Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Direitos Autorais
Sobre os autores
A elaborao dessa apostila foi iniciada no final de 2006 por Wardner Maia, com
vistas a um curso que ministrou em janeiro de 2007 na cidade de So Paulo.
Muitos dos slides aqui contidos ainda so os originais daquela poca.
Mikrotik RouterOS
uma pequena histria de grande sucesso
1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia)
1995: Solues para WISPs em vrios pases
1996: Publicado na Internet o paper Wireless Internet Access in Latvia
1996: Incorporada e Fundada a empresa MikroTikls
2002: Desenvolvimento de Hardware prprio
2007: 60 funcionrios
Atualmente:
O RouterOS da Mikrotik tende a ser um padro de fato para provedores de servio internet
podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.
6
Instalao do Mikrotik
Obtendo o RouterOS
http://www.mikrotik.com/download.html
Instalando por CD
Uma vz baixado o pacote e descompactado, precisamos gerar o CD de boot
No exemplo abaixo usamos o Nero para gravar o CD
10
Instalando por CD
Seleciona-se a imagem .iso descompacatada e clica-se em Burn
11
Instalando por CD
Prepare o PC para bootar pelo CD. Aps o boot ser apresentada a seguinte tela:
12
ppp:
DHCP:
advanced-tools:
arlan:
calea:
gps:
hotspot:
Suporte a hotspots
ISDN:
lcd:
ntp:
routerboard:
routing:
rstp-bridge-test
protocolo rstp
security:
synchronous:
telephony:
ups:
user-manager:
web-proxy:
Servio de Web-Proxy
wireless:
wireless-legacy:
Instalando por CD
Pode-se seleccionar os pacotes desejados pressionando-se a barra de espaos
ou a para todos. Em seguida i ir instalar os pacotes selecionados.
Caso haja configuraes pode-se mante-las selecionando-se y
15
Entra-se na Routerboard e
seleciona-se
o - boot device
e depois:
e - Etherboot
17
18
Acesso ao Mikrotik
Via Telnet de MAC, atravs de outro Mikrotik ou de sistema que suporte telnet por
MAC e que esteja no mesmo barramento fsico de rede.
Via Winbox
19
Console do Mikrotik
Na console do Mikrotik tem-se acesso a todas as configuraes por um sistema de
diretrios hierrquicos pelos quais se pode navegar digitando o caminho.
Exemplo:
[admin@MikroTik] > ip
[admin@MikroTik] ip> address
Pode-se voltar um nvel de diretrio digitando-se ..
[admin@MikroTik] ip address> ..
[admin@MikroTik] ip>
Pode-se ir direto ao diretrio raiz, digitando-se /
[admin@MikroTik] ip address> /
[admin@MikroTik] >
20
Console do Mikrotik
Ajuda
? Mostra um help para o diretrio em que se esteja [Mikrotik] > ?
? Aps um comando incompleto mostra as opes disponveis para esse
comando - [Mikrotik] > interface ?
Tecla TAB
Comandos no precisam ser totalmente digitados, podendo ser completados
com a tecla TAB
Havendo mais de uma opo para o j digitado, pressionar TAB 2 vezes
mostra todas as opes disponveis.
21
Console do Mikrotik
Console do Mikrotik
Comando Monitor
Mostra continuamente vrias informaes de interfaces
23
Console do Mikrotik
Comandos para manipular regras
add, set, remove adiciona, muda ou remove regras
disabled desabilita a regra sem deletar
move move algumas regras cuja ordem influencie( firewall por
exemplo )
Comando export
exporta todas as configuraes do diretrio corrente acima ( se
estiver em /, do roteador todo)
pode ser copiado com o boto direito do mouse e colado em editor de
textos
pode ser exportado para um arquivo com export file=nome do arquivo
Comando import
importa um arquivo de configuraes criado pelo comando export.
24
Winbox
Obtem-se o Winbox na URL abaixo
ou direto em um mikrotik
www.mikrotik.com/download.html
Winbox
Com o Winbox possvel acessar um Mikrotik sem IP, atravs do seu MAC. Para
tanto popnha os dois no mesmo barramento de rede e clique nas reticncias
O acesso pelo MAC pode ser feito para fazer as configuraes iniciais, como dar um
endereo IP para o Mikrotik.
Aps ter configurado um IP e uma mscara de rede. aconselha-se preferencialmente
o acesso via IP que mais estvel.
26
27
29
Manuteno do Mikrotik
Atualizao
Backups
Acrscimo de funcionalidades
Detalhes do licenciamento
30
Manuteno do Mikrotik
Atualizaes
As atualizaes podem ser
feitas com o conjunto de pacotes
combinados ou com os pacotes
separados disponveis no site da
Mikrotik.
31
Manuteno do Mikrotik
acrscimo de novas funcionalidades
Alguns pacotes no fazem
parte da distribuio normal mas
podem ser instalados
posteriormente. Exemplo o
pacote User Manager..
Manuteno do Mikrotik
Manipulao de pacotes
Alguns pacotes podem no ter sido instalados no momento da instalao ou podem estar
desabilitados. Pacotes podem ser habilitados/desabilitados de acordo com as necessidades.
33
Manuteno do Mikrotik
Manipulao de pacotes
Existem os pacotes estveis e os pacotes test, que esto ainda sendo reescritos e
podem estar sujeitos a bugs e carencia de documentao.
Quando existem 2 iguais e um test deve-se escolher um deles para trabalhar.
web-proxy e
web-proxy-test
34
Manuteno do Mikrotik
Backup
OBS: O Backup feito dessa forma ao ser restaurado em outro hardware ter problemas com
diferentes endereos MAC. Para backupear partes das configuraes use o comando export
35
Licenciamento do Mikrotik
Detalhes de licenciamento
A chave gerada sobre um software-id fornecido pelo prprio sistema
36
Poltica de Licenciamento
37
38
39
O Modelo OSI
(Open Systems Interconnection)
APLICAO
APRESENTAO
SESSO
TRANSPORTE
REDE
ENLACE
FSICA
O Modelo OSI
(Open Systems Interconnection)
APLICAO
APLICAO
APRESENTAO
APRESENTAO
SESSO
SESSO
TRANSPORTE
TRANSPORTE
REDE
REDE
ENLACE
ENLACE
FSICA
FSICA
41
Camada I - Fsica
A camada fsica define as caractersticas tcnicas dos dispositivos eltricos .
que fazem parte da rede
nesse nvel que esto definidas as especificaes de cabeamento
estruturado, fibras ticas, etc. No caso de Wireless, na camada I que se
definem as modulaes assim como a frequencia e largura de banda das
portadoras
So especificaes de Camada I:
RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T,100BASE-TX , ISDN, SONET, DSL,
FHSS, DSSS, OFDM etc
42
Camada I - Fsica
43
44
Camada II - Enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao meio
e correo de erros da camada I
O endereamento fsico se faz pelos endereos MAC (Controle de acesso ao
meio) que so (ou deveriam ser) nicos no mundo e que so atribudos aos
dispositivos de rede
Bridges so exemplos de dispositivos que trabalham na camada II.
45
Camada II - Enlace
Exemplo de configurao de Camada II (Enlace)
46
47
Protocolo IP
um protocolo cujas funes principais so:
endereamento
roteamento
As principais funes do protocolo IP so endereamento e roteamento pois este
fornece de uma maneira simples a possibilidade de identificar uma mquina na
rede (endereo IP) e uma maneira de encontrar um caminho entre a origem e o
destino (Roteamento).
Endereo IP = Nmero binrio de 32 bits
48
Endereamento IP
Usualmente utilizamos 4 sequencias de 8 bits (octetos) para representao
dos endereos IP:
Exemplo :
11000000.10101000.000000001.000000001, em notao binria,
convertida para decimal fica:
11000000 2^7+2^6
= 128+64 = 192
10101000 2^7+2^5+2^3 = 128+32+8 = 168
00000001 2^0
=1
00000001 2^0
=1
192.168.1.1
49
# Bits de rede
8 bits
16 bits
24 bits
# Bits de Hosts
24 bits
16 bits
8 bits
Range Decimal
1-126
128-191
192-223
11111111.11111111.11111111.00000000
11111111 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 + 2^1 = 255
255.255.255.0
51
Mscaras de rede
Alm da forma binria e decimal as mscaras de rede podem ser representadas pela
notao em bitmask (soma dos bits que compe a mscara);
Exemplos:
11111111.11111111.11111111.11111111
decimal : 255.255.255.255
bitmask: /32
11111111.11111111.11111111.11111100
decimal: 255.255.255.252
bitmask: /30
11111111.00000000.00000000.0000000
decimal: 255.0.0.0
bitmask: /8
52
Endereamento de rede
Para separar computadores em sub redes realizada uma multiplicao binria do
endereo IP com a mscara de rede, sendo ento calculado o endereo de rede para
aquele host.
Exemplo: 200.200.200.10 com mscara 255.255.255.192 (ou /26)
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.10
11001000
11001000
11001000
00001010
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
11001000
00000000
Multiplicao binria
Endereamento de broadcast
O maior IP possivel para uma sub rede chamado de endereo de broadcast e o
endereo para o qual se manda um pacote destinado a todos os hosts da rede.
Rede
Broadcast
200.200.200.10/24
200.200.200.0
200.200.200.255
200.200.200.10/25
200.200.200.0
200.200.200.127
200.200.200.10/26
200.200.200.0
200.200.200.63
200.200.200.200/26
200.200.200.192
200.200.200.255
54
Sub Redes
55
Decimal
Bitmask
IPs
Hosts
11111111.11111111.11111111.11111111
255.255.255.255
/32
11111111.11111111.11111111.11111100
255.255.255.252
/30
11111111.11111111.11111111.11111000
255.255.255.248
/29
11111111.11111111.11111111.11110000
255.255.255.240
/28
16
14
11111111.11111111.11111111.11100000
255.255.255.224
/27
32
30
11111111.11111111.11111111.11000000
255.255.255.192
/26
64
62
11111111.11111111.11111111.10000000
255.255.255.128
/25
128
126
11111111.11111111.11111111.00000000
255.255.255.0
/24
256
254
11111111.11111111.11110000.00000000
255.255.240.0
/20
4096 4094
56
Endereos IP no Mikrotik
Protocolo ARP
(Address resolution Protocol)
Utilizado para associar IPs com endereos fsicos faz a interface entre a camada II
e a camada III.
