Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Modulo MTCUME
(MikroTik Certified User Manager Engineer)
Agenda
Treinamento das 08:30hs s 18:30hs
1- Introduo
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
Evite conversas paralelas.
Deixe habilitado somente a interface ethernet de
seu computador.
1- Introduo
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
O que espera desse treinamento.
1- Introduo
Objetivos do curso
Abordar todos os tpicos necessrios para o
exame de certificao MTCUME.
Prover um viso geral sobre gerncia de
usurios e tneis.
Fazer uma abordagem simples e objetiva de
como planejar e implementar tneis
criptografados com foco em segurana e
prover controle de acesso com as ferramentas
de gerncia de usurios no RouterOS
1- Introduo
Primeiros passos:
Conecte o seu laptop na Ether3 de seu roteador
Abra o winbox clique em
Clique no endereo MAC ou IP.
No campo Login coloque admin.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em New Terminal.
Com terminal aberto digite:
/system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.
1- Introduo
Diagrama da rede
Internet
IP para os roteadores
WLAN1172.25.100.GR/24
G=1 R=1
G=2 R=1
G=1 R=2
G=2 R=2
IP ETHER3
10.G.R.254
IP para os computadores:
10.G.R.1
IP para os computadores:
10.G.R.2
1- Introduo
Backup
10
Dvidas e perguntas ?
1- Introduo
11
Tunelamento
2 - Tuneis e VPN
12
Tneis EoIP
2 - Tuneis e VPN
13
Tneis EoIP
O Tnel EoIP (IP Protocol 47/GRE) um tnel de camada 2 (ISO/OSI
L2) e por isso permite a funo de Bridge dos roteadores que esto
interligados, todo o trfego passado de uma lado para o outro de
forma transparente mesmo passando pela internet.
EoIP(Ethernet over IP) um protocolo proprietrio Mikrotik para
encapsulamento de todo tipo de trfego sobre o protocolo IP.
O protocolo EoIP possibilita:
- Interligao em bridge de LANs remotas atravs da internet.
- Interligao em bridge de LANs atravs de tneis criptografados.
A interface criada pelo tnel EoIP suporta todas funcionalidades de
uma interface ethernet. Endereos IP e outros tneis podem ser
configurados na interface EoIP.
A nica exigncia do tnel EoIP que necessrio ter
conectividade fim-a-fim entre os dois sites, ou seja, no eoip
necessrio especificar o lado remoto.
2 - Tuneis e VPN
14
2 - Tuneis e VPN
15
16
17
1- Introduo
18
1- Introduo
19
1- Introduo
20
MSSS
Maximun Segment Size, tamanho mximo do segmento de dados. Um
pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel est
estabelecido deve ser fragmentado antes de envi-lo. Os pacotes de 1500
bytes, padro da interface ethernet tem problemas para passar por um
tnel ppp.
21
2 - Tuneis e VPN
22
23
24
25
2 - Tuneis e VPN
26
2 - Tuneis e VPN
27
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.
2 - Tuneis e VPN
28
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
2 - Tuneis e VPN
29
Site-to-site
2 - Tuneis e VPN
30
Conexo remota
2 - Tuneis e VPN
31
PPTP
PPTP Point-to-Point Tunneling Protocol: Protocolo de
tunelamento ponto a ponto um protocolo de
tunelamento seguro para transportar trfego IP utilizando
PPP.
O PPTP Utiliza a porta TCP 1723 e o protocolo 47/GRE
(Generic Routing Encapsulation)
O RouterOS suporta tanto servidor quanto cliente e ambos
podem funcionar simultaneamente no mesmo roteador.
Este tnel especialmente til porque tem clientes nativos
em praticamente todos os sistemas opearacionais.
Para utilizar esse tnel atravs de redes com nat
obrigatrio o uso de nat helpers, no mikrotik, os nat
helpers esto em /ip firewall services
2 - Tuneis e VPN
32
L2TP
L2TP Layer2 Tunelling Protocol: Protocolo de
tunelamento de camada 2 tem praticamente a
mesma funcionalidade que o tnel pptp
O L2TP Utiliza a porta UDP 1701 para estabelecer
o enlace e para enviar o trfego utilizando
qualquer porta UDP disponvel.
Assim como no PPPTP O RouterOS suporta tanto
servidor quanto cliente e ambos podem
funcionar simultaneamente no mesmo roteador.
O L2TP no tem problemas de atravessar redes
nateadas
2 - Tuneis e VPN
33
34
2 - Tuneis e VPN
35
36
BCP
RouterOS tem suporte BCP para todos os
tneis PPP.
