TREINAMENTO MIKROTIK CERTIFICAO MTCNA
Produzido por: MKT Solutions www.mktsolutions.net.br Instrutor:
Guilherme Ramires
AGENDATreinamento dirio das 09:00hs s 17:00hs Coffe break as
10:30hs e as 15:00hs Almoo as 13:00hs 1 hora de durao
2
ALGUMAS REGRAS IMPORTANTESPor ser um curso oficial, o mesmo no
poder ser filmado ou gravado Procure deixar seu aparelho celular
desligado ou em modo silencioso Durante as explanaes evite as
conversas paralelas. Elas sero mais apropriadas nos laboratrios
Desabilite qualquer interface wireless ou dispositivo 3G em seu
laptop
3
ALGUMAS REGRAS IMPORTANTESPerguntas so sempre bem vindas. Muitas
vezes a sua dvida a dvida de todos. O acesso a internet ser
disponibilizado para efeito didtico dos laboratrios. Portanto evite
o uso inapropriado. O certificado de participao somente ser
concedido a quem obtiver presena igual ou superior a 75%.4
APRESENTE-SE A TURMADiga seu nome; Sua empresa; Seu conhecimento
sobre o RouterOS; Seu conhecimento com redes; O que voc espera do
curso; Lembre-se de seu nmero: XY5
OBJETIVOS DO CURSOProver um viso geral sobre o Mikrotik RouterOS
e as RouterBoards. Mostrar de um modo geral todas ferramentas que o
Mikrotik RouterOS dispe para prover boas solues.
6
ONDE EST A MIKROTIK ?
7
ROUTERBOARDSSo hardwares criados pela Mikrotik; Atualmente
existe uma grande variedade de RouterBoards.
8
MIKROTIK ROUTEROSRouterOS o sistema operacional das RouterBoards
e que pode ser configurado como: Um roteador dedicado Controlador
de banda Firewall Gerenciador de usurios Dispositivo QoS
personalizado Qualquer dispositivo wirless 802.11a/b/g/n
Alm das RouterBoards ele tambm pode ser instalado em PCs.
9
INSTALAO DO ROUTEROS
O Mikrotik RouterOS pode ser instalado a partir de:CD ISO
bootvel imagem Via rede com utilitrio Netinstall
10
ONDE OBTER O MIKROTIK ROUTEROSPara obter os ltimos pacotes do
Mikrotik RouterOS basta acessar:
http://www.mikrotik.com/download.html L voc poder baixar as imagens
.iso Os pacotes combinados E os pacotes individuais11
INSTALANDO PELO CDInicie o PC com o modo boot pelo CD
12
PACOTES DO ROUTEROSSystem: Pacote principal contendo os servios
bsiscos e drivers. A rigor o nico que obrigatrio PPP: Suporte a
servios PPP como PPPoE, L2TP, PPTP, etc.. DHCP: Cliente e Servidor
DHCP Advanced-tools: Ferramentas de diagnstico, netwatch e outros
ultilitrios Arlan: Suporte a uma antiga placa Aironet antiga arlan
Calea: Pacote para vigilncia de conexes (Exigido somente nos EUA)
GPS: Suporte a GPS ( tempo e posio ) HotSpot: Suporte a HotSpot
ISDN: Suporte as antigas conexes ISDN LCD: Suporte a display LCD
NTP: Servidor de horrio oficial mundial13
PACOTES DO ROUTEROSRadiolan: Suporte a placa RadioLan
RouterBoard: Utilitrio para RouterBoards Routing: Suporte a
roteamento dinmico tipo RIP, OSPF, BGP RSTP-BRIGE-TEST: Protocolo
RSTP Security: Suporte a ssh, IPSec e conexo segura do winbox
Synchronous: suporte a placas sncronas Moxa, Cyclades PC300, etc...
Telephony: Pacote de suporte a telefnia protocolo h.323 UPS:
Suporte as no-breaks APC User-Manager: Servio de autenticao
User-Manager Web-Proxy: Servio Web-Proxy Wireless: Suporte a placas
Atheros e PrismII Wireless-legacy: Suporte as placas antigas
Atheros, PrismII e Aironet14
INSTALANDO PELO CDPode-se selecionar os pacotes desejados usando
a barra de espaos ou a para todos. Em seguida pressione i para
instalar os pacotes selecionados. Caso haja configuraes pode-se
mant-las pressionando y.
15
INSTALAO COM NETINSTALLPode ser instalado em PC que boota via
rede(configurar na BIOS) Pode ser baixado tambm em:
http://www.mikrotik.com/download.html O netinstall um excelente
recurso para reinstalar em routerboards quando o sistema foi
danificado ou quando se perde a senha do equipamento.
16
INSTALAO COM NETINSTALLPara se instalar em uma RouterBoard,
inicialmente temos que entrar via serial, com cabo null modem e os
seguintes parametros:Velocidade: 115.200 bps Bits de dados: 8 Bits
de parada: 1 Controle de fluxo: hardware
17
INSTALAO COM NETINSTALLAtribuir um IP para o Net Booting na
mesma faixa da placa de rede da mquina Coloque na mquina os pacotes
a serem instalados Bootar e selecionar os pacotes a serem
instalados
18
PRIMEIRO ACESSOO processo de instalao no configura IP no
Mikrotik. Portanto o primeiro acesso pode ser feito das seguintes
maneiras:Direto no console (em pcs) Via terminal Via telnet de MAC,
atravs de outro Mikrotik ou sistema que suporte telnet de MAC e
esteja no mesmo barramento fsico de rede Via Winbox19
CONECTANDO....
Cabo Ethernet
Winbox
20
CONSOLE NO MIKROTIKAtravs do console do Mikrotik possvel acessar
todas configuraes do sistema de forma hierrquica conforme os
exemplos abaixo:Acessando o menu interface [admin@MikroTik] >
interface [admin@MikroTik] interface > ethernet Para retornar ao
nvel anterior basta digitar .. [admin@MikroTik] interface
ethernet> .. [admin@MikroTik] interface > Para voltar ao raiz
digite / [admin@MikroTik] interface ethernet> / [admin@MikroTik]
>
21
CONSOLE NO MIKROTIK? Mostra um help para o diretrio em que se
esteja ? Aps um comando incompleto mostra as opes disponveis para o
comando Comandos podem ser completados com a tecla TAB Havendo mais
de uma opo para o j digitado, pressione TAB 2 vezes para mostrar as
opes disponveis
22
CONSOLE NO MIKROTIKComando PRINT mostra informaes de
configurao:
23
CONSOLE NO MIKROTIK possvel monitorar o status das interfaces
com o seguinte comando: [guilherme@MKT] > interface wireless
monitor wlan1 status: running-ap band: 5ghz frequency: 5765MHz
noise-floor: -112dBm overall-tx-ccq: 93% registered-clients: 8
authenticated-clients: 8 current-ack-timeout: 33 nstreme: no
current-tx-powers:
6Mbps:21(21/21),9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21)
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
24
CONSOLE NO MIKROTIKComandos para manipular regrasadd, set,
remove: adiciona, muda e remove regras; disabled: desabilita regra
sem deletar; move: move a regra cuja a ordem influncia.
Comando ExportExporta todas as configuraes do diretoria acima;
Pode ser copiado e colado em um editor de textos; Pode ser
exportado para arquivo.
Comando ImportImporta um arquivo de configurao criado pelo
comando export.25
WINBOXWinbox o utilitrio para administrao do Mikrotik em modo
grfico. Funciona em Windows. Para funcionar no Linux necessrio a
instalao do emulador Wine. A comunicao feita pela porta TCP 8291 e
caso voc habilite a opo Secure Mode a comunicao ser criptografada.
Para baixar o winbox acesse o link:
http://www.mikrotik.com/download.html
26
ACESSANDO PELO WINBOX possvel acessar o Mikrotik inicialmente
sem endereo IP, atravs do MAC da interface do dispositivo que est
no mesmo barramento fsico que o usurio. Para isso basta clicar nos
3 pontos e selecione o MAC que aparecer.
27
CONFIGURAO EM MODO SEGUROO Mikrotik permite o acesso ao sistema
atravs do modo seguro. Este modo permite desfazer as configuraes
modificadas caso a sesso seja perdida de forma automtica. Para
habilitar o modo seguro pressione CTRL+X.
28
CONFIGURAO EM MODO SEGUROSe um usurio entra em modo seguro,
quando j h um nesse modo, a seguinte mensagem ser dada:Hijacking
Safe Mode from someone unroll/release/dont take it [u/r/d]
u desfaz todas as configuraes anteriores feitas em modo seguro e
pe a presente sesso em modo seguro d deixa tudo como est r mantm as
configuraes no modo seguro e pe a sesso em modo seguro. O outro
usurio receber a seguinte mensagem:Safe Mode Released by another
user29
CONFIGURAO EM MODO SEGUROTodas configuraes so desfeitas caso voc
perca comunicao com o roteador, o terminal seja fechado clicando no
x ou pressionando CTRL+D. Configuraes realizadas em modo seguro so
marcadas com uma Flag F, at que sejam aplicadas possvel visualizar
o histrico de modificaes atravs do menu: /system history print
Obs.: O nmero mximo de registros em modo seguro de 100.30
MANUTENO DO MIKROTIKAtualizao Gerenciando pacotes Backup
Informaes sobre licenciamento31
ATUALIZAESAs atualizaes podem ser feitas a partir de um conjunto
de pacotes combinados ou individuais. Os arquivo tem extenso .npk e
para atualizar a verso basta fazer o upload para o diretrio raiz e
efetuar um reboot. O upload pode ser feito por FTP ou copiando e
colando pelo Winbox.
32
PACOTESAdicionar novas funcionalidades podem ser feitas atravs
de alguns pacotes que no fazem parte do conjunto padro de pacotes
combinado. Esses arquivos tambm possuem extenso .npk e para
instal-los basta fazer o upload para o Mikrotik e efetuar um reboot
do sistema. Alguns pacotes como User Manager e Multicast so
exemplos de pacotes adicionais que no fazem parte do pacote
padro.33
PACOTESAlguns pacotes podem ser habilitados e desabilitados
conforme sua necessidade.Pacote desabilitado Pacote marcado para
ser desabilitado Pacote marcado para ser habilitado
34
BACKUPPara efetuar o backup basta ir em Files e clicar no boto
Backup. Para restaurar o backup basta selecionar o arquivo e clicar
em Restore. Este tipo de backup pode causar problemas de MAC caso
seja restaurado em outro hardware. Para efetuar um backup por
partes use o comando export.
35
LICENCIAMENTOA chave gerada sobre um software-id fornecido pelo
sistema. A licena fica vinculada ao HD ou Flash e/ou placa me. A
formatao com outras ferramentas muda o software-id causa a perda da
licena.
36
DVIDAS ???
37
NIVELAMENTO DE CONHECIMENTOS TCP/IP
38
MODELO OSI OPEN SYSTEM INTERCONNECTIONCAMADA 7 Aplicao:
Comunicao com os programas. SNMP e TELNET. CAMADA 6 Apresentao:
Camada de traduo. Compresso e criptografia CAMADA 5 Sesso:
Estabelecimento das sesses TCP. CAMADA 4 Transporte: Controle de
fluxo, ordenao dos pacotes e correo de erros CAMADA 3 Rede: Associa
endereo fsico ao endereo lgico CAMADA 2 Enlace: Endereamento fsico.
Detecta e corrige erros da camada 1 CAMADA 1 Fsica: Bits de
dados39
CAMADA I CAMADA FSICAA camada fsica define as caractersticas
tcnicas dos dispositivos eltricos. nesse nvel que so definidas as
especificaes de cabeamento estruturado, fibras pticas, etc... No
caso da wireless a camada I que define as modulaes, frequncias e
largura de banda das portadores.
40
CAMADA II - ENLACECamada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da camada I.
Endereamento fsico se faz pelos endereos MAC (Controle de Acesso ao
Meio) que so nicos no mundo e que so atribudos aos dispositivos de
rede. Ethernets e PPP so exemplos de dispositivos que trabalham em
camada II.