Funcionamento:
O solicitante de ARP manda um pacote de broadcast com a informao do IP de
destino, IP de origem e seu MAC, perguntando sobre o MAC de destino
O Host que tem o IP de destino manda um pacote de retorno fornecendo seu
MAC
Para minimizar os broadcasts devido ao ARP, so mantidas no SO, as tabelas
ARP, constando o par IP MAC
58
59
Configurao de Rede
No AP Central:
1 Cadastrar o IP 192.168.100.254 com mscara 255.255.255.0 na wlan1
Nos alunos:
1 Cadastrar um IP 192.168.100.XY com mscara 255.255.255.0 wlan1 do
Mikrotik
2 Como ficou sua tabela de rotas ?
60
Protocolo ARP
(Address resolution Protocol)
61
Roteamento
No AP Central:
1 Cadastrar a rota default no AP Central.
Nos alunos:
1 Cadastrar a rota default
2 Como ficou sua tabela de rotas ?
62
Configurao de DNS
No AP Central:
1 Configure o DNS apontando-o para o DNS da operadora
Nos alunos:
1 Configure o DNS apontando para o AP Central
2 Teste a resoluo de nomes a partir da ROUTERBOARD
3 Voc quer que sua Torre resolva os nomes para o Laptop. O que tem de
ser feito ?
63
Camada IV - Transporte
No lado do remetente responsvel por pegar os dados das camadas
superiores dividir em pacotes para que sejam transmitidos para a camada de
rede.
No lado do destinatrio pega os pacotes recebidos da camada de rede,
remonta os dados originais e envia s camadas superiores.
65
Protocolo TCP
66
Portas TCP
Cliente
Servidor
ACK (401)
69
Data 1
Remetente
ACK
Destinatrio
Data 2
NO ACK
Data 2
ACK
70
Cliente
ACK
FIN
Servidor
ACK
71
Protocolo UDP
- O UDP (User Datagram Protocol) utilizado para o transporte rpido
entre hosts
- O UDP um servio de rede sem conexo, ou seja no garante a
entrega do pacote
- Mensagens UDP so encapsuladas em datagramas IP
72
TCP
74
75
76
77
Mascaramento de rede
Exemplo: Um computador da rede interna 192.168.100.100 acessando
www.mikrotikbrasil.com.br (200.210.70.16) atravs do roteador que tem IP pblico
200.200.200.200.
NAT
IP origem: 200.200.200.200
IP destino: 200.210.70.16
IP origem: 192.168.100.100
IP destino: 200.210.70.16
192.168.100.100
192.168.100.101
192.168.100.102
78
Mascaramento de rede
O mascaramento de rede a tcnica que permite que diversos computadores em uma
rede compartilhem de um mesmo endereo IP. No Mikrotik o mascaramento feito
atravs do firewall por uma funcionalidade chamada NAT (Network Address
Translation)
Todo e qualquer pacote de dados em uma rede possui um endereo IP de origem e
um de destino. Para mascarar o endereo, o NAT faz a troca do IP de origem, e no
retorno deste, conduz ao computador que o originou.
Exemplo: Um computador da rede interna 192.168.100.100 acessando
www.mikrotikbrasil.com.br (200.210.70.16) atravs do roteador que tem IP pblico
200.200.200.200.
Destination NAT (dstnat), ou NAT de destino quando o roteador reescreve o
endereo ou a porta de destino.
79
Mascaramento de Rede
No AP Central:
1 Configurar o mascaramento de rede no AP Central.
Nos alunos:
3 A partir do Mikrotik tente pingar a Internet (172.16.255.1). Funcionou ?
80
Mikrotik
&
Wireless
81
82
Freqncia
Tecnologia
Velocidades
802.11b
2.4 GHz
DSSS
1, 2, 5.5 e 11mbps
802.11g
2.4 GHz
OFDM
802.11a
5 GHz
OFDM
802.11n
2.4 e 5 GHz
OFDM/MIMO
83
Canais em 2.4Ghz
22 Mhz
2412
2437
2462
84
2412
2437
2462
85
2.4Ghz-B: Modo 802.11b, que permite velocidades nominais de 1, 2, 5.5 e 11 mbps. Utiliza
espalhamento espectral em seqncia direta.
2.4Ghz-B/G: Modo misto 802.11b e 802.11g que permite as velocidades acima 802.11b e 6,
9, 12, 18, 24, 36, 48 e 54 mbps quando em G. Utiliza OFDM em 802.11g
2.4Ghz-only-G: Modo apenas 802.11g.
86
Faixa Mdia:
Faixa Alta:
Faixa Baixa
Faixa Mdia
Faixa Alta
Freqncias
5150-5250
5250-5350
5470-5725
57255850
Largura
100 Mhz
100 Mhz
255 Mhz
125 Mhz
canais
4 canais
4 canais
11 canais
5 canais
Deteco de radar
obrigatria
Deteco de radar
obrigatria
88
5Ghz: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite velocidades
nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)
5150 5350
Largura faixa
Nmero de canais
200 Mhz
4
5470 - 5725
5725 - 5850
255 Mhz
125 Mhz
11
5
89
Canalizao em 802.11a
Modo Turbo
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
5Ghz-turbo: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite
velocidades nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)
5150 5350
Largura faixa
Nmero de canais
200 Mhz
2
5470 - 5725
5725 - 5850
255 Mhz
125 Mhz
2
91
Canalizao em 802.11a
Modos 10 e 5 Mhz
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Freqncia (Mhz)
Largura faixa
902 907.5
5.5 Mhz
915 - 928
13 Mhz
Na V3:
802.11n
MIMO
Velocidades do 802.11n
Bonding do Canal
Agregaode Frames
Configuraodo carto Wireless
Potncia de TX para cartes N
Bridging transparente para links em N, utilizando MPLS/VPLS
94
MIMO
MIMO Multiple Input and Multiple Output
SDM Spatial Division Multiplexing
Streams espaciais mltiplos atravsde mltiplas antenas.
Configuraes de antenas mltiplas para receber e transmitir:
- 1x1, 1x2, 1x3
- 2x2, 2x3
- 3x3
95
96
Agregao de Frames
98
Configuraes
Ht-TxChains/Ht-RxChains: Qual
conector da antena usar para receber
e transmir
Configuraes
ht-guard-interval: intervalo de guarda.
Configuraes
101
102
103
104
105
Outdoor Setup
(Segundo Recomendaes da Mikrotik Latvia)
Teste cada canal separadamente, antes de usar ambos ao mesmo tempo.
Para operao em dois canais usar polarizaes diferentes para cada canal.
Quando utilizar antenas de polarizao dupla, a isolao recomendada da
antena, no mnimo 25 dB.
106
Laboratrio de Enlaces N
107
108
109
OBS: At a verso 3.11 tal ajuste no era feito corretamente para o Brasil.
110
111
112
B
Ack
OBS: Valores orientativos. Valores ideais podem estar em uma faixa de +- 15 microsegundos
118
119
123
Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao e
por rede.
Escaneia as frequencias definidas em scan-list da interface
124
Configuraes de Modo de
Operao
125
ap bridge: Modo Ponto de Acesso (AP) repassa os MACs do meio Wireless de forma
transparente para o meio Cabeado.
bridge: Modo idntico ao modo ap bridge, porm aceitando um cliente apenas.
station: Modo cliente de um AP No pode ser colocado em bridge com outras interfaces
127
station pseudobridge: Estao que pode ser colcada em modo bridge, porm que passa
ao AP sempre o seu prprio endereo MAC (uma bridge verdadeira passa os MACs
internos a ela).
alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal.
Neste modo a interface Wireless escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.
129
130
Estao B
CRS
Mtodo CSMA/CD
CRS
defer
Estao C
CRS
(Collision Detection)
CRS
COLISO
Estao A
backoff
Mtodo CSMA/CA
CRS
Estao C
defer
backoff
CRS
CRS
backoff (rest)
CRS
(Collision Avoidance)
131
132
133
Prticas de RF recomendadas:
135
CANAL 1
CANAL 1
136
Bridge learn
table
AP-3
Bridge learn
table
Wireless PC-Card
yyy
xxx
yyy
xxx
Wireless PC-Card
Tabela de associaes
STA-2
Tabela de associaes
WDS Relay
STA-1
Packet for STA-2
WDS Relay
ACK
Pacote para STA-2
ACK
ACK
STA-1
xxx
BSS-B
BSS-A
STA-2
yyy
137
INTERNET
CANAL 1
138
O (R)STP inicialmente elege uma root bridge e utiliza o algortimo breadth-first search que
quando encontra um MAC pela primeira vz, torna o link ativo. Se o encontra outra vz,
torna o link desabilitado.
Normalmente habilitar o (R)STP j o suficiente para atingir os resultados. No entanto
possvel interferir no comportamento padro, modificando custos, prioridades, etc.
139
140
A Bridge usa o endereo MAC da porta ativa com o menor nmero de porta
A porta Wireless est ativa somente quando existem hosts conectados a ela.
WDS:
Cria-se as interfaces WDS, dando os parametros:
144
AP Virtual
145
Wireless / Interfaces
Interfaces Virtuais:
Criando interfaces virtuais podemos montar vrias
redes dando perfis de servio diferentes
Name: Nome da rede virtual
146
Controle de Acesso
147
O Access List utilizado pelo Access Point para restringir associaes de clientes.
Esta lista contem os endereos MAC de clientes e determina qual a ao deve ser
tomada quando um cliente tenta conectar. A comunicao entre clientes da mesma
interface, virtual ou real, tambm controlada nos Access List.
O processo de associao ocorre da seguinte forma:
150
Segurana de acesso em
redes sem fio
151
Segurana Rudimentar
(O que no segurana)
1 Nome de rede (SSID) escondido
Segurana Rudimentar
(O que no segurana)
2 Controle de MACs
Descobrir MACs que trafegam no ar muito simples com ferramentas
apropriadas
Airopeek para Windows
Kismet, Wellenreiter, etc para Linux/BSD
Spoofar um MAC muito fcil, tanto em Linux como em Windows.
- FreeBSD :
ifconfig <interface> -L <MAC>
- Linux :
ifconfig <interface> hw ether <MAC>
153
Segurana Rudimentar
(O que no segurana)
3 Criptografia WEP
Wired Equivalent Privacy foi o sistema de criptografia inicialmente
especificado no padro 802.11 e est baseada no compartilhamento de um
segredo (semente) entre o ponto de Acesso e os clientes, usando o algortimo
RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na Internet, existindo muitas ferramentas para quebrar a chave,
como:
Airodump
Airreplay
Aircrack
Hoje trivial a quebra da WEP que pode ser feita em poucos minutos com
tcnicas baseadas nas ferramentas acima.
154
155
IEEE 802.11i
Devido aos problemas apresentados pela WEP o IEEE criou o Grupo de
trabalho 802.11i cuja tarefa principal era fazer a especificao de um padro
de fato seguro.