BCP permite colocar em bridge pacotes
ethernet a travs de enlaces PPP
BCP uma parte indepedente do tnel PPP,
no tem relaco com a direo do trfego
IP da interface do tnel
Os procesos de bridging e routing podem
ocorrer ao mesmo tempo, de maneira
indepente
2 - Tuneis e VPN
37
Configurando um BCP
Habilitar o bcp muito simples: Criar uma
bridge, ir em ppp profiles e definir a bridge.
2 - Tuneis e VPN
38
VPN IPSEC
Proporciona uma estrutura completa segura para vpns
que atravessem a internet
normalmente utilizado para interligao de diversas
empresas, rgos pblicos sistemas de cartes de
crdito.
Assegura a confidencialidade, quer dizer, somente as
pessoas autorizadas podem ver os dados sensveis.
Adota mtodos de encriptao e controle de acesso
para isto.
Tambm conta com um mecanismo de reviso de
integridade dos dados que garante que no tenham
sido modificados por algum no autorizado.
2- Tneis e VPN
39
IPSec
Internet Procotol Security um conjunto de protocolos
definido pela IETF para garantir a troca segura de
pacotes IP/IPv6 atravs de redes no seguras
(Internet). opcional no IPV4 e no IPV6.
IPSec se pode dividir nos seguintes grupos:
Autentication Header (AH) - RFC 4302 para
integridade e autenticao
Encapsulating Security Payload (ESP) - RFC 4303 para
confidencialidade
Internet Key Exchange (IKE) utilizado para a
criao e distribuio dinmica de chaves de
criptografia para AH e ESP.
2- Tneis e VPN
40
Dois routers remotos esto conectados a internet e as redes locais dos escritrios esto
NATeadas. Cada escritrio tem sua prpria subnet, 10.1.202.0/24 para o Office1
E 10.1.101.0/24 for Office2 Ambos escritrios remotos tem um tnel seguro para as redes
Locais entre os routers.
2- Tneis e VPN
41
42
2- Tneis e VPN
43
Algoritmos de Autenticao/Encriptao
O RouterOS suporta os seguintes algortimos de autenticao:
- SHA
- MD5
O RouterOS suporta os seguintes algortimos de encriptao:
DES 56 bits DES-CBC;
3DES 168 bits DES;
AES 128, 192 e 256 bits;
Blowfish;
Twofish;
Camelia 128, 192 e 256 bits.
2- Tneis e VPN
44
45
46
47
2- Tneis e VPN
48
Diffie-Hellman Groups
DH um protocolo de troca de chaves, que cria uma
conexo segura entre duas partes sem uma chave
previamente compartilhada.
Grupos DH suportados:
Group 1: 768 bit MODP
Group 2: 1024 bits MODP
Group 3: EC2N group on GP(2^155)
Group 4: EC2N group on GP(2^185)
Group 5: 1536 bits MODP
2- Tneis e VPN
49
Configurao inicial
Para forar que o o IPSec funcione automaticamente
utilizando o IKE-ISAKMP se deve configurar:
Policy
Peer
Proposal
Importante: IPSec muito sensvel s mudanas de horario.
Se ambos os lados do tnel IPsec no estiverem com
sincronizao de tempo inigualvel, o tnel deve ser
estabelecida novamente. Para tal deve-se utilizar NTP.
2- Tneis e VPN
50
2- Tneis e VPN
51
Configurao do Proposal
muito importante que a autenticao e o algortmo de
encriptao proposto seja o mesmo em ambos os lados
/ip ipsec proposal
add name=ipseclab auth-algorithms=sha1 enc-algorithms=3des
lifetime=30m pfs-group=modp1024
2- Tneis e VPN
52
53
NAT Bypass
Neste ponto, se voc tentar estabelecer um tnel IPSec, no vai
funcionar, todos os pacotes sero recusados.
Isto devido a ambos os roteadores terem regras de NAT
configuradas que alteram o endereo de origem dos pacotes
depois que os pacotes foram criptografados.
O roteador remoto receber os pacotes criptografados, mas no
ser capaz de descencripta-los porque o endereo de origem
no o mesmo que foi estabelecido na poltica.
2- Tneis e VPN
54
55
Laboratrio de IPSec
Restaurar o backup inicial, se necessrio
Formar grupos de 2 pessoas
Criar uma VPN IPSec entre suas redes locais baseado nos exemplos
dos slides anteriores.
2- Tneis e VPN
56
2- Tneis e VPN
57
Perguntas ?
2 - Tuneis e VPN
58
59
60
3 Gerencia de usurios
61
1- Introduo
62
3 Gerencia de usurios
63
3 Gerencia de usurios
64
65
3 Gerencia de usurios
66
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. At o momento no possumos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opo One Session Per Host permite
somente uma sesso por host(MAC Address). Por fim, Max Sessions define o nmero
mximo de sesses que o concentrador suportar.