41
ENDEREO MAC o nico endereo fsico de um dispositivo de rede usado
para comunicao com a rede local Exemplo de endereo MAC:
00:0C:42:00:00:00
42
CAMADA III - REDEResponsvel pelo endereamento lgico dos pacotes.
Transforma endereos lgicos(endereos IPs) em endereos fsicos de
rede. Determina que rota os pacotes iro seguir para atingir o
destino baseado em fatores tais como condies de trfego de rede e
prioridade.
43
ENDEREO IP o endereo lgico de um dispositivo de rede usado para
comunicao entre redes Exemplo de endereo ip: 200.200.0.1
44
SUB REDE uma faixa de endereos IP que divide as redes em
segmentos Exemplo de sub rede: 255.255.255.0 ou /24 O endereo de
REDE o primeiro IP da sub rede O endereo de BROADCAST o ltimo IP da
sub rede Esses endereos so reservados e no podem ser usadosEnd.
IP/Mscara 192.168.0.1/24 192.168.0.1/25 192.168.0.1/26
192.168.0.200/26 End. de Rede 192.168.0.0 192.168.0.0 192.168.0.0
192.168.0.192 End. Broadcast 192.168.0.255 192.168.0.127
192.168.0.63 192.168.0.25545
ENDEREAMENTO CIDR
46
PROTOCOLO ARP (ADDRESS RESOLUTION PROTOCOL)Utilizado para
associar IPs com endereos fsicos. Faz a intermediao entre a camada
II e a camada III da seguinte forma:1.
O solicitante de ARP manda um pacote de broadcast com informao
do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC
de destino. O host que tem o IP de destino responde fornecendo seu
MAC.
2.
3.
Para minimizar o broadcast, o S.O mantm um tabela ARP constando
o par (IP MAC).
47
CAMADA IV - TRANSPORTEQuando no lado do remetente responsvel por
pegar os dados das camadas superiores e dividir em pacotes para que
sejam transmitidos para a camada de rede. No lado do destinatrio
pega pega os pacotes recebidos da camada de rede, remonta os dados
originais e os envia para camada superior. Esto na camada IV: TCP,
UDP, RTP48
CAMADA IV - TRANSPORTEProtocolo TCP:O TCP um protocolo de
transporte que executa importantes funes para garantir que os dados
sejam entregues de forma confivel, ou seja, sem que os dados sejam
corrompidos ou alterados.
Protocolo UDP:O UDP um protocolo no orientado a conexo e
portanto mais rpido que o TCP. Entretanto no garante a entrega dos
dados.
49
CARACTERSTICAS DO PROTOCOLO TCPGarante a entrega de data gramas
IP. Executa a segmentao e reagrupamento de grande blocos de dados
enviados pelos programas e garante o seqenciamento adequado e a
entrega ordenada de dados segmentados. Verifica a integridade dos
dados transmitidos usando clculos de soma de verificao. Envia
mensagens positivas dependendo do recebimento bem-sucedido dos
dados. Ao usar confirmaes seletivas, tambm so enviadas confirmaes
negativas para os dados que no foram recebidos. Oferece um mtodo
preferencial de transporte de programas que devem usar transmisso
confivel de dados baseados em sesses, como banco de 50 dados
cliente/servidor por exemplo.
PORTAS TCPProtocolo TCP
FTP Porta 21
SSH Porta 22
Telnet Porta 23
WEB Porta 80
O uso de portas, permite o funcionamento de vrios servios, ao
mesmo tempo, no mesmo computador, trocando informaes com um ou mais
servios/servidores.51
Portas abaixo de 1024 so registradas para servios especiais.
DIFERENAS BSICAS ENTRE TCP E UDPTCP Servio orientado por conexo.
Garante a entrega atravs do uso de confirmao e entrega seqenciada
dos dados. Programas que usam TCP tem garantia de transporte
confivel de dados. Mais lento, usa mais recursos e somente d
suporte a ponto a ponto. UDP Servio sem conexo. No estabelecida
conexo entre os hosts. No garante ou no confirma entrega dos dados.
Programas que usam UDP so responsveis pela confiabilidade dos
dados. Rpido, exige poucos recursos e oferece comunicao ponto a
ponto e multiponto.52
ESTADO DAS CONEXES possvel observar o estado das conexes no
MikroTik no menu Connections.
53
DVIDAS ????
54
DIAGRAMA INICIAL
55
CONFIGURAO DO ROUTERAdicione os ips as interfaces
56
CONFIGURAO DO ROUTERAdicione a rota padro3 1 4
257
CONFIGURAO DO ROUTERAdicione o servidor DNS1 3 2 4
58
CONFIGURAO DO ROUTERConfigurao da interface wireless
59
TESTE DE CONECTIVIDADEPingar a partir da RouterBoard o seguinte
ip: 192.168.X.254 Pingar a partir da RouterBoard o seguinte
endereo: www.mikrotik.com; Pingar a partir do notebook o seguinte
ip: 192.168.X.254 Pingar a partir do notebook o seguinte endereo:
www.mikrotik.com; Analisar os resultados60
CORRIGIR O PROBLEMA DE CONECTIVIDADEDiante do cenrio apresentado
quais solues podemos apresentar?Adicionar rotas estticas; Utilizar
protocolos de roteamento dinmico; Utilizar NAT(Network Address
Translation).61
UTILIZAO DO NATO mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhem um mesmo endereo IP de saida do
roteador. No Mikrotik o mascaramento feito atravs do Firewall na
funcionalidade do NAT. Todo e qualquer pacote de dados de uma rede
possui um endereo IP de origem e destino. Para mascarar o endereo,
o NAT faz a troca do endereo IP de origem. Quando este pacote
retorna ele encaminhando ao host que o originou.62
Adicionar uma regra de NAT, mascarando as requisies que saem
pela interface wlan1.3 1
2
463
TESTE DE CONECTIVIDADEEfetuar os testes de ping a partir do
notebook; Analisar os resultados; Efetuar os eventuais reparos.
Aps a confirmao de que tudo est funcionando, faa o backup da
routerboard e armazene-o no notebook. Ele ser usado ao longo do
curso.64
GERENCIANDO USURIOSO acesso ao roteador pode ser controlado;
Pode-se criar usurios e/ou grupos diferentes;1
65
2
GERENCIAMENTO DE USURIOSAdicione um novo usurio com seu nome e d
a ele acesso Full Mude a permisso do usurio admin para Read
Faa login com seu novo usurio.
66
ATUALIZANDO A ROUTERBOARDFaa o download dos pacotes no seguinte
endereo: ftp://172.31.255.2 Faa o upload dos pacotes para sua
RouterBoard Reinicie a RouterBoard para que os pacotes novos sejam
instalados Confira se os novos pacotes foram instalados com
sucesso.67
WIRELESS NO MIKROTIK
68
CONFIGURAES FSICASPadro IEEE 802.11b 802.11g 802.11a 802.11n
Frequncia 2.4 Ghz 2.4 Ghz 5 Ghz Tecnologia DSSS OFDM OFDM
Velocidades 1, 2, 5.5 e 11 Mbps 6, 9, 12, 18, 24, 36, 48 e
54Mbps
6, 9, 12, 18, 24, 36, 48 e 54Mbps
2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM
De 6.5Mbps at 600 Mbps
69
802.11B - DSSS
70
CANAIS NO INTERFERENTES EM 2.4 GHZ - DSSS
Canal 1
Canal 6
Canal 11
2.412 GHz
2.437 GHz
2.462 GHz
71
CONFIGURAES FSICAS 2.4GHZ2.4Ghz-B: Modo 802.11b, que permite
velocidades de 1 11 Mbps e utiliza espalhamento espectral.
2.4Ghz-only-G: Modo 802.11g, que permite velocidades de 6 54 Mbps e
utiliza OFDM. 2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado
para ser usado somente em processo de migrao.
72
CANAIS DO ESPECTRO DE 5GHZ
Em termos regulatrios a frequncia de 5Ghz dividida em 3
faixas:Faixa baixa: 5150 a 5350 Mhz Faixa mdia: 5470 a 5725 Mhz
Faixa alta: 5725 a 5850 Mhz73
ASPECTOS LEGAIS DO ESPECTRO DE 5GHZFaixa Baixa Freqncias Largura
Canais 5150-5250 100 Mhz 4 canais 5250-5350 100 Mhz 4 canais Deteco
de radar obrigatria Faixa Mdia 5470-5725 255 Mhz 11 canais Deteco
de radar obrigatria Faixa Alta 5725-5850 125 Mhz 5 canais
74
CONFIGURAES FSICAS 5 GHZ5Ghz: Modo 802.11a opera nas trs faixas
permitidas com velocidades que vo de 6Mbps a 54 Mbps.
O modo 5Ghz permite ainda as variaes de uso em 10Mhz e 5Mhz de
largura de banda que permite selecionar freqncias mais especificas,
porm reduzindo a velocidade nominal. Permite ainda a seleo do modo
turbo ou a/n dependendo do modelo do carto.75
CANALIZAO EM 802.11A MODOS 5MHZ E 10MHZ
Menor troughput Maior nmero de canais Menor vulnerabilidade a
interferncias Requer menor sensibilidade Aumenta o nvel de potncia
de tx76
CANALIZAO EM 802.11A MODO TURBO
Maior troughput Menor nmero de canais Maior vulnerabilidade a
interferncias Requer maior sensibilidade Diminui o nvel de potncia
de tx77
PADRO 802.11NINDICE:MIMO Velocidades do 802.11n Bonding do canal
Agregao dos frames Configurao dos cartes Potncia de TX em cartes N
Bridge transparente para links N utilizando MPLS/VPLS78
MIMOMIMO: Multiple Input and Multiple Output SDM: Spatial
Division MultiplexingStreams espaciais mltiplas atravs de mltiplas
antenas.
Configuraes de antenas mltiplas para receber e transmitir:1x1,
1x2, 1x3; 2x2, 2x3; 3x379
802.11N - VELOCIDADES NOMINAIS
80
802.11N - BONDING DOS CANAIS 2 X 20MHZAdiciona mais 20Mhz ao
canal existente O canal colocado abaixo ou acima da frequncia
principal
compatvel com os clientes legados de 20MhzConexo feito no canal
principal
Permite utilizar taxas maiores
81
802.11N AGREGAO DOS FRAMESCombinando mltiplos frames de dados em
um simples frame diminui o overhead Agregao de unidades de servio
de dados MAC MAC Protocol Data Units (AMPDU)Usa Aknowledgement em
bloco Pode aumentar a latncia, por padro habilitado somente para
trfego de melhor esforo
Enviando e recebendo AMSDUs pode causar aumento de
processamento
82
CONFIGURANDO NO MIKROTIKHT Tx Chains / HT Rx Chains: No caso dos
cartes n a configurao da antena ignorada.
HT AMSDU Limit: Mximo AMSDU que o dispositivo pode preparar.
HT AMSDU Threshold: Mximo tamanho de frame que permitido incluir
em AMSDU.
83
CONFIGURANDO NO MIKROTIKHT Guard Interval: Intervalo de guarda.
Any: Longo ou curto, dependendo da velocidade de transmisso. Longo:
Intervalo longo. HT Extension Channel: Define se ser usado a
extenso adicional de 20Mhz. Below: Abaixo do canal principal Above:
Acima do canal principal HT AMPDU Priorities: Prioridades do frame
para qual o AMPDU deve ser negociado e utilizado.84
CONFIGURANDO NO MIKROTIK
Quando se utiliza 2 canais ao mesmo tempo, a potncia de
transmisso dobrada.
