Potência do último pacote transmitido Last TX: Tempo em segundos do último pacote transmitido Correct: Número de pacotes recebidos sem erro 102

102 Interface wireless -Sniffer Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes. Muito útil para detectar ataques do tipo deauth e monkey jack. Pode ser arquivado no próprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP. 103

103 Interface wireless -Snooper Com a ferramenta snooper é possível monitorar a carga de tráfego em cada canal por estação e por rede. Scaneia as frequências definidas em scan-list da interface 104

104 Interface wireless -Geral Comportamento do protocolo ARP enable: Aceita e responde requisições ARP. disable: Não responde a requisições ARP. Clientes devem acessar através de tabelas estáticas. proxy-arp: Passa seu próprio MAC quando há uma requisição para algum host interno ao roteador. reply-only: Somente responde as requisições. Endereços vizinhos são resolvidos estaticamente. 105

105 Interface wireless Modo de operação ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada. bridge: O mesmo que o o modo ap bridge porém aceitando somente um cliente. station: Modo cliente de um ap. Não pode ser colocado em bridge com outras interfaces. 106

106 Interface wireless Modo de operação stationpseudobridge: Estação que pode ser colocada em modo bridge, porém sempre passa ao AP seu próprio MAC. stationpseudobridgeclone: Modo idêntico ao anterior, porém passa ao AP um MAC pré determinado anteriormente. station wds: Modo estação que pode ser colocado em bridge com a interface ethernet e que passa os MACsde forma transparente. É necessário que o AP esteja em modo wds. 107

107 Interface wireless Modo de operação alignmentonly: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless escuta os pacotes que são mandados a ela por outros dispositivos trabalhando no mesmo canal. wds slave: Adéqua suas configurações conforme outro AP com mesmo SSID. nstreme dual slave: Será visto no tópico especifico de nstreme. 108

108 Interface wireless AP Virtual Com as interfaces virtuais podemos montar várias redes dando perfis de serviço diferentes. Name: Nome da rede virtual MTU: Unidade máxima de transferência(bytes) MAC: Endereço MAC do novo AP ARP: Modo de operação do protocolo ARP Obs.: As demais configurações são idênticas as de um AP. 109

109 Camada Física -Wireless Como trabalha o CSMA? Redes ethernet tradicionais utilizam o método CSMA/CD (Colision Detection). Redes wireless utilizam o método CSMA/CA (Colision Avoidance). 110

110 Protocolo Nstreme-Configuração Framer Policy Dynamic size: O Mikrotik determina. Best fit: Agrupa até o valor em Frame Limit sem fragmentar. Exact Size: Agrupa até o valor em Frame Limit fragmentando se necessário. Enable Nstreme: Habilita o nstreme. Enable Polling: Habilita o mecanismo de polling. Recomendado. Disable CSMA: Desabilita o Carrier Sense. Recomendado. Framer Limit: Tamanho máximo do pacote em bytes. 111

111 Protocolo NstremeDual -Configuração 1 Colocar a interface em modo nstreme dual slave. 2 Adicionar uma interface Nstreme Dual e definir quem será TX e quem será RX. Obs.: Utilize sempre canais distantes. 112

112 Protocolo NstremeDual -Configuração 3 Verifique o MAC escolhido pela interface Nstreme e informe no lado oposto. 4 Criar uma bridge e adicionar as interfaces ethernet e a interface Nstreme Dual Práticas de RF recomendadas: Use antenas de qualidade, Polarizações diferentes, canais distantes e mantenha uma boa distância entre as antenas. 113

113 WDS & WDS MESH 114

114 WDS WIRELESS DISTRIBUTION SYSTEM WDS é a melhor forma garantir uma grande área de cobertura wireless utilizando vários APse prover mobilidade sem a necessidade de re-conexão dos usuários. Para tanto, todos os AP sdevem ter o mesmo SSID e mesmo canal. 115

115 WDS e o protocolo STP A mágica do wds só é possível por conta do protocolo STP. Para evitar o loopingna rede é necessário habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de forma semelhante porém o RSTP é mais rápido. O RSTP inicialmente elege uma root bridge e utiliza o algoritmo breadth-first search que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado. Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No entanto é possível interferir no comportamento padrão, modificando custos, prioridades e etc

116 WDS e o protocolo STP Quanto menor a prioridade, maior a chance de ser eleita como bridge root. Quando os custos são iguais é eleita a porta com prioridade mais baixa. O custo da porta permite um caminho ser eleito em lugar do outro. 117

117 WDS e o protocolo STP A Bridgeusa o endereço MAC da porta ativa com menor número de porta. A porta wireless está ativa somente quando existem hosts conectados a ela. Para evitar que os MACsfiquem variando, é possível atribuir um MAC manualmente. 118

118 WDS / WDS MESH WDS Default Bridge: A bridgepadrão para as interfaces wds. WDS Default Cost: Custo da porta bridgedo link wds. WDS CostRange: Margem de custo que pode ser ajustada com base no troughtput do link. WDS Mode dynamic: As interfaces wds são adicionada dinamicamente quando um dispositivo wds encontra outro compatível. static: As interfaces wds devem ser adicionadas manualmente apontando o MAC da outra ponta. (mesh): WDS com um algoritmo proprietário para melhoria do link. Só possui compatibilidade com outros dispositivos Mikrotik. 119

119 WDS / MESH Altere o modo de operação da wireless para: ap-bridge WDS: Selecione o modo wds dynamic-mesh. WDS Default Bridge: Selecione a bridge criada. Obs:. Certifique-se que todos estão no canal 5180 e SSID: wds-lab. 120

120 Interface Wireless Controle de Acesso A Access Listé utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar. A comunicação entre clientes da mesma interface, virtual ou real, também é controlada na Access List. 121

121 Interface Wireless Controle de Acesso O processo de associação ocorre da seguinte forma: 1. Um cliente tenta se associar a uma interface wlan; 2. Seu MAC é procurado na accesslistda interface wlan; 3. Caso encontrado, a ação especifica será tomada: Authentication: Define se o cliente poderá se associar ou não; Fowarding: Define se os clientes poderão se comunicar. 122

122 Interface Wireless Access List MAC Address: Endereço MAC a ser liberado ou bloqueado. Interface: Interface real ou virtual onde será feito o controle de acesso. AP TxLimit: Limite de tráfego enviado para o cliente. ClientTxLimit: Limite de tráfego enviado do cliente para o AP. Private Key: Chave wep criptografada. Private Pre Shared Key: Chave WPA. Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros Mikrotiks. 123

123 Interface Wireless ConnectList A ConnectListtem a finalidade de listar os APs que o Mikrotik configurado como cliente pode se conectar. MAC Address: MAC do AP a se conectar SSID: Nome da rede AreaPrefix: String para conexão com AP de mesma área Security Profile: Definido nos perfis de segurança. Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP falso. 124

124 Segurança de Acesso em redes sem fio 125

125 Falsa segurança Nome da rede escondido: Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes chamados beacons. Este comportamento pode ser modificado no Mikrotik habilitando a opção HideSSID. Pontos negativos: SSID deve ser conhecido pelos clientes Scanners passivos o descobrem facilmente pelos pacotes de proberequest dos clientes. 126

126 Controle de MACs: Falsa segurança Descobrir MACs que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer. Spoofar um MAC é bem simples. Tanto usando windows, linux ou Mikrotik. 127

127 Falsa segurança Criptografia WEP: WiredEquivalentPrivacy Foi o sistema de criptografia inicialmente especificado no padrão e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia. Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar a chave, como: Airodump Airreplay Aircrack Hoje com essas ferramentas é bem simples quebrar a WEP. 128

128 Evolução dos padrões de segurança 129

129 Fundamentos de Segurança Privacidade As informações não podem ser legíveis para terceiros. Integridade As informações não podem ser alteradas quando em transito. Autenticação AP Cliente: O AP tem que garantir que o cliente é quem diz ser. Cliente AP: O cliente tem que se certificar que está conectando no AP correto. Um AP falso possibilita o chamado ataque do homem do meio. 130

130 Privacidade e Integridade Tanto a privacidade como a integridade são garantidos por técnicas de criptografia. O algoritmo de criptografia de dados em WPA é o RC4, porém implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se o AES. Para a integridade dos dados WPA usa TKIP(Algoritmo de Hashing Michael ) e WPA2 usa CCM(Cipher Chaining Message Authentication Check CBC MAC) 131

131 Chave WPA e WPA2 -PSK A configuração da chave WPA/WAP2-PSK é muito simples no Mikrotik. Configure o modo de chave dinâmico e a chave pré-combinada para cada tipo de autenticação. Obs.: As chaves são alfanuméricas de 8 até 64 caracteres. 132

132 Segurança de WPA / WPA2 Atualmente a única maneira conhecida para se quebrar a WPA-PSK é somente por ataque de dicionário. Como a chave mestra PMK combina uma contra-senha com o SSID, escolhendo palavras fortes torna o sucesso de força bruta praticamente impossível. A maior fragilidade paras os WISP sé que a chave se encontra em texto plano nos computadores dos clientes ou no próprio Mikrotik. 133

133 Configurando EAP-TLS Sem Certificados Crie o perfil EAP-TLS e associe a interface Wireless cliente. 134

134 Segurança de EAP-TLS sem certificados O resultado da negociação anônima resulta em uma chave PMK que é de conhecimento exclusivo das duas partes. Depois disso toda a comunicação é criptografada por AES(WPA2) e o RC4(WPA). Seria um método muito seguro se não houvesse a possibilidade de um atacante colocar um Mikrotik com a mesma configuração e negociar a chave normalmente como se fosse um cliente. Uma idéia para utilizar essa configuração de forma segura é criando um túnel criptografado PPtPou L2TP entre os equipamentos depois de fechado o enlace. 135

135 Trabalhando com certificados Certificado digital é um arquivo que identifica de forma inequívoca o seu proprietário. Certificados são criados por instituições emissoras chamadas de CA (Certificate Authorities). Os certificados podem ser: Assinados por uma instituição acreditada (Verisign, Thawte, etc...) Certificados auto-assinados. 136

136 Passos para implementação de EAP-TLS com certificados auto Assinados 1. Crie a entidade certificadora(ca) 2. Crie as requisições de Certificados 3. Assinar as requisições na CA 4. Importar os certificados assinados para os Mikrotiks 5. Se necessário, criar os certificados para máquinas windows 137

137 EAP-TLS sem Radiusem ambos lados O método EAP-TLS também pode ser usado com certificados. 138

138 EAP-TLS sem Radiusem ambos lados Metodos TLS dontverifycertificate: Requer um certificado, porém não verifica. no certificates: Certificados são negociados dinamicamente com o algoritmo de Diffie Hellman. verifycertificate: Requer um certificado e verifica se foi assinado por uma CA. 139

139 WPAxcom radius 140

140 EAP-TLS com certificado EAP-TLS (EAP Transport Layer Security) O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse método para um Servidor Radius. Prover maior nível de segurança e necessita de certificados em ambos lados(cliente e servidor). O passo a passo completo para configurar um servidor Radius pode ser encontrado em: 141