Antes da concluso do trabalho do grupo 802.11i a indstria lanou padres
intermedirios, como o WEP+, TKIP e o WPA (Wireless Protected Access)
Em junho de 2004 o padro foi aprovado e a indstria deu o nome comercial de
WPA2.
IEEE
WEP
Indstria
(Wi-Fi Alliance)
WEP
802.11i
WEP +
TKIP
WPA
WPA2
156
Fundamentos de Segurana
Privacidade
A informao no pode ser legvel por terceiros
Integridade
A informao no pode ser alterada quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz ser.
Cliente AP: O Cliente tem que se certificar que est se conectando no
AP verdadeiro. Um AP falso possibilita o chamado ataque do
homem do meio
157
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidas por tcnicas de
criptografia.
O algortimo de criptografia de dados em WPA o RC4, porm
implementado de uma forma bem mais segura que na WEP. E na WPA2 utilizase o AES.
Para a Integridade dos dados WPA usa TKIP Algoritimo de Hashing
Michael e WPA2 usa CCMP (Cipher Block Chaining Message Authentication
Check CBC-MAC)
Encrypted
802.11
802.11
Header
Header
Data
MIC
158
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
159
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
160
AP
Passhrase (PSK)
do Linux
Derive PTK
S-nounce
OK, install MIC
Check MIC
Derive PTK,
Check MIC
Install Key
Install Key
Begin encrypting
Begin encrypting
63 caracteres
162
163
Somente use PSK se tem absoluta certeza que as chaves esto protegidas
(somente tem acesso aos equipamentos dos clientes o prprio WISP)
No se esquea que as chaves PSK esto em texto plano nos Mikrotiks (at
para usurios read-only)
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
166
Diffie-Hellmann
(Without Certificates)
1.
Side A
Secret
number
x
Side B
Generator
g
Prime
number
p
2.
3.
K(a) = gx(mod p)
K(a), g, p
K(a) = g x (mod p)
4.
Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x
Side B
Generator
g
5.
6.
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
Generator
g
Prime
number
p
Secret
number
y
K(b) = gy(mod p)
K(b)
7.
Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x
Side B
Generator
g
8.
9.
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
Generator
g
Prime
number
p
Secret
number
y
K(b) = gy(mod p)
K(b)
Key = K(b)x(mod p)
Key = K(a)y(mod p)
Same value
169
Security Profile
170
Station Configuration
Security Profile
171
Uma idia para utilizar essa configurao de forma segura utilizar esse mtodo,
e depois de fechado o enlace, criar um tnel criptografado PPtP ou L2TP entre os
equipamentos.
172
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
173
ou
Certificados auto-assinados
174
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
175
176
EAP-TLS
Usa Certificados
177
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
179
Porta controlada
INTERNET
AP/NAS
Client station
Authenticator
Supplicant
Radius Server
Authentication
Server
EAP
Porta no controlada
180
EAP
EAP um protocolo para identificao de hosts ou usurios originalmente
projetado para Protocolo Ponto a Ponto (PPP)
AP/NAS
Client station
Radius Server
Authenticator
Supplicant
Authentication
Server
EAP na LAN
Tipos de EAP
EAP
Type
Open/
Proprietary
TLS
Mutual
Authentication Credentials
User
Key
Material
Name
Auth
Supplicant
Authenticator
Open
Yes
Certificate
Certificate
Yes
In Clear
Yes
TTLS
Open
Yes
Username/Pwd
Certificate
Yes
No
PEAP
Open
Yes
Username/Pwd
Certificate
Yes
No
LEAP
Proprietary
Yes
Username/Pwd
Yes
Yes
182
Tipos de EAP
LEAP: (Lightweight EAP)
um protocolo proprietrio da Cisco patenteado antes mesmo da 802.11i e WPA/
baseado em nome de usurio e senha que se envia sem proteo.
Tipos de EAP
PEAP: (Protected EAP) and EAP-TTLS (EAP tunneled TLS)
PEAP y TTLS so dois mtodos bastante parecidos e fazem uso de Certificados
Digitais do lado do Servidor e usurio e senha no lado cliente.
O processo segue a seguinte ordem:
1 O Servidor manda uma requisio EAP
como LEAP
184
Tipos de EAP
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse mtodo
para um Servidor Radius
Prov o maior nvel de segurana e necessita de Certificados nos lados do Cliente e
do Servidor Radius
Os passos de como configurar e instalar certificados em um Servidor RADIUS
podem ser obtidos em:
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
185
Station Configuration
Certificate
186
AP Configuration
187
AP/NAS
Radius Server
Authenticator
Supplicant
Authentication
Server
Atacando la entrega
da PMK
WPA-PSK:
EAP-TLS
190
Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a
usurios do Mikrotik !
191
Felizmente porm o Mikrotik permite que a chave seja atribuda por Radius o que
torna muito interessante esse mtodo.
Para configurar precisamos:
Criar um perfil WPA2 qualquer
Habilitar a autenticao via MAC no AP
192
Configurando o Perfil
193
194
# Sintaxe:
# MAC Cleartext-Password := MAC
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
001DE05A1749
Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912
Cleartext-Password := "001B77AF82C9"
Mikrotik-Wireless-Psk = "12345678911"
195
Radius (dictionary)
/usr/share/freeradius/dictionary.mikrotik
196
# Sintaxe:
# MAC Cleartext-Password := MAC
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
001DE05A1749
#Exemplo:
Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912
197
198
Tuneis PPPoE
aspectos gerais
PPPoE : originalmente desenvolvido para redes cabeadas
O PPPoE Server (PPPoEd) escuta as requisies de clientes PPPoE que por
sua vz utilizam o protocolo PPPoE discovery tudo feito na camada 2
PPPoE por padro no criptografado pode ser configurado com criptografia
MPPE se o cliente suporta esse mtodo.
O mtodo CHAP protege apenas o nome de usurio e senha e nada alm disso.
199
Tneis PPPoE
aspectos gerais
200
PPPoE e Segurana
Un atacante que falsifique um endereo MAC em uma planta onde se rode
PPPoE no consegue navegar, porem causa muitos problemas aos usurios
verdadeiros.
.
Existem ataques a PPPoE quando falsos clientes disparam sucessivas
requisies de conexo (PPPoE discovery) causando negao de servio.
O mais grave no entanto que no PPPoE o usurio no autentica o
Servidor. Por esse motivo um ataque do tipo do homem-do-meio pode ser
facilmente implementado. Basta que o atacante ponha um AP falso em uma
posio privilegiada e configure um PPPoE Server para capturar as requisies
dos clientes. Isso pode ser usado para negar servio ou para capturar senhas.
201
Hotspots
aspectos gerais
Originalmente foram desenvolvidos para dar servio de conexo Internet em
Hotis, Shoppings, etc. Com o tempo tem sido utilizados como plataforma para
autenticar usurios de WISPs.
A interface configurada para ouvir o hotspot captura a tentativa de navegao e
pede usurio e senha.
Existem vrios mtodos de autenticao, inclusive com Certificados digitais
possvel fazea a autenticao por HTTPS.
202
Hotspots e Segurana
Uma vez que um usurio tenha sido autenticado e seu par IP + MAC seja
descoberto e falsificado por um atacante, este ganha acesso sem usurio e senha.
O ponto de acesso no v os dois, porm somente um usurio. O servio fica
precrio mas h a navegao de ambos.
203
207
Case MD Brasil
Pontos de acesso:
Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto
100% clientes com WPA2 atribuda por Radius
208
Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente
Em seguida pedida autenticao Hotspot para cada cliente.
A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio
209
Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais
concentrao de clientes.
Web-Proxys dos pontos de acesso armazenam objetos pequenos
Web-Proxy central (no Mikrotik) armazena objetos grandes.
210
211
Firewall
com Mikrotik
212
Firewall
213
215
Filtro Forward
Deciso de
Deciso de
Filtro Input
Filtro Output
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
roteamento
Roteamento
216
217
219
221
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Canal criado pelo usurio
222
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
RETURN
Regra
Regra
Regra
Canal criado pelo usurio
223
224
Aes:
add dst to address list: adiciona o IP de destino lista
add src to address list: adiciona o IP de origem lista
Address List: nome da lista de endereos
Timeout: por quanto tempo a entrada ir permanecer
225
Connection Tracking
Connection Tracking ( seguimento de conexes ) se refere a habilidade do roteador
de manter o estado da informao relativa s conexes, tais como endereos IP de
origem ou destino e pares de porta, estados da conexo, tipos de protocolos e
timeouts. Firewalls que fazem connection tracking so chamados de "stateful" e so
mais seguros que aqueles que fazem o processamento "stateless
226
Connection Tracking
- O sistema de Connection Tracking ou Conntrack o corao do Firewall. Ele obtem e
mantm informaes sobre todas as conexes ativas.
- Quando se desabilita a Funo de Connection Tracking so perdidas as
funcionalidades de NAT e marcao de pacotes que dependam de conexo. Pacotes
no entanto podem ser marcados diretamente.
-.Conntrack exigente de recursos de hardware. Quando o equipamento trabalha
apenas como AP Bridge por exemplo, indicado desabilita-la
227
Localizao da Conntrack
Filtro Forward
Deciso de
roteamento
Filtro Input
Conntrack
Filtro Output
Deciso de
Roteamento
Conntrack
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
228
Connection Tracking
Firewall Filter
Protegendo o prprio Roteador e os Clientes
230
231
Regras de Firewall
tratamento de conexes
Regras no Canal Input
Descarta conexes invlidas
Aceita conexes estabelecidas
Aceita conexes relacionadas
Aceita todas as conexes da rede interna
Descarta o restante
232
Regras de Firewall
Controle de servios
233
Regras de Firewall
Filtrando trfego prejudicial/intil
Bloqueia portas mais populares utilizadas por vrus TCP e UDP 445 e 137-139
No momento existem algumas centenas Trojans ativos e menos de 50 tipos de vrus
ativos
No site da Mikrotik h uma lista com as portas e protocolos que utilizam esses vrus.
Baixar lista de vrus Mikrotik e fazer as regras de acordo
234
Regras de Firewall
Filtrando trfego indesejvel e possveis ataques
Controle de ICMP
-Internet Control Message Protocol (ICMP) basicamente uma ferramenta para
diagnstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados.
-Um roteador tipicamente utiliza apenas 5 tipos de ICMP (type:code), que so:
- PING Mensagens 0:0 e 8:0
- TRACEROUTE Mensagens 11:0 e 3:3
- PMTUD Path MTU discovery mensagem 3:4
Os outros tipos de ICMP podem ser bloqueados.