85
BRIDGE TRANSPARENTE EM ENLACES NWDS no suporta agregao de frames
e portanto no prov a velocidade total da tecnologia n
EoIP incremente overhead
Para fazer bridge transparente com velocidades maiores com menos
overhead em enlaces n devemos utilizar MPLS/VPLS.86
BRIDGE TRANSPARENTE EM ENLACES NPara se configurar a bridge
transparente em enlaces n, devemos estabelecer um link AP Station e
configure uma rede ponto a ponto /30.Ex.: 172.16.0.1/30(AP) e
172.16.0.2/30(Station) Habilitar o LDP (Label Distribution
Protocol) em ambos lados. Adicionar a wlan1 a interface MPLS
87
BRIDGE TRANSPARENTE EM ENLACES NConfigurar o tnel VPLS em ambos
os lados Crie uma bridge entre a interface VPLS e a ethernet
conectada Confira o status do LDP e do tnel VPLS
88
BRIDGES VPLS - CONSIDERAESO tnel VPLS incrementa o pacote. Se
este pacote excede o MPLS MTU da interface de saida, este ser
fragmentado. Se a interface ethernet suportar MPLS MTU de 1522 ou
superior, a fragmentao pode ser evitada alterando o MTU da
interface MPLS. Uma lista completa sobre as MTU das RouterBoards
pode ser encontrada
em:http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_Router
Boards89
SETUP OUTDOOR PARA ENLACES NRecomendaes segundo a Mikrotik:Teste
de canal separadamente antes de us-los ao mesmo tempo. Para operao
em 2 canais, usar polarizaes diferentes Quando utilizar antenas de
polarizao dupla, a isolao mnima recomendada da antena de
25dB.90
ENLACES NEstabelea um link N com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS91
CONFIGURAES DE CAMADA FSICA - POTNCIAS
default: No altera a potncia original do carto cards rates: Fixa
mas respeita as variaes das taxas para cada velocidade all rates
fixed: Fixa um valor para todas velocidades manual: permite ajustar
potncias diferentes para cada velocidade
92
CONFIGURAES DE CAMADA FSICA - POTNCIAS
Quando a opo regulatory domain est habilitada, somente as
frequncias permitidas para o pas selecionado em Country estaro
disponveis. Alm disso o Mikrotik ajustar a potncia do rdio para
atender a regulamentao do pas, levando em conta o valor em dBi
informado em Antenna Gain. Para o Brasil esses ajustes s foram
corrigidos a partir da verso 3.13
93
CONFIGURAES DA CAMADA FSICA SELEO DEANTENAS
Em cartes que tem duas saidas para antenas, possvel
escolher:antena a: utiliza antena a(main) para tx e rx antena b:
utiliza antena b(aux) para tx e rx rx-a/tx-b: recepo em a e
transmisso em b tx-a/rx-b: transmisso em b e recepo em a94
CONFIGURAES DA CAMADA FSICA DFSno radar detect: escaneia o meio
e escolhe o canal em que for encontrado o menor nmero de redes
radar detect: escaneia o meio e espera 1 minuto para entrar em
operao no canal escolhido se no for detectada a ocupao do canal
Obs.: O modo DFS obrigatrio no Brasil para as faixas de 5250-5250 e
5350-5725
95
CONFIGURAES DA CAMADA FSICA PROP. EXTENSIONS E WMMProprietary
Extensions: Opo com a nica finalidade de dar compatibilidade com
chipsets Centrino. WMM Support: QoS no meio fsico(802.11e)enabled:
permite que o outro dispositivo use wmm required: requer que o
outro dispositivo use wmm disabled: desabilita a funo wmm96
CONFIGURAES DA CAMADA FSICA AP E CLIENT TX RATE / COMPRESSION
Defaul AP TX Rate: Taxa mxima que o AP pode transmitir para cada um
de seus clientes. Funciona para qualquer cliente. Default Client TX
Rate: Taxa mxima que o cliente pode transmitir para o AP. S
funciona para clientes Mikrotik.
Compression: Recurso de compresso em Hardware disponvel em
chipsets Atheros. Melhora o desempenho se o cliente possuir este
recurso e no afeta clientes que no possuam o recurso. Porm este
recurso incompatvel com criptografia.
97
CONFIGURAES DA CAMADA FSICA DATA RATESA velocidade em uma rede
wireless definida pela modulao que os dispositivos conseguem
trabalhar. Supported Rates: So as velocidades de dados entre o AP e
os clientes. Basic Rates: So as velocidades que os dispositivos se
comunicam independentemente do trfego de dados (beacons,
sincronismos, etc...)98
CONFIGURAES DA CAMADA FSICA ACKDispositiv o A Dados ACK
Dispositiv o B
O ACK timeout o tempo que um dispositivo wireless espera pelo
pacote ack que deve ser transmitido para confirmar toda transmisso
wireless.Dynamic: O Mikrotik calcula dinamicamente o Ack de cada
cliente mandando de tempos em tempos sucessivos pacotes com Ack
timouts diferentes e analisando as respostas. indoors: Valor
constante para redes indoors. Pode-se tambm fixar valores
manualmente.99
CONFIGURAES DA CAMADA FSICA ACKTabela de valores referenciais
para ACK Timeout
100
Obs.: Utilize a tabela somente para referncia inicial.
FERRAMENTAS DE SITE SURVEY - SCANA -> Ativa B -> BSS P
-> Protegida R -> Mikrotik N -> Nstreme
Escaneia o meio. Obs.: Qualquer operao de site survey causa
queda das conexes estabelecidas.
101
FERRAMENTAS DE SITE SURVEY USO DEFREQUNCIAS
Mostra o uso das frequncias em todo o espectro para site
survey.
102
INTERFACE WIRELESS - ALINHAMENTO
Ferramenta de alinhamento com sinal sonoroColocar o MAC do AP
remoto no campo Filter MAC Address e Audio Monitor.
Rx Quality: Potncia em dBm do ltimo pacote recebido Avg. Rx
Quality: Potncia mdia dos pacotes recebidos Last Rx: Tempo em
segundos do ltimo pacote recebido Tx Quality: Potncia do ltimo
pacote transmitido Last TX: Tempo em segundos do ltimo pacote
transmitido Correct: Nmero de pacotes recebidos sem erro103
INTERFACE WIRELESS - SNIFFERFerramenta para sniffar o ambiente
wireless captando e decifrando pacotes. Muito til para detectar
ataques do tipo deauth e monkey jack. Pode ser arquivado no prprio
Mikrotik ou passado por streaming para outro servidor com protocolo
TZSP.
104
INTERFACE WIRELESS - SNOOPER
Com a ferramenta snooper possvel monitorar a carga de trfego em
cada canal por estao e por rede. Scaneia as frequncias definidas em
scan-list da interface
105
INTERFACE WIRELESS - GERALComportamento do protocolo ARPdisable:
No responde a requisies ARP. Clientes devem acessar atravs de
tabelas estticas. proxy-arp: Passa seu prprio MAC quando h uma
requisio para algum host interno ao roteador. reply-only: Somente
responde as requisies. Endereos vizinhos so resolvidos
estaticamente.
106
INTERFACE WIRELESS MODO DE OPERAO
ap bridge: Modo de ponto de acesso. Repassa os MACs do meio
wireless de forma transparente para a rede cabeada. bridge: O mesmo
que o o modo ap bridge porm aceitando somente um cliente. station:
Modo cliente de um ap. No pode ser colocado em bridge com outras
interfaces.107
INTERFACE WIRELESS MODO DE OPERAO
station pseudobridge: Estao que pode ser colocada em modo
bridge, porm sempre passa ao AP seu prprio MAC. station
pseudobridge clone: Modo idntico ao anterior, porm passa ao AP um
MAC pr determinado anteriormente. station wds: Modo estao que pode
ser colocado em bridge com a interface ethernet e que passa os MACs
de forma transparente. necessrio que o AP esteja em modo wds.
108
INTERFACE WIRELESS MODO DE OPERAO
alignment only: Modo utilizado para efetuar alinhamento de
antenas e monitorar sinal. Neste modo a interface wireless escuta
os pacotes que so mandados a ela por outros dispositivos
trabalhando no mesmo canal. wds slave: Ser visto no tpico
especifico de wds. nstreme dual slave: Ser visto no tpico
especifico de nstreme.109
INTERFACE WIRELESS AP VIRTUAL
Com as interfaces virtuais podemos montar vrias redes dando
perfis de servio diferentes. Name: Nome da rede virtual MTU:
Unidade mxima de transferncia(bytes) MAC: Endereo MAC do novo AP
ARP: Modo de operao do protocolo ARP Obs.: As demais configuraes so
idnticas as de um AP.110
CAMADA FSICA - WIRELESSComo trabalha o CSMA?Redes ethernet
tradicionais utilizam o mtodo CSMA/CD (Colision Detection).
Redes wireless 802.11 utilizam o mtodo CSMA/CA (Colision
Avoidance).
111
PROTOCOLO NSTREME - CONFIGURAOFramer Policy Dynamic size: O
Mikrotik determina. Best fit: Agrupa at o valor em Frame Limit sem
fragmentar. Exact Size: Agrupa at o valor em Frame Limit
fragmentando se necessrio. Enable Nstreme: Habilita o nstreme.
Enable Polling: Habilita o mecanismo de polling. Recomendado.
Disable CSMA: Desabilita o Carrier Sense. Recomendado. Framer
Limit: Tamanho mximo do pacote em bytes.
112
PROTOCOLO NSTREME DUAL - CONFIGURAO
1 Colocar a interface em modo nstreme dual slave. 2 Adicionar
uma interface Nstreme Dual e definir quem ser TX e quem ser
RX.113
Obs.: Utilize sempre canais distantes.
PROTOCOLO NSTREME DUAL - CONFIGURAO
3 Verifique o MAC escolhido pela interface Nstreme e informe no
lado oposto.
4 Criar uma bridge e adicionar as interfaces ethernet e a
interface Nstreme Dual Prticas de RF recomendadas: Use antenas de
qualidade, Polarizaes diferentes, canais distantes e mantenha uma
boa distncia entre as antenas.114
WDS & WDS MESH
115
WDS WIRELESS DISTRIBUTION SYSTEM
WDS a melhor forma uma grande rea de cobertura utilizando vrios
APs e prover mobilidade sem a necessidade de re-conexo dos usurios.
Para isso todos os APs devem ter o mesmo SSID e mesmo canal.
116
WDS E O PROTOCOLO STP
A mgica do wds s possvel por conta do protocolo STP. Para evitar
o looping na rede necessrio habilitar o protocolo STP ou RSTP.
Ambos protocolos trabalham de forma semelhante porm o RSTP mais
rpido. O RSTP inicialmente elege uma root bridge e utiliza o
algoritmo breadth-first search que quando encontra um MAC pela
primeira vez, torna o link ativo. Se encontra outra vez, torna o
link desabilitado. Normalmente habilitar o RSTP j suficiente para
atingir os resultados. No entanto possvel interferir no
comportamento padro, modificando custos, prioridades e
etc...117
WDS E O PROTOCOLO STPQuanto menor a prioridade, maior a chance
de ser eleita como bridge root.
Quando os custos so iguais eleita a porta com prioridade mais
baixa. O custo da porta permite um caminho ser eleito em lugar do
outro.118
WDS E O PROTOCOLO STP
A Bridge usa o endereo MAC da porta ativa com menor nmero de
porta. A porta wireless est ativa somente quando existem hosts
conectados a ela. Para evitar que os MACs fiquem variando, possvel
atribuir um MAC manualmente.
119
WDS / WDS MESHWDS Default Bridge: A bridge padro para as
interfaces wds. WDS Default Cost: Custo da porta bridge do link
wds. WDS Cost Range: Margem de custo que pode ser ajustada com base
no troughtput do link.
WDS Mode dynamic: As interfaces wds so adicionada dinamicamente
quando um dispositivo wds encontra outro compatvel.
dynamic mesh: O mesmo que dynamic, porm com um algoritmo
proprietrio para melhoria do link. S possui compatibilidade com
outros dispositivos Mikrotik. static: As interfaces wds devem ser
adicionadas manualmente apontando o MAC da outra ponta. static
mesh: Mesmo que o anterior, porm usando o algoritmo proprietrio da
Mikrotik.