141 EAP-TLS com Radiusem ambos lados A configuração da parte do cliente é bem simples. Selecione o método EAP-TLS Certifique-se que os certificados estão instalados e assinados pela CA. Associe o novo perfil de segurança a interface wireless correspondente. 142

142 EAP-TLS com Radiusem ambos lados No lado do AP selecione o método EAP passthrough. Selecione o certificado correspondente. Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado. Caso a data do sistema não esteja correta, poderá causar falha no uso de certificados devido a data validade dos mesmos. 143

143 Segurança de EAP-TLS com Radius Sem dúvida este é o método mais seguro que podemos obter. Entretanto existe um ponto que podemos levantar como possível fragilidade: Ponto de fragilidade Se um atacante tem acesso físico ao link entre o AP e o Radius ele pode tentar um ataque de força bruta para descobrir a PMK. Uma forma de proteger este trecho é usando um túnel L2TP. 144

144 Resumo dos metodosde implantação e seus problemas. WPA-PSK Chaves presentes nos clientes e acessíveis aos operadores. Método sem certificados Passível de invasão por equipamento que também opere nesse modo. Problemas com processador. Mikrotik com Mikrotik com EAP-TLS Método seguro porém inviável economicamente e de implantação praticamente impossível em redes existentes. 145

145 Resumo dos métodos de implantação e seus problemas. Mikrotik com Radius EAP-TLS e EAP-PEAP: EPA-TLS Sujeito ao ataque do homem do meio e pouco disponível em equipamentos atuais. Método seguro, porém também não disponível na maioria dos equipamentos. Em placas PCI é possível implementá-lo. 146

146 Método alternativo com Mikrotik A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP e é vinculada ao MAC Address do cliente, possibilitando que cada um tenha sua chave. Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visível a usuários do Mikrotik. 147

147 Método alternativo com Mikrotik Por outro lado, o Mikrotik permite que essas chaves sejam distribuídas por Radius, o que torna esse método muito interessante. Para isso é necessário: Criar um perfil WPA2 qualquer; Habilitar a autenticação via MAC no AP; Ter a mesma chave configurada tanto no cliente como no Radius. 148

148 Método alternativo com Mikrotik Configurando o perfil: 149

149 Configurando o Radius Arquivo users: (/etc/freeradius) #Sintaxe: # MAC Cleartext-Password:= MAC # Mikrotik-Wireless-Psk = Chave_Psk 000C Cleartext-Password:= 000C Mikrotik-Wireless-Psk = C Cleartext-Password:= 000C Mikrotik-Wireless-Psk = ABC 150

150 Corrigindo o dicionário de atributos (/usr/share/freeradius/dictionary.mikrotik) VENDOR Mikrotik ATTRIBUTE Mikrotik-Recv-Limit 1 integer ATTRIBUTE Mikrotik-Xmit-Limit 2 integer ATTRIBUTE Mikrotik-Group 3 string ATTRIBUTE Mikrotik-Wireless-Forward 4 integer ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x 5 integer ATTRIBUTE Mikrotik-Wireless-Enc-Algo 6 integer ATTRIBUTE Mikrotik-Wireless-Enc-Key 7 string ATTRIBUTE Mikrotik-Rate-Limit 8 string ATTRIBUTE Mikrotik-Realm 9 string ATTRIBUTE Mikrotik-Host-IP 10 ipaddr ATTRIBUTE Mikrotik-Mark-Id 11 string ATTRIBUTE Mikrotik-Advertise-URL 12 string ATTRIBUTE Mikrotik-Advertise-Interval 13 integer ATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14 integer ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords 15 integer ATTRIBUTE Mikrotik-Wireless-Psk 16 string 151

151 Firewall no Mikrotik 152

152 Firewall O firewall é normalmente usado como ferramenta de segurança para prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de entrada, de saída e passante. Além da segurança é no firewall que serão desempenhadas diversas funções importantes como a classificação e marcação de pacotes para desenvolvimento de regras de QoS. A classificação do tráfego feita no firewall pode ser baseada em vários classificadores como endereços MAC, endereços IP, tipos de endereços IP, portas, TOS, tamanho do pacotes, etc

153 Firewall -Opções Filter Rules: Regras para filtro de pacotes. NAT: Onde é feito a tradução de endereços e portas. Mangle: Marcação de pacotes, conexão e roteamento. Service Ports: Onde são localizados os NAT Helpers. Connections: Onde são localizadas as conexões existentes. AddressList: Lista de endereços ipsinseridos de forma dinâmica ou estática e que podem ser utilizadas em várias partes do firewall. Layer7 Protocols: Filtros de camada

154 Firewall Canais default O Firewall opera por meio de regras. Uma regra é uma expressão lógica que diz ao roteador o que fazer com um tipo particular de pacote. Regras são organizadas em canais(chain) e existem 3 canais default. INPUT: Responsável pelo tráfego que CHEGA no router; OUTPUT: Responsável pelo tráfego que SAI do router; FORWARD: Responsável pelo tráfego que PASSA pelo router. 155

155 Firewall Fluxo de pacotes Interface de Entrada Interface de Saida Processo Local IN Processo Local OUT Decisão de Roteamento Filtro Input Filtro Output Decisão de Roteamento Filtro Forward Para maiores informações acesse: 156

156 Firewall Princípios gerais 1. As regras de firewall são sempre processadas por canal, na ordem que são listadas de cima pra baixo. 2. As regras de firewall funcionam como expressões lógicas condicionais, ou seja: se <condição> então <ação>. 3. Se um pacote não atende TODAS condições de uma regra, ele passa para a regra seguinte. 157

157 Firewall Princípios gerais 4. Quando um pacote atende TODASas condições da regra, uma ação é tomada com ele não importando as regras que estejam abaixo nesse canal, pois elas não serão processadas. 5. Algumas exceções ao critério acima devem ser consideradas como as ações de: passthrough, loge add to address list. 6. Um pacote que não se enquadre em qualquer regra do canal, por padrão será aceito. 158

158 Firewall FiltersRules As regras de filtro pode ser organizadas e mostradas da seguinte forma: all: Mostra todas as regras. dynamic: Regras criadas dinamicamente por serviços. forward, input output: Regras referente a cada canal. static: Regras criadas estaticamente pelos usuários. 159

159 Firewall FiltersRules Algumas ações que podem ser tomadas nos filtros de firewall: passthrough: Contabiliza e passa adiante. drop: Descarta o pacote silenciosamente. reject: Descarta o pacote e responde com uma mensagem de icmpou tcp reset. tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas não aloca recursos. 160

160 FilterRules Canais criados pelo usuário Além dos canais padrão o administrador pode criar canais próprios. Esta prática ajuda na organização do firewall. Para utilizar o canal criado devemos desviar o fluxo através de uma ação JUMP. No exemplo acima podemos ver 3 novos canais criados. Para criar um novo canal basta adicionar uma nova regra e dar o nome desejado ao canal. 161

161 Firewall FiltersRules Ações relativas a canais criados pelo usuário: jump: Salta para um canal definido em jump-target jumptarget: Nome do canal para onde se deve saltar return: Retorna para o canal que chamou o jump 162

162 Como funciona o canal criado pelo usuário Canal criado pelo usuário REGRA REGRA REGRA JUMP REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA 163

163 Como funciona o canal criado pelo usuário REGRA REGRA REGRA JUMP REGRA REGRA REGRA REGRA REGRA REGRA REGRA RETURN REGRA REGRA REGRA REGRA Caso exista alguma regra de RETURN, o retorno é feito de forma antecipada e as regras abaixo serão ignoradas. 164

164 Firewall AddressList A addresslistcontém uma lista de endereços IP que pode ser utilizada em várias partes do firewall. Pode-se adicionar entradas de forma dinâmica usando o filtro ou mangle conforme abaixo: Ações: adddstto addresslist: Adiciona o IP de destino à lista. addsrcto addresslist: Adiciona o IP de origem à lista. Address List: Nome da lista de endereços. Timeout: Porque quanto tempo a entrada permanecerá na lista. 165

165 Firewall Técnica do knockknock 166

166 Firewall Técnica do knockknock A técnica do knockknock consiste em permitir acesso ao roteador somente após ter seu endereço IP em uma determinada address list. Neste exemplo iremos restringir o acesso ao winboxsomente a endereços IPsque estejam na lista libera_winbox /ip firewall filter add chain=input protocol=tcp dst-port=2771 action=add-src-to-address-list address-list=knock\ address-list-timeout=15s comment="" disabled=no add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add-src-to-address-list\ address-list=libera_winbox address-list-timeout=15m comment="" disabled=no add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept disabled=no add chain=input protocol=tcp dst-port=8291 action=drop disbled=no 167

167 Firewall Connection Track Refere-se a habilidade do roteador em manter o estado da informação relativa as conexões, tais como endereços IP de origem e destino, as respectivas portas, estado da conexão, tipo de protocolos e timeouts. Firewalls que fazem connection tracksão chamados de statefull e são mais seguros que os que fazem processamentos stateless. 168

168 Firewall Connection Track O sistema de connection tracké o coração do firewall. Ele obtém e mantém informações sobre todas conexões ativas. Quando se desabilita a função connection tracking são perdidas as funcionalidades NAT e as marcações de pacotes que dependam de conexão. No entanto, pacotes podem ser marcados de forma direta. Connection tracké exigente de recursos de hardware. Quando o equipamento trabalha somente como bridge é aconselhável desabilitá-la. 169

169 Localização da Connection Tracking Interface de Entrada Processo Local IN Processo Local OUT Interface de Saida Conntrack Conntrack Decisão de Roteamento Filtro Input Filtro Output Decisão de Roteamento Filtro Forward 170

170 Firewall Connection Track Estado das conexões: Estado das conexões: established: Significa que o pacote faz parte de uma conexão já estabelecida anteriormente. new: Significa que o pacote está iniciando uma nova conexão ou faz parte de uma conexão que ainda não trafegou pacotes em ambas direções. related: Significa que o pacote inicia uma nova conexão, porém está associada a uma conexão existente. invalid: Significa que o pacote não pertence a nenhuma conexão existente e nem está iniciando outra. 171

171 Firewall Protegendo o Roteador e os Clientes 172

172 Princípios básicos de proteção Proteção do próprio roteador Tratamento das conexões e eliminação de tráfego prejudicial/inútil. Permitir somente serviços necessários no próprio roteador. Prevenir e controlar ataques e acessos não autorizado ao roteador. Proteção da rede interna Tratamento das conexões e eliminação de tráfego prejudicial/inútil. Permitir somente os serviços necessários nos clientes. Prevenir e controlar ataques e acesso não autorizado em clientes. 173

173 Firewall Tratamento de conexões Regras do canal input Descarta conexões inválidas. Aceitar conexões estabelecidas. Aceitar conexões relacionadas. Aceitar todas conexões da rede interna. Descartar o restante. 174

174 Firewall Controle de serviços Regras do canal input Permitir acesso externo ao winbox. Permitir acesso externo por SSH. Permitir acesso externo ao FTP. Realocar as regras. 175