235
IPs Bogons:
Existem mais de 4 milhes de endereos IPV4
Regras de Firewall
Filtrando trfego indesejvel
Firewall
Protees de ataques
Ping Flood
Ping Flood consiste usualmente de
grandes volumes de mensagens de ICMP
aleatrias
possvel detectar essa condio com a
regra ao lado
237
238
239
240
241
242
Firewall
Protees de ataques
dDOS
Ataques de dDos (dDoS) so bastante
parecidos com os de DoS, porm partem de
um grande nmero de hosts infectados
A nica medida que podemos tomar
habilitar a opo TCP syn cookie no
connection tracking do Firewall
243
SRC
DST
SRC NAT
Novo SRC
DST
SRC
DST
DST NAT
245
NAT
Filtro Forward
Dstnat
Deciso de
Roteamento
Filtro Output
Deciso de
Roteamento
Conntrack
Filtro Input
Conntrack
Srcnat
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
246
NAT - Exemplos
Source NAT - Mascarando a rede 192.168.0.0/24 atrs do IP 200.200.200.200 que est
configurado na interface ether1
247
NAT - Exemplos
Destination NAT e Source NAT (1:1) Apontando o IP 200.200.200.200 para o host interno
192.168.0.100
248
NAT - Exemplos
Redirecionamento de Portas: Fazendo com que tudo que chegue na porta 5100 v para
o servidor WEB que est na mquina interna 192.168.0.100 e tudo que chegar na porta 5200
v para a mquina 192.168.0.200
249
NAT - Exemplos
NAT 1:1 com netmap: Apontando a rede interna 192.168.0.0/24 para a rede pblica
200.200.200.200/24
250
NAT Helpers
Address Lists
252
253
254
255
257
FIREWALL MANGLE
258
Estrutura do Mangle
As regras de Mangle so organizadas em canais e obedecem as mesmas regras
gerais das regras de filtros, quanto a sintaxe.
possvel tambm criar canais pelo usurio
H 5 canais padro:
Prerouting: marca antes da fila Global-in
Postrouting: marca antes da fila Global-out
Input: marca antes do filtro de Input
Output: marca antes do filtro Output
Forward: marca antes do filtro Forward
260
Diagrama do Mangle
Mangle
Forward
Mangle
Deciso de
Deciso de
Mangle
Prerouting
Roteamento
Roteamento
Postrouting
Interface de
Mangle
Mangle
entrada
Input
Output
Processo Local
Processo Local
IN
OUT
Interface de
Sada
261
Aoes do Mangle
As opes de marcao incluem:
mark-connection apenas o primeiro pacote.
Marcando Conexes
Use mark-connection para identificar um ou um grupo de conexes com uma
marca especfica de conexo.
Marcas de conexo so armazenadas na tabela de connection tracking.
S pode haver uma marca de conexo para uma conexo.
A facilidade Connection Tracking ajuda a associar cada pacote a uma conexo
especfica.
263
Marcando Pacotes
Pacotes podem ser marcados:
265
266
267
Mangle
Exemplos
Queremos dar um tratamento diferenciado a vrios tipos de fluxos e
Precisamos marcar:
FTP
MSN
ICMP
P2P
Dvidas ??
270
271
Largura de Banda
Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de dbito)
usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est
ligado largura da banda em hertz. O termo banda larga denota conexes com uma largura em
hertz relativamente alta, em contraste com a velocidade padro em linhas analgicas
convencionais (56 kbps), na chamada conexo discada.
Limite de Banda
O limite de banda o limite mximo de transferncia de dados, onde tambm designada sua
velocidade. Por exemplo, voc pode ter uma conexo de banda de 1Mbps, onde voc
conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por segundo.
O termo banda frequentemente utilizado por operadoras de telecomunicaes referindo-se
ao limite de dados recebidos ou enviados oferecido pelo servio num perodo de um ms.
Ultrapassando-se esse limite, as operadoras podem aplicar cortes no limite de transferncia de
dados de um dado cliente.
272
Traffic Shaping
Qualidade de Servio
No campo das telecomunicaes e redes de computadores, o termo
Qualidade de Servio (QoS), em especial nas redes de comutao de
pacotes, refere-se garantia de largura de banda ou, como em muitos
casos, utilizada informalmente para referir-se a probabilidade de um
pacote circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias de QoS. A
primeira procura oferecer bastantes recursos, suficientes para o pico
esperado, com uma margem de segurana substancial. simples e eficaz,
mas na prtica assumido como dispendioso, e tende a ser ineficaz se o
valor de pico aumentar alm do previsto.
274
Qualidade de Servio
Qualidade de Servio
Os principais termos utilizados em QoS so:
Filas (queues)
277
Tipos de Filas
Antes de enviar os pacotes por uma interface, eles so processados por uma disciplina
de filas (queue types). Por padro as disciplinas de filas so colocadas sob queue
interface para cada interface fsica.
Uma vz adicionada uma fila (em queue tree ou queue simple) para uma interface
fsica, a fila padro da interface (interface default queue), definida em queue interface,
no ser mantida. Isso significa que quando um pacote no encontra (match) qualquer
filtro, ele enviado atravs da interface com prioridade mxima.
278
Tipos de Filas
Disciplinas Scheduler e Shaper
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
Tipos de Filas
Controle de Trfego
O controle de trfego implementado atravs de dois mecanismos:
Pacotes so policiados na entrada
pacotes indesejveis so descartados
Pacotes so enfileirados na respectiva interface de sada
pacotes podem ser atrasados, descartados ou priorizados
280
Controle de Trfego
O controle de trfego implementado internamente por 4 tipos de componentes:
Queuing Disciplines = qdisc
algoritmos que controlam o enfileiramento e envio de pacotes.
ex.: FIFO
Classes
representam entidades de classificao de pacotes.
cada classe pode estar associada a uma qdisc
Filters
utilizados para classificar os pacotes e atribu-los as classes.
Policers
utilizados para evitar que o trfego associado a cada filtro ultrapasse limites
pr-definidos.
281
Tipos de Filas
PFIFO e BFIFO
Estas disciplinas de filas so baseadas no algortimo FIFO (First-In First-Out), ou seja, o
primeiro que entra o primeiro que sai.
A diferena entre PFIFO e BFIFO que, um medido em pacotes e o outro em bytes.
Existe apenas um parmetro chamado pfifo-limit (bfifo-limit) que determina a quantidade de
dados uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se a fila est
cheia) ser descartado. Tamanhos grandes de fila podero aumentar a latncia, em
compensao prov uma melhor utilizao do canal.
282
Tipos de Filas
RED
RED- Random Early Detection Deteco aleatria antecipada um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho mdio da
fila .
Quando o tamanho mdio da fila atinge o valor configurado em red-min-threshold, o RED
aleatriamente escolhe um pacote para descartar. A probabilidade do nmero de pacotes que
sero descartados cresce na medida em que a mdia do tamanho da fila tambm cresce. Se o
tamanho mdio da fila atinge red-max-threshold, os pacotes so descartados com a
probabilidade mxima. Entretanto existem casos em que o tamanho real da fila (no a mdia)
muito maior que red-max-threshold, ento todos os pacotes que excederem red-limit sero
descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito rpido
funciona bem com TCP.
283
Tipos de Filas
SFQ
Stochastic Fairness Queuing (SFQ) Enfileiramento Estocstico com justia, um
disciplina que tem a justia assegurada por algoritmos de hashing e round roubin. O
fluxo de pacotes pode ser identificado, exclusivamente, por 4 opes:
src-address
dst-addess
src-port
dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritimo round
robin distribui a banda disponvel para estas subfilas, a cada rodada configurada no
parmetro allot (bytes).
No limita trfego. O objetivo equalizar os fluxos de trfego (sesses TCP e streaming
UDP) quando o link (interface) est completamente cheio. Se o link no est cheio, ento
no haver fila e, portanto, qualquer efeito, a no ser quando combinado com outras
disciplinas (qdisc).
284
Tipos de Filas
SFQ
A fila, que utiliza SFQ, pode conter 128 pacotes e h 1024 sub-filas disponveis.
recomendado o uso de SFQ em links congestionados para garantir que as conexes
no degradem. SFQ especialmente indicado em conexes sem fio.
285
Tipos de Filas
PCQ
O PCQ - Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico tipo de enfileiramento de baixo nvel que pode
fazer limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm cria
sub-filas considerando o parametro pcq-classifier. Cada sub-fila tem um taxa de transmisso
estabelecida em pcq-rate e o tamanho do pacote mximo igual a pcq-limit. O tamanho total
de uma fila a PCQ fica limitado ao que for configurado em pcq-total-limit.
O exemplo abaixo mostra o uso do PCQ com pacotes classificados pelo endereo de origem
286
Tipos de Filas
PCQ
Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero agrupados em sub-filas diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-fila com o parmetro pcq-rate. Talvez a parte mais
significante decidir em qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo trfego da interface pblica ser agrupado pelo endereo de origem (e
provavelmente no o que se deseja), mas ser for empregada na interface pblica todo o
trfego de nossos clientes ser agrupado pelo endereo de origem, o que torna fcil
equalizar ou limitar o upload dos clientes. O mesmo controle pode ser feito para downloads,
mas, nesse caso ser utilizado o classificador dst-address e configurado na interface local.
PCQ uma boa ferramenta para controlar ou equalizar a banda entre diversos usurios com
pouco trabalho de administrao.
287
QoS - HTB
HTB (Hierarchical Token Bucket) uma disciplina de enfileiramento hierrquica que usual
para aplicar diferentes polticas para diferentes tipos de trfego. O HTB simula vrios links
um um nico meio fsico, permitindo o envio de diferentes tipos de trfego em diferentes links
virtuais. Em outras palavras, HTB muito til para limitar o download e upload de usurios
de uma rede, desta forma no existe saturamento da largura de banda disponvel no link
fsico. Alm disso, no Mikrotik ROS, utilizado o HTB para configuraes de QoS.
Cada class tem um pai e pode ter uma ou mais
filhas. As que no tm filhas, so colocados no
level 0, onde as filas so mantidas, e so
chamadas de leaf class.
Cada classe na hierarquia pode priorizar e dar forma ao
trfego (shaping).
- Para shaping os parmetros so:
limit-at: banda garantida (CIR)
max-limit: banda mxima permitida (MIR)
- Para priorizar:
priority: de 1 a 8, sendo 1 a maior prioridade.
*Prioridade s funcionar aps o limit-at ser alcanado.
288
QoS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Resultados
Queue03 receber 6Mbps
Queue04 receber 2Mbps
Queue05 receber 2Mbps
Descrio: O HTB foi configurado, de modo que, satisfazendo
todas as garantias (limit-at) a filla principal (pai) no possuir
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.