120
WDS / MESH
Crie as interfaces wds e d os seguinte parmetros: Name: Nome da
rede wds. Master Interface: Interface que o wds funcionar. Podendo
inclusive ser uma interface virtual. WDS Address: Endereo MAC da
interface wds que ser conectada.121
WDS / MESH
Testar a transparncia do link com stations-wds Utilizar Mesh com
WDS-RSTP Testar o modo WDS Slave
122
INTERFACE WIRELESS CONTROLE DE ACESSO
A Access List utilizada pelo AP para restringir associaes de
clientes. Esta lista contem os endereos MAC de clientes e determina
qual ao deve ser tomada quando um cliente tenta conectar. A
comunicao entre clientes da mesma interface, virtual ou real, tambm
controlada na Access List.
123
INTERFACE WIRELESS CONTROLE DE ACESSOO processo de associao
ocorre da seguinte forma:
1. 2. 3.
Um cliente tenta se associar a uma interface wlan; Seu MAC
procurado na access list da interface wlan; Caso encontrado, a ao
especifica ser tomada:Authentication: Define se o cliente poder se
associar ou no; Fowarding: Define se os clientes podero se
comunicar.124
INTERFACE WIRELESS ACCESS LISTMAC Address: Endereo MAC a ser
liberado ou bloqueado. Interface: Interface real ou virtual onde
ser feito o controle de acesso. AP Tx Limit: Limite de trfego
enviado para o cliente. Client Tx Limit: Limite de trfego enviado
do cliente para o AP. Private Key: Chave wep criptografada. Private
Pre Shared Key: Chave WPA.Management Protection Key: Chave usada
para evitar ataques de desautenticao. Somente compatvel com outros
Mikrotiks.125
INTERFACE WIRELESS CONNECT LISTA Connect List tem a finalidade
de listar os APs que o Mikrotik configurado como cliente pode se
conectar.MAC Address: MAC do AP a se conectar SSID: Nome da rede
Area Prefix: String para conexo com AP de mesma rea Security
Profile: Definido nos perfis de segurana. Obs.: Essa uma boa opo
para evitar que o cliente se associe a um AP falso.126
SEGURANA DE ACESSO EM REDES SEM FIO
127
FALSA SEGURANANome da rede escondido:Pontos de acesso sem fio
por padro fazem o broadcast de seu SSID nos pacotes chamados
beacons. Este comportamento pode ser modificado no Mikrotik
habilitando a opo Hide SSID.
Pontos negativos:SSID deve ser conhecido pelos clientes Scanners
passivos o descobrem facilmente pelos pacotes de probe request dos
clientes.
128
FALSA SEGURANAControle de MACs:Descobrir MACs que trafegam no ar
muito simples com ferramentas apropriadas e inclusive o Mikrotik
como sniffer. Spoofar um MAC bem simples. Tanto usando windows,
linux ou Mikrotik.
129
FALSA SEGURANACriptografia WEP:Wired Equivalent Privacy Foi o
sistema de criptografia inicialmente especificado no padro 802.11 e
est baseado no compartilhamento de um segredo entre o ponto de
acesso e os clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar a
chave, como:Airodump Airreplay Aircrack
Hoje com essas ferramentas bem simples quebrar a WEP.
130
EVOLUO DOS PADRES DE SEGURANA
131
FUNDAMENTOS DE SEGURANAPrivacidadeAs informaes no podem ser
legveis para terceiros.
IntegridadeAs informaes no podem ser alteradas quando em
transito.
AutenticaoAP Cliente: O AP tem que garantir que o cliente quem
diz ser. Cliente AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado ataque
do homem do meio.
132
PRIVACIDADE E INTEGRIDADETanto a privacidade como a integridade
so garantidos por tcnicas de criptografia. O algoritmo de
criptografia de dados em WPA o RC4, porm implementado de uma forma
bem mais segura que na WEP. E na WPA2 utiliza-se o AES. Para a
integridade dos dados WPA usa TKIP(Algoritmo de Hashing Michael) e
WPA2 usa CCMP(Cipher Chaining Message Authentication Check CBC
MAC)
133
CHAVE WPA E WPA2 - PSKA configurao da chave WPA/WAP2-PSK muito
simples no Mikrotik. Configure o modo de chave dinmico e a chave
prcombinada para cada tipo de autenticao. Obs.: As chaves so
alfanumricas de 8 at 64 caracteres.134
SEGURANA DE WPA / WPA2Atualmente a nica maneira conhecida para
se quebrar a WPA-PSK somente por ataque de dicionrio. Como a chave
mestra PMK combina uma contra-senha com o SSID, escolhendo palavras
fortes torna o sucesso de fora bruta praticamente impossvel. A
maior fragilidade paras os WISPs que a chave se encontra em texto
plano nos computadores dos clientes ou no prprio Mikrotik.
135
CONFIGURANDO EAP-TLS SEM CERTIFICADOSCrie o perfil EAP-TLS e
associe a interface Wireless cliente.
136
SEGURANA DE EAP-TLS SEM CERTIFICADOSO resultado da negociao
annima resulta em uma chave PMK que de conhecimento exclusivo das
duas partes. Depois disso toda a comunicao criptografada por
AES(WPA2) e o RC4(WPA). Seria um mtodo muito seguro se no houvesse
a possibilidade de um atacante colocar um Mikrotik com a mesma
configurao e negociar a chave normalmente como se fosse um cliente.
Uma idia para utilizar essa configurao de forma segura criando um
tnel criptografado PPtP ou L2TP entre os equipamentos depois de
fechado o enlace.
137
TRABALHANDO COM CERTIFICADOSCertificado digital um arquivo que
identifica de forma inequvoca o seu proprietrio. Certificados so
criados por instituies emissoras chamadas de CA (Certificate
Authorities). Os certificados podem ser:Assinados por uma instituio
acreditada (Verisign, Thawte, etc...) Certificados
auto-assinados.138
PASSOS PARA IMPLEMENTAO DE EAP-TLS COM CERTIFICADOS AUTO
ASSINADOSCrie a entidade certificadora(CA) Crie as requisies de
Certificados Assinar as requisies na CA Importar os certificados
assinados para os Mikrotiks Se necessrio, criar os certificados
para mquinas windows139
1. 2. 3. 4. 5.
EAP-TLS SEM RADIUS EM AMBOS LADOSO metodo EAP-TLS tambm pode ser
usado com certificados.
140
EAP-TLS SEM RADIUS EM AMBOS LADOSMetodos TLS dont verify
certificate: Requer um certificado, porm no verifica. no
certificates: Certificados so negociados dinamicamente com o
algoritmo de Diffie Hellman. verify certificate: Requer um
certificado e verifica se foi assinado por uma CA.
141
WPAX COM RADIUS
142
TIPOS DE EAPEAP-TLS (EAP Transport Layer Security)O Mikrotik
suporta EAP-TLS tanto como cliente como AP e ainda repassa esse
mtodo para um Servidor Radius. Prover maior nvel de segurana e
necessita de certificados em ambos lados(cliente e servidor). O
passo a passo completo para configurar um servidor Radius pode ser
encontrado em:
http://under-linux.org/wiki/Tutoriais/Wireless/freeradiusmikrotik
143
EAP-TLS COM RADIUS EM AMBOS LADOSA configurao da parte do
cliente bem simples.Selecione o mtodo EAP-TLS Certifique-se que os
certificados esto instalados e assinados pela CA. Associe o novo
perfil de segurana a interface wireless correspondente.144
EAP-TLS COM RADIUS EM AMBOS LADOSNo lado do AP selecione o mtodo
EAP passthrough. Selecione o certificado correspondente.
Obs.: Verifique sempre se o sistema est com o cliente NTP
habilitado. Caso a data do sistema no esteja correta, poder causar
falha no uso de certificados devido a data validade dos mesmos.
145
SEGURANA DE EAP-TLS COM RADIUSSem dvida este o mtodo mais seguro
que podemos obter. Entretanto existe um ponto que podemos levantar
como possvel fragilidade:
Ponto de fragilidade
Se um atacante tem acesso fsico ao link entre o AP e o Radius
ele pode tentar um ataque de fora bruta para descobrir a PMK. Uma
forma de proteger este trecho usando um tnel L2TP.
146
RESUMO DOS METODOS DE IMPLANTAO E SEUS PROBLEMAS.WPA-PSKChaves
presentes nos clientes e acessveis aos operadores.
Mtodo sem certificadosPassvel de invaso por equipamento que
tambm opere nesse modo. Problemas com processador.
Mikrotik com Mikrotik com EAP-TLSMtodo seguro porm invivel
economicamente e de implantao 147 praticamente impossvel em redes
existentes.
RESUMO DOS METODOS DE IMPLANTAO E SEUS PROBLEMAS.Mikrotik com
RadiusEAP-TLS e EAP-PEAP:Sujeito ao ataque do homem do meio e pouco
disponvel em equipamentos atuais.
EPA-TLSMtodo seguro, porm tambm no disponvel na maioria dos
equipamentos. Em placas PCI possvel implement-lo.
148
MTODO ALTERNATIVO COM MIKROTIKA partir da verso 3 o Mikrotik
oferece a possibilidade de distribuir uma chave WPA2 PSK por
cliente. Essa chave configurada na Access List do AP e vinculada ao
MAC Address do cliente, possibilitando que cada um tenha sua
chave.
Obs.: Cadastrando as PSK na access list, voltamos ao problema da
chave ser visvel a usurios do Mikrotik.
149
MTODO ALTERNATIVO COM MIKROTIKPor outro lado, o Mikrotik permite
que essas chaves sejam distribudas por Radius, o que torna esse
mtodo muito interessante. Para isso necessrio:Criar um perfil WPA2
qualquer; Habilitar a autenticao via MAC no AP; Ter a mesma chave
configurada tanto no cliente como no Radius.
150
MTODO ALTERNATIVO COM MIKROTIKConfigurando o perfil:
151
CONFIGURANDO O RADIUSArquivo users: (/etc/freeradius) #Sintaxe:
# MAC # 000C42000001
Cleartext-Password:=MAC Mikrotik-Wireless-Psk = Chave_Psk
Cleartext-Password:=000C42000001 Mikrotik-Wireless-Psk = 12341234
Cleartext-Password:=000C43000002 Mikrotik-Wireless-Psk =
2020202020ABC
000C42000002
152
CORRIGINDO O DICIONRIO DE
ATRIBUTOS(/usr/share/freeradius/dictionary.mikrotik)VENDOR
ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE
ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE
ATTRIBUTE ATTRIBUTE ATTRIBUTE ATTRIBUTE Mikrotik
Mikrotik-Recv-Limit Mikrotik-Xmit-Limit 14988 1 2 integer integer 3
4 5 6 7 string 9 10 11 12 13 integer integer 16 string integer
integer integer string string ipaddr string string integer
Mikrotik-Group Mikrotik-Wireless-Forward
Mikrotik-Wireless-Skip-Dot1x Mikrotik-Wireless-Enc-Algo
Mikrotik-Wireless-Enc-Key Mikrotik-Rate-Limit 8 Mikrotik-Realm
Mikrotik-Host-IP Mikrotik-Mark-Id Mikrotik-Advertise-URL
Mikrotik-Advertise-Interval Mikrotik-Recv-Limit-Gigawords 14
Mikrotik-Xmit-Limit-Gigawords 15 Mikrotik-Wireless-Psk
string
153
FIREWALL NO MIKROTIK
154
FIREWALLO firewall normalmente usado como ferramenta de segurana
para prevenir o acesso no autorizado a rede interna e/ou acesso ao
roteador em si, bloquear diversos tipos de ataques e controlar o
fluxo de dados de entrada, de sada e passante. Alm da segurana no
firewall que sero desempenhadas diversas funes importantes como a
classificao e marcao de pacotes para desenvolvimento de regras de
QoS. A classificao do trfego feita no firewall pode ser baseada em
vrios classificadores como endereos MAC, endereos IP, tipos de
endereos IP, portas, TOS, tamanho do pacotes, etc...155
FIREWALL - OPES
Filter Rules: Regras para filtro de pacotes. NAT: Onde feito a
traduo de endereos e portas. Mangle: Marcao de pacotes, conexo e
roteamento. Service Ports: Onde so localizados os NAT Helpers.