175 Firewall Filtrando tráfego prejudicial/inútil Bloquear portas mais comuns utilizadas por vírus. Baixar lista com portas e protocolos utilizados por vírus. ftp:// /virus.rsc Importar o arquivo virus.rsce criar um jump para que as regras funcionem. 176

176 Firewall Filtrando tráfego indesejável e possíveis ataques. Controle de ICMP Internet ControlMessageProtocolé basicamente uma ferramenta para diagnóstico da rede e alguns tipos de ICMP devem ser liberados obrigatoriamente. Um roteador usa tipicamente apenas 5 tipos de ICMP(type:code), que são: Ping Mensagens (8:0) e (0:0) Traceroute Mensagens (11:0) e (3:3) PMTUD Mensagens (3:4) Os outros tipos de ICMP podem ser bloqueados. 177

177 Firewall Filtrando tráfego indesejável IP s Bogons: Existem mais de 4 milhões de endereços IPV4. Existem muitas ranges de IP restritos em rede públicas. Existem várias ranges reservadas para propósitos específicos. Uma lista atualizada de IP s bogons pode ser encontrada em: IP s Privados: Muitos aplicativos mal configurados geram pacotes destinados a IP s privados e é uma boa prática filtrá-los. 178

178 Ping Flood: Firewal Proteção básica PingFloodconsiste no envio de grandes volumes de mensagens ICMP aleatórias. É possível detectar essa condição no Mikrotik criando uma regra em firewall filtere podemos associá-la a uma regra de log para monitorar a origem do ataque ou simplesmente dropar. 179

179 Firewal Proteção básica Port Scan: Consiste no scaneamento de portas TCP e/ou UDP. A detecção de ataques somente é possível para o protocolo TCP. Portas baixas (0 1023) Portas altas ( ) 180

180 Ataques DoS: Firewal Proteção básica O principal objetivo do ataque de DoSé o consumo de recursos de CPU ou banda. Usualmente o roteador é inundado com requisições de conexões TCP/SYN causando resposta de TCP/SYN-ACK e a espera do pacote TCP/ACK. Normalmente não é intencional ou é causada por vírus em clientes. Todos os IP scom mais de 15 conexões com o roteador podem ser considerados atacantes. 181

181 Ataques DoS: Firewal Proteção básica Se simplesmente descartamos as conexões, permitiremos que o atacante crie uma nova conexão. Para que isso não ocorra, podemos implementar a proteção em dois estágios: Detecção Criar uma lista de atacantes DoS com base em connection limit. Supressão Aplicando restrições aos que forem detectados. 182

182 Firewal Proteção para ataques DoS Criar a lista de atacantes para posteriormente aplicarmos a supressão adequada. 183

183 Firewal Proteção para ataques DoS Com a ação tarpit aceitamos a conexão e a fechamos, não deixando no entanto o atacante trafegar. Essa regra deve ser colocada antes da regra de detecção ou então a addresslistirá reescrevê-la todo tempo

184 Ataque ddos: Firewal Proteção básica Ataque de ddossão bastante parecidos com os de DoS, porém partem de um grande número de hosts infectados. A única medida que podemos tomar é habilitar a opção TCP SynCookieno Connection Track do firewall. 185

185 Firewall -NAT NAT Network AddressTranslationé uma técnica que permite que vários hosts em uma LAN usem um conjunto de endereços IP spara comunicação interna e outro para comunicação externa. Existem dois tipos de NAT. SrcNAT: Quando o roteador reescreve o IP ou porta de origem. SRC DST SRC NAT Novo SRC DST DstNAT: Quando o roteador reescreve o IP ou porta de destino. SRC DST DST NAT SRC Novo DST 186

186 Firewall -NAT As regras de NAT são organizadas em canais: dstnat: Processa o tráfego enviado PARA o roteador e ATRAVÉS do roteador, antes que ele seja dividido em INPUT e/ou FORWARD. srcnat: Processa o tráfego enviado A PARTIR do roteador e ATRAVÉS do roteador, depois que ele sai de OUTPUT e/ou FORWARD. 187

187 Firewall NAT Fluxo de pacotes Interface de Entrada Interface de Saida Conntrack Processo Local IN Processo Local OUT dstnat Conntrack srcnat Decisão de Roteamento Filtro Input Filtro Output Decisão de Roteamento Filtro Forward 188

188 Firewall -NAT Source NAT: A ação mascarade troca o endereço IP de origem de uma determinada rede pelo endereço IP da interface de saída. Portanto se temos, por exemplo, a interface ether2 com endereço IP e uma rede local /16 por trás da ether1, podemos fazer o seguinte: Desta forma, todos os endereços IPs da rede local vão obter acesso a internet utilizando o endereço IP

189 Firewall -NAT NAT (1:1): Serve para dar acesso bi-direcional a um determinado endereço IP. Dessa forma, um endereço IP de rede local pode ser acessado através de um IP público e vice-versa. 190

190 Firewall -NAT Redirecionamento de portas: O NAT nos possibilita redirecionar portas para permitir acesso a serviços que rodem na rede interna. Dessa forma podemos dar acesso a serviços de clientes sem utilização de endereço IP público. Redirecionamento para acesso ao servidor WEB do cliente pela porta Redirecionamento para acesso ao servidor WEB do cliente pela porta

191 Firewall -NAT NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso bi-direcional de rede para rede. Com isso podemos mapear, por exemplo, a rede /24 para a rede /24 assim: 192

192 Firewall NAT Helpers Hosts atrás de uma rede nateada não possuem conectividade fim-afim verdadeira. Por isso alguns protocolos podem não funcionar corretamente neste cenário. Serviços que requerem iniciação de conexões TCP fora da rede, bem como protocolos stateless como UDP, podem não funcionar. Para resolver este problema, a implementação de NAT no Mikrotik prevê alguns NAT Helpers que têm a função de auxiliar nesses serviços. 193

193 Firewall Mangle O mangle no Mikrotik é uma facilidade que permite a introdução de marcas em pacotes IP ou em conexões, com base em um determinado comportamento especifico. As marcas introduzidas pelo mangle são utilizadas em processamento futuro e delas fazem uso o controle de banda, QoS, NAT, etc... Elas existem somente no roteador e portanto não são passadas para fora. Com o mangle também é possível manipular o determinados campos do cabeçalho IP como o ToS, TTL, etc

194 Firewall Mangle As regras de manglesão organizadas em canais e obedecem as mesma regras gerais das regras de filtro quanto a sintaxe. Também é possível criar canais pelo próprio usuário. Existem 5 canais padrão: prerouting: Marca antes da fila Global-in ; postrouting: Marca antes da fila Global-out ; input: Marca antes do filtro input ; output: Marca antes do filtro output ; forward: Marca antes do filtro forward ; 195

195 Firewall Diagrama do Mangle Interface de Entrada Processo Local IN Processo Local OUT Interface de Saida Mangle Input Mangle Output Mangle Prerouting Decisão de Roteamento Decisão de Roteamento Mangle Postrouting Mangle Forward 196

196 Firewall Mangle As opções de marcações incluem: mark-connection: Marca apenas o primeiro pacote. mark-packet: Marca todos os pacotes. mark-routing: Marca pacotes para política de roteamento. Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo tempo. Porém não pode conter 2 marcas iguais. 197

197 Firewall Mangle Marcando rotas: As marcas de roteamento são aproveitadas para determinar políticas de roteamento. A utilização dessas marcas será abordada no tópico do roteamento. 198

198 Firewall Mangle Marcando conexões: Use mark-connectionpara identificar uma ou um grupo de conexões com uma marca especifica de conexão. Marcas de conexão são armazenadas na contrack. Só pode haver uma marca de conexão para cada conexão. O uso da contrackfacilita na associação de cada pacote a uma conexão específica. 199

199 Marcando pacotes: Firewall Mangle Use mark-packet para identificar um fluxo continuo de pacotes. Marcas de pacotes são utilizadas para controle de tráfego e estabelecimento de políticas de QoS. 200

200 Firewall Mangle Marcando pacotes: Indiretamente: Usando a facilidade da connection tracking, com base em marcas de conexão previamente criadas. Esta é a forma mais rápida e eficiente. Diretamente: Sem o uso da connection trackingnão é necessário marcas de conexões anteriores e o roteador irá comparar cada pacote com determinadas condições. 201

201 Firewall Estrutura 202

202 Firewall Fluxo de pacotes 203

203 Firewall -Mangle Um bom exemplo da utilização do mangle é marcando pacotes para elaboração de QoS. Após marcar a conexão, agora precisamos marcar os pacotes provenientes desta conexão. 204

204 Firewall -Mangle Com base na conexão já marcada anteriormente, podemos fazer as marcações dos pacotes. Obs.: A marcação de P2P disponibilizada no Mikrotik não inclui os programas que usam criptografia. 205

205 Firewall -Mangle É possível disponibilizar um modelo simples de QoS utilizando o mangle. Para isso precisamos marcar os seguintes fluxos: Navegação http e https; FTP MSN ICMP P2P Demais serviços 206

206 Dúvidas??? 207

207 QoSe Controle de banda 208

208 Conceitos básicos de Largura e Limite de banda Largura de banda: Em telecomunicações, a largura da banda ou apenas banda (também chamada de débito) usualmente se refere à bitratede uma rede de transferência de dados, ou seja, a quantidade em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de frequênciasé justificada pelo fato de que o limite de transferência de dados de um meio está ligado à largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56 kbps), na chamada conexão discada. Limite de banda: O limite de banda é o limite máximo de transferência de dados, onde também é designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56 kilobits(7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de 1Mbps, você conseguiria transportar cerca de 1 megabitou aproximadamente 340 kilobytespor segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também chamado de Taxa ou Velocidade de Transferência ou (throughput), que varia aproximadamente entre 10 a 12 por cento do valor nomintalde seu limite de banda. Por exemplo, numa velocidade de 56kbps, você conseguirá taxas de transferenciade no máximo 5,6 a 6,7 kbpsaproximadamente, enquanto numa banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a 30,7kbps 209

209 TrafficShaping Trafficshapingé um termo da língua inglesa, utilizado para definir a prática de priorização do tráfego de dados, através do condicionamento do débitode redes, a fim de otimizar o uso da largura de banda disponível. O termo passou a ser mais conhecido e utilizado após a popularização do uso de tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da internet. O uso desta tecnologia permite que a comunicação entre localidades distintas tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns. No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas utilizam programas de gestão de dados que acompanham e analisam a utilização e priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP, assim prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente adotada para outros tipos de serviços, conhecidos por demandar grande utilização da largura de banda, como os de transferência de arquivos, por exemplo, P2P e FTP. Os programas de trafficshapingpodem ainda fazer logsdos hábitos de utilizadores, capturar informações sobre IPsacedidos, ativar gravações automáticas a partir de determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador, bloqueando redes peer-to-peer(p2p) ou FTP. 210