289
QoS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Resultados
Queue03 receber 2Mbps
Queue04 receber 6Mbps
Queue05 receber 2Mbps
Descrio: Aps satisfazar todas garantias, o HTB
disponibilizar mais banda, at o mximo permitido (max-limit)
para a fila com maior prioridade. Mas neste caso, permitir-se
reserva de 8Mbps de throughput para as filas Queue04 e
Queue05, as quais, a que possuir maior prioridade receber
primeiro o adicional de banda, pois a fila Queue02 possui
garantia atribuida.
290
QoS - HTB
Termos do HTB:
Filter - um processo que classifica pacotes. Os filtros so responsveis pela
classificao de pacotes para que eles sejam colocados nas correspondentes qdiscs.
Todos os filtros so aplicados no fila raiz HTB e classificados diretamente nas qdiscs,
sem atravessar a rvore HTB. Se um pacote no est classificado em nenhuma das
qdiscs, enviado para a interface diretamente, por isso nenhuma regra HTB
aplicada aos pacotes (isso significa prioridade maior que qualquer pacote do fluxo
gerido pelo HTB) .
Level - posio de uma classe na hierarquia.
Class - algoritmo de limitao no fluxo de trfego para uma determinada taxa. Ela
no guarda quaisquer pacotes (esta funo s pode ser realizada por uma fila). Uma
classe pode conter uma ou mais subclasses (inner class) ou apenas uma e um qdisc
(leaf class).
291
QoS - HTB
Termos do HTB:
Inner class - uma classe que tenha uma ou mais classes filhas ligadas a ela.
No armazenam quaisquer pacotes, ento qdiscs no podem ser associados a
elas (qdisc e configuraes de filtros so ignoradas, embora possam ser exibidos
na configurao do RouterOS). S fazem limitao de trfego. Definio de
prioridade tambm ignorada.
Leaf class - uma classe que tem uma classe pai, mas ainda no tem nenhuma
classe filha. Leaf class esto sempre localizadas no level 0 da hierarquia.
Self feed - uma sada (fora da rvore HTB para a interface) para os pacotes de
todas as classes ativas no seu nvel de hierarquia. Existe uma self feed por level,
cada uma constituda por 8 self slots, que representam as prioridades.
292
QoS - HTB
Termos do HTB:
Auto slot - um elemento de uma self feed que corresponde a cada prioridade.
Existe um auto slot por nvel. Todas as classes ativas no mesmo nvel, com a
mesma prioridade, so anexados a um auto slot que enviam os pacotes para fora.
Active class (para um nvel particular) - uma class que est associada a um auto
slot em determinado nvel.
Inner feed - semelhante a uma self feed, constitudos de inner self slots,
presentes em cada classe interior. Existe um inner feed por inner class.
Inner feed slot - similar auto slot. Cada inner feed constitudo de inner slots
os quais representam uma prioridade.
293
QoS - HTB
Estados das classes HTB
Cada classe HTB pode estar em um dos 3 estados,
dependendo da banda que est consumindo:
verde de 0% a 50% da banda disponvel est em
uso.
amarelo de 51% a 75% da banda disponvel
est em uso.
vermelho de 76% a 100% da banda disponvel
est em uso. Aqui ocorre o descarte de pacotes,
quando se ultrapassa o max-limit.
294
QoS - HTB
No Mikrotik ROS as estruturas do HTB podem ser anexadas a
quatro locais diferentes:
Interfaces Virtuais
global-in representa todas as interfaces de entrada em geral (INGRESS queue). As
filas atreladas global-in recebem todo o trfego entrante no roteador, antes da filtragem de
pacotes.
global-out representa todas as interfaces de sada em geral (EGRESS queue). As
filas atreladas global-out recebem todo o trfego que sai do roteador.
global-total representa uma interface virtual atravs da qual passa todo o fluxo de
dados. Quando se associa uma poltica de filas global-total, a limitao feita em ambas
as direes. Por exemplo se configurarmos um total-max-limit de 256kbps, teremos um total
de upload+download limitado em 256 kbps, podendo haver assimetria.
Outras Interfaces
Interface X- representa uma interface particular. Somente o trfego que configurado
para sair atravs desta desta interface passar atravs da fila HTB.
295
QoS - HTB
Interfaces Virtuais e o Mangle
Mangle
Forward
Global In
(+Global Total)
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Postrouting
Mangle
Prerouting
Mangle
Input
Mangle
Input
Global-out
(+Global-Total)
Interface de
entrada
Processo Local
IN
Processo Local
OUT
Interface de
Sada
296
Filas Simples
Filas Simples
298
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.
burst-threshold=192kbps
burst-limit=512kbps
dado ao cliente inicialmente a banda burst-limit=512 kbps. O algortimo calcula a taxa mdia
de consumo de banda durante o burst-time de 8 segundos.
com 1 segundo a taxa mdia (0+0+0+0+0+0+0+512)/8 = 64kbps (abaixo do threshold)
com 2 segundos j de (0+0+0+0+0+0+512+512)/8 = 128 kbs (abaixo do threshold)
com 3 segundos (0+0+0+0+0+512+512+512)/8 = 192 ( o ponto de inflexo onde acaba o
burst)
A partir do momento que foi atingido o ponto de inflexo o Burst desabilitado e a taxa
mxima do cliente passa a ser o max-limit.
300
Utilizao de PCQ
- Para utilizar PCQ, um novo tipo de fila deve ser adicionado com o argumento
kind=pcq
- Devem ainda ser escolhidos os parmetros:
pcq-classifier
pcq-rate
301
Utilizao de PCQ
302
Utilizao de PCQ
512k
128k
Banda total
2 clientes
128
64k
4 clientes
8 clientes
303
Utilizao de PCQ
256k
512k
512k
256k
Banda total
1 cliente
2 clientes
64k
8 clientes
304
rvores de Filas
Trabalhar com rvores de filas uma maneira mais elaborada de administrar o
trfego. Com elas possvel construir sob medida uma hierarquia de classes, onde
poderemos configurar as garantias e prioridades de cada fluxo em relao outros,
determinando assim uma poltica de QoS para o fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especificada. Os filtros so
apenas marcas que o firewall faz no fluxo de pacotes na opo mangle. Os filtros
enxergam os pacotes na ordem em que eles chegam ao roteador.
tambm a nica maneira para adicionar uma fila em uma interface separada.
Tambm possvel ter o dobro de enfileiramento (exemplo: priorizao de trfego
em global-in e/ou global-out, limitao por cliente na interface de sada). Se
configurado filas simples (queue simple) e rvore de filas (queue tree) no mesmo
roteador, as filas simples recebero o trfego primeiro e o classificaro.
305
rvores de Filas
rvores de Filas
Laboratrio
Queue
Limit-At
Max-Limit
C1
10M
20M
C2
1M
20M
C3
1M
20M
C4
1M
20M
C5
1M
20M
307
rvores de Filas
Laboratrio
308
rvores de Filas
Laboratrio
Mais hierarquia
C1 possui maior prioridade, portanto consegue atingir o max-limit, o restante da
banda divido entre as outras leaf-queue
309
rvores de Filas
Laboratrio
310
rvores de Filas
Laboratrio
311
rvores de Filas
Laboratrio
Erros comuns:
leaf queue sem parent
prioridade configurada para inner queue
312
Dvidas ??
313
Tneis
&
VPNs
314
VPN
Uma Rede Particular Virtual (Virtual Private Network - VPN) uma rede de
comunicaes privada normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituies, construda em cima de uma rede de comunicaes pblica
(como por exemplo, a Internet). O trfego de dados levado pela rede pblica
utilizando protocolos padro, no necessariamente seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a
confidencialidade, autenticao e integridade necessrias para garantir a privacidade
das comunicaes requeridas. Quando adequadamente implementados, estes
protocolos podem assegurar comunicaes seguras atravs de redes inseguras.
315
VPN
As principais caractersticas das VPNs so:
Promover acesso seguro sobre meios fsicos pblicos como a Internet por
exemplo.
Promover acesso seguro sobre linhas dedicadas, wireless, etc.
Promover acesso seguro a servios em ambiente corporativo de correio,
impressoras, etc.
Fazer com que o usurio, na prtica, se torne parte da rede corporativa
remota recebendo IPs desta e perfis de segurana definidos.
A base da formao das VPNs o tunelamento entre dois pontos, porm
tunelamento no sinnimo de VPN.
316
Tunelamento
A definio de Tunnelling a capacidade de criar tneis entre
dois hosts, por onde trafegam dados.
O Mikrotik implementa diversos tipos de Tunelamento, podendo ser tanto servidor
como cliente desse protocolos.
PPP ( Point to Point Protocol )
IPSec ( IP Security )
Tneis IPIP
Tneis EoIP
VPLS
Tneis TE
317
Authentication:
Pap: usurio/senha passa em texto plano, sem criptografia
Chap: usurio/senha com criptografia
mschap1: verso chap da Microsoft conf. RFC 2433
mschap2: verso chap da Microsoft conf. RFC 2759
318
MRRU: tamanho mximo do pacote, em bytes, que poder ser recebido no link. Se um
pacote ultrapassa o valor definido ele ser divido em pacotes menores, permitindo o
melhor dimensionamento do tnel. Especificar MRRU significa permitir MP (Multilink
PPP) sobre um tnel simples. Essa configurao til para o protocolo PMTU
Discovery superar falhas. O MP deve ser ativado em ambos os lados (cliente e
servidor).
319
Change MSS (Mximum Segment Size Field, ou seja o tamanho mximo do segmento de dados.).
Um pacote com MSS que ultrapassa o MSS dos roteadores por onde um tnel est estabelecido
deve ser fragmentado antes de envi-lo. Em alguns casos o PMTUD est quebrado ou os
roteadores no conseguem trocar as informaes de maneira eficiente e causam uma srie de
problemas com transferncia HTTP, FTP e correio eletrnico, alm de mensageiros instantneos.
Neste caso o Mikrotik ROS proporciona ferramentas onde possvel intervir e configurar uma
diminuio do MSS dos prximos pacotes atravs do tnel visando resolver o problema.
320
322
324
325
Segurana no PPPoE
Para assegurar um servidor PPPoE
pode-se utilizar Filtros de Bridge,
configurando a entrada ou repasse
(depende da configurao do Mikrotik
ROS) os protocolos pppoe-discovery e
pppoe-session, e descartando todos os
demais.
Mesmo que haja somente uma
interface, ainda assim possvel utilizar
os Fitros de Bridge, bastando para tal,
criar um bridge e associar em Ports
apenas esta interface. Em seguida
alterar no PPPoE Server a interface que
o mesmo escuta.
