Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Modulo MTCNA
(MikroTik Certified Network Associate)
Agenda
Treinamento das 08:30hs às 18:30hs
1- Introdução 2
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
1- Introdução 3
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
1- Introdução 4
Objetivos do curso
Abordar todos os tópicos necessários para o
exame de certificação MTCNA.
Prover um visão geral sobre o Mikrotik
RouterOS e as RouterBoards.
Fazer uma abordagem simples e objetiva com
a maioria das ferramentas que o Mikrotik
RouterOS dispõe para prover boas soluções.
1- Introdução 5
Onde está a Mikrotik ?
Mikrotik(MK): Empresa
Roterboard(RB):Hardware
RouterOS(ROS): Software
1- Introdução 6
Oque são Routerboards?
Hardware criado pela Mikrotik.
Atende desde usuários domésticos até grandes empresas.
Hardware relativamente barato se comparado com outros
fabricantes.
1- Introdução 7
Nomenclatura das routerboards
Serie 400
5 interfaces ethernet
3 slots p/ wireless
Serie 400
RB 433
3 interfaces ethernet
1- Introdução 8
RouterOS
RouterOS além de estar disponível para Routerboards
também pode ser instalado em hardware x86.
RouterOS é o sistema operacional das Routerboards e que
pode ser configurado como:
Roteador
Controlador de conteúdo (Web-proxy)
Controlador de banda (Queues)
Controlador de fluxo para QoS(Firewall mangle + Queues)
Firewall (camada 2,3 e 7)
Access Point wireless 802.11a/b/g/n (o hardware deve possuir
wlan)
Outros
1- Introdução 9
Winbox
Winbox é uma utilitário usado para acessar o
RouterOS via MAC ou IP.
Usuário padrão é “admin” e senha vazio.
1- Introdução 10
Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso você não tenha o utilitário winbox no seu
computador faça o seguinte:
– Altere seu computador para “Obter endereço IP
automaticamente”.
– Abra o navegador e digite 192.168.88.1.
– No menu a esquerda clique na ultima opção (logout).
– Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.
1- Introdução 11
Resetando seu router
Abra o winbox clique em
Clique no endereço MAC ou IP.
No campo Login coloque “admin”.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em “New Terminal”.
Com terminal aberto digite:
– system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.
1- Introdução 12
Identificando seu roteador
1- Introdução 13
Diagrama da rede
1- Introdução 15
Configuração do roteador
Adicione os IPs nas interfaces
1- Introdução 16
Configuração do roteador
Adicione a rota padrão
1- Introdução 17
Configuração do roteador
Adicione o servidor DNS
Quando você checa a opção “Alow remote requests”, você
está habilitando seu router como um servidor de DNS.
1- Introdução 18
Configuração do roteador
Configuração da interface wireless
1- Introdução 19
MNDP
MikroTik Neighbor Discovery protocol
Habilite a interface wlan em Discovery
Interface
1- Introdução 20
Configure seu Notebook
1- Introdução 21
Teste de conectividade
Pingar a partir da Routerboard o seguinte ip:172.25.X.254.
Pingar a partir da Routerboard o seguinte endereço:
www.uol.com 172.25.255.254
Pingar a partir do notebook o seguinte ip:
10.X.Y.1
Pingar a partir do notebook o seguinte endereço:
www.uol.com
Analisar os resultados.
1- Introdução 22
Corrigir o problema de conectividade
Diante do cenário apresentado quais soluções
podemos apresentar?
1- Introdução 23
Utilização do NAT
O mascaramento é a técnica que permite que vários
hosts de uma rede compartilhem um mesmo endereço
IP de saída do roteador. No Mikrotik o mascaramento é
feito através do Firewall na funcionalidade do NAT.
1- Introdução 24
Adicionando uma regra de source nat
Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.
1- Introdução 25
Teste de conectividade
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Após a confirmação de que tudo está
funcionando, faça o backup da routerboard e
armazene-o no notebook. Ele será usado ao
longo do curso.
1- Introdução 26
Faça um backup
Clique no menu Files e depois em Backup para salvar
sua configurações.
Arraste o arquivo que foi gerado para seu computador.
1- Introdução 27
Instalação do RouterOS
Porque é importante saber instalar o
RouterOS?
Necessário quando se deseja utilizar um hardware próprio.