210 Qualidade de Serviço No campo das telecomunicaçõese redes de computadores, o termo Qualidade de Serviço(QoS) pode tender para duas interpretações relacionadas, mas distintas. Em redes de comutação de circuitos, refere-se à probabilidade de sucesso em estabelecer uma ligação a um destino. Em redes de comutação de pacotesrefere-se à garantia de largura de banda ou, como em muitos casos, é utilizada informalmente para referir a probabilidade de um pacote circular entre dois pontos de rede. Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura oferecer bastantesrecursos, suficientes para o picoesperado, com uma margem de segurança substancial. É simples e eficaz, mas na prática é assumido como dispendioso, e tende a ser ineficaz se o valor de pico aumentar além do previsto: reservar recursos gasta tempo. O segundo método é o de obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routersconseguirem servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetário associado! 211

211 Qualidade de Serviço Os mecanismos para prover QoS no Mikrotik são: Limitar banda para certos IP s, subredes, protocolos, serviços e outros parâmetros. Limitar tráfego P2P. Priorizar certos fluxos de dados em relação a outros. Utilizar burst s para melhorar o desempenho web. Compartilhar banda disponível entre usuários de forma ponderada dependendo da carga do canal. Utilização de WMM Wireless Multimídia. MPLS MultiProtocolLayerSwitch 212

212 Qualidade de Serviço Os principais termos utilizados em QoS são: Queuingdiscipline(qdisc): Disciplina de enfileiramento. É um algoritmo que mantém e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem, podendo inclusive reordená-los, e determina quais pacotes serão descartados. LimitAtou CIR(CommitedInformationRate): Taxa de dados garantida. É a garantia de banda fornecida a um circuito ou link. Max Limitou MIR(Maximal InformationRate): Taxa máxima de dados que será fornecida. Ou seja, limite a partir do qual os pacotes serão descartados. Priority: É a ordem de importância que o tráfego é processado. Pode-se determinar qual tipo de tráfego será processado primeiro. 213

213 Filas -Queues Para ordenar e controlar o fluxo de dados, é aplicada uma política de enfileiramento aos pacotes que estejam deixandoo roteador. Ou seja: As filas são aplicadas na interface onde o fluxo está saindo. A limitação de banda é feita mediante o descarte de pacotes. No caso do protocolo TCP, os pacotes descartados serão reenviados, de forma que não há com que se preocupar com relação a perda de dados. O mesmo não vale para o UDP. 214

214 Tipos de filas Antes de enviar os pacotes por uma interface, eles são processados por uma disciplina de filas(queuetypes). Por padrão as disciplinas de filas são colocadas sob queue interface para cada interface física. Uma vez adicionada uma fila para uma interface física, a fila padrão da interface, definida em queueinterface, não será mantida. Isso significa que quando um pacote não encontra qualquer filtro, ele é enviado através da interface com prioridade máxima. 215

215 Tipos de filas As disciplinas de filas são utilizadas para (re)enfileirar e (re)organizar pacotes na medida em que os mesmos chegam na interface. As disciplinas de filas são classificadas pela sua influência no fluxo de pacotes da seguinte forma: Schedulers: (Re) ordenam pacotes de acordo com um determinado algoritmo e descartam aqueles que se enquadram na disciplina. As disciplinas schedulers são: PFIFO, BFIFO, SFQ, PCQ e RED. Shapers: Também fazem limitação. Esses são: PCQ e HTB. 216

216 Controle de tráfego 217

217 Controle de tráfego O controle de tráfego é implementado através de dois mecanismos: Pacotes são policiados na entrada: Pacotes indesejáveis são descartados. Pacotes são enfileirados na interface de saída: Pacotes podem ser atrasados, descartados ou priorizados. 218

218 Controle de tráfego O controle de tráfego é implementado internamente por 4 tipos de componentes: Queuing Disciplines (qdisc): Algoritmos que controlam o enfileiramento e envio de pacotes. Ex.: FIFO. Classes: Representam entidades de classificação de pacotes. Cada classe pode estar associada a um qdisc. Filters: Utilizados para classificar os pacotes e atribuí-los as classes. Policers: Utilizados para evitar que o tráfego associado a cada filtro ultrapasse limites pré-definidos. 219

219 Controle de tráfego Tipos de fila PFIFO e BFIFO: Estas disciplinas de filas são baseadas no algoritmo FIFO(First-in First-out), ou seja, o primeiro que entra é o primeiro que sai. A diferença entre PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes. Existe apenas um parâmetro chamado Queue Sizeque determina a quantidade de dados em uma fila FIFO pode conter. Todo pacote que não puder ser enfileirado (se fila estiver cheia) será descartado. Tamanhos grandes de fila poderão aumentar a latência. Em compensação provê melhor utilização do canal. 220

220 Controle de tráfego Tipos de fila RED: Random Early Detection Detecção Aleatória Antecipada é um mecanismo de enfileiramento que tenta evitar o congestionamento do link controlando o tamanho médio da fila. Quando o tamanho médio da fila atinge o valor configurado em min threshould, o RED escolhe um pacote para descartar. A probabilidade do número de pacotes que serão descartados cresce na medida em que a média do tamanho da fila cresce. Se o tamanho médio da fila atinge o max threshould, os pacotes são descartados com a probabilidade máxima. Entretanto existem casos que o tamanho real da fila é muito maior que o max threshould então todos os pacotes que excederem o min threshould serão descartados. REDé indicado em links congestionados com altas taxas de dados. Como é muito rápido funciona bem com TCP. 221

221 Controle de tráfego Tipos de fila SFQ: StochasticFairnessQueuing Enfileiramento Estocástico com justiça é uma disciplina que tem justiça assegurada por algoritmos de hashinge round roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4 opções: src-address dst-address src-port dst-port Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritmo round roubindistribui a banda disponível para estas sub-filas, a cada rodada configurada no parâmetro allot(bytes). Não limita o tráfego. O objetivo é equalizar os fluxos de tráfegos(sessões TCP e streaming UDP) quando o link(interface) está completamente cheio. Se o link não está cheio, então não haverá fila e, portanto, qualquer efeito, a não ser quando combinado com outras disciplinas (qdisc). 222

222 Controle de tráfego Tipos de fila SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e há 1024 sub-filas disponíveis. É recomendado o uso de SFQ em links congestionados para garantir que as conexões não degradem. SFQ é especialmente recomendado em conexões wireless. 223

223 Controle de tráfego Tipos de fila PCQ: Per Connection Queuing Enfileiramento por conexão foi criado para resolver algumas imperfeições do SFQ. É o único enfileiramento de baixo nível que pode fazer limitação sendo uma melhoria do SFQ, sem a natureza estocástica. PCQ também cria sub-filas considerando o parâmetro pcq-classifier. Cada sub-fila tem uma taxa de transmissão estabelecida em ratee o tamanho máximo igual a limit. O tamanho total de uma fila PCQ fica limitado ao configurado em total limit. No exemplo abaixo vemos o uso do PCQ com pacotes classificados pelo endereço de origem. 224

224 Controle de tráfego Tipos de fila PCQ: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes com diferentes endereços serão organizados em sub-filas diferentes. Nesse caso é possível fazer a limitação ou equalização para cada sub-fila com o parâmetro Rate. Neste ponto o mais importante é decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na interface local, todo o tráfego da interface pública será agrupado pelo endereço de origem. O que não é interessante. Mas se for empregado na interface pública todo o tráfego dos clientes será agrupado pelo endereço de origem, o que torna mais fácil equalizar o upload dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o classificador será o dst. Address e configurado na interface local. 225

225 QoS-HTB Hierarchical Token Bucket é uma disciplina de enfileiramento hierárquico que é usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB simula vários links em um único meio físico, permitindo o envio de diferentes tipos de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito útil para limitar download e upload de usuários em uma rede. Desta forma não existe saturamento da largura de banda disponível no link físico. Além disso, no Mikrotik, é utilizado para fazer QoS. Cada classtem um pai e pode ter uma ou mais filhas. As que não tem filhas são colocadas no level 0, onde as filas são mantidas e chamadas de leafs class. Cada classe na hierarquia pode priorizar e dar forma ao tráfego. 226

226 QoS-HTB Exemplo de HTB Queue01limit-at=0Mbps max-limit=10mbps Queue02limit-at=4Mbps max-limit=10mbps Queue03limit-at=6Mbps max-limit=10mbps priority=1 Queue04limit-at=2Mbps max-limit=10mbps priority=3 Queue05 limit-at=2mbps max-limit=10mbps priority=5 Queue03irá receber 6Mbps Queue04irá receber 2Mbps Queue05irá receber 2Mbps Obs.:Neste exemplo o HTB foi configurado de modo que, satisfazendo todas as garantias, a fila pai não possuirá nenhuma capacidade para distribuir mais banda caso seja solicitado por uma filha. 227

227 QoS-HTB Exemplo de HTB Queue01limit-at=0Mbps max-limit=10mbps Queue02limit-at=8Mbps max-limit=10mbps Queue03limit-at=2Mbps max-limit=10mbps priority=1 Queue04limit-at=2Mbps max-limit=10mbps priority=3 Queue05limit-at=2Mbps max-limit=10mbps priority=5 Queue03irá receber 2Mbps Queue04irá receber 6Mbps Queue05irá receber 2Mbps Obs.:Após satisfazer todas garantias, o HTB disponibilizará mais banda, até o máximo permitido para a fila com maior prioridade. Mas, neste caso, permitirá-se uma reserva de 8M para as filas Queue04e Queue05,as quais, a que possuir maior prioridade receberá primeiro o adicional de banda, pois a fila Queue2possui garantia de banda atribuida. 228

228 Termos do HTB: QoS-HTB Filter: Um processo que classifica pacotes. Os filtros são responsáveis pela classificação dos pacotes para que eles sejam colocados nas correspondentes qdisc. Todos os filtros são aplicados na fila raiz HTB e classificados diretamente nas qdiscs, sem atravessar a árvore HTB. Se um pacote não está classificado em nenhuma das qdiscs, é enviado a interface diretamente, por isso nenhuma regra HTB é aplicada aos pacotes. Level: Posição de uma classe na hierarquia. Class: Algoritmo de limitação no fluxo de tráfego para uma determinada taxa. Ela não guarda quaisquer pacotes. Uma classe pode conter uma ou mais subclasses(inner class) ou apenas uma e um qdisc(leaf classe). 229

229 Estados das classes HTB: QoS-HTB Cada classe HTB pode estar em um dos 3 estados, dependendo da banda que está consumindo: Verde: de 0% a 50% da banda disponível está em uso. Amarelo: de 51% a 75% da banda disponível está em uso. Vermelho: de 76% a 100% da banda disponível está em uso. Neste ponto começam os descartes de pacotes que se ultrapassam o max-limit. 230

230 QoS-HTB No Mikrotik as estruturas do HTB pode ser anexadas a quatro locais diferentes. Interfaces: Global-in: Representa todas as interfaces de entrada em geral(ingress queue). As filas atreladas à Global-in recebem todo tráfego entrante no roteador, antes da filtragem de pacotes. Global-out: Representa todas as interfaces de saidaem geral(egress queue). As filas atreladas à Global-out recebem todo tráfego que sai do roteador. Global-total: Representa uma interface virtual através do qual se passa todo fluxo de dados. Quando se associa uma politícade filas à Global-total, a limitação é feita em ambas direções. Por exemplo se configurarmos um totalmax-limitde 300kbps, teremos um total de download+uploadde 300kbps, podendo haver assimetria. Interface X: Representa uma interface particular. Somente o tráfego que é configurado para sair através desta interface passará através da fila HTB. 231