330
PPTP e L2TP
Point-to-Point Tunneling Protocol e Layer 2 Tunneling Protocol
L2TP Layer 2 Tunnel Protocol Protocolo de tunelamento de camada 2 um protocolo
de tunelamento seguro para transportar trfego IP utilizando PPP. O protocolo L2TP
trabalha no layer 2 de forma criptografada ou no e permite enlaces entre dispositivos de
diferentes redes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados. A
porta UDP 1701 utilizada para o estabelecimento do link e o trfego em si utiliza qualquer
porta UDP disponvel, o que significa que L2TP pode ser usado com a maioria dos Firewalls
e Routers, funcionando tambm atravs de NAT.
334
335
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio
protocolo IP baseado na RFC 2003. um protocolo simples que
pode ser usado para ligar duas Intranets atravs da Internet
usando 2 roteadores.
A Interface do tnel IPIP aparece na lista de interfaces como se
fosse uma interface real.
Vrios roteadores comerciais, incluindo o Cisco e roteadores
baseados em Linux suportam esse protocolo.
Um exemplo prtico de uso de IPIP seria a necessidade de
monitorar hosts atravs de um NAT, onde o tnel IPIP colocaria
a rede privada disponvel para o host que realiza o
monitoramento, sem necessidade de criao de usurio e senha
como nas VPNs.
336
Tneis IPIP
Exemplo:
Supondo que temos de unir as redes que esto por trs dos roteadores 200.200.200.1 e
200.200.100.1. Para tanto basta que criemos as interfaces IPIP em ambos, da seguinte
forma:
337
Tneis IPIP
Em seguida atribui-se endereo IP s interfaces criadas ( de
preferncia ponto a ponto )
Pronto, est criado o tnel IPIP e agora as redesfazem parte do mesmo domnio de
broadcast.
338
Tneis EoIP
EoIP ( Ethernet over IP ) um protocolo proprietrio Mikrotik
para encapsulamento de todo tipo de trfego sobre o
protocolo IP. Quando habilitada a funo de bridge dos
roteadores que esto interligados atravs de um tnel EoIP,
todo o trfego passado de um lado para o outro como se
houvesse um cabo de rede interligando os pontos, mesmo
roteando pela Internet e por vrios protocolos.
EoIP possibilita:
Interligao em bridge de LANs remotas atravs da Internet
Interligao em bridge de LANs atravs de tneis criptografados
Possibilidade de bridgear LANs sobre redes Ad Hoc 802.11
Caractersticas:
A interface criada pelo tnel EoIP suporta todas as funcionalidades de uma interface
Ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP.
O protocolo EoIP encapsula frames Ethernet atravs do protocolo GRE.
O nmero mximo de tneis suportados no Mikrotik ROS so 65536.
339
Tneis EoIP
Tneis EoIP
341
Dvidas ??
342
Hotspot
no
Mikrotik
343
Hotspot
O que ?
Hotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um servio
de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes tpicas
incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc.
O conceito de Hotspot pode ser usado no entanto para dar acesso controlado a uma rede
qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Como funciona ?
Quando em uma rea de cobertura de um Hotspot, um usurio que possua um Laptop e tente
navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais,
normalmente usurio e senha. Ao fornece-las e sendo um cliente autorizado pelo Hotspot o
usurio ganha acesso Internet podendo sua atividade ser controldada e bilhetada.
344
Hotspot
Setup do Hotspot:
1 Escolha a interface que vai
ouvir o Hotspot
2 Escolha o IP em que vai rodar
o Hotspot e indique se a rede ser
mascarada
3 D um pool de endereos que
sero distribuidos para os
usurios do Hotspot (se no tiver,
crie em /ip pool)
4 Selecione um certificado, caso
queira usar.
continua
345
Hotspot
Setup do Hotspot:
continuao
5 Se quiser forar a usar o
seu smtp, indique o IP aqui
6 D o endereo IP dos
servidores de DNS que iro
resolver os nomes para os
usurios do Hotspot
7 D o nome do DNS (
aparecer no Browser dos
clientes ao invs do IP)
Pronto, est configurado o
Hotspot !
Hotspot
Embora tenha sido uma configurao bastante fcil e rpida, o Mikrotik se encarregou
de fazer o trabalho pesado, criando as regras apropriadas no Firewall, bem como uma
fila especfica para o Hotspot.
347
HTML Directory:
Diretrio onde esto colocadas as pginas desse Hotspot
HTTP Proxy / HTTP Proxy Port
Endereo e porta do Servidor de Web Proxy
SMTP Server:
Endereo do servidor de SMTP
rate-limit:
Cria uma simple Queue para todo o Hotspot (vai aps as filas dinamicas dos
usurios.
349
Habilitar Accounting para fazer a bilhetagem dos usurios, com histrico de logins, desconexes,
etc
Interim Update: Frequencia de envio de informaes de accounting (segundos). 0 assim que
ocorre o evento.
NAS Port Type: Wireless, Ethernet ou Cabo
351
352
355
Hotspot Users
357
Hotspot Users
Detalhes de cada usurio:
all para todos os hotspots configurados ou para um especfico.
Name: Nome do usurio. Se o modo trial estiver habilitado o Hotspot
colocar automticamente o nome T-MAC_address. No caso de autenticao
por MAC, o MAC pode ser adicionado como username (sem senha).
Endereo IP: caso queira vincular esse usurio a um endereo fixo.
MAC Address: caso queira vincular esse usurio a um MAC determinado
Profile: perfil de onde esse usurio herda as propriedades
Routes: rota que ser adicionada ao cliente quando esse se conectar.
Sintaxe endereo de destino gateway metrica. Exemplo 192.168.1.0/24
192.168.166.1 1. Vrias rotas separadas por vrgula podem ser adicionadas.
Email: ?
358
Hotspot Users
Limit Uptime: Total de tempo que o usurio pode usar o Hotspot.
til para fazer acesso pr pago. Sintaxe hh:mm:ss. Default = 0s
sem limite.
Limit Bytes In: total de Bytes que o usurio pode transmitir. (bytes
que o roteador recebe do usurio.
Limit Bytes Out: total de Bytes que o usurio pode receber. (bytes
que o roteador transmite para o usurio.
Hotspot Active
IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.
Esta facilidade denominada DAT na AP 2500 e eezee no StarOS.
possvel fazer tambm tradues NAT estticas com base no IP original, ou IP da
rede ou no MAC do cliente. possvel tambm permitir a certos endereos
contornarem (by-passarem) a autenticao do Hotspot. Ou seja sem ter de logar
na rede inicialmente. Tambm possvel bloquear endereos
continua
361
IP Bindings
Hotspot Ports
A facilidade de NAT e NAT 1:1 do Hotspot causa problemas com alguns protocolos
incompatveis com NAT. Para que esses protocolos funcionem de forma
consistente, devem ser usados os mdulos helpers
No caso de NAT 1:1 o nco problema com relao ao mdulo de FTP que deve
ser configurado para usar as portas 20 e 21.
.
363
Walled Garden
Configurando um Walled Garden ou Jardim Murado possvel oferecer ao usurio o acesso a
determinados servios sem necessidade de autenticao. Por exemplo em um Aeroporto poderse-ia disponibilizar informaes climticas, horrios de voos, etc sem a necessidade do usurio
adquirir crditos para acesso externo.
Quando um usurio no logado no Hotspot requisita um servio do Walled Garden o gateway no
o intercepta e, no caso de http, redireciona a reuisio para o destino ou para um proxy.
Para implementar o Walled Garden para requisies http, existe um Web Proxy embarcado no
Miktotik, de forma que todas as requisies de usurios no autorizados passem de fato por esse
proxy.
Observar que o proxy embarcado no tem as funes de fazer cache, pelo menos por ora. Notar
tambm que esse proxy embarcado faz parte do pacote system e no requer o pacote webproxy.
364
Walled Garden
367
Hotspot - Cookies
368
Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e alm disso possvel criar conjuntos
totalmente diferentes das pginas do Hotspot para vrios perfis de usrios especificando
diferentes diretrios html raiz ) /ip hotspot profile html-directory.
Principais pginas que so mostradas aos usurios:
redirect.html redireciona o usurio a uma pgina especfica
login.html Pgina de login que pede ao usurio o login e senha. Esta pgina tem os
seguintes parametros:
username / password
dst URL original que o usurio solicitou antes do redirecionamento (ser
aberta aps o login com sucesso)
popup se ser aberto uma janela de pop-up quando o usurio se logar com
sucesso.
369
Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e podem ser
editadas em qualquer editor html, sendo depois atualizadas no
mikrotik.
possvel criar conjuntos totalmente diferentes de pginas do
Hotspot para vrios perfis de usrios especificando diferentes
diretrios html raiz ) /ip hotspot profile html-directory.
#!/bin/sh
SERVER=hotspot.mikrotikbrasil.com.br
PRIVATE_KEY=$SERVER.key
CERTIFICATE_FILE=$SERVER
VALID_DAYS=1095
openssl genrsa -des3 -out $PRIVATE_KEY 1024
371
Dvidas ??
372
User Manager
373
User Manager
O que o User Manager ?
um sistema de gerenciamento de usurios que pode ser utilizado para controlar
Usurios de Hotspot
Usurios PPP (PPtP e PPPoE)
Usurios DHCP
Usurios Wireless em Geral
Usurios do sistema RouterOS em si
374
User Manager
Como implementar (2.9.x)
375
376
377
378
379
Dvidas ??
380
Roteamento
Mikrotik RouterOS suporta dois tipos de roteamento:
Roteamento Esttico: As rotas criadas pelo usurio atravs de insero
de rotas pr definidas em funo da topologia da rede
Roteamento Dinmico: As rotas so geradas automticamente atravs de
algum agregado de endereamento IP ou por protocolos de roteamento
O Mikrotik suporta ECMP - Equal Cost Multipath Routing (Roteamento por
multicaminhos com mesmo Custo), que um mecanismo que permite rotear pacotes
atravs de vrios links e permite balanceamento de carga.
possvel ainda no Mikrotik se estabelecer Polticas de Roteamento (Policy Routing)
dando tratamento diferenciado a vrios tipos de fluxo a critrio do adminstrador.
381
Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer uma poltica de
roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos Ip e portas.
A marca dos pacotes deve ser adicionada no Firewall, no mdulo Mangle com
routing-mark
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo-os para
um determinado gateway.
Polticas de Roteamento
Observaes Importantes:
Uma aplicao tpica de Polticas de Roteamento trabalhar com dois links
direcionando parte do trfego por um e parte por outro. Por exemplo a canalizao de
aplicaes peer-to-peer por um link menos nobre
impossvel porm reconhecer o trfego peer-to-peer do a partir do primeiro pacote,
mas to somente aps as conexes estabelecidas, o que impede o funcionamento dos
programas P2P em caso de NAT de origem.