3 Gerencia de usurios
67
68
HotSpot
Geralmente usado em rea pblica como hotis,
aeroportos, shoppings, universidades, etc...
Acesso controlado a uma rede qualquer, com ou sem
fio,
Autenticao baseada em nome de usurio e senha.
Com HotSpot, um usurio que tente navegao pela
WEB arremetido para uma pgina do HotSpot que
pede suas credencias, normalmente usurio e senha.
3 - Hotspot
69
HotSpot
Geralmente usado em rea pblica como hotis,
aeroportos, shoppings, universidades, etc...
Acesso controlado a uma rede qualquer, com ou sem
fio,
Autenticao baseada em nome de usurio e senha.
Com HotSpot, um usurio que tente navegao pela
WEB arremetido para uma pgina do HotSpot que
pede suas credencias, normalmente usurio e senha.
3 - Hotspot
70
Estrutura do Hotspot
Servidor de hotspot (Servers)
Usurios (Users)
71
HotSpot
3 - Hotspot
72
HotSpot
Apesar de ter sido bem simples a criao do
Hotspot o RouterOS criou algumas regras
necessrias para o funcionamento.
3 - Hotspot
73
3 - Hotspot
74
3 - Hotspot
75
HTTPS: Usa tnel SSL criptogrfado. Para que este mtodo funcione,
um certificado vlido deve ser importado para o roteador.
3 - Hotspot
76
Hotspot - Radius
Remote Authentication Dial In User Service (RADIUS) um
protocolo de rede que prov de forma centralizada
autenticao, autorizao e contabilizao(Accounting em
ingls).
Autenticao
Roteador de borda
Internet
Roteadores buscando
autenticao no Radius
Servidor Radius 172.31.31.2
3 - Hotspot
77
3 - Hotspot
78
3 - Hotspot
79
80
3 - Hotspot
81
82
3 - Hotspot
83
84
HotSpot Usurios
3 - Hotspot
85
HotSpot Usurios
Server: all para todos hotspots ou para um especfico.
Name: Nome do usurio. Se o modo Trial estiver ativado
o hotspot colocar automaticamente o nome TMAC_
Address. No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereo IP caso queira vincular esse usurio
a um endereo fixo.
MAC Address: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades.
Routes: Rotas que sero adicionadas ao cliente quando
se conectar. Sintaxe: Endereo destino gateway
mtrica. Vrias rotas separadas por vrgula podem ser
adicionadas.
3 - Hotspot
86
HotSpot Usurios
Limit Uptime: Limite mximo de
tempo de conexo para o usurio.
Limit Bytes In: Limite mximo de
upload para o usurio.
Limit Bytes Out: Limite mximo de
download para o usurio.
Limit Bytes Total: Limite mximo
considerando o download + upload.
Na aba das estatsticas possvel
acompanhar a utilizao desses
limites.
3 - Hotspot
87
HotSpot Active
Mostra dados gerais e estatsticas de cada usurio conectado.
3 - Hotspot
88
89
HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que
uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.
possvel tambm fazer tradues NAT estticas com base no
IP original, ou IP da rede ou MAC do cliente. possvel
tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede
inicialmente.
Tambm possvel fazer bloqueio de endereos.
3 - Hotspot
90
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o original deve ser
traduzido.
Server: Servidor hotspot o qual a regra ser aplicada.
Type: Tipo do Binding.
- Regular: faz traduo regular 1:1
- Bypassed: faz traduo mas
dispensa o cliente de logar no
hotspot.
- Blocked: a traduo no ser feita e
todos os pacotes sero bloqueados.
3 - Hotspot
91
3 - Hotspot
92
93
94
3 - Hotspot
95
HotSpot Cookies
Quando configurado o login por cookies, estes
ficam armazenados no hotspot com nome do
usurio, MAC e tempo de validade.
Enquanto estiverem vlidos o usurio no precisa
efetuar o procedimento de login e senha.
Podem ser deletados (-) forando assim o usurio
a fazer o login novamente.
3 - Hotspot
96
HotSpot Ports
A facilidade NAT do hotspot causa problemas
com alguns protocolos incompatveis com NAT.
Para que esses protocolos funcionem de forma
consistente, devem ser usados os mdulos
helpers.
97
Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm disso possvel
criar conjuntos completamente diferentes das pginas do hotspot para vrios
perfis de usurios especificando diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina
especifica.
login.html pgina de login que pede usurio e senha ao
cliente.
Esta pgina tem os seguintes parmetros:
Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que ser aberta aps a
autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com sucesso.
3 - Hotspot
98
Login Oculto
No ser requerido o usurio
e senha
til para enviar avisos aos
usurios ou enviar alguma
informao de esclarecimento
antes de continuar usando o
servio.