Connections: Onde so localizadas as conexes existentes. Address
List: Lista de endereos ips inseridos de forma dinmica ou esttica e
que podem ser utilizadas em vrias partes do firewall. Layer 7
Protocols: Filtros de camada 7.
156
FIREWALL CANAIS DEFAULTO Firewall opera por meio de regras. Uma
regra uma expresso lgica que diz ao roteador o que fazer com um
tipo particular de pacote. Regras so organizadas em canais(chain) e
existem 3 canais default.INPUT: Responsvel pelo trfego que CHEGA no
router; OUTPUT: Responsvel pelo trfego que SAI do router; FORWARD:
Responsvel pelo trfego que PASSA pelo router.
157
FIREWALL FLUXO DE PACOTESInterface de EntradaProcesso Local IN
Processo Local OUT
Interface de Saida
Deciso de Roteamento
Filtro Input
Filtro Output
Deciso de Roteamento
Filtro Forward
Para maiores informaes acesse:
http://wiki.mikrotik.com/wiki/Manual:Packet_F low
158
FIREWALL PRINCPIOS GERAIS
1.
As regras de firewall so sempre processadas por canal, na ordem
que so listadas de cima pra baixo. As regras de firewall funcionam
como expresses lgicas condicionais, ou seja: se ento . Se um pacote
no atende TODAS condies de uma regra, ele passa para a regra
seguinte.
2.
3.
159
FIREWALL PRINCPIOS GERAIS4.
Quando um pacote atende TODAS as condies da regra, uma ao tomada
com ele no importando as regras que estejam abaixo nesse canal,
pois elas no sero processadas. Algumas excees ao critrio acima
devem ser consideradas como as aes de: passthrough, log e add to
address list. Um pacote que no se enquadre em qualquer regra do
canal, por padro ser aceito.
5.
6.
160
FIREWALL FILTERS RULES
As regras de filtro pode ser organizadas e mostradas da seguinte
forma:all: Mostra todas as regras. dynamic: Regras criadas
dinamicamente por servios. forward, input output: Regras referente
a cada canal. static: Regras criadas estaticamente pelos
usurios.
161
FIREWALL FILTERS RULESAlgumas aes que podem ser tomadas nos
filtros de firewall:passthrough: Contabiliza e passa adiante. drop:
Descarta o pacote silenciosamente. reject: Descarta o pacote e
responde com uma mensagem de icmp ou tcp reset. tarpit: Responde
com SYN/ACK ao pacote TCP SYN entrante, mas no aloca recursos.
162
FILTER RULES CANAIS CRIADOS PELO USURIO
Alm dos canais padro o administrador pode criar canais prprios.
Esta prtica ajuda na organizao do firewall. Para utilizar o canal
criado devemos desviar o fluxo atravs de uma ao JUMP. No exemplo
acima podemos ver 3 novos canais criados. Para criar um novo canal
basta adicionar uma nova regra e 163 dar o nome desejado ao
canal.
FIREWALL FILTERS RULESAes relativas a canais criados pelo
usurio:jump: Salta para um canal definido em jump-target jump
target: Nome do canal para onde se deve saltar return: Retorna para
o canal que chamou o jump164
COMO FUNCIONA O CANAL CRIADO PELO USURIOCanal criado pelo
usurio
REGRA REGRA REGRA JUMP REGRA REGRA REGRA REGRA
REGRA REGRA REGRA REGRA REGRA REGRA REGRA REGRA
165
COMO FUNCIONA O CANAL CRIADO PELO USURIO
REGRA REGRA REGRA JUMP REGRA REGRA REGRA REGRA
REGRA REGRA REGRA RETURN REGRA REGRA REGRA REGRA
Caso exista alguma regra de RETURN, o retorno feito de forma
antecipada e as regras abaixo sero ignoradas.
166
FIREWALL ADDRESS LISTA address list contm uma lista de endereos
IP que pode ser utilizada em vrias partes do firewall. Pode-se
adicionar entradas de forma dinmica usando o filtro ou mangle
conforme abaixo:Aes:add dst to address list: Adiciona o IP de
destino lista. add src to address list: Adiciona o IP de origem
lista.
Address List: Nome da lista de endereos. Timeout: Porque quanto
tempo a entrada permanecer na lista.167
FIREWALL TCNICA DO KNOCK KNOCK
168
FIREWALL TCNICA DO KNOCK KNOCKA tcnica do knock knock consiste
em permitir acesso ao roteador somente aps ter seu endereo IP em
uma determinada address list. Neste exemplo iremos restringir o
acesso ao winbox somente a endereos IPs que estejam na lista
libera_winbox /ip firewall filter add chain=input protocol=tcp
dst-port=2771 action=add-src-to-address-list address-list=knock \
address-list-timeout=15s comment="" disabled=no add chain=input
protocol=tcp dst-port=7127 src-address-list=knock action=
add-src-to-address-list \ address-list=libera_winbox
address-list-timeout=15m comment="" disabled=no add chain=input
protocol=tcp dst-port=8291 src-address-list=libera_winbox
action=accept disabled=no add chain=input protocol=tcp
dst-port=8291 action=drop disbled=no169
FIREWALL CONNECTION TRACKRefere-se a habilidade do roteador em
manter o estado da informao relativa as conexes, tais como endereos
IP de origem e destino, as respectivas portas, estado da conexo,
tipo de protocolos e timeouts. Firewalls que fazem connection track
so chamados de statefull e so mais seguros que os que fazem
processamentos stateless.
170
FIREWALL CONNECTION TRACKO sistema de connection track o corao
do firewall. Ele obtm e mantm informaes sobre todas conexes ativas.
Quando se desabilita a funo connection tracking so perdidas as
funcionalidades NAT e as marcaes de pacotes que dependam de conexo.
No entanto, pacotes podem ser marcados de forma direta. Connection
track exigente de recursos de hardware. Quando o equipamento
trabalha somente como bridge aconselhvel desabilit-la.
171
LOCALIZAO DA CONNECTION TRACKING
Interface de Entrada
Processo Local IN
Processo Local OUT
Interface de Saida
Conntrack
Conntrack
Deciso de Roteamento
Filtro Input
Filtro Output
Deciso de Roteamento
Filtro Forward
172
FIREWALL CONNECTION TRACK
Estado das conexes:established: Significa que o pacote faz parte
de uma conexo j estabelecida anteriormente. new: Significa que o
pacote est iniciando uma nova conexo ou faz parte de uma conexo que
ainda no trafegou pacotes em ambas direes. related: Significa que o
pacote inicia uma nova conexo, porm est associada a uma conexo
existente. invalid: Significa que o pacote no pertence a nenhuma
conexo 173 existente e nem est iniciando outra.
FIREWALL PROTEGENDO O ROTEADOR E OS CLIENTES
174
PRINCPIOS BSICOS DE PROTEOProteo do prprio roteadorTratamento
das conexes e eliminao de trfego prejudicial/intil. Permitir
somente servios necessrios no prprio roteador. Prevenir e controlar
ataques e acessos no autorizado ao roteador.
Proteo da rede internaTratamento das conexes e eliminao de
trfego prejudicial/intil. Permitir somente os servios necessrios
nos clientes. Prevenir e controlar ataques e acesso no autorizado
em clientes. 175
FIREWALL TRATAMENTO DE CONEXES
Regras do canal inputDescarta conexes invlidas. Aceitar conexes
estabelecidas. Aceitar conexes relacionadas. Aceitar todas conexes
da rede interna. Descartar o restante.
176
FIREWALL CONTROLE DE SERVIOS
Regras do canal inputPermitir acesso externo ao winbox. Permitir
acesso externo por SSH. Permitir acesso externo ao FTP. Realocar as
regras.
177
FIREWALL FILTRANDO TRFEGO PREJUDICIAL/INTILBloquear portas mais
comuns utilizadas por vrus. Baixar lista com portas e protocolos
utilizados por vrus. ftp://172.31.255.1/arquivos/virus.rsc Importar
o arquivo virus.rsc e criar um jump para que as regras
funcionem.178
FIREWALL FILTRANDO TRFEGO INDESEJVEL E POSSVEIS ATAQUES.Controle
de ICMPInternet Control Message Protocol basicamente uma ferramenta
para diagnstico da rede e alguns tipos de ICMP devem ser liberados
obrigatoriamente. Um roteador usa tipicamente apenas 5 tipos de
ICMP(type:code), que so:Ping Mensagens (0:0) e (8:0) Traceroute
Mensagens (11:0) e (3:3) PMTUD Mensagens (3:4)
Os outros tipos de ICMP podem ser bloqueados.
179
FIREWALL FILTRANDO TRFEGO INDESEJVELIPs Bogons:Existem mais de 4
milhes de endereos IPV4. Existem muitas ranges de IP restritos em
rede pblicas. Existem vrias ranges reservadas para propsitos
especficos. Uma lista atualizada de IPs bogons pode ser encontrada
em: http://www.team-cymru.org/Services/Bogons/bogon-dd.html
IPs Privados:Muitos aplicativos mal configurados geram pacotes
destinados a IPs privados e uma boa prtica filtr-los.180
FIREWAL PROTEO BSICAPing Flood:Ping Flood consiste no envio de
grandes volumes de mensagens ICMP aleatrias. possvel detectar essa
condio no Mikrotik criando uma regra em firewall filter e podemos
associ-la a uma regra de log para monitorar a origem do ataque.
181
FIREWAL PROTEO BSICAPort Scan:Consiste no escaneamento de portas
TCP e UDP. A deteco de ataques somente possvel para o protocolo
TCP. Portas baixas (0 1023) Portas altas (1024 65535)
182
FIREWAL PROTEO BSICAAtaques DoS:O principal objetivo do ataque
de DoS o consumo de recursos de CPU ou banda. Usualmente o roteador
inundado com requisies de conexes TCP/SYN causando resposta de
TCP/SYN-ACK e a espera do pacote TCP/ACK. Normalmente no
intencional ou causada por vrus em clientes. Todos os IPs com mais
de 15 conexes com o roteador podem ser considerados
atacantes.183
FIREWAL PROTEO BSICAAtaques DoS:Se simplesmente descartamos as
conexes, permitiremos que o atacante crie uma nova conexo. Para que
isso no ocorra, podemos implementar a proteo em dois estgios:Deteco
Criar uma lista de atacantes DoS com base em connection limit.
Supresso Aplicando restries aos que forem detectados.
184
FIREWAL PROTEO PARA ATAQUES DOSCriar a lista de atacantes para
posteriormente aplicarmos a supresso adequada.
185
FIREWAL PROTEO PARA ATAQUES DOSCom a ao tarpit aceitamos a
conexo e a fechamos, no deixando no entanto o atacante trafegar.
Essa regra deve ser colocada antes da regra de deteco ou ento a
address list ir reescrevla todo tempo.
186
FIREWAL PROTEO BSICAAtaque dDoS:Ataque de dDoS so bastante
parecidos com os de DoS, porm partem de um grande nmero de hosts
infectados. A nica medida que podemos tomar habilitar a opo TCP
SynCookie no Connection Track do firewall.187
FIREWALL - NATNAT Network Address Translation uma tcnica que
permite que vrios hosts em uma LAN usem um conjunto de endereos IPs
para comunicao interna e outro para comunicao externa. Existem dois
tipos de NAT. Src NAT: Quando o roteador reescreve o IP ou porta de
origem.SRC DST SRC NAT Novo SRC DST
Dst NAT: Quando o roteador reescreve o IP ou porta de
destino.SRC DST DST NAT SRC Novo DST188
FIREWALL - NATAs regras de NAT so organizadas em canais:dstnat:
Processa o trfego enviado PARA o roteador e ATRAVS do roteador,
antes que ele seja dividido em INPUT e/ou FORWARD. srcnat: Processa
o trfego enviado A PARTIR do roteador e ATRAVS do roteador, depois
que ele sai de OUTPUT e/ou FORWARD.