A estratgia nesse caso colocar como gateway default o link menos nobre, marcar
o trfego conhecido e nobre ( HTTP, DNS, POP3, SMTP, etc) e desvia-lo para o link
nobre. Todas as outras aplicaes, incluido o P2P, iro para o link no nobre.
383
384
385
386
Balanceamento
de Carga com
PCC
O recurso PCC (per connection classifier) est disponvel a partir da V3.24
387
Balanceamento
de Carga com
PCC
O recurso PCC (per connection classifier) est disponvel a partir da V3.24
388
Balanceamento
de Carga com
PCC
O recurso PCC (per connection classifier) est disponvel a partir da V3.24
389
1.1.1.2
2.2.2.2
192.168.0.0/24
3.3.3.2
2.2.2.1
Internet
3.3.3.1
390
392
393
394
Marcao de rotas
395
Marcao de rotas
396
Marcao de rotas
397
Rotas
398
Nat
399
Nat
400
Nat
401
Roteamento Dinmico
O Mikrotik RouterOS suporta os seguintes protocolos de roteamento:
RIP verso 1 e RIP verso 2
OSPF verso 2
BGP verso 4
- Verses em desenvolvimento do Mikrotik do suporte a verses mais recentes
desses protocolos, mas ainda em fase beta.
- O uso de roteamento dinamico permite implementar redundncia e balanceamento de
carga de forma automtica e uma forma de se fazer uma rede semelhante s redes
conhecidas como Mesh, porm de forma esttica.
402
Roteamento BGP
O protocolo BGP (Border Gateway Protocol) destinado a fazer comunicao entre
Autonomous Systems diferentes, podendo ser considerado como o corao da
Internet.
O BGP mantm uma tabela de prefixos de rotas contendo as informaes de
encontrabilidade de redes (NLRI Network Layer Reachbility Information) entre os
ASs.
A verso corrente do BGP a verso 4, especificada na RFC 1771.
403
OSPF
O protocolo Open Shortest Path First (Abra primeiro o caminho mais curto) um
protocolo do tipo link-state. Ele usa o algortimo de Dijkstra para calcular o caminho
mais curto para todos os destinos.
O OSPF distribui informaes de roteamento entre os roteadores que participem de um
mesmo AS ( Autonomous System) e que tenham obviamente o protocolo OSPF
habillitado.
Para que isso acontea todos os roteadores tem de ser configurados de uma maneira
coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocolo
OSPF.
404
OSPF
Settings
Router ID: IP do roteador. Caso no especificado o roteador utiliza o maior endereo IP que exista
na interface.
Redistribute Default Route: Especifica como deve ser distribuida a rota default
never: nunca distribui
if installed (as type 1): envia (com mtrica 1) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
if installed (as type 2): envia (com mtrica 2) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
always (as type 1): sempre, com mtrica 1
always (as type 2): sempre, com mtrica 2
406
OSPF Settings
Na aba Metrics, possivel mudar o custo que sero exportadas as diversas rotas
407
reas de OSPF
O protocolo OSPF permite que vrios roteadores
sejam agrupados entre si. Cada grupo formado
chamado de rea e cada rea roda uma cpia do
algortimo bsico, e que cada rea tem sua prpria
base de dados do estado de seus roteadores.
Rede OSPF
409
OSPF
410
Dvidas ??
411
The Dude
O Cara
412
O que o DUDE
Como ferramenta de Monitoramento:
413
O que o DUDE
Como ferramenta de Gerenciamento:
Possibilidade de utilizar ferramentas para acesso direto a
dispositivos da rede a partir do diagrama da mesma.
Acesso direto a dispositivos Mikrotik RouterOS atravs do
Winbox
Armazenamento de histrico de eventos (logs) de toda a rede,
com momentos de queda, restabelecimentos, etc.
Possibilidade de utilizar SNMP tambm para a tomada a tomada
de decises (SNMP set)
(V. MUM Czech Republic 2009 Andrea Coppini)
414
Instalando o DUDE
Instalando no WIndows:
Fazer o download, clicar no executvel e responder sim para
todas perguntas
Instalando no Linux:
Instalar o Wine e a partir dai proceder como no Windows.
Instalando em uma Routerboard ou PC com Mikrotik
Baixar o pacote referente a arquitetura especfica, enviar para o
equipamento via ftp ou Winbox e bootar o mesmo
415
Instalao em Routerboards
O espao em disco consumido pelo DUDE considervel devido, entre
outras coisas, aos grficos e logs a serem armazenados. Assim, no caso de
instalao em Routerboards aconselhavel o uso daquelas que possuam
possibilidade de armazenamento adicional, como
RB 433UAH aceita HD externo via USB
416
417
Conselho amigo: Se vai usar o DUDE para fazer um bom controle de sua rede
esquea o auto discovery !
418
419
Aproveite esse momento para refletir quanta coisa intil e insegura pode estar
rodando em sua rede Desabilite tudo que for desnecessrio.
420
421421
422422
Notificaes
Criando novos tipos de notificao
Duplo clique no dispositvo / clique no
servio e na guia notificao informar o
tipo de notificao.
425425
Notificaesao contrario
teis quando se quer monitorar servios que
no devem estar ativos
426426
427427
Salvando as configuraes
As configuraes so salvas automaticamente na medida em que so feitas.
Para ter um backup externo, use o export que ser gerado um XML com todas as
configuraes que por sua vez podem ser importadas em outro DUDE.
Import
Export
428428
Dvidas ??
429
WEB - Proxy
430
WEB - Proxy
O Web Proxy possibilita o armazenamento de objetos Internet (dados disponveis
via protocolos HTTP e FTP) em um sistema local.
WEB - Proxy
HTTP proxy
Transparent proxy. Onde transparente e HTPP ao mesmo tempo
Lista de Acesso por origem, destino, URL e mtodos de requisio
Lista de Acesso Cache (especifica os objetos que podero ou no ser
cacheados)
Lista de Acesso Direto (especifica quais recursos devero ser acessados
diretamente - atravs de outro web-proxy)
Sistema de Logging
432
WEB - Proxy
Web-Proxy configurado para 10 GiB de cache, escutando na porta 8080:
Clear Cache Serve para esvaziar o cache
armazenado (dependendo do tamaho do cache
esta opo poder ser bastante lenta).
Enable Utilizado para habilitar ou desabilitar o
web-proxy.
Src.Address - poder ficar em branco. Em caso
de uma hierarquia de proxy, este ser o endereo
IP utilizado pelo protocolo ICP. O src.address
quando deixado em branco (0.0.0.0/0) ser
automaticamente configurado pela tabela de
roteamento.
433
WEB - Proxy
Port - A porta onde o web-proxy escutar.
Parent Proxy - Utilizado para indicar o IP de um servidor proxy pai numa hierarquia de
proxy.
Parent Proxy Port - A porta que o parent proxy escuta.
Cache Administrator - Um nome ou endereo de e-mail para exibio no caso de avisos
emitidos aos clientes.
WEB - Proxy
Max Client Connections - nmero mximo de conexes simultneas de clientes permitidas
no proxy. Aps antigido o limite configurado todas as novas conexes sero rejeitadas.
WEB - Proxy
Always From Cache - ignorar pedidos de atualizao dos clientes, caso o contedo seja
considerado atual.
Cache Hit DSCP (TOS) - Marca automaticamente hits do cache com o valor DSCP
configurado.
Cache Drive - exibe o disco que est em uso para o armazenamento dos objetos em
cache. Para configurar o disco necessrio acessar o menu Stores.
OBSERVAO:
O web proxy escuta todos os endereos IP que esto configurados no servidor.
436
WEB - Proxy
Stores
Submenu:/stores
Com esta opo podemos gerenciar a mdia
onde ser armazenado os objetos do cache.
Possvel adicionar mais de 1 disco.
437
WEB - Proxy
Monitorando o Web-Proxy
Monitorando o Web-Proxy
WEB - Proxy
Monitorando o Web-Proxy
Lista de Conexes
WEB - Proxy
440
Monitorando o Web-Proxy
Lista de Conexes
WEB - Proxy
State
441
Access List
WEB - Proxy
442
Access List
WEB - Proxy
local-port (port) - especifica a porta do web-proxy que recebe os pacotes. Este valor deve
corresponder a porta que o web-proxy est escutando.
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma pgina
web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
action (allow | deny; default: allow) - especifica a ao de negar ou liberar os pacotes que
atravessam o web-proxy.
443
Access List
WEB - Proxy
Nota
Por padro, aconselhvel configurar uma regra para prevenir requisies nas portas
443 e 563 (conexes atravs de SSL e NEWS).
As opes dst-host e path, corresponde a uma string completa (ex.: no existir um
matching para "example.com" se for configurado apenas "example").
O uso de curingas tambm possvel: '*' (combina um nmero qualquer de caracteres)
e '? '(combina um caractere qualquer).
Expresses regulares tambm so permitidas, e devero iniciar por 2 pontos (':') como
no exemplo:
/ip proxy access add dst-host=":\\.mp\[3g\]$" action=deny
444
WEB - Proxy
Lista de Gerenciamento do Cache
WEB - Proxy
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
allow - cacheia o objeto de acordo com a regra.
deny no cacheia o objeto de acordo com a regra.
446
WEB - Proxy
WEB - Proxy
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
Nota
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
Diferentemente da Lista de Acesso, a Lista de Acesso Direto tem a ao padro deny.
Esta ao ocorre quando no so especificadas regras nas requisies.
448
WEB - Proxy
WEB - Proxy
WEB - Proxy
Lista de endereos IP, os quais no faro parte das regras de redirect ou dst-nat.
Submenu: /ip firewall adress-list
451
WEB - Proxy
Filtro de firewall para proteger o acesso ao web-proxy
Submenu: /ip firewall filter
/ip firewall filter
add action=drop chain=input comment="" disabled=no dst-port=8080 in-interface=WAN
protocol=tcp
452
Mtodos HTTP
Descrio
WEB - Proxy
OPTIONS
Este mtodo uma requisio de informaes sobre as opes da comunicao
disponvel entre o cliente e o servidor (web-proxy) identificadas por Request URI (Uniform
Resource Identifier, um termo genrico para todos os tipos de nomes e endereos aos
quais referem-se os objetos da WEB. A URL um tipo de URI). Este mtodo permite que o
cliente determine as opes e (ou) as requisies associadas a um recurso sem iniciar
qualquer recuperao da comunicao.
GET
Este mtodo recupera qualquer informao identificada pelo Request-URI. Se o
Request-URI refere-se a um processo de tratamento de dados a resposta ao mtodo GET
dever conter os dados produzidos pelo processo, e no o cdigo fonte do processo ou
procedimento(s), a menos que o cdigo fonte seja o resultado do processo.