Forma simples de colocar
compartilhamento de
usurios.
3 - Hotspot
99
Login Oculto
Baixar o arquivo login.html de seu roteador
Abrir o arquivo com algum editor de texto
Modificar as seguintes linhas:
<input type=text value=$(username)>
<td><input style="width: 80px"
name="username" type="hidden"
value=usuarioXY"/></td>
<input type=password>
<td><input style="width: 80px"
name="password" type="hidden"
value=senha"/></td>
3 - Hotspot
100
3 - Hotspot
101
User Manager
Aplicao integrada no RouterOS que prov
um servidor Radius.
Pode ser utilizado para administrar:
Usurios do Hotspot
Usurios do PPP
Perfis Wireless
Usurios do Winbox
Leases do DHCP
4 USER MANAGER
102
103
Instalao - Hardware
As configuraes mnimas de hardware so:
32MB de memria RAM
2MB de espao em disco
Atualmente o USERMANAGER pode ser
instalado em praticamente todas as
RouterBoards, a nica excesso os
equipamentos com processadores smips (hap) e
compatvel com Plataformas X86
4 USER MANAGER
104
Instalao - SoftWare
Est disponvel a partir da verso 2.9-v5
No pertence ao conjunto de pacotes padro do
sistema, ou seja no est comprimido no upgrade
package (.npk) por tanto deve ser feito o download
pela opo all package e instalado de maneira
separada
As limitaes do software so conforme as licenas:
Level3: 10 Sesses ativas
Level4: 20 Sesses ativas
Level5: 50 Sesses ativas
Level6: Ilimitadas Sesses ativas
4 USER MANAGER
105
106
Primeiro Acesso
Pode ser tanto pelo terminal, no menu
/tool user-manager
Quanto via web,
Customer o usurio
Administrador do sistema,
que no tem relao com o
usurio Admin do router.
Por padro usurio
Admin, senha em branco
4 USER MANAGER
107
Customers
Utilizado para Administrar: Usurios, Routers, Etc.
possvel criar nveis
de hierarquia
Cada CUSTOMER tem um
nvel de permisso igual
ou inferior a de seu pai.
Um CUSTOMER com
permisso de OWER
chamado SUBSCRIBER
4 USER MANAGER
108
Configurando no Hotspot
Habilitar a opo Use RADUS no hotspot
server profile
O hotspot consulta primeiro
a base de dados local, criada
em /ip hotspot users, e em
seguida consulta do servidor
radius.
No nosso cenrio o servidor
radius ser o User Manager
4 USER MANAGER
109
Routers
Contm a lista de routers que podem comunicar com
User Manager
Utilize o endereo de loopback
(127.0.0.1) para se comunicar
com o servidor radius do user
manager instalado no mesmo
roteador
Defina uma senha chave em
shared Secret
4 USER MANAGER
110
Cliente Radius
Configure aqui todos os clientes Radius
que deseje
posivel ter mais de uma configurao,
isto comumente usado para especificar
servios diferentes em bases de dados
distintas.
Em service, especifique o servio que
deseja usar.
Coloque o IP 127.0.0.1 e coloque o shared
secret criado anteriormente.
No caso de configurar 2 ou mais
servidores para o mesmo servio, o router
respeitar a ordem numrica.
4 USER MANAGER
111
Users
Este menu armazana os usurios de
4 USER MANAGER
112
Users
Administra os usurios que
utilizaro os servios
especificados.
possvel verificar atravs do
console /tool usermanager user
Equivale, por exemplo a um
usurio configurado em /ip
hotspot user
possvel especificar usurio,
senha, endereo ip e
informaes pessois.
Como tambm o perfil a atribuir,
e informaes a respeito da
acess list wireless.
4 USER MANAGER
113
Profiles
Os perfis so
associados aos usurios
criados.
Porm no so
obrigatrios para
criao de usurios.
Podemos usar a opo
limites para
estabelecer as
restries, por exemplo
ip, pool, controle de
banda, tempo.
4 USER MANAGER
114
4 USER MANAGER
115
116
Storage
No menu /system store
possvel manipular os
discos de
armazenamento do
UserManager
Isto uma boa prtica
porque possvel gerar
uma grande quantidade
de usurios e logs,
porque pode lotar o disco
principal do sistema.
4 USER MANAGER
117
Radius Incoming
Permite alterar as opes de usurios em tempo real para o
user manager.
Por exemplo:
Alterar a velocidade
dos usurios
Desconectar usurios
Estabelecer limites de
transferncias, etc..
4 USER MANAGER
118
Backup/Restore
Este menu utilizado para realizar backups e
restores da base de dados
4 USER MANAGER
119