189
FIREWALL NAT FLUXO DE PACOTESInterface de EntradaProcesso Local
IN Processo Local OUT
Interface de Saida
Conntrack
dstnat
Conntrack
srcnat
Deciso de Roteamento
Filtro Input
Filtro Output
Deciso de Roteamento 190
Filtro Forward
FIREWALL - NATSource NAT: A ao mascarade troca o endereo IP de
origem de uma determinada rede pelo endereo IP da interface de
sada. Portanto se temos, por exemplo, a interface ether2 com
endereo IP 185.185.185.185 e uma rede local 192.168.0.0/16 por trs
da ether1, podemos fazer o seguinte:
Desta forma, todos os endereos IPs da rede local vo obter acesso
a internet utilizando o endereo IP 185.185.185.185
191
FIREWALL - NATNAT (1:1): Serve para dar acesso bi-direcional a
um determinado endereo IP. Dessa forma, um endereo IP de rede local
pode ser acessado atravs de um IP pblico e vice-versa.
192
FIREWALL - NATRedirecionamento de portas: O NAT nos possibilita
redirecionar portas para permitir acesso a servios que rodem na
rede interna. Dessa forma podemos dar acesso a servios de clientes
sem utilizao de endereo IP pblico.
Redirecionamento para acesso ao servidor WEB do cliente
192.168.100.10 pela porta 6380.
Redirecionamento para acesso ao servidor WEB do cliente
192.168.100.20 pela porta 6480.
193
FIREWALL - NATNAT (1:1) com netmap: Com o netmap podemos criar o
mesmo acesso bi-direcional de rede para rede. Com isso podemos
mapear, por exemplo, a rede 185.185.185.0/24 para a rede
192.168.100.0/24 assim:
194
FIREWALL NAT HELPERS
Hosts atrs de uma rede nateada no possuem conectividade fima-fim
verdadeira. Por isso alguns protocolos podem no funcionar
corretamente neste cenrio. Servios que requerem iniciao de conexes
TCP fora da rede, bem como protocolos stateless como UDP, podem no
funcionar. Para resolver este problema, a implementao de NAT no
Mikrotik prev alguns NAT Helpers que tm a funo de auxiliar nesses
servios. 195
FIREWALL MANGLEO mangle no Mikrotik uma facilidade que permite a
introduo de marcas em pacotes IP ou em conexes, com base em um
determinado comportamento especifico. As marcas introduzidas pelo
mangle so utilizadas em processamento futuro e delas fazem uso o
controle de banda, QoS, NAT, etc... Elas existem somente no
roteador e portanto no so passadas para fora. Com o mangle tambm
possvel manipular o determinados campos do cabealho IP como o ToS,
TTL, etc...
196
FIREWALL MANGLEAs regras de mangle so organizadas em canais e
obedecem as mesma regras gerais das regras de filtro quanto a
sintaxe. Tambm possvel criar canais pelo prprio usurio. Existem 5
canais padro:prerouting: Marca antes da fila Global-in;
postrouting: Marca antes da fila Global-out; input: Marca antes do
filtro input; output: Marca antes do filtro output; forward: Marca
antes do filtro forward;
197
FIREWALL DIAGRAMA DO MANGLEInterface de EntradaProcesso Local IN
Processo Local OUT
Interface de Saida
Mangle Input
Mangle Output
Mangle Prerouting
Deciso de Roteamento
Deciso de Roteamento
Mangle Postrouting
Mangle Forward
198
FIREWALL MANGLEAs opes de marcaes incluem:mark-connection: Marca
apenas o primeiro pacote. mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para poltica de roteamento.
199
FIREWALL MANGLEMarcando conexes:Use mark-connection para
identificar uma ou um grupo de conexes com uma marca especifica de
conexo. Marcas de conexo so armazenadas na contrack. S pode haver
uma marca de conexo para cada conexo. O uso da contrack facilita na
associao de cada pacote a uma conexo especfica.200
FIREWALL MANGLEMarcando pacotes:Indiretamente: Usando a
facilidade da connection tracking, com base em marcas de conexo
previamente criadas. Esta a forma mais rpida e eficiente.
Diretamente: Sem o uso da connection tracking no necessrio marcas
de conexes anteriores e o roteador ir comparar cada pacote com
determinadas condies.201
FIREWALL ESTRUTURA
202
FIREWALL FLUXO DE PACOTES
203
FIREWALL - MANGLEUm bom exemplo da utilizao do mangle marcando
pacotes de conexes P2P.
Aps marcar a conexo, agora precisamos marcar os pacotes
provenientes desta conexo.204
FIREWALL - MANGLE
Com base na conexo j marcada anteriormente, podemos fazer as
marcaes dos pacotes.
Obs.: A marcao de P2P disponibilizada no Mikrotik no inclui os
programas que usam criptografia.
205
FIREWALL - MANGLE possvel disponibilizar um modelo simples de
QoS utilizando o mangle. Para isso precisamos marcar os seguintes
fluxos:Navegao http e https; FTP Email MSN ICMP P2P Demais
servios
206
DVIDAS ???
207
QOS E CONTROLE DE BANDA
208
CONCEITOS BSICOS DE LARGURA E LIMITE DEBANDALargura de banda: Em
telecomunicaes, a largura da banda ou apenas banda (tambm chamada
de dbito) usualmente se refere bitrate de uma rede de transferncia
de dados, ou seja, a quantidade em bits/s que a rede suporta. A
denominao banda, designada originalmente a um grupo de frequncias
justificada pelo fato de que o limite de transferncia de dados de
um meio est ligado largura da banda em hertz. O termo banda larga
denota conexes com uma largura em hertz relativamente alta, em
contraste com a velocidade padro em linhas analgicas convencionais
(56 kbps), na chamada conexo discada. Limite de banda: O limite de
banda o limite mximo de transferncia de dados, onde tambm designada
sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56
kbps, onde 56 kilobits (7 kbytes) por segundo o limite de
transferncia de dados de sua conexo ou uma banda de 1Mbps, voc
conseguiria transportar cerca de 1 megabit ou aproximadamente 340
kilobytes por segundo. Nela podemos achar tambm o valor relativo a
transferncia de dados real, ou tambm chamado de Taxa ou Velocidade
de Transferncia ou (throughput), que varia aproximadamente entre 10
a 12 por cento do valor nomintal de seu limite de banda. Por
exemplo, numa velocidade de 56kbps, voc conseguir taxas de
transferencia de no mximo 5,6 a 6,7 kbps aproximadamente, enquanto
numa banda de 256kbps, voc conseguir uma Taxa de 209 Transferncia
de aproximadamente entre 25kbps a 30,7kbps
TRAFFIC SHAPINGTraffic shaping um termo da lngua inglesa,
utilizado para definir a prtica de priorizao do trfego de dados,
atravs do condicionamento do dbito de redes, a fim de otimizar o
uso da largura de banda disponvel. O termo passou a ser mais
conhecido e utilizado aps a popularizao do uso de tecnologias "voz
sobre ip" (VoIP), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre
localidades distintas tenham seus custos drasticamente reduzidos,
substituindo o uso das conexes comuns. No Brasil, a prtica passou a
ser adotada pelas empresas de telefonia, apesar de condenada por
algumas instituies protetoras dos direitos do consumidor. Estas
empresas utilizam programas de gesto de dados que acompanham e
analisam a utilizao e priorizam a navegao, bloqueando ou diminuindo
o trafego de dados VoIP, assim prejudicando a qualidade do uso
deste tipo de servio. A prtica tambm comumente adotada para outros
tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo,
P2P e FTP. Os programas de traffic shaping podem ainda fazer logs
dos hbitos de utilizadores, capturar informaes sobre IPs acedidos,
ativar gravaes automticas a partir de determinadas condutas,
reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.210
QUALIDADE DE SERVIONo campo das telecomunicaes e redes de
computadores, o termo Qualidade de Servio (QoS) pode tender para
duas interpretaes relacionadas, mas distintas. Em redes de comutao
de circuitos, refere-se probabilidade de sucesso em estabelecer uma
ligao a um destino. Em redes de comutao de pacotes refere-se
garantia de largura de banda ou, como em muitos casos, utilizada
informalmente para referir a probabilidade de um pacote circular
entre dois pontos de rede. Existem, essencialmente, duas formas de
oferecer garantias QoS. A primeira procura oferecer bastantes
recursos, suficientes para o pico esperado, com uma margem de
segurana substancial. simples e eficaz, mas na prtica assumido como
dispendioso, e tende a ser ineficaz se o valor de pico aumentar alm
do previsto: reservar recursos gasta tempo. O segundo mtodo o
de
obrigar os provedores a reservar os recursos, e apenas aceitar
as reservas se os routers conseguirem servi-las com confiabilidade.
Naturalmente, as reservas podem ter um custo monetrio
associado!
211
QUALIDADE DE SERVIOOs mecanismos para prover QoS no Mikrotik
so:Limitar banda para certos IPs, subredes, protocolos, servios e
outros parmetros. Limitar trfego P2P. Priorizar certos fluxos de
dados em relao a outros. Utilizar bursts para melhorar o desempenho
web. Compartilhar banda disponvel entre usurios de forma ponderada
dependendo da carga do canal. Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch212
QUALIDADE DE SERVIOOs principais termos utilizados em QoS
so:Queuing discipline(qdisc): Disciplina de enfileiramento. um
algoritmo que mantm e controla uma fila de pacotes. Ela especifica
a ordem dos pacotes que saem, podendo inclusive reorden-los, e
determina quais pacotes sero descartados. Limit At ou CIR(Commited
Information Rate): Taxa de dados garantida. a garantia de banda
fornecida a um circuito ou link. Max Limit ou MIR(Maximal
Information Rate): Taxa mxima de dados que ser fornecida. Ou seja,
limite a partir do qual os pacotes sero descartados. Priority: a
ordem de importncia que o trfego processado. Pode-se determinar
qual tipo de trfego ser processado primeiro.
213
FILAS - QUEUES
Para ordenar e controlar o fluxo de dados, aplicada uma poltica
de enfileiramento aos pacotes que estejam deixando o roteador. Ou
seja: As filas so aplicadas na interface onde o fluxo est saindo. A
limitao de banda feita mediante o descarte de pacotes. No caso do
protocolo TCP, os pacotes descartados sero reenviados, de forma que
no h com que se preocupar com relao a perda de dados. O mesmo no
vale para o UDP.
214
TIPOS DE FILASAntes de enviar os pacotes por uma interface, eles
so processados por uma disciplina de filas(queue types). Por padro
as disciplinas de filas so colocadas sob queue interface para cada
interface fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila
padro da interface, definida em queue interface, no ser mantida.
Isso significa que quando um pacote no encontra qualquer filtro,
ele enviado atravs da interface com prioridade mxima.
215
TIPOS DE FILASAs disciplinas de filas so utilizadas para
(re)enfileirar e (re)organizar pacotes na medida em que os mesmos
chegam na interface. As disciplinas de filas so classificadas pela
sua influncia no fluxo de pacotes da seguinte forma:Schedulers:
(Re) ordenam pacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadram na disciplina. As disciplinas
schedulers so: PFIFO, BFIFO, SFQ, PCQ e RED. Shapers: Tambm fazem
limitao. Esses so: PCQ e HTB.
216
CONTROLE DE TRFEGO
217
CONTROLE DE TRFEGOO controle de trfego implementado atravs de
dois mecanismos:Pacotes so policiados na entrada:Pacotes
indesejveis so descartados.
Pacotes so enfileirados na interface de sada:Pacotes podem ser
atrasados, descartados ou priorizados.
218
CONTROLE DE TRFEGOO controle de trfego implementado internamente
por 4 tipos de componentes:Queuing Disciplines (qdisc):Algoritmos
que controlam o enfileiramento e envio de pacotes. Ex.: FIFO.
Classes:Representam entidades de classificao de pacotes. Cada
classe pode estar associada a um qdisc.
Filters:Utilizados para classificar os pacotes e atribu-los as
classes.
Policers:Utilizados para evitar que o trfego associado a cada
filtro ultrapasse limites pr-definidos.