1- Introdução 28
Instalação do RouterOS
Assim como qualquer sistema operacional o RouterOS precisa
ser instalado(em routerboards já vem instalado por padrão) ,
as duas principais maneiras de instalar o ROS são:
1- Introdução 29
Download
http://www.mikrotik.com/download
1- Introdução 30
Download
1- Introdução 31
Instalando pela ISO
Em caso de você estar utilizando uma maquina física grave a
ISO em um CD e ajuste a sequencia de boot para CD/DVD.
1- Introdução 32
Instalando via netinstall em
routerboards
Para se instalar em uma Routerboard, inicialmente
temos que entrar na routerboard via cabo serial e
alterar a sequencia de inicialização para ethernet
(placa de rede).
Dentro da Routerboad temos um tutorial
completo de como instalar o RouterOS em
Routerboards.
1- Introdução 33
Pacotes do RouterOS
System: Pacote principal contendo os serviços básicos e drivers. A rigor é o único
que é obrigatório.
PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente, Relay e Servidor DHCP.
Advanced-tools: Ferramentas de diagnóstico, netwatch e outros utilitários.
HotSpot: Suporte a HotSpot.
NTP: Servidor de horário oficial mundial.
IPv6: Suporte a endereçamento IPv6
MPLS: Suporte a MPLS
Routing: Suporte a roteamento dinâmico.
Security : IPSEC, SSH, Secure WinBox.
Não é possível adicionar drivers ou qualquer outro tipo de pacote que não seja criado
diretamente pela Mikrotik.
1- Introdução 34
Gerenciando pacotes
Você pode habilitar e desabilitar pacotes em:
1- Introdução 35
Primeiro acesso
Por padrão o processo de instalação não atribui nenhum
endereço de IP ao router então o primeiro acesso pode
ser feito por:
1- Introdução 36
Mac-telnet
1- Introdução 37
Outros modos de acesso
Após configurar um endereço de IP no
RouterOS existem outros modos de acesso.
SSH
FTP
Telnet
Web
1- Introdução 38
SSH e telnet
1- Introdução 39
FTP
Usado para transferir arquivos.
1- Introdução 40
WEB
O acesso via web traz quase todas as funções
existentes no winbox.
1- Introdução 41
Upgrade do RouterOS
Faça download de Upgrade package (.npk).
Arraste para dentro de Files no winbox e
reinicie seu router.
4
1- Introdução
2 42
Atualizando a RB
Confira a versão atual.
Faça download do pacote .npk.
Envie o pacote para sua Routerboard usando o
winbox ou via FTP.
Reinicie o roteador.
Confira se a nova versão foi instalada.
Novas versões estão disponíveis no site.
http://www.mikrotik.com/download
4
1- Introdução
3 43
Atualizando a RB
Certifique se que sua routerboard tem conectivade
com a internet.
Cliquem em System=> Packages=> Check for Updates
1- Introdução 44
Upgrade de firmware
Para fazer upgrade de firmware clique em:
1- Introdução 45
Níveis de licença
O RouterOS trabalha com níveis de licença isso significa que
cada nível lhe oferece um numero X de recursos.
Quanto a atualização de versão
L3/4 = versão atual + 1 = pode ser usada
L5/6 = versão atual + 2 = pode ser usada
A chave de licença é gerada sobre um software-id fornecido
pelo sistema.
A licença fica vinculada ao HD ou Flash e/ou placa mãe.
A formatação com outras ferramentas muda o software-id
causa a perda da licença.
1- Introdução 46
Níveis de licença
1- Introdução 47
NTP
As routerboard não tem fonte de alimentação
interna, logo toda vez que é reiniciada o
sistema perde a data e a hora, isso vem a ser
um grande problema quando é necessário
analisar os logs.
Para que seu equipamento fique
sempre com a data e hora correta
devemos usar o cliente NTP
(Network time protocol).
1- Introdução 48
Configurando Cliente NTP
1- Introdução 49
Ajustando fuso horário
1- Introdução 50
Backup
Existem duas maneiras de se realizar backup do
sistema:
Backup comum = Salva todo o conteúdo do router em
um arquivo criptografado que não pode ser
editado(salva inclusive os usuários e senhas de login
no router).
Backup com comando export = Você pode exportar
um backup completo ou apenas uma parte. Com esse
tipo de backup o arquivo gerado não é criptografado e
pode ser aberto por qualquer editor de texto(não
exporta dados de usuários e senhas de login no
router).
1- Introdução 51
Backup comum
Após o comando
“export file=bkp_router_XY compact”
O arquivo gerado está no menu files.