231 Interfaces virtuais e o Mangle Interface de Entrada Processo Local IN Processo Local OUT Interface de Saida Mangle Prerouting Mangle Input Mangle Output Global-out Global-in Decisão de Roteamento Decisão de Roteamento Mangle Posrouting Mangle Forward 232

232 Filas simples As principais propriedades configuráveis de uma fila simples são: Limite por direção de IP de origem ou destino Interface do cliente Tipo de fila Limit-at, max-limit, priority e burst para download e upload Horário. 233

233 Filas simples -Burst Burstssão usados para permitir altas taxas de transferência por um período curto de tempo. Os parâmetros que controlam o burst são: burst-limit: Limite máximo que o burst alcançará. burst-time: Tempo que durará o burst. burst-threshold: Patamar para começar a limitar. max-limit: MIR 234

234 Como funciona o Burst max-limite=256kbps burst-time=8s burst-threshold=192kbps burst-limit=512kbps Inicialmente é dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula a taxa média de consumo de banda durante o burst-time de 8 segundos. Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold. Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do threshold. Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde acaba o burst. A partir deste momento a taxa máxima do cliente passa a ser o max-limit. 235

235 Utilização do PCQ PCQ é utilizado para equalizar cada usuário ou conexão em particular. Para utilizar o PCQ, um novo tipo de fila deve ser adicionado com o argumento kind=pcq. Devem ainda ser escolhidos os seguintes parâmetros: pcq-classifier pcq-rate 236

236 Utilização do PCQ Caso 1: Com o rateconfigurado como zero, as subqueuesnão são limitadas, ou seja, elas poderão usar a largura máxima de banda disponível em max-limit. Caso 2: Se configurarmos um ratepara a PCQ as subqueuesserão limitadas nesse rate, até o total de max-limit. Caso 1 Caso 2 237

237 Utilização do PCQ Nesse caso, com o rate da fila é 128k, não existe limit-ate tem um max-limitde 512k, os clientes receberão a banda da seguinte forma: 238

238 Utilização do PCQ Nesse caso, com o rate da fila é 0, não existe limit-ate tem um max-limitde 512k, os clientes receberão a banda da seguinte forma: 239

239 Arvores de Fila Trabalhar com árvores de fila é uma maneira mais elaborada de administrar o tráfego. Com elas é possível construir sob medida uma hierarquia de classes, onde poderemos configurar as garantias e prioridades de cada fluxo em relação à outros, determinando assim uma política de QoS para cada fluxo do roteador. Os filtros de árvores de filas são aplicados na interface especifica. Os filtros são apenas marcas que o firewallfaz no fluxo de pacotes na opção mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no roteador. A árvore de fila é também a única maneira para adicionar uma fila em uma interface separada. Também é possível ter o dobro de enfileiramento. Ex: priorizando o tráfego globalin e/ou global-out, limitação por cliente na interface de saída. Se é configurado filas simples e árvores de filas no mesmo roteador, as filas simples receberão o tráfego primeiro e em seguida o classficarão. 240

240 Arvores de Fila As árvores de fila são configuradas em queue tree. Dentre as propriedades configuráveis podemos destacar: Escolher uma marca de tráfego feita no firewall mangle; parente-class ou interface de saída; Tipo de fila; Configurações de limit-at, max-limit, priority e burst. 241

241 Arvores de Fila QUEUE MARCA LIMIT-AT MAX-LIMIT PRIORITY Q1 C1 10M 30M 8 Q2 C2 1M 30M 8 Q3 C3 1M 30M 8 Q4 C4 1M 30M 8 Q5 C5 1M 30M 8 Obs.: O roteador não conseguirá garantir banda para Q1 o tempo todo. 242

242 Arvores de Fila Filas com parent (hierarquia). 243

243 Arvores de Fila C1 possui maior prioridade, portanto consegue atingir o max-limit. O restante da banda é dividida entre as outras leaf-queue. 244

244 Dúvidas??? 245

245 Túneis e VPN 246

246 VPN Uma Rede Privada Virtual é uma rede de comunicações privada normalmente utilizada por uma empresa ou conjunto de empresas e/ou instituições, construídas em cima de uma rede pública. O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. 247

247 VPN As principais características da VPN são: Promover acesso seguro sobre meios físicos públicos como a internet por exemplo. Promover acesso seguro sobre linhas dedicadas, wireless, etc... Promover acesso seguro a serviços em ambiente corporativo de correio, impressoras, etc... Fazer com que o usuário, na prática, se torne parte da rede corporativa remota recebendo IPsdesta e perfis de segurança definidos. A base da formação das VPNsé o tunelamento entre dois pontos, porém tunelamento não é sinônimo de VPN. 248

248 Tunelamento A definição de tunelamento é a capacidade de criar túneis entre dois hosts por onde trafegam dados. O Mikrotik implementa diversos tipos de tunelamento, podendo ser tanto servidor como cliente desses protocolos: PPP (Point to Point Protocol) PPPoE(Point to Point Protocol over Ethernet) PPTP (Point to Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) OVPN (Open Virtual Private Network) IPSec(IP Security) Túneis IPIP Túneis EoIP Túneis VPLS Túneis TE 249

249 PPP Definições Comuns para os serviços MTU/MRU: Unidade máximas de transmissão/ recepção em bytes. Normalmente o padrão ethernet permite 1500 bytes. Em serviços PPP que precisam encapsular os pacotes, devese definir valores menores para evitar fragmentação. KeepaliveTimeout: Define o período de tempo em segundos após o qual o roteador começa a mandar pacotes de keepalivepor segundo. Se nenhuma reposta é recebida pelo período de 2 vezes o definido em keepalivetimeout o cliente é considerado desconectado. Authentication: As formas de autenticação permitidas são: Pap: Usuário e senha em texto plano sem criptografica. Chap: Usuário e senha com criptografia. Mschap1: Versão chap da Microsoft conf. RFC 2433 Mschap2: Versão chap da Microsoft conf. RFC

250 PPP Definições Comuns para os serviços PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então será necessário que haja algum mecanismo para avisar que esta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a resposta dos roteadores intermediariose a adequação dos pacotes posteriores é chamada Path MTU Discovery ou PMTUD. Normalmente esta funcionalidade está presente em todos roteadores, sistemas Unix e no Mikrotik ROS. MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes menores, permitindo o melhor dimensionamento do túnel. Especificar o MRRU significa permitir MP (MultilinkPPP) sobre túnel simples. Essa configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser configurado em ambos lados. 251

251 PPP Definições Comuns para os serviços Change MSS: Maximun Segment Size, tamanho máximo do segmento de dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns caso o PMTUD está quebrado ou os roteadores não conseguem trocar informações de maneira eficiente e causam uma série de problemas com transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona ferramentas onde é possível interferir e configurar uma diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema. 252

252 PPPoE Cliente e Servidor PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui informações sobre o remetente e o destinatário, desperdiçando mais banda. Cerca de 2% a mais. Muito usado para autenticação de clientes com base em Login e Senha. O PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a internet. O cliente não tem IP configurado, o qual é atribuido pelo Servidor PPPoE(concentrador) normalmente operando em conjunto com um servidor Radius. No Mikrotik não é obrigatório o uso de Radius pois o mesmo permite criação e gerenciamento de usuários e senhas em uma tabela local. PPPoE por padrão não é criptografado. O método MPPE pode ser usado desde que o cliente suporte este método. 253

253 PPPoE Cliente e Servidor O cliente descobre o servidor através do protocolo pppoe discovery que tem o nome do serviço a ser utilizado. Precisa estar no mesmo barramento físico ou os dispositivos passarem pra frente as requisições PPPoE usando pppoe relay. No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará bem na maioria dos casos. Se configurarmos pra zero, o servidor não desconectará os clientes até que os mesmos solicitem ou o servidor for reiniciado. 254

254 Configuração do Servidor PPPoE 1. Primeiro crie um pool de IPspara o PPPoE. /ip pool add name=pool-pppoe ranges= Adicione um perfil para o PPPoE onde: Local Address = Endereço IP do concentrado. Remote Address = Pool do pppoe. /ppp profile local-address= name=perfilpppoe remote-address=pool-pppoe 255

255 Configuração do Servidor PPPoE 3. Adicione um usuário e senha /pppsecretaddname=usuariopassword= service=pppoe profile=perfil-pppoe Obs.: Caso queira verificar o MAC-Address, adicione em CallerID. Esta opção não é obrigatória, mas é um parametro a mais para segurança. 256

256 Configuração do Servidor PPPoE 4. Adicione o Servidor PPoE Service Name= Nome que os clientes vão procurar (pppoe-discovery). Interface= Interface onde o servidor pppoevai escutar. /interface pppoe-server server add authentication=chap, mschap1, mschap2 default-profile=perfil-pppoe disabled=no interface=wlan1 keepalive-timeout=10 maxmru=1480 max-mtu=1480 max-sessions=50 mrru=512 one-session-per-host=yes servicename="servidor PPPoE" 257

257 Mais sobre perfis Bridge: Bridge para associar ao perfil Incoming/Outgoing Filter: Nome do canal do firewall para pacotes entrando/saindo. Address List: Lista de endereços IP para associar ao perfil. DNS Server: Configuração dos servidores DNS a atribuir aos clientes. Use Compression/Encryption/Change TCP MSS: caso estejam em default, vão associar ao valor que está configurado no perfil default-profile. 258

258 Mais sobre perfis Session Timeout: Duração máxima de uma sessão PPPoE. Idle Timeout: Período de ociosidade na transmissão de uma sessão. Se não houver tráfego IP dentro do período configurado, a sessão é terminada. Rate Limit: Limitação da velocidade na forma rx-rate/tx-rate. Pode ser usado também na forma rx-rate/tx-rate rx-burst-rate/tx-burstrate rx-burst-threshould/tx-burst-threshould burst-time priority rx-rate-min/tx-rate-min. Only One: Permite apenas uma sessão para o mesmo usuário. 259

259 Mais sobre o database Service: Especifica o serviço disponível para este cliente em particular. Caller ID: MAC Address do cliente. Local/Remote Address: Endereço IP Local (servidor) e remote(cliente) que poderão ser atribuídos a um cliente em particular. Limits Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sessão PPPoE. Routes: Rotas que são criadas do lado do servidor para esse cliente especifico. Várias rotas podem ser adicionadas separadas por vírgula. 260

260 Mais sobre o PPoEServer O concentrador PPPoE do Mikrotik suporta múltiplos servidores para cada interface com diferentes nomes de serviço. Além do nome do serviço, o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador é a identidade do roteador. O valor de MTU/MRU inicialmente recomendado para o PPPoE é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser configurado no AP. Para clientes Mikrotik, a interface de rádio pode ser configurada com a MTU em 1600 bytes e a MTU da interface PPPoE em 1500 bytes. Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio de clientes MS Windows. A opção One Session Per Host permite somente uma sessão por host(mac Address). Por fim, Max Sessions define o número máximo de sessões que o concentrador suportará. 261