219
CONTROLE DE TRFEGO TIPOS DE FILAPFIFO e BFIFO: Estas disciplinas
de filas so baseadas no algoritmo FIFO(First-in First-out), ou
seja, o primeiro que entra o primeiro que sai. A diferena entre
PFIFO e BFIFO que, um medido em pacotes e o outro em bytes. Existe
apenas um parmetro chamado Queue Size que determina a quantidade de
dados em uma fila FIFO pode conter. Todo pacote que no puder ser
enfileirado (se fila estiver cheia) ser descartado. Tamanhos
grandes de fila podero aumentar a latncia. Em compensao prov melhor
utilizao do canal.
220
CONTROLE DE TRFEGO TIPOS DE FILARED: Random Early Detection
Deteco Aleatria Antecipada um mecanismo de enfileiramento que tenta
evitar o congestionamento do link controlando o tamanho mdio da
fila. Quando o tamanho mdio da fila atinge o valor configurado em
min threshould, o RED escolhe um pacote para descartar. A
probabilidade do nmero de pacotes que sero descartados cresce na
medida em que a mdia do tamanho da fila cresce. Se o tamanho mdio
da fila atinge o max threshould, os pacotes so descartados com a
probabilidade mxima. Entretanto existem casos que o tamanho real da
fila muito maior que o max threshould ento todos os pacotes que
excederem o min threshould sero descartados. RED indicado em links
congestionados com altas taxas de dados. Como muito rpido funciona
bem com TCP.
221
CONTROLE DE TRFEGO TIPOS DE FILASFQ: Stochastic Fairness Queuing
Enfileiramento Estocstico com justia uma disciplina que tem justia
assegurada por algoritmos de hashing e round roubin. O fluxo de
pacotes pode ser identificado exclusivamente por 4 opes:src-address
dst-address src-port dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em
seguida o algoritmo round roubin distribui a banda disponvel para
estas sub-filas, a cada rodada configurada no parmetro
allot(bytes). No limita o trfego. O objetivo equalizar os fluxos de
trfegos(sesses TCP e streaming UDP) quando o link(interface) est
completamente cheio. Se o link no est cheio, ento no haver fila e,
portanto, qualquer efeito, a no ser quando combinado com outras
disciplinas (qdisc). 222
CONTROLE DE TRFEGO TIPOS DE FILASFQ: A fila que utiliza SFQ,
pode conter 128 pacotes e h 1024 sub-filas disponveis. recomendado
o uso de SFQ em links congestionados para garantir que as conexes
no degradem. SFQ especialmente recomendado em conexes wireless.
223
CONTROLE DE TRFEGO TIPOS DE FILAPCQ: Per Connection Queuing
Enfileiramento por conexo foi criado para resolver algumas
imperfeies do SFQ. o nico enfileiramento de baixo nvel que pode
fazer limitao sendo uma melhoria do SFQ, sem a natureza estocstica.
PCQ tambm cria sub-filas considerando o parmetro pcq-classifier.
Cada sub-fila tem uma taxa de transmisso estabelecida em rate e o
tamanho mximo igual a limit. O tamanho total de uma fila PCQ fica
limitado ao configurado em total limit. No exemplo abaixo vemos o
uso do PCQ com pacotes classificados pelo endereo de origem.
224
CONTROLE DE TRFEGO TIPOS DE FILAPCQ: Se os pacotes so
classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero organizados em sub-filas diferentes. Nesse
caso possvel fazer a limitao ou equalizao para cada sub-fila com o
parmetro Rate. Neste ponto o mais importante decidir qual interface
utilizar esse tipo de disciplina. Se utilizarmos na interface
local, todo o trfego da interface pblica ser agrupado pelo endereo
de origem. O que no interessante. Mas se for empregado na interface
pblica todo o trfego dos clientes ser agrupado pelo endereo de
origem, o que torna mais fcil equalizar o upload dos clientes. O
mesmo controle pode ser feito para o download, mas nesse caso o
classificador ser o dst. Address e configurado na interface
local.
225
QOS - HTBHierarchical Token Bucket uma disciplina de
enfileiramento hierrquico que usual para aplicar diferentes
polticas para diferentes tipos de trfego. O HTB simula vrios links
em um nico meio fsico, permitindo o envio de diferentes tipos de
trfego em diferentes links virtuais. Em outras palavras, o HTB
muito til para limitar download e upload de usurios em uma rede.
Desta forma no existe saturamento da largura de banda disponvel no
link fsico. Alm disso, no Mikrotik, utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais filhas. As que no
tem filhas so colocadas no level 0, onde as filas so mantidas e
chamadas de leafs class. Cada classe na hierarquia pode priorizar e
dar forma ao trfego.
226
QOS - HTBExemplo de HTBQueue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps Queue03 limit-at=6Mbps
max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps
priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Queue03 ir receber 6Mbps Queue04 ir receber 2Mbps Queue05 ir
receber 2Mbps Obs.: Neste exemplo o HTB foi configurado de modo
que, satisfazendo todas as garantias, a fila pai no possuir nenhuma
capacidade para distribuir mais banda caso seja solicitado por uma
filha. 227
QOS - HTBQueue01 limit-at=0Mbps max-limit=10Mbps Queue02
limit-at=8Mbps max-limit=10Mbps Queue03 limit-at=2Mbps
max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps
priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Queue03 ir receber 2Mbps Queue04 ir receber 6Mbps Queue05 ir
receber 2Mbps Obs.: Aps satisfazer todas garantias, o HTB
disponibilizar mais banda, at o mximo permitido para a fila com
maior prioridade. Mas, neste caso, permitir-se uma reserva de 8M
para as filas Queue04 e Queue05, as quais, a que possuir maior
prioridade receber primeiro o adicional de banda, pois a fila
Queue2 possui garantia de banda 228 atribuida.
Exemplo de HTB
QOS - HTBTermos do HTB:Filter: Um processo que classifica
pacotes. Os filtros so responsveis pela classificao dos pacotes
para que eles sejam colocados nas correspondentes qdisc. Todos os
filtros so aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a rvore HTB. Se um pacote no est
classificado em nenhuma das qdiscs, enviado a interface
diretamente, por isso nenhuma regra HTB aplicada aos pacotes.
Level: Posio de uma classe na hierarquia. Class: Algoritmo de
limitao no fluxo de trfego para uma determinada taxa. Ela no guarda
quaisquer pacotes. Uma classe pode conter uma ou mais
sub-classes(inner class) ou apenas uma e um qdisc(leaf classe).
229
QOS - HTBTermos do HTB:Inner Class: Uma classe que tenha uma ou
mais classes filhas ligada a ela. No armazenam quaisquer pacotes,
ento qdiscs no podem ser associadas a elas. S fazem limitao de
trfego. Definio de prioridade tambm ignorada. Leaf class: Uma
classe que tenha classe pai, mas ainda no tem classe filha. Leaf
class esto sempre localizadas no level 0 da hierarquia. Self feed:
Uma sada fora da rvore HTB para a interface onde todos os pacotes
das classes ativas no seu nvel de hierarquia vo. Existe uma self
feed por level, cada uma constituda por 8 self slots, que
representam prioridades. 230
QOS - HTBTermos do HTB:Auto slot: Um elemento de uma self feed
que corresponde a cada prioridade. Existe um auto slot por nvel.
Todas as classes ativas no mesmo nvel, com a mesma prioridade, so
anexados a um auto slot que enviam os pacotes para fora. Active
class: Uma class que est associada a um auto slot em determinado
nvel. Inner feed: Semelhante a uma self feed, constitudos de inner
self slots, presentes em cada classe interior. Existe um inner feed
por inner class. Inner feed slot: Similar a auto slot. Cada inner
feed constitudo de inner slots os quais representam uma prioridade.
231
QOS - HTBEstados das classes HTB:Cada classe HTB pode estar em
um dos 3 estados, dependendo da banda que est consumindo:Verde: de
0% a 50% da banda disponvel est em uso. Amarelo: de 51% a 75% da
banda disponvel est em uso. Vermelho: de 76% a 100% da banda
disponvel est em uso. Neste ponto comeam os descartes de pacotes
que se ultrapassam o max-limit.232
QOS - HTBNo Mikrotik as estruturas do HTB pode ser anexadas a
quatro locais diferentes.Interfaces:Global-in: Representa todas as
interfaces de entrada em geral(INGRESS queue). As filas atreladas
Global-in recebem todo trfego entrante no roteador, antes da
filtragem de pacotes. Global-out: Representa todas as interfaces de
saida em geral(EGRESS queue). As filas atreladas Global-out recebem
todo trfego que sai do roteador. Global-total: Representa uma
interface virtual atravs do qual se passa todo fluxo de dados.
Quando se associa uma politca de filas Global-total, a limitao
feita em ambas direes. Por exemplo se configurarmos um
totalmax-limit de 300kbps, teremos um total de download+upload de
300kbps, podendo haver assimetria. Interface X: Representa uma
interface particular. Somente o trfego que configurado para sair
atravs desta interface passar atravs da fila HTB. 233
INTERFACES VIRTUAIS E O MANGLE
Interface de Entrada
Processo Local IN
Processo Local OUT
Interface de Saida
Mangle Prerouting
Mangle Input
Mangle Output
Global-out
Global-in
Deciso de Roteamento
Deciso de Roteamento
Mangle Prerouting234
Mangle Forward
FILAS SIMPLES
As principais propriedades configurveis de uma fila simples
so:Limite por direo de IP de origem ou destino Interface do cliente
Tipo de fila Limit-at, max-limit, priority e burst para download e
upload Horrio.
235
FILAS SIMPLES - BURSTBursts so usados para permitir altas taxas
de transferncia por um perodo curto de tempo.
Os parmetros que controlam o burst so: burst-limit: Limite mximo
que o burst alcanar. burst-time: Tempo que durar o burst.
burst-threshold: Patamar para comear a limitar. max-limit: MIR
236
COMO FUNCIONA O BURSTmax-limite=256kbps burst-time=8s
burst-threshold=192kbps burst-limit=512kbpsInicialmente dado ao
cliente a banda burst-limit=512kbps. O algoritmo calcula a taxa
mdia de consumo de banda durante o bursttime de 8 segundos.Com 1
segundo a taxa mdia de 64kbps. Abaixo do threshold. Com 2 segundos
a taxa mdia j de 128kbps. Ainda abaixo do threshold. Com 3 segundos
a taxa mdia de 192kbps. Ponto de inflexo onde acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o
maxlimit.
237
UTILIZAO DO PCQPCQ utilizado para equalizar cada usurio ou
conexo em particular. Para utilizar o PCQ, um novo tipo de fila
deve ser adicionado com o argumento kind=pcq. Devem ainda ser
escolhidos os seguintes parmetros:pcq-classifier pcq-rate
238
UTILIZAO DO PCQCaso 1: Com o rate configurado como zero, as
subqueues no so limitadas, ou seja, elas podero usar a largura
mxima de banda disponvel em max-limit. Caso 2: Se configurarmos um
rate para a PCQ as subqueues sero limitadas nesse rate, at o total
de max-limit.Caso 1 Caso 2
239
UTILIZAO DO PCQ
Nesse caso, com o rate da fila 128k, no existe limit-at e tem um
maxlimit de 512k, os clientes recebero a banda da seguinte
forma:
240
UTILIZAO DO PCQ
Nesse caso, com o rate da fila 0, no existe limit-at e tem um
max-limit de 512k, os clientes recebero a banda da seguinte
forma:
241
ARVORES DE FILATrabalhar com rvores de fila uma maneira mais
elaborada de administrar o trfego. Com elas possvel construir sob
medida uma hierarquia de classes, onde poderemos configurar as
garantias e prioridades de cada fluxo em relao outros, determinando
assim uma poltica de QoS para cada fluxo do roteador. Os filtros de
rvores de filas so aplicados na interface especifica. Os filtros so
apenas marcas que o firewall faz no fluxo de pacotes na opo mangle.