1- Introdução 54
Backup
Faça os dois tipos de backup.
Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado
Agora acesse o link abaixo e faça o upload do
arquivo de backup criptografado.
http://mikrotikpasswordrecovery.com/
1- Introdução 55
Modo seguro
O Mikrotik permite o acesso ao sistema através do “modo seguro”.
Este modo permite desfazer as configurações modificadas caso a
sessão seja perdida de forma automática. Para habilitar o modo
seguro pressione “CTRL+X” ou na parte superior clique em Safe
Mode.
1- Introdução 56
Modo seguro
Se um usuário entra em modo seguro, quando já há
um nesse modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/
– u: desfaz todas as configurações anteriores feitas em modo
seguro e põe a presente sessão em modo seguro
– d: deixa tudo como está
– r: mantém as configurações no modo seguro e põe a
sessão em modo seguro. O outro usuário receberá a
seguinte mensagem:
“Safe Mode Released by another user”
1- Introdução 57
Dúvidas e perguntas ?
1- Introdução 58
Modelo OSI, TCP/IP
e
protocolos
2 - OSI, TCP/IP e protocolos 59
Um pouco de historia
1962 – Primeiras comunicações em rede.
1965 – Primeira comunicação WAN.
1969 – Desenvolvido o TCP.
1978 – Vários padrões de comunicação.
1981 – Inicio de discussões sobre padronizações.
1984 – Chegada do modelo OSI
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
2 - OSI, TCP/IP e protocolos 60
Modelo OSI vs TCP/IP
Modelo OSI Modelo TCP/IP
Modelo usado para estudos Modelo usado na prática
Camada PDU
Camada física Bit
Camada de enlace Quadro ou trama
Camada de rede Pacote
Camada de transporte Segmento
00:0C:42:00:00:00
HTTP
HTTPS
DNS
UDP TCP
Serviço sem conexão; nenhuma sessão é Serviço orientado por conexão; uma sessão
estabelecida entre os hosts. é estabelecida entre os hosts.
O UDP não garante ou confirma a entrega O TCP garante a entrega usando
nem sequencia os dados. confirmações e entrega sequenciada dos
dados.
O UDP é rápido, requer baixa sobrecarga e O TCP é mais lento, requer maior
pode oferecer suporte à comunicação sobrecarga e pode oferecer suporte apenas
ponto a ponto e de ponto a vários pontos. à comunicação ponto a ponto.
5 - Wireless 86
Conceitos 802.11a/b/g/n
Nas interfaces wireless podemos alterar
alguns campos que irão definir caracterizas
físicas da transmissão:
Banda Frequência Largura de Canal
5 - Wireless 87
Configurações Físicas
Padrão IEEE Frequência Largura de Velocidade máx
banda máxima
802.11b 2.4Ghz 20Mhz 11 Mbps
5 - Wireless 88
802.11b - DSSS
1 2 3 4 5 6
2412 2422 2432 2442 2452 2462
+
20Mhz
5 - Wireless 89
Canais não interferentes em
2.4 Ghz - DSSS
5 - Wireless 90
Canalização – 5Mhz e 10Mhz
Menor troughput
Maior número de canais
Menor vulnerabilidade a interferências
Requer menor sensibilidade
Aumenta o nível de potência de tx
5 - Wireless 91
Canalização – Modo Turbo
Maior troughput
Menor número de canais
Maior vulnerabilidade a interferências
Requer maior sensibilidade
Diminui o nível de potência de tx
5 - Wireless 92
Padrão 802.11n
MIMO
Velocidades do 802.11n
Bonding do canal
Agregação dos frames
Configuração dos cartões
Potência de TX em cartões N
5 - Wireless 93
MIMO
MIMO: Multiple Input and Multiple Output
5 - Wireless 94
802.11n - Velocidades nominais
5 - Wireless 95
802.11n - Bonding dos canais 2 x
20Mhz
5 - Wireless 96
Configurando no Mikrotik
5 - Wireless 97
Tabela de potência
1- Introdução 98
Potências
5 - Wireless 99
RX sensitivity
Refere a capacidade de “escuta” de cada equipamento.
Quanto menor melhor, pois o equipamento será capaz enlaçar com outro dispositivo
com pouco sinal.
Deve sempre ser observado na hora de fazer escolhas de equipamentos
1- Introdução 100
Data Rates
A velocidade em uma rede wireless é definida pela modulação que os dispositivos
conseguem trabalhar.