261 Segurança no PPPoE Para assegurar um servidor PPPoE podese utilizar Filtros de Bridge, configurando a entrada ou repasse dos protocolos pppoe-discovery e pppoe-sessione descartando os demais. Mesmo que haja somente uma interface, ainda sim é possível utilizar os Filtros de Bridge, bastando para tal, criar uma Bridge e associar em Ports apenas esta interface. Em seguida alterar no PPPoE Server a interface de esculta. 262

262 Configurando o PPPoEClient AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um. Service: Nome do serviço designado no servidor PPPoE. Dial OnDemand: Disca sempre que é gerado tráfego de saída. Add Default Route: Adiciona um rota padrão(default). UserPeerDNS: Usa o DNS do servidor PPPoE. 263

263 PPTP e L2TP L2TP Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada 2 é um protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma criptografada ou não e permite enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos. O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacote de dados. A porta UDP 1701 é utilizada para o estabelecimento do link e o tráfego em si utiliza qualquer porta UDP disponível, o que significa que o L2TP pode ser usado com a maioria dos Firewalls e Routers, funcionando também através de NAT. L2TP e PPTP possuem as mesma funcionalidades. 264

264 Configuração do Servidor PPTP e L2TP Configure um pool, um perfil para o PPTP, adicione um usuário em secrets e habilite o servidor PPTP conforme as figuras. 265

265 Configuração do Servidor PPTP e L2TP Configure os servidores PPTP e L2TP. Atente para utilizar o perfil correto. Configure nos hosts locais um cliente PPTP e realize conexão com um servidor da outra rede. Ex.: Hosts do Setor1 conectam em Servidores do Setor2 e viceversa. 266

266 Configuração do Cliente PPTP e L2TP As configurações para o cliente PPTP e L2TP são bem simples, conforme observamos nas imagens. 267

267 Túneis IPIP IPIP é um protocolo que encapsula pacotes IP sobre o próprio protocolo IP baseado na RFC É um protocolo simples que pode ser usado pra interligar duas intranets através da internet usando 2 roteadores. A interface do túnel IPIP aparece na lista de interfaces como se fosse uma interface real. Vários roteadores comerciais, incluindo CISCO e roteadores baseados em Linux suportam esse protocolo. Um exemplo prático de uso do IPIP seria a necessidade de monitorar hosts através de um NAT, onde o túnel IPIP colocaria a rede privada disponível para o host que realiza o monitoramento, sem a necessidade de criar usuário e senha como nas VPNs. 268

268 Túneis IPIP Supondo que temos que unir as redes que estão por trás dos roteadores e Para tanto basta criemos as interfaces IPIP em ambos, da seguinte forma: 269

269 Túneis IPIP Agora precisamos atribuir os IPs as interfaces criadas. Após criado o túnel IPIP as redes fazem parte do mesmo domínio de broadcast. 270

270 Túneis EoIP EoIP(Ethernet over IP) é um protocolo proprietário Mikrotik para encapsula mento de todo tipo de tráfego sobre o protocolo IP. Quando habilitada a função de Bridge dos roteadores que estão interligados através de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de forma transparente mesmo roteado pela internet e por vários protocolos. O protocolo EoIP possibilita: Interligação em bridge de LANs remotas através da internet. Interligação em bridge de LANs através de túneis criptografados. A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O protocolo EoIP encapsula frames ethernet através do protocolo GRE. 271

271 Túneis EoIP Criando um túnel EoIP entre as redes por trás dos roteadores e Os MACs devem ser diferentes e estar entre o rage: E e E-FF-FF-FF, pois são endereços reservados para essa aplicação. O MTU deve ser deixado em 1500 para evitar fragmentação. O túnel ID deve ser igual para ambos. 272

272 Túneis EoIP Adicione a interface EoIP a bridge, juntamente com a interface que fará parte do mesmo dominio de broadcast. 273

273 Dúvidas???? 274

274 HotSpot no Mikrotik 275

275 HotSpot HotSpot é um termo utilizado para se referir a uma área pública onde está disponível um serviço de acesso a internet, normalmente através de uma rede sem fio wi-fi. Aplicações típicas incluem o acesso em Hotéis, Aeroportos, Shoppings, Universidades, etc... O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a uma rede qualquer, com ou sem fio, através de autenticação baseada em nome de usuário e senha. Quando em uma área de cobertura de um HotSpot, um usuário que tente navegação pela WEB é arremetido para uma página do HotSpot que pede suas credencias, normalmente usuário e senha. Ao fornecê-las e sendo um cliente autorizado pelo HotSpot o usuário ganha acesso à internet podendo sua atividade ser controlada e bilhetada. 276

276 HotSpot Setup do HotSpot: 1. Escolha a interface que vai ouvir o hotspot. 2. Escolha o IP em que vai rodar o hotspote indique se a rede será mascarada. 3. Dê um pool de endereços que serão distribuídos para os usuários do hotspot. 4. Selecione um certificado, caso queira usar. 277

277 Setup do HotSpot(cont.): HotSpot 5. Indique o endereço IP do seu servidor smtp, caso queira. 6. Dê o endereço IP dos servidores DNS que irão resolver os nomes para os usuários do hotspot. 7. Dê o nome do DNS que irá responder aos clientes ao invés do IP. 8. Adicione um usuário padrão. Feito. O HotSpotjá está pronto para ser usado. 278

278 HotSpot Embora tenha sido uma configuração fácil e rápida, o Mikrotik se encarregou de fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila especifica para o HotSpot. 279

279 HotSpot Detalhes do Servidor Address Per MAC: Número de IPs permitidos para um determinado MAC. Idle Timeout: Máximo período de tempo de inatividade para clientes autorizados. É utilizado para detectar os clientes que estão conectados mas não estão trafegando dados. Atingindo o tempo configurado, o cliente é retirado da lista dos hosts autorizados. O tempo é contabilizado levando em consideração o momento da desconexão menos o tempo configurado. Keepalive Timeout: Utilizado para detectar se o computador do cliente está ativo e respondendo. Caso nesse período de tempo o teste falhe, o usuário tirado da tabela de hosts e o endereço IP que ele estava usando é liberado. O tempo é contabilizado levando em consideração o momento da desconexão menos o tempo configurado. 280

280 HotSpot Perfil do Servidor HTML Directory: Diretório onde são colocadas as páginas desse hotspot. HTTP Proxy/Port: Endereço e porta do servidor de web proxy. SMTP Server: Endereço do servidor SMTP. Rate Limit: Usado para criar uma fila simples para todo o hotspot. Esta fila vai após as filas dinâmicas dos usuários. 281

281 HotSpot Perfil do Servidor Login by: MAC: Usa o MAC dos clientes primeiro como nome do usuário. Se existir na tabela de usuários local ou em um Radius, o cliente é liberado sem usuário/senha. HTTP CHAP: Usa o método criptografado. HTTP PAP: Usa autenticação em texto plano. Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se o cliente não tiver mais o cookie ou se tiver expirado ele de usar outro método. HTTPS: Usa túnel SSL criptografado. Para que este método funcione, um certificado válido deve ser importado para o roteador. Trial: Não requer autenticação por um determinado tempo. Split User Domain: Corta o domínio do usuário no caso de usuario@hotspot.com HTTP Cookie Lifetime: Tempo de vida dos cookies. 282

282 HotSpot Perfil do Servidor Use Radius: Utiliza servidor Radius para autenticação dos usuários do hotspot. Location ID e Location Name: Podem ser atribuídos aqui ou no Radius. Normalmente deixado em branco. Accounting: Usado para registrar o histórico de logins, tráfego, desconexões, etc... Interim Update: Freqüência do envio de informações de accounting. 0 significa assim que ocorre o evento. Nas Port Type: Wireless, ethernet ou cabo. Informação meramente para referência. 283

283 HotSpot Perfil de Usuários O Use Profile serve para dar tratamento diferenciado a grupos de usuários, como suporte, comercial, diretoria, etc... Session Timeout: Tempo máximo permitido. Idle Timeout/Keepalive: Mesma explicação anterior, no entanto agora somente para este perfil de usuários. Status Autorefresh: Tempo de refresh da página de Status do HotSpot. Shared Users: Número máximo de clientes com o mesmo username. 284

284 HotSpot Perfil de Usuários Os perfis de usuário podem conter os limites de velocidade de forma completa. Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx-burst-limit] [rxburst-threshold/tx-burst-threshold] [rx-burst-time/tx-bursttime] [priority] [rx-limit-at/tx-limit-at] Exemplo: 128k/256k 256k/512k 96k/192k 8632k/64k 128k de upload / 256k de download 256k de upload burst / 512k de download burst 96k threshould de upload / 192k threshloud de download 8 segundos de burst 6 de prioridade 32k de garantia de upload / 64k de garantia de download 285

285 HotSpot Perfil de Usuários Incoming Filter: Nome do firewall chain aplicado aos pacotes que chegam do usuário deste perfil. Outgoing Filter: Nome do firewall chain aplicado aos pacotes vão para o usuário deste perfil. Incoming Packet Mark: Marca colocada automaticamente em pacotes oriundos de usuários deste perfil. Outgoing Packet Mark: Marca colocada automaticamente em pacotes que vão para usuários deste perfil. Open Status Page: Mostra a página de status http-login: para usuários que logam pela WEB. always: para todos usuários inclusive por MAC. Tranparent Proxy: Se deve usar proxy transparente. 286

286 HotSpot Perfil de Usuários Com a opção Advertise é possível enviar de tempos em tempos popups para os usuários do HotSpot. Advertise URL: Lista de páginas que serão anunciadas. A lista é cíclica, ou seja, quando a última é mostrada, começa-se novamente pela primeira. AdvertiseInterval: Intervalo de tempo de exibição de popups. Depois da sequência terminada, usa sempre o intervalo. AdvertiseTimeout: Quanto tempo deve esperar para o anúncio ser mostrado, antes de bloquear o acesso a rede. Pode ser configurado um tempo. Nunca bloquear. Bloquear imediatamente. 287

287 HotSpot Perfil de Usuários O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem executados em alguma situação especifica. No HotSpot é possível criar scripts que executem comandos a medida que um usuário desse perfil conecta ou desconecta do HotSpot. Os parâmetros que controlam essa execução são: On Login: Quando o cliente conecta ao HotSpot. On Logout: Quando o cliente desconecta do HotSpot. Os scripts são adicionados no menu: /system script 288

288 HotSpot Usuários 289

289 HotSpot Usuários Server: all para todos hotspots ou para um específico. Name: Nome do usuário. Se o modo Trial estiver ativado o hotspot colocará automaticamente o nome T- MAC_Address. No caso de autenticação por MAC, o mesmo deve ser adicionado como username sem senha. Address: Endereço IP caso queira vincular esse usuário a um endereço fixo. MAC Address: Caso queira vincular esse usuário a um endereço MAC especifico. Profile: Perfil onde o usuário herda as propriedades. Routes: Rotas que serão adicionadas ao cliente quando se conectar. Sintaxe: Endereço destino gateway metrica. Várias rotas separadas por vírgula podem ser adicionadas. 290