O mtodo GET pode tornar-se um GET condicional se o pedido inclui uma
mensagem If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match ou If-Range no
cabealho do pacote. O mtodo GET condicional utilizado para reduzir o trfego de rede
com a especificao de que a transferncia da conexo dever ocorrer apenas nas
circunstncias descritas pela(s) condio(es) do cabealho do pacote.
453
Mtodos HTTP
Descrio
WEB - Proxy
O mtodo GET pode tornar-se um GET parcial se o pedido inclui uma mensagem
Range no cabealho do pacote. O mtodo GET parcial destinado a reduzir o uso
desnecessrio de rede, solicitando apenas partes dos objetos sem transferncia dos dados j
realizada pelo cliente. A resposta a uma solicitao GET pode ser cacheada somente se ela
preencher os requisitos para cache HTTP.
HEAD
Este mtodo compartilha todas as caractersticas do mtodo GET exceto pelo fato
de que o servidor no deve retornar uma message-body na resposta. Este mtodo recupera
a meta informao do objeto intrnseco requisio, que conduz a uma ampla utilizao da
mesma para testar links de hipertexto, acessibilidade e modificaes recentes.
As respostas a uma requisio HEAD podem ser cacheadas da mesma forma
que as informaes contidas nas respostas podem ser utilizadas para atualizar o cache
previamente identificados pelo objeto.
454
Mtodos HTTP
Descrio
WEB - Proxy
POST
Esse mtodo solicita que o servidor de origem aceite uma requisio do objeto,
subordinado a um novo recurso identificado pelo Request-URI. A verdadeira ao realizada
pelo mtodo POST determinada pelo servidor de origem e normalmente dependente da
Request-URI. Respostas ao mtodo POST no so cacheadas, a menos que a resposta
inclua Cache-Control ou Expires no cabealho do pacote.
PUT
Esse mtodo solicita que o servidor de destino fornea uma Request-URI. Se
existe outro objeto sob a RequestURI especificada, o objeto deve ser considerado como
atualizado sobre a verso residente no servidor de origem. Se a Request-URI no est
apontando para um recurso existente, o servidor origem devem criar um recurso com a URI.
Se a requisio passa atravs de um cache e as Request-URI identificam um ou
mais objetos no cache, essas inscries devem ser tratadas como atualizveis (antigas).
Respostas a este mtodo no so cacheadas.
455
Mtodos HTTP
Descrio
WEB - Proxy
TRACE
Este mtodo invoca remotamente um loop-back na camada de aplicao da mensagem de
requisio. O destinatrio final da requisio dever responder a mensagem recebida para
o cliente uma resposta 200 (OK) no corpo da mesma. O destinatrio final no a origem
nem o primeiro servidor proxy a receber um MAX-FORWARD de valor 0 na requisio.
Uma requisio TRACE no inclui um objeto. As respostas a este mtodo no devem ser
cacheadas.
456
Dvidas ??
457
Laboratrio Final
Abram um terminal
system reset-configuration
458
Obrigado !
Edson Xavier Veloso Jr.
Srgio Souza
Wardner Maia
edson@mikrotikbrasil.com.br
sergio@mikrotikbrasil.com.br
maia@mikrotikbrasil.com.br
459
ANEXOS
460
Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
de balanceamento com o antigo mtodo de NTH para a V3
461
packet: a regra encontra o pacote com esse nmero. Obviamente esse nmero
dever estar entre 1 e every.
Obs: No exemplo a seguir, necessrio a opo Passthrough=YES
463
2,2
200.200.200.1
192.168.0.0/24
Internet
200.200.100.2
200.200.100.1
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2
add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1
466
468
469
470
471
472
473
474
475
Regra 1
476
Regra 2
477
478
Regra 3
479
Regra 4
480
Regra 5
481
482
483
484
485
Regra 10
486
487
488
Dvidas ??
492
Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
de balanceamento com o antigo mtodo de NTH para a V2.9
(mtodo modificado pela V3, e depois substituido pelo PCC a partir da 3.24)
493
counter: especifica qual contador utilizar. um nmero aleatrio que deve ser
escolhido de 0 a 15, devendo ser o mesmo para um grupo que se queira balancear.
packet: a regra encontra o pacote com esse nmero. Obviamente esse nmero
dever estar entre 0 e every.
495
1,2,1
497
1,2,1
498
200.200.200.1
192.168.0.0/24
Internet
200.200.100.2
200.200.100.1
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2
add address=200.200.100.2/30 network=200.200.100.0/30 broadcast=200.200.100.3 interface=wan1
499
502
503
504
505
506
507
508
Regra 1
509
Regra 2
510
511
Regra 3
512
Regra 4
513
Regra 5
514
515
516
517
518
Regra 10
519
520
521
Promovemos ento o balanceamento direcionando 1 conexo para o link1, 2 para o link2, 2 para
o link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexes.
524
ANEXO
Scripting Host e Ferramentas
Complementares do
Mikrotik
525
Scripting Host
O Mikrotik possui uma poderosa linguagem interna de Scripts
com a qual diversas aes e tarefas de manuteno podem
ser executadas a partir da ocorrencia de eventos diversos.
Os scripts podem ser executados tanto pelo agendador de
tarefas como por outras ferramentas como o monitoramento
de trfego e o netwatch.
Os comandos de configurao so comandos padro do
RouterOS e as expresses so precedidas de : a
acessveis de todos os sub-menus.
526
possvel atribuir um novo valor a uma varivel dentro do script usando o comando :set
seguido do nome da varivel sem o $ e o novo valor. Tambm pode-se eliminar uma
varivel com :unset. Nesse caso, se a varivel local, perdida e se global fica
mantida, porm inacessvel pelo script corrente.
528
Scripting Host
Inserindo os Scripts
Scripting Host
Exemplos
Faamos um script simples para monitorar o estado
de uma interface de rede ether1 a cada 10 segundos
e fazer com que seja mandado para o log qualquer
inatividade desta.
Script para monitorar:
:global estado-da-interface;
/interface ethernet monitor ether1 once do={:set
estado-da-interface $status};
:if ($status=no link) do={log message=O link
caiu!!!!};
531
Scripting Host
Exemplos
Em seguida colocamos no Agendador de Tarefas para que dispare o script
Monitora_Lan a cada 10 segundos. Equivalente na linha de comando:
/ system script
add name="Monitora_Lan" source="{:global estado-da-interface;/interface ethernet
monitor ether1 once do={:set estado-da-interface $status};:if\(\$status=no-link\) do={log
message=\"O link caiu!!!!\" }}"
/ system scheduler
add name="Monitora_Lan" on-event=Monitora_Lan start-date=jan/01/1970 starttime=00:00:00 interval=10s comment="" disabled=no
532
/ system script
add name=popula_ARP code={:foreach i in [/ip arp find dynamic=yes interface=wlan1]
do={ /ip arp add copy-from=$i }
/ system scheduler
add name=popula_ARP" on-event=Monitora_Lan start-date=jan/01/1970 starttime=00:00:00 interval=1d comment="" disabled=no
533
534
[admin@Hotspot] >
[admin@Hotspot] > /interface
[admin@Hotspot] interface> find type=ether
[admin@Hotspot] interface>
[admin@Hotspot] interface> :put [find type=ether]
*1
[admin@Hotspot] interface>
Exemplo de um comando servindo de argumento para outro:
[admin@Hotspot] interface> enable [find type=ether]
[admin@Hotspot] interface>
535
SCRIPTS - ANEXOS
Comandos e Operadores
536
Exemplos:
Exemplos:
Inverso de bits
[admin@MikroTik] interface> :put (~255.255.0.0)
0.0.255.255
[admin@MikroTik] interface>
Soma
[admin@MikroTik] interface> :put (3ms + 5s)
00:00:05.003
[admin@MikroTik] interface> :put (10.0.0.15 + 0.0.10.0)
cannot add ip address to ip address
[admin@MikroTik] interface> :put (10.0.0.15 + 10)
10.0.0.25
[admin@MikroTik] interface>
540
541
542
Get
A maior parte dos comandos print produzem valores que so acessveis a
partir dos scripts. Esses comandos print tem um correspondente comando
get no mesmo nvel de men. O comando get aceita um parametro
quando trabalhando com nmeros regulares ou dois parametros quando
trabalhando com listas
544
Scripting Host
Caracteres Especiais
# usado como comentrio. Linha ignorada
; usado para colocar mltiplos comandos em uma s linha
Caso se precise usar os caracteres especiais {}[]"'\$, como strings normais, eles
devem ser precedidos de uma barra \. Exemplo \\, significa o caracter \
\a campainha, cdigo do caracter 7
\b backspace, cdigo do caracter 8
\f alimentao de pgina, cdigo do caracter 12
\n nova linha, cdigo do caracter 10
\r enter, cdigo do caracter 13
\t tabulao, cdigo do caracter 9
\v tabulao vertical, cdigo do caracter 11
\_ espao, cdigo do caracter 32
545
mdbrasil - Host
todos direitos reservados
Scripting
Exemplos
546
549
[admin@MikroTik] system script> add name=gw_1 source={/ip route set { [/ip route find dst
0.0.0.0] gateway 10.0.0.1}
[admin@MikroTik] system script> add name=gw_2 source={/ip route set {[/ip route find dst
0.0.0.0] gateway 10.0.0.217}
[admin@MikroTik] system script> /tool netwatch
553
554
Traffic Monitor
A ferramenta traffic monitor utilizada para
executar scripts de console, sempre que o trfego
em uma dada interface ultrapasse um valor
determinado.
Parametros de configurao:
Name: Nome do tem
Interface: Interface que ser monitorada
Traffic: se trafego transmitido ou recebido
Threshold: limite em bps que dispara o gatilho
Trigger: Se o gatilho disparado quando o valor
ultrapassa o Threshold ou cai abaixo ou o somente
atinge (subindo ou descendo)
On Event: script a ser executado.
555
Traffic Monitor
Exemplo: Queremos monitorar o trfego entrante em um roteador com duas interfaces de
rede ether1 e ether2. Quando o trfego exceder 15kbps na ether1 vamos habilitar a
ether2, que ser desabilitada quando o trfego recuar para menos de 12kbps
- Primeiro vamos criar os scripts de subida e descida
556
Traffic Monitor
Agora vamos definir as aes: quando o trfego passa de 15kbps ativa a
interface, mas s quando cai abaixo de 12 kbps que desabilita
557
Traffic Monitor
Vamos conferir como ficou na linha de comando:
/ system script
Obrigado !
Edson Xavier Veloso Jr.
Srgio Souza
Wardner Maia
edson@mikrotikbrasil.com.br
sergio@mikrotikbrasil.com.br
maia@mikrotikbrasil.com.br
559