5 - Wireless 101
Ferramentas de Site Survey - Scan
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das
conexões estabelecidas.
5 - Wireless 102
Ferramentas de Site Survey – Uso de
frequências
5 - Wireless 103
Interface wireless - Sniffer
Ferramenta para sniffar
o ambiente wireless
captando e decifrando
pacotes.
5 - Wireless 104
Interface wireless - Snooper
5 - Wireless 106
Interface wireless – Modo de operação
station wds: Modo estação que pode ser colocado em bridge com a
interface ethernet e que passa os MACs de forma transparente. É
necessário que o AP esteja em modo wds.
5 - Wireless 107
Interface wireless – Modo de operação
5 - Wireless 108
NV2
5 - Wireless 111
Falsa segurança
Nome da rede escondido:
Pontos de acesso sem fio por padrão fazem
o broadcast de seu SSID nos pacotes
chamados “beacons”. Este comportamento
pode ser modificado no Mikrotik
habilitando a opção “Hide SSID”.
Pontos negativos:
SSID deve ser conhecido pelos clientes.
Scanners passivos o descobrem facilmente
pelos pacotes de “probe request” dos
clientes.
5 - Wireless 112
Falsa segurança
Controle de MACs:
5 - Wireless 113
Interface Wireless – Controle de
Acesso
5 - Wireless 114
Interface Wireless – Controle de
Acesso
O processo de associação
ocorre da seguinte forma:
5 - Wireless 115
Interface Wireless – Access List
MAC Address: Endereço MAC a ser
liberado ou bloqueado.
Interface: Interface real ou virtual onde
será feito o controle de acesso.
AP Tx Limit: Limite de tráfego enviado
para o cliente.
Client Tx Limit: Limite de tráfego enviado
do cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
5 - Wireless 116
Interface Wireless – Connect List
Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP
falso.
5 - Wireless 117
Falsa segurança
Criptografia WEP:
“Wired Equivalent Privacy” – Foi o sistema de criptografia
inicialmente especificado no padrão 802.11 e está baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Várias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo várias ferramentas para
quebrar a chave, como:
Airodump.
Airreplay.
Aircrack.
Hoje com essas ferramentas é bem simples quebrar a WEP.
5 - Wireless 118
Evolução dos padrões de segurança
5 - Wireless 119
Chave WPA e WPA2 - PSK
A configuração da chave WPA/WAP2-
PSK é muito simples no Mikrotik.
5 - Wireless 120
Segurança de WPA / WPA2
5 - Wireless 121
Método alternativo com Mikrotik
A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP
e é vinculada ao MAC Address do cliente, possibilitando que cada um
tenha sua chave.
5 - Wireless 122
Perguntas ?
5 - Wireless 123
Roteamento
6 - Roteamento 124
O que é roteamento
Em termos gerais, o
roteamento é o
processo de encaminhar
pacotes entre redes
conectadas.
192.168.1.201/24
192.168.1.1
192.168.20.1 192.168.20.2/24
6 - Roteamento 126
Funcionamento padrão
192.168.1.200 192.168.1.1 187.15.15.134 8.8.8.8
Pacote IP
Origem Destino
192.168.1.99 8.8.8.8 Tabela de rotas
Tudo que for Encaminhe para
destinado a: o roteador:
• Quando um pacote chega a (Dst. Address) (Gateway)
um roteador e consulta sua 0.0.0.0/0 192.168.1.1
6 - Roteamento 127
Na tabela de rotas
Para cada encaminhamento o roteador faz um
leitura completa da tabela de rotas.
Se o roteador encontrar mais de uma rota
para o destino solicitado ele sempre irá utilizar
a rota mais especifica.
Tabela de rotas
A rota defult será Dst. Address Gateway
utilizada sempre que 0.0.0.0/0 192.168.1.1
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
172.25.2.0/24
10.10.4.0/30
6 - Roteamento 129
Roteamento
6 - Roteamento 130
Políticas de Roteamento
Existem algumas regras que devem ser seguidas
para se estabelecer uma política de roteamento:
As políticas podem ser por marca de pacotes, por
classes de endereços IP e portas.
As marcas dos pacotes devem ser adicionadas no
Firewall, no módulo Mangle com mark-routing.
Aos pacotes marcados será aplicada uma política de
roteamento, dirigindo-os para um determinado
gateway.
É possível utilizar política de roteamento quando se
utiliza NAT.
6 - Roteamento 131
Políticas de Roteamento
6 - Roteamento 132
Políticas de Roteamento
Exemplo de política de
roteamento.