290 HotSpot Usuários Limit Uptime: Limite máximo de tempo de conexão para o usuário. Limit Bytes In: Limite máximo de upload para o usuário. Limit Bytes Out: Limite máximo de download para o usuário. Limit Bytes Total: Limite máximo considerando o download + upload. Na aba das estatísticas é possível acompanhar a utilização desses limites. 291

291 HotSpot Active Mostra dados gerais e estatísticas de cada usuário conectado. 292

292 HotSpot IP Bindings O Mikrotik por default tem habilitado o universal client que é uma facilidade que aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta facilidade é denominada DAT na AP 2500 e eezee no StarOS. É possivel também fazer traduções NAT estáticas com base no IP original, ou IP da rede ou MAC do cliente. É possível também permitir certos endereços contornarem a autenticação do hotspot. Ou seja, sem ter que logar na rede inicialmente. Também é possível fazer bloqueio de endereços. 293

293 HotSpot IP Bindings MAC Address: mac original do cliente. Address: Endereço IP do cliente. To Address: Endereço IP o qual o original deve ser traduzido. Server: Servidor hotspot o qual a regra será aplicada. Type: Tipo do Binding Regular: faz tradução regular 1:1 Bypassed: faz tradução mas dispensa o cliente de logar no hotspot. Blocked: a tradução não será feita e todos os pacotes serão bloqueados. 294

294 HotSpot Ports A facilidade NAT do hotspot causa problemas com alguns protocolos incompatíveis com NAT. Para que esses protocolos funcionem de forma consistente, devem ser usados os módulos helpers. No caso do NAT 1:1 o único problema é com relação ao módulo de FTP que deve ser configurado para usar as portas 20 e

295 HotSpot WalledGarden Configurando um walledgarden é possível oferecer ao usuário o acesso a determinados serviços sem necessidade de autenticação. Por exemplo em um aeroporto poderia se disponibilizar informações sobre o tempo ou até mesmo disponibilizar os sites dos principais prestadores de serviço para que o cliente possa escolher qual plano quer comprar. Quando um usuário não logadono hotspotrequisita um serviço do walledgardeno gateway não intercepta e, no caso do http, redireciona a requisição para o destino ou um proxy. Para implementar o walled garden para requisições http, existe um web proxy embarcado no Mikrotik, de forma que todas requisições de usuários não autorizados passem de fato por esse proxy. Observar que o proxyembarcado no Mikrotik não tem a função de cache, pelo menos por hora. Notar também que esse proxyfaz parte do pacote system e não requer o pacote web-proxy. 296

296 HotSpot WalledGarden É importante salientar que o walled garden não se destina somente a serviço WEB, mas qualquer serviço que se queira configurar. Para tanto existem 2 menus distintos conforme do figuras ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para outros serviços e protocolos. 297

297 HotSpot WalledGarden Action: Permite ou nega. Server: Hotspot para o qual o walled garden vale. Src.Address: Endereço IP do usuário requisitante. Dst. Address: Endereço IP do web server. Method: Método http ou https. Dst. Host: Nome do domínio do servidor de destino. Dst. Port: Porta de destino do servidor. Path: Caminho da requisição. Obs.:Nos nomes dos domínios é necessário o nome completo, podendo ser usado coringas. Tambémé possível utilizar expressões regulares devendo essas ser iniciadas com (:) 298

298 HotSpot WalledGarden Action: Aceita, descarta ou rejeita o pacote. Server: Hotspot para o qual o walled garden vale. Src. Address: Endereço IP do usuário requisitante. Dst. Address: Endereço IP do web server. Protocol: Protocolo a ser escolhido na lista. Dst. Port: Porta TCP ou UDP que será requisitada. Dst. Host: Nome do domínio do servidor de destino. 299

299 HotSpot Cookies Quando configurado o login por cookies, estes ficam armazenados no hotspot com nome do usuário, MAC e tempo de validade. Enquanto estiverem válidos o usuário não precisa efetuar o procedimento de login e senha. Podem ser deletados (-) forçando assim o usuário a fazer o login novamente. 300

300 Personalizando o HotSpot As páginas do hotspot são completamente configuráveis e além disso é possível criar conjuntos completamente diferentes das páginas do hotspot para vários perfis de usuários especificando diferentes diretórios raiz. As principais páginas que são mostradas aos usuários são: redirect.html redireciona o usuário a uma página especifica. login.html página de login que pede usuário e senha ao cliente. Esta página tem os seguintes parâmetros: Username/password. Dst URL original que o usuário requisitou antes do redirecionamento e que será aberta após a autenticação do usuário. Popup Será aberta uma janela popup quando o usuário se logar com sucesso. 301

301 HotSpotcom HTTPS Para utilizar o hotspot com HTTPS é necessário que se crie um certificado, assiná-lo corretamente e em seguida importá-lo através do menu /system certificates. 302

302 Dúvidas???? 303

303 Roteamento O Mikrotik suporta dois tipos de roteamento: Roteamento estático: As rotas são criadas pelo usuário através de inserções pré-definidas em função da topologia da rede. Roteamento dinâmico: As rotas são geradas automaticamente através de um protocolo de roteamento dinâmico ou de algum agregado de endereço IP. O Mikrotik também suporta ECMP(Equal Cost Multi Path) que é um mecanismo que permite rotear pacotes através de vários links e permite balancear cargas. É possível ainda no Mikrotik se estabelecer políticas de roteamento dando tratamento diferenciado a vários tipos de fluxos a critério do administrador. 304

304 Políticas de Roteamento Existem algumas regras que devem ser seguidas para se estabelecer uma política de roteamento: As políticas podem ser por marca de pacotes, por classes de endereços IP e portas. As marcas dos pacotes devem ser adicionadas no Firewall, no módulo Mangle com mark-routing. Aos pacotes marcados será aplicada uma política de roteamento, dirigindoos para um determinado gateway. É possível utilizar política de roteamento quando se utiliza NAT. 305

305 Políticas de Roteamento Uma aplicação típica de políticas de roteamento é trabalhar com dois um mais links direcionando o tráfego para ambos. Por exemplo direcionando tráfego p2p por um link e tráfego web por outro. É impossível porém reconhecer o tráfego p2p a partir do primeiro pacote, mas tão somente após a conexão estabelecida, o que impede o funcionamento de programas p2p em casos de NAT de origem. A estrátegia nesse caso é colocar como gateway default um link menos nobre, marcar o tráfego nobre (http, dns, pop, etc.) e desvia-lo pelo link nobre. Todas outras aplicações, incluindo o p2p irão pelo link menos nobre. 306

306 Políticas de Roteamento Exemplo de política de roteamento. O roteador nesse caso terá 2 gateways com ECMP e checkgateway. Dessa forma o tráfego será balanceado e irá garantir o failover da seguinte forma: /iproute add dst-address= /0 gateway= , check-gateway=ping 307

307 Ex. de Política de Roteamento 1. Marcar pacotes da rede /24 como lan1e pacotes da rede /24 como lan2 da seguinte forma: /ip firewall mangle add src-address= /24 action=markrouting new-marking-routing=lan1 chain=prerouting /ip firewall mangle add src-address= /24 action=markrouting new-marking-routing=lan2 chain=prerouting 2. Rotear os pacotes da rede lan1para o gateway e os pacotes da rede lan2para o gateway usando as correspondentes marcas de pacotes da seguinte forma: /ip routes add gateway= routing-mark=lan1 checkgateway=ping /ip routes add gateway= routing-mark=lan2 checkgateway=ping /ip routes add gateway= , check-gateway=ping / /24 308

308 Balanceamento de Carga com PCC 309

309 Balanceamento de Carga com PCC O PCC é uma forma de balancear o tráfego de acordo com um critério de classificação pré-determinado das conexão. Os parametros de configuração são: Classificador Denominador Contador Obs.: O PCC só está disponível no Mikrotik a partir da versão

310 Balanceamento de Carga com PCC Exemplo de PCC com 3 links Primeiro vamos marcar as conexões. Atente para a interface de entrada(clientes), o denominador(links) e o contador que inicia em zero. 311

311 Balanceamento de Carga com PCC Exemplo de PCC com 3 links 312

312 Balanceamento de Carga com PCC Exemplo de PCC com 3 links 313

313 Balanceamento de Carga com PCC Exemplo de PCC com 3 links Agora vamos marcar as rotas com base nas marcações de conexões já feitas anteriormente. Atente agora para desmarcar a opção passthrough. 314

314 Balanceamento de Carga com PCC Exemplo de PCC com 3 links 315

315 Balanceamento de Carga com PCC Exemplo de PCC com 3 links 316

316 Balanceamento de Carga com PCC Exemplo de PCC com 3 links Agora vamos criar as rotas baseadas nas marcações de rotas. Iremos considerar que os 3 gateways internet são: , e

317 Balanceamento de Carga com PCC Exemplo de PCC com 3 links Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma operação para as demais interfaces. 318

318 Roteamento Dinâmico O Mikrotik suporta os seguintes protocolos: RIP versão 1 e 2; OSPF versão 2 e 3; BGP versão 4. O uso de protocolos de roteamento dinâmico permite implementar redundância e balanceamento de links de forma automática e é uma forma de se fazer uma rede semelhante as redes conhecidas como Mesh, porém de forma estática. 319

319 Roteamento dinâmico -BGP O protocolo BGP é destinado a fazer comunicação entre AS(AutonomosSystem) diferentes, podendo ser considerado como o coração da internet. O BGP mantém uma tabela de prefixos de rotas contendo informações para se encontrar determinadas redes entre os AS s. A versão corrente do BGP no Mikrotik é a 4, especificada na RFC

320 Roteamento Dinâmico -OSPF O protocolo Open ShortestPath First, é um protocolo do tipo link state. Ele usa o algoritmo de Dijkstrapara calcular o caminho mais curto para todos os destinos. O OSPF distribui informações de roteamento entre os roteadores que participem de um mesmo AS(AutonomousSystem) e que tenha o protocolo OSPF habilitado. Para que isso aconteça, todos os roteadores tem de ser configurados de uma maneira coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocolo OSPF. O protocolo OSPF é iniciado depois que é adicionado um registro na lista de redes. As rotas são aprendidas e instaladas nas tabelas de roteamento dos roteadores. 321

321 Roteamento Dinâmico -OSPF Tipos de roteadores em OSPF: Roteadores internos a uma área Roteadores de backbone(área 0) Roteadores de borda de área (ABR) OS ABRsdevem ficar entre dois roteadores e devem tocar a área 0 Roteadores de borda Autonomous System (ASBR) São roteadores que participam do OSPF mas fazem comunicação com um AS. 322