Os filtros enxergam os pacotes na ordem em que eles chegam no
roteador. A rvore de fila tambm a nica maneira para adicionar uma
fila em uma interface separada. Tambm possvel ter o dobro de
enfileiramento. Ex: priorizando o trfego global-in e/ou global-out,
limitao por cliente na interface de sada. Se configurado filas
simples e rvores de filas no mesmo roteador, as filas simples
recebero o trfego primeiro e em seguida o classficaro.
242
ARVORES DE FILAAs rvores de fila so configuradas em queue tree.
Dentre as propriedades configurveis podemos destacar:Escolher uma
marca de trfego feita no firewall mangle; parente-class ou
interface de sada; Tipo de fila; Configuraes de limit-at,
max-limit, priority e burst.243
ARVORES DE FILAQUEUE Q1 Q2 Q3 Q4 Q5 MARCA C1 C2 C3 C4 C5
LIMIT-AT 10M 1M 1M 1M 1M MAX-LIMIT 30M 30M 30M 30M 30M PRIORITY 8 8
8 8 8
244
Obs.: O roteador no conseguir garantir banda para Q1 o tempo
todo.
ARVORES DE FILA
Filas com parent (hierarquia).
245
ARVORES DE FILA
C1 possui maior prioridade, portanto consegue atingir o
max-limit. O restante da banda dividida entre as outras
leaf-queue.
246
DVIDAS???
247
TNEIS E VPN
248
VPNUma Rede Privada Virtual uma rede de comunicaes privada
normalmente utilizada por uma empresa ou conjunto de empresas e/ou
instituies, construdas em cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando protocolos padro, no
necessariamente seguros. VPNs seguras usam protocolos de
criptografia por tunelamento que fornecem confidencialidade,
autenticao e integridade necessrias para garantir a privacidade das
comunicaes requeridas. Quando adequadamente implementados, estes
protocolos podem assegurar comunicaes seguras atravs de redes
inseguras.
249
VPNAs principais caractersticas da VPN so:Promover acesso seguro
sobre meios fsicos pblicos como a internet por exemplo. Promover
acesso seguro sobre linhas dedicadas, wireless, etc... Promover
acesso seguro a servios em ambiente corporativo de correio,
impressoras, etc... Fazer com que o usurio, na prtica, se torne
parte da rede corporativa remota recebendo IPs desta e perfis de
segurana definidos. A base da formao das VPNs o tunelamento entre
dois pontos, porm tunelamento no sinnimo de VPN.250
TUNELAMENTOA definio de tunelamento a capacidade de criar tneis
entre dois hosts por onde trafegam dados. O Mikrotik implementa
diversos tipos de tunelamento, podendo ser tanto servidor como
cliente desses protocolos:PPP (Point to Point Protocol) PPPoE
(Point to Point Protocol over Ethernet) PPTP (Point to Point
Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) OVPN (Open
Virtual Private Network) IPSec (IP Security) Tneis IPIP Tneis EoIP
Tneis VPLS Tneis TE
251
PPP DEFINIES COMUNS PARA OS SERVIOSMTU/MRU: Unidade mximas de
transmisso/ recepo em bytes. Normalmente o padro ethernet permite
1500 bytes. Em servios PPP que precisam encapsular os pacotes,
deve-se definir valores menores para evitar fragmentao. Keepalive
Timeout: Define o perodo de tempo em segundos aps o qual o roteador
comea a mandar pacotes de keepalive por segundo. Se nenhuma reposta
recebida pelo perodo de 2 vezes o definido em keepalive timeout o
cliente considerado desconectado. Authentication: As formas de
autenticao permitidas so: Pap: Usurio e senha em texto plano sem
criptografica. Chap: Usurio e senha com criptografia. Mschap1:
Verso chap da Microsoft conf. RFC 2433 Mschap2: Verso chap da
Microsoft conf. RFC 2759
252
PPP DEFINIES COMUNS PARA OS SERVIOS
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho,
ento ser necessrio que haja algum mecanismo para avisar que esta
estao dever diminuir o tamanho dos pacotes para que a comunicao
ocorra com sucesso. O processo interativo de envio de pacotes em
determinados tamanhos, a resposta dos roteadores intermediarios e a
adequao dos pacotes posteriores chamada Path MTU Discovery ou
PMTUD. Normalmente esta funcionalidade est presente em todos
roteadores, sistemas Unix e no Mikrotik ROS. MRRU: Tamanho mximo do
pacote, em bytes, que poder ser recebido pelo link. Se um pacote
ultrapassa esse valor ele ser dividido em pacotes menores,
permitindo o melhor dimensionamento do tnel. Especificar o MRRU
significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
253
PPP DEFINIES COMUNS PARA OS SERVIOSChange MSS: Maximun Segment
Size, tamanho mximo do segmento de dados. Um pacote MSS que
ultrapasse o MSS dos roteadores por onde o tnel est estabelecido
deve ser fragmentado antes de envi-lo. Em alguns caso o PMTUD est
quebrado ou os roteadores no conseguem trocar informaes de maneira
eficiente e causam uma srie de problemas com transferncia HTTP,
FTP, POP, etc... Neste caso Mikrotik proporciona ferramentas onde
possvel interferir e configurar uma diminuio do MSS dos prximos
pacotes atravs do tnel visando resolver o problema.
254
PPPOE CLIENTE E SERVIDORPPPoE uma adaptao do PPP para funcionar
em redes ethernet. Pelo fato da rede ethernet no ser ponto a ponto,
o cabealho PPPoE inclui informaes sobre o remetente e o
destinatrio, desperdiando mais banda. Cerca de 2% a mais. Muito
usado para autenticao de clientes com base em Login e Senha. O
PPPoE estabelece sesso e realiza autenticao com o provedor de
acesso a internet. O cliente no tem IP configurado, o qual
atribuido pelo Servidor PPPoE(concentrador) normalmente operando em
conjunto com um servidor Radius. No Mikrotik no obrigatrio o uso de
Radius pois o mesmo permite criao e gerenciamento de usurios e
senhas em uma tabela local. PPPoE por padro no criptografado. O
mtodo MPPE pode ser usado desde que o cliente suporte este
mtodo.255
PPPOE CLIENTE E SERVIDORO cliente descobre o servidor atravs do
protocolo pppoe discovery que tem o nome do servio a ser utilizado.
Precisa estar no mesmo barramento fsico ou os dispositivos passarem
pra frente as requisies PPPoE usando pppoe relay. No Mikrotik o
valor padro do Keepalive Timeout 10, e funcionar bem na maioria dos
casos. Se configurarmos pra zero, o servidor no desconectar os
clientes at que os mesmos solicitem ou o servidor for
reiniciado.256
CONFIGURAO DO SERVIDOR PPPOE1.
Primeiro crie um pool de IPs para o PPPoE.
/ip pool add name=pool-pppoe ranges=172.16.0.2-172.16.0.254
2.
Adicione um perfil para o PPPoE onde:
Local Address = Endereo IP do concentrado. Remote Address = Pool
do pppoe. /ppp profile local-address=172.16.0.1 name=perfil-pppoe
remote-address=pool-pppoe257
CONFIGURAO DO SERVIDOR PPPOE3.
Adicione um usurio e senha
/ppp secret add name=usuario password=123456 service=pppoe
profile=perfil-pppoe Obs.: Caso queira verificar o MAC-Address,
adicione em Caller ID. Esta opo no obrigatria, mas um parametro a
mais para segurana.
258
CONFIGURAO DO SERVIDOR PPPOE4.
Adicione o Servidor PPoE
Service Name = Nome que os clientes vo procurar
(pppoe-discovery). Interface = Interface onde o servidor pppoe vai
escutar. /interface pppoe-server server add authentication=chap,
mschap1, mschap2 default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 max-mru=1480 max-mtu=1480
maxsessions=50 mrru=512 one-session-perhost=yes
service-name="Servidor PPPoE"
259
MAIS SOBRE PERFISBridge: Bridge para associar ao perfil
Incoming/Outgoing Filter: Nome do canal do firewall para pacotes
entrando/saindo. Address List: Lista de endereos IP para associar
ao perfil. DNS Server: Configurao dos servidores DNS a atribuir aos
clientes. Use Compression/Encryption/Change TCP MSS: caso estejam
em default, vo associar ao valor que est configurado no perfil
default-profile.
260
MAIS SOBRE PERFISSession Timeout: Durao mxima de uma sesso
PPPoE. Idle Timeout: Perodo de ociosidade na transmisso de uma
sesso. Se no houver trfego IP dentro do perodo configurado, a sesso
terminada. Rate Limit: Limitao da velocidade na forma
rx-rate/tx-rate. Pode ser usado tambm na forma rx-rate/tx-rate
rx-burstrate/tx-burst-rate rx-burst-threshould/txburst-threshould
burst-time priority rxrate-min/tx-rate-min. 261 Only One: Permite
apenas uma sesso para o mesmo usurio.
MAIS SOBRE O DATABASEService: Especifica o servio disponvel para
este cliente em particular. Caller ID: MAC Address do cliente.
Local/Remote Address: Endereo IP Local (servidor) e remote(cliente)
que podero ser atribudos a um cliente em particular. Limits Bytes
IN/Out: Quantidade em bytes que o cliente pode trafegar por sesso
PPPoE. Routes: Rotas que so criadas do lado do servidor para esse
cliente especifico. Vrias rotas podem ser adicionadas separadas por
vrgula.
262
MAIS SOBRE O PPOE SERVERO concentrador PPPoE do Mikrotik suporta
mltiplos servidores para cada interface com diferentes nomes de
servio. Alm do nome do servio, o nome do concentrador de acesso
pode ser usado pelos clientes para identificar o acesso em que se
deve registrar. O nome do concentrador a identidade do roteador. O
valor de MTU/MRU inicialmente recomendado para o PPPoE 1480 bytes.
Em uma rede sem fio, o servidor PPPoE pode ser configurado no AP.
Para clientes Mikrotik, a interface de rdio pode ser configurada
com a MTU em 1600 bytes e a MTU da interface PPPoE em 1500 bytes.
Isto otimiza a transmisso de pacotes e evita problemas associados a
MTU menor que 1500 bytes. At o momento no possumos nenhuma maneira
de alterar a MTU da interface sem fio de clientes MS Windows. A opo
One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero 263 mximo de sesses
que o concentrador suportar.
SEGURANA NO PPPOEPara assegurar um servidor PPPoE pode-se
utilizar Filtros de Bridge, configurando a entrada ou repasse dos
protocolos pppoe-discovery e pppoe-session e descartando os demais.
Mesmo que haja somente uma interface, ainda sim possvel utilizar os
Filtros de Bridge, bastando para tal, criar uma Bridge e associar
em Ports apenas esta interface. Em seguida alterar no 264 PPPoE
Server a interface de esculta.
CONFIGURANDO O PPPOE CLIENT
AC Name: Nome do concentrador. Deixando em branco conecta em
qualquer um. Service: Nome do servio designado no servidor PPPoE.
Dial On Demand: Disca sempre que gerado trfego de sada. Add Default
Route: Adiciona um rota padro(default). User Peer DNS: Usa o DNS do
servidor PPPoE.
265
PPTP E L2TP
L2TP Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada
2 um protocolo de tunelamento seguro para transportar trfego IP
utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma
criptografada ou no e permite enlaces entre dispositivos de redes
diferentes unidos por diferentes protocolos. O trfego L2TP utiliza
protocolo UDP tanto para controle como para pacote de dados. A
porta UDP 1701 utilizada para o estabelecimento do link e o trfego
em si utiliza qualquer porta UDP disponvel, o que significa que o
L2TP pode ser usado com a maioria dos Firewalls e Routers,
funcionando tambm atravs de NAT.266
L2TP e PPTP possuem as mesma funcionalidades.
CONFIGURAO DO SERVIDOR PPTP E L2TP
Configure um pool, um perfil para o PPTP, adicione um usurio em
secrets e habilite o servidor PPTP conforme as figuras.
267
CONFIGURAO DO SERVIDOR PPTP E L2TPConfigure os servidores