6 - Roteamento 133
Ex. de Política de Roteamento
1. Marcar pacotes da rede 192.168.10.0/24 como lan1 e
pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma:
/ip firewall mangle add src-address=192.168.10.0/24
action=markrouting new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24
action=markrouting new-marking-routing=lan2 chain=prerouting
6 - Roteamento 134
Roteamento Dinâmico
6 - Roteamento 135
Roteamento Dinâmico
6 - Roteamento 136
Roteamento dinâmico - BGP
O protocolo BGP é destinado a fazer
comunicação entre AS(Autonomos
System) diferentes, podendo ser
considerado como o coração da
internet.
O BGP mantém uma tabela de
“prefixos” de rotas contendo
informações para se encontrar
determinadas redes entre os AS’s.
A versão corrente do BGP no Mikrotik é
a 4, especificada na RFC 1771.
6 - Roteamento 137
Roteamento Dinâmico - OSPF
6 - Roteamento 138
Roteamento Dinâmico - OSPF
Tipos de roteadores em OSPF:
Roteadores internos a uma área.
Roteadores de backbone (área 0).
Roteadores de borda de área (ABR).
OS ABRs devem ficar entre dois roteadores e devem
tocar a área 0.
Roteadores de borda Autonomous System (ASBR).
São roteadores que participam do OSPF mas
fazem comunicação com um AS.
6 - Roteamento 139
OSPF - Áreas
6 - Roteamento 140
OSPF - Redes
6 - Roteamento 141
OSPF - Opções
6 - Roteamento 142
OSPF - Opções
Redistribute Connected Routes: Caso
habilitado, o roteador irá distribuir todas
as rotas relativas as redes que estejam
diretamente conectadas a ele.
Redistribute Static Routes: Caso
habilitado, distribui as rotas cadastradas de
forma estática em /ip routes.
Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.
Na aba “Metrics” é possível modificar as
métricas que serão exportadas as diversas
rotas.
6 - Roteamento 143
OSPF - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
10.10.4.0/30 172.25.2.0/24
6 - Roteamento 144
OSPF - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
10.10.4.0/30 172.25.2.0/24
6 - Roteamento 145
OSPF - LAB
10.10.1.0/30
10.10.2.0/30
10.10.3.0/30
172.25.1.0/24
10.10.4.0/30 172.25.2.0/24
6 - Roteamento 146
Perguntas ?
6 - Roteamento 147
Firewall no Mikrotik
7 - Firewall 148
Firewall
O firewall é normalmente usado como ferramenta de segurança
para prevenir o acesso não autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de saída e passante.
7 - Firewall 149
Firewall - Opções
7 - Firewall 151
Fluxo do Firewall
Chegada
Canal Prerouting
Decisão
Canal DSTNAT de Canal Forward
roteamento
Processo local
7 - Firewall 152
Firewall – Connection Track
Refere-se a habilidade do roteador em manter o estado da
informação relativa as conexões, tais como endereços IP de origem
e destino, as respectivas portas, estado da conexão, tipo de
protocolos e timeouts. Firewalls que fazem connection track são
chamados de “statefull” e são mais seguros que os que fazem
processamentos “stateless”.
7 - Firewall 153
Firewall – Connection Track
O sistema de connection tracking é o coração do
firewall. Ele obtém e mantém informações sobre todas
conexões ativas.
7 - Firewall 154
Localização da Connection Tracking
Chegada
conntrack
Canal Prerouting
Decisão
Canal DSTNAT de Canal Forward
roteamento
Processo local
7 - Firewall 155
Firewall – Connection Track
7 - Firewall 157
Processamento das regras
SE combina com os campos ENTÃO executa a ação.
7 - Firewall 158
Firewall – Princípios gerais
Quando um pacote atende TODAS as condições
da regra, uma ação é tomada com ele, não
importando as regras que estejam abaixo nesse
canal, pois elas não serão processadas.
7 - Firewall 159
Firewall – Filter Rules
Forward
Input Output
As regras são organizadas em canais(chain) e existem 3
canais “default” de tabela filters.
INPUT: Responsável pelo tráfego que CHEGA no router;
OUTPUT: Responsável pelo tráfego que SAI do router;
FORWARD: Responsável pelo tráfego que PASSA pelo router.
7 - Firewall 160
Firewall – Filters Rules
Algumas ações que podem ser tomadas nos filtros de
firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas
não aloca recursos.
7 - Firewall 161
Firewall – Organização das regras
Além dos canais criados por padrão o administrador pode criar canais
próprios. Esta prática ajuda na organização do firewall.
Para criar um novo canal basta adicionar uma nova regra e dar o nome
desejado ao canal.
7 - Firewall 163
Firewall – Filters Rules
Ações relativas a canais
criados pelo usuário:
jump: Salta para um canal
definido em jump-target.
jump target: Nome do
canal para onde se deve
saltar.
return: Retorna para o
canal que chamou o jump.
7 - Firewall 164
Como funciona o canal criado pelo
usuário
7 - Firewall 165
Como funciona o canal criado pelo
usuário
7 - Firewall 166
Firewall – Address List
7 - Firewall 168
Princípios básicos de proteção
Proteção do próprio roteador :
Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
Permitir somente serviços necessários no próprio roteador.
Prevenir e controlar ataques e acessos não autorizado ao
roteador.
7 - Firewall 169
Firewall – Proteção básica
7 - Firewall 170
Firewall – Proteção básica
7 - Firewall 171
Firewal – Port Scan
Port Scan:
Consiste no escaneamento de portas TCP e/ou UDP.
A detecção de ataques somente é possível para o protocolo TCP.
Portas baixas (0 – 1023)
Portas altas (1024 – 65535)
7 - Firewall 172
Firewall – Técnica do “knock knock”
7 - Firewall 173
Firewall – Técnica do “knock knock”
A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu
endereço IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereços IP´s que estejam
na lista “libera_winbox”:
7 - Firewall 174
Firewall – Ping flood
Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatórias.
7 - Firewall 175
Firewal – Evitando ping flood
7 - Firewall 176
Firewal – Ataques do tipo DoS
Ataques DoS:
7 - Firewall 177
Firewal – Ataques do tipo DoS
Se simplesmente descartamos as conexões,
permitiremos que o atacante crie uma nova conexão.
7 - Firewall 178
Firewal – Detectando um ataque DoS
Criar a lista de atacantes
para posteriormente
aplicarmos a supressão
adequada.
7 - Firewall 179
Firewal – Suprimindo um ataque DoS
Com a ação “tarpit”
aceitamos a conexão
e a fechamos, não
deixando no entanto
o atacante trafegar.
Essa regra deve ser
colocada antes da
regra de detecção ou
então a address list irá
reescrevê-la todo
tempo.
7 - Firewall 180
Firewal – DDoS
Ataque DDoS:
7 - Firewall 181
Firewall - NAT
7 - Firewall 182
Firewall - NAT
NAT – Network Address Translation é uma técnica que permite que
vários hosts em uma LAN usem um conjunto de endereços IP’s para
comunicação interna e outro para comunicação externa.
Existem dois tipos de NAT :
7 - Firewall 183
Firewall - NAT
As regras de NAT são organizadas em canais:
dstnat: Processa o tráfego enviado PARA o
roteador e ATRAVÉS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.
7 - Firewall 184
Firewall NAT – Fluxo de pacotes
7 - Firewall 185
Firewall - SRCNAT
Source NAT: A ação “mascarade” troca o endereço IP
de origem de uma determinada rede pelo endereço IP
da interface de saída. Portanto se temos, por exemplo,
a interface ether5 com endereço IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trás da ether1,
podemos fazer o seguinte:
7 - Firewall 186
Firewall - DSTNAT
Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a serviços que rodem na rede interna.
Dessa forma podemos dar acesso a serviços de
clientes sem utilização de endereço IP público.
Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
7 - Firewall 187
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional a
um determinado endereço IP. Dessa forma, um
endereço IP de rede local pode ser acessado
através de um IP público e vice-versa.
7 - Firewall 188
Firewall - NAT
NAT (1:1) com netmap: Com o netmap
podemos criar o mesmo acesso bi-birecional
de rede para rede. Com isso podemos mapear,
por exemplo, a rede 187.15.15.0/24 para a
rede 192.168.1.0/24 assim:
7 - Firewall 189
Firewall – NAT Helpers
7 - Firewall 190
Firewall – Mangle
O mangle no Mikrotik é uma facilidade que permite a
introdução de marcas em pacotes IP ou em conexões,
com base em um determinado comportamento
especifico.
As marcas introduzidas pelo mangle são utilizadas em
processamento futuro e delas fazem uso o controle de
banda, QoS, NAT, etc... Elas existem somente no
roteador e portanto não são passadas para fora.
Com o mangle também é possível manipular o
determinados campos do cabeçalho IP como o “ToS”,
TTL, etc...
7 - Firewall 191
Firewall – Mangle
As regras de mangle são organizadas em canais e
obedecem as mesma regras gerais das regras de
filtro quanto a sintaxe.
Também é possível criar canais pelo próprio
usuário.
Existem 5 canais padrão:
prerouting: Marca antes da fila “Global-in”;
postrouting: Marca antes da fila “Global-out”;
input: Marca antes do filtro “input”;
output: Marca antes do filtro “output”;
forward: Marca antes do filtro “forward”;
7 - Firewall 192
Firewall – Diagrama do Mangle
7 - Firewall 193
Firewall – Mangle
As opções de marcações incluem:
mark-connection: Marca apenas o primeiro
pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para política de
roteamento.
Obs.: Cada pacote pode conter os 3 tipos de
marcas ao mesmo tempo. Porém não pode
conter 2 marcas do mesmo tipo.
7 - Firewall 194
Firewall – Mangle
Marcando rotas:
7 - Firewall 195
Firewall – Mangle
Marcando conexões:
Use mark-connection para identificar uma ou
um grupo de conexões com uma marca especifica
de conexão.
Marcas de conexão são armazenadas na contrack.
Só pode haver uma marca de conexão para cada
conexão.
O uso da contrack facilita na associação de cada
pacote a uma conexão específica.
7 - Firewall 196
Firewall – Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo
continuo de pacotes.
Marcas de pacotes são utilizadas para controle de
tráfego e estabelecimento de políticas de QoS.
7 - Firewall 197
Firewall – Mangle
Marcando pacotes:
Indiretamente: Usando a facilidade da connection
tracking, com base em marcas de conexão
previamente criadas. Esta é a forma mais rápida e
eficiente.
Diretamente: Sem o uso da connection tracking
não é necessário marcas de conexões anteriores e
o roteador irá comparar cada pacote com
determinadas condições.
7 - Firewall 198
Firewall - Mangle
Um bom exemplo da utilização do mangle é
marcando pacotes para elaboração de QoS.
7 - Firewall 199
Firewall - Mangle
Obs.: A marcação de P2P
disponibilizada no Mikrotik não
inclui os programas
que usam criptografia.
7 - Firewall 200
Perguntas ?
7 - Firewall 201
Failover
Primeiro vamos marcar as conexões. Atente para a redes dos clientes , o denominador
(links) e o contador que inicia em zero.
Agora vamos criar as rotas baseadas nas marcações de rotas. Iremos considerar que os 2
gateways internet são: 10.10.10.1, 20.20.20.1
Router 1 Router 2
• PPPoE por padrão não é criptografado. O método MPPE pode ser usado
desde que o cliente suporte este método.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que
1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opção One Session Per Host permite
somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número
máximo de sessões que o concentrador suportará.
• O tráfego L2TP utiliza protocolo UDP tanto para controle como para
pacote de dados. A porta UDP 1701 é utilizada para o
estabelecimento do link e o tráfego em si utiliza qualquer porta
UDP disponível, o que significa que o L2TP pode ser usado com a
maioria dos Firewalls e Routers, funcionando também através de
NAT.
• A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet através do protocolo GRE.
10 - QoS 249
Conceitos básicos de Largura e Limite
de banda
Largura de banda: Em telecomunicações, a largura da banda ou apenas banda (também chamada
de débito) usualmente se refere à bitrate de uma rede de transferência de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de
frequências é justificada pelo fato de que o limite de transferência de dados de um meio está ligado à
largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz
relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56
kbps), na chamada conexão discada.
Limite de banda: O limite de banda é o limite máximo de transferência de dados, onde também é
designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de
1Mbps, você conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também
chamado de Taxa ou Velocidade de Transferência ou (throughput), que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
você conseguirá taxas de transferencia de no máximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a
30,7kbps
10 - QoS 250
Traffic Shaping
• Traffic shaping é um termo da língua inglesa, utilizado para definir a prática de priorização
do tráfego de dados, através do condicionamento do débito de redes, a fim de otimizar o
uso da largura de banda disponível.
• O termo passou a ser mais conhecido e utilizado após a popularização do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da
internet. O uso desta tecnologia permite que a comunicação entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns.
• No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gestão de dados que acompanham e analisam a utilização e
priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente
adotada para outros tipos de serviços, conhecidos por demandar grande utilização da
largura de banda, como os de transferência de arquivos, por exemplo, P2P e FTP.
• Os programas de traffic shaping podem ainda fazer logs dos hábitos de utilizadores,
capturar informações sobre IPs acedidos, ativar gravações automáticas a partir de
determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
10 - QoS 251
Qualidade de Serviço
• No campo das telecomunicações e redes de computadores, o termo Qualidade de
Serviço (QoS) pode tender para duas interpretações relacionadas, mas distintas.
10 - QoS 252
Qualidade de Serviço
Os mecanismos para prover QoS no Mikrotik são:
– Limitar banda para certos IP’s, subredes, protocolos,
serviços e outros parâmetros.
– Limitar tráfego P2P.
– Priorizar certos fluxos de dados em relação a outros.
– Utilizar burst’s para melhorar o desempenho web.
– Compartilhar banda disponível entre usuários de forma
ponderada dependendo da carga do canal.
– Utilização de WMM – Wireless Multimídia.
– MPLS – Multi Protocol Layer Switch
10 - QoS 253
Qualidade de Serviço
Os principais termos utilizados em QoS são:
– Queuing discipline(qdisc): Disciplina de enfileiramento. É um algoritmo
que mantém e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reordená-los, e determina quais
pacotes serão descartados.
10 - QoS 254
Filas - Queues
Para ordenar e controlar o fluxo de dados, é aplicada uma
política de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: “As filas são aplicadas na
interface onde o fluxo está saindo.”
10 - QoS 255
Tipos de filas
Antes de enviar os pacotes por uma interface, eles são processados
por uma disciplina de filas(queue types). Por padrão as disciplinas
de filas são colocadas sob “queue interface” para cada interface
física.
Uma vez adicionada uma fila para uma interface física, a fila padrão
da interface, definida em queue interface, não será mantida. Isso
significa que quando um pacote não encontra qualquer filtro, ele é
enviado através da interface com prioridade máxima.
10 - QoS 256
Tipos de filas
As disciplinas de filas são utilizadas para (re)enfileirar e
(re)organizar pacotes na medida em que os mesmos chegam na
interface. As disciplinas de filas são classificadas pela sua influência
no fluxo de pacotes da seguinte forma:
– Schedulers: (Re) ordenam pacotes de acordo com um
determinado algoritmo e descartam aqueles que se enquadram
a disciplina. As disciplinas “schedulers” são: PFIFO, BFIFO, SFQ,
PCQ e RED.
– Shapers: Também fazem limitação. Esses são: PCQ e HTB.
10 - QoS 257
Controle de tráfego
10 - QoS 258
Controle de tráfego
O controle de tráfego é implementado através
de dois mecanismos:
– Pacotes são policiados na entrada:
• Pacotes indesejáveis são descartados.
– Pacotes são enfileirados na interface de
saída:
• Pacotes podem ser atrasados, descartados
ou priorizados.
10 - QoS 259
Controle de tráfego
O controle de tráfego é implementado internamente por 4
tipos de componentes:
- Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
- Classes:
Representam entidades de classificação de pacotes.
Cada classe pode estar associada a um qdisc.
- Filters:
Utilizados para classificar os pacotes e atribuí-los as classes.
- Policers: Utilizados para evitar que o tráfego associado a cada
filtro ultrapasse limites pré-definidos.
10 - QoS 260
Controle de tráfego – Tipos de fila
PFIFO e BFIFO: Estas disciplinas de filas são baseadas no
algoritmo FIFO(First-in
First-out), ou seja, o primeiro que entra é o primeiro que sai. A
diferença entre
PFIFO e BFIFO é que, um é medido em pacotes e o outro em
bytes. Existe apenas
um parâmetro chamado Queue Size que determina a
quantidade de dados em
uma fila FIFO pode conter. Todo pacote que não puder ser
enfileirado (se fila
estiver cheia) será descartado. Tamanhos grandes de fila
poderão aumentar a latência. Em compensação provê melhor
utilização do canal.
10 - QoS 261
Controle de tráfego – Tipos de fila
RED: Random Early Detection – Detecção Aleatória Antecipada é um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
médio da fila. Quando o tamanho médio da fila atinge o valor configurado em min
threshould, o RED escolhe um pacote para descartar. A probabilidade do número de
pacotes que serão descartados cresce na medida em que a média do tamanho da fila
cresce. Se o tamanho médio da fila atinge o max threshould, os pacotes são
descartados com