322 OSPF -Áreas O protocolo OSPF permite que vários roteadores sejam agrupados entre si. Cada grupo formado é chamado de área e cada área roda uma cópia do algoritmo básico, e cada área tem sua própria base de dados do estado de seus roteadores. A divisão em áreas é importante pois como a estrutura de uma área só é visível para os participantes desta, o tráfego é sensívelmente reduzido. Isso também previne o recalculo das distâncias por áreas que não participam da área que promoveu alguma mudança de estado. É aconselhavel utilizar no entre 50 e 60 roteadores em cada área. 323

323 OSPF -Redes Aqui definimos as redes OSPF com os seguintes parâmetros: Network: Endereço IP/Mascara, associado. Permite definir uma ou mais interfaces associadas a uma área. Somente redes conectadas diretamente podem ser adicionadas aqui. Area: Área do OSPF associada. 324

324 OSPF -Opções Router ID: Geralmente o IP do roteador. Caso não seja especificado o roteador usará o maior IP que exista na interface. Redistribute Default Route: Never: nunca distribui rota padrão. If installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, dhcp ou PPP. If installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, dhcp ou PPP. Always (as type 1): Sempre, com métrica 1. Always (as type 2): Sempre, com métrica

325 OSPF -Opções Redistribute Connected Routes: Caso habilitado, o roteador irá distribuir todas as rotas relativas as redes que estejam diretamente conectadas a ele. Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma estática em /ip routes. Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP. Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP. Na aba Metrics é possível modificar as métricas que serão exportadas as diversas rotas. 326

326 OSPF Considerando nosso diagrama inicial, vamos aplicar o OSPF em uma só área e testar a funcionalidade. 327

327 Dúvidas???? 328

328 Web Proxy O web proxyé uma ótima ferramenta para fazer cachede objetos da internet e com isso economizar banda. Também é possível utilizar o web proxycomo filtro de conteúdo sem a necessidade de fazer cache. Como o web proxyescuta todos ipsdo router, é muito importante assegurar que somente clientes da rede local irão acessá-lo. A boa prática recomenda o uso de 20GB de cachepara cada 1GB de memória RAM. Portanto com uma simples regra de 3 é simples encontrar o valor ideal para a memória RAM do seu equipamento. 329

329 Web Proxy -Parâmetros Src. Address: Enderço IP do servidor proxy caso você possua vários ips no mesmo roteador. Port: Porta onde o servidor irá escuta. Parent Proxy: Servidor proxy pai usado em um sistema de hierarquia de proxy. Parent Proxy Port: Porta o parent proxy escuta. Cache Administrator:Identificação do administrador do proxy. Max Cache Size:Tamanho máximo do cache em KiBytes. Cache On Disk:Indica se o cache será em Disco ou em RAM. 330

330 Web Proxy -Parâmetros Max ClientConnections:Número máximo de conexões simultâneas ao proxy. Max Server Connections: Número máximo de conexões que o proxyfará a um outro servidor proxy. Max FreshTime:Tempo máximo que os objetos que não possuem tempo padrão definidos, serão considerados atuais. Serialize Connections:Habilita múltiplas conexões ao servidor para múltiplas conexões para os clientes. AlwaysFromCache:Ignore requisições de atualização dos clientes caso o objeto será considerado atual. 331

331 Web Proxy -Parâmetros Cache Hit DSCP (TOS):Adiciona marca DSCP com o valor configurado a pacotes que deram hit no proxy. Cache Drive:Exibe o disco que o proxy está usando para armazenamento dos objetos. Esses discos podem ser acessados no menu: /system stores. 332

332 Web Proxy -Status Uptime: Tempo que o proxy está rodando. Requests: Total de requisições ao proxy. Hits:Número de pedidos que foram atendidos pelo cache do proxy. Cache Used: Espaço usado em disco ou RAM usado pelo cache do proxy. Total RAM Used: Total de RAM usada pelo proxy. Received From Servers:Total de dados em Kibytes recebidos de servidores externos. Sent To Clients:Total de dados em Kibytes enviados ao clientes. Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos clientes. 333

333 Web Proxy -Conexões Aqui podemos a lista de conexões ativas no proxys Src. Address: Endereço IP das conexões remotas Dst. Address: Endereço destino que está sendo requisitado Protocol: Protocolo utilizado pelo navegador State: Status da conexão Tx Bytes:Total de bytes enviados Rx Bytes: Total de bytes recebidos remotamente 334

334 Web Proxy -Access A lista de acesso permite controlar conteúdo que será permitido ou não para armazenamento no cache do proxy. As regras adicionadas nesta lista são processadas de forma semelhante que as regras do firewall. Neste caso as regras irão processar as conexões e caso alguma conexão receba um match ela não será mais processada pelas demais regras. 335

335 Src. Address: Endereço ip de origem Dst. Address: Endereço ip de destino Web Proxy -Access Dst. Port: Porta ou lista de portas destino Local Port: Porta correspondente do proxy Dst. Host: Endereço ip ou DNS de destino Path:Nome da página dentro do servidor Method: Método HTTP usado nas requisições Action:Permite ou nega a regra Redirect To: URL ao qual o usuário será redirecionado caso a regra seja de negação Hits:Quantidade de vezes que a regra sofreu macth 336

336 Web Proxy -Cache A lista de cache define como as requisições serão armazenadas ou não no cache do proxy. Esta lista é manipulada da mesma forma que a lista de acesso. De forma análoga ao firewall, qualquer requisição que não esteja na lista de regras, será armazenada no cache. Os parâmetros de configuração das regras são idênticas as regras da lista de acesso. 337

337 Web Proxy -Direct A lista de acesso direto é utilizada quando um Parent Proxy está configurado. Desta forma é possível passar a requisição ao mesmo ou tentar encaminhar a requisição diretamente ao servidor de destino. Esta lista é manipulada da mesma forma que a lista de acesso. Diferentemente do firewall, qualquer requisição que não esteja na lista de regras, será por padrão negada. Os parâmetros de configuração das regras são idênticas as regras da lista de acesso. 338

338 Web Proxy Regras de Firewall Para que o proxy funcione de forma correta e segura, é necessário criar algumas regras no firewall nat e no firewall filter. Primeiramente precisamos desviar o fluxo de pacotes com destino a porta 80 para o servidor web proxy. Em seguida precisamos garantir que somente os clientes da rede local terão acesso ao servidor web proxy. 339

339 Web Proxy Regras de Firewall Desviando o fluxo web para o proxy /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 / ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-address=lan to-ports=8080 Protegendo o proxy contra acessos externos não autorizados /ip firewall filter add chain=input protocol=tcp dst-port=8080 ininterface=wan action=drop 340

340 Exercício final Abra um NewTerminal Digite: /system reset-configuration 341

341 Dúvidas???? 342

342 TheDude O cara 343

343 TheDude O cara The Dude é uma ferramenta de monitoramento que: Fornece informações acerca de quedas e restabelecimentos de redes, serviços, assim como uso de recursos de equipamentos. Permite mapeamento da rede com gráficos da topologia e relacionamentos lógicos entre os dispositivos. Notificações via áudio/video/ acerca de eventos. Gráfico de serviços mostrando latência, tempos de respostas de DNS, utilização de banda, informações físicas de links, etc... Monitoramento de qualquer dispositivo que suporte o protocolo SNMP. 344

344 TheDude O cara Possibilidade de utilizar ferramentas para acesso direto a dispositivos da rede a partir do diagrama da mesma. Acesso direto a dispositivos Mikrotik através do winbox. Armazenamento de histórico de eventos(logs) de toda a rede, com momentos de queda, restabelecimentos, etc... Possibilidade de utilizar SNMP também para tomada de decisões através do SNMP Set. (Vide: MUM Czech Republic 2009 Andrea Coppini) 345

345 Instalando o TheDude No Windows: Fazer o download, clicar no executável e responder sim para todas as perguntas. No Linux: Instalar o winee a partir daí proceder como no windows. Em Routerboard ou PC com Mikrotik: Baixar o pacote referente a arquitetura especifíca, enviar para o Mikrotik via FTP ou Winboxe rebootaro roteador. 346

346 TheDudeem Routerboards O espaço em disco consumido pela The Dude é considerável, entre outras coisas, devido aos gráficos e logs a serem armazenados. Assim, no caso de instalação em Routerboards é aconselhável o uso daquelas que possuam armazenamento adicional como: RB 433UAH Aceita HD externo via USB RB 450G Aceita MicroSD RB 600 Aceita SD RB 800 Aceita MicroSD RB 1100 Aceita MicroSD Não é aconselhável a instalação em outras Routerboards por problemas de perdas de dados devido a impossibilidade de efetuar backups. Problemas de processamento também devem ser considerados. 347

347 TheDude-Começando A instalação do The Dude sempre instala o cliente e o servidor e no primeiro uso ele sempre irá tentar usar o Servidor Local(localhost). Caso queira se conectar em outro servidor clique no raio. 348

348 TheDude-Começando O auto discovery permite que o servidor The Dude localize os dispositivos de seu segmento de rede, através de provas de ping, arp, snmp, etc... E por serviços também. Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por seus vizinhos (neighbours). Apesar de ser uma facilidade, não é aconselhável utilizar este recurso. 349

349 TheDude Adicionando dispositivos O The Dude tem um wizard para criação de dispositivos. Informe o IP e, se o dispositivo for Mikrotik, marque a opção Router OS. 350

350 TheDude Adicionando dispositivos Em seguida descubra os serviços que estão rodando nesse equipamento. Após isso o dispositivo estará criado. 351

351 TheDude Adicionando dispositivos Clique no dispositivo criado para ajustar vários parâmetros. Dentre esses os principais: Nome de exibição Tipo do dispositivo 352

352 TheDude Adicionando dispositivos O The Dude possui vários dispositivos pré-definidos, mas pode-se criar novos dispositivos personalizados para que o desenho realmente reflita a realidade prática. Por razões de produtividade é aconselhável que todos os dispositivos existentes na rede sejam criados com suas propriedades especificas antes do desenho da rede, mas nada impede que isso seja feito depois. 353

353 TheDude Adicionando dispositivos Quando a rede possui elementos não configuráveis por IP como switchs L2, é necessário criar dispositivos estáticos para fazer as ligações. Com isso é possível concluir o diagrama da rede de forma mais realista e parecida com a real. 354

354 TheDude Criando links Para criar links entre os dispositivos basta clicar no mapa com o botão direito, selecionar Add Link e ligar os dois dispositivos informando: Device: Dispositivo que irá fornece as informações do link. Masteringtype: Informa como as informações serão obtidas. Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha a interface que deseja monitorar a velocidade e estado do link. Speed: Informando a velocidade do link, é ativado a sinalização do estado do mesmo baseando-se em cores. Type: Tipo de conexão física entre os dispositivos. 355

355 TheDude Notificações Efetue um duplo clique no dispositivo e vá na guia Notifications. Nela você pode informar o tipo de notificação que deseja receber. 356

356 TheDude Serviços indesejáveis Com o The Dude podemos monitorar serviços que não desejamos que estejam ativos. 357

357 TheDude gráficos Podemos manipular a forma como os gráficos irão ser apresentados para identificar serviços, estado dos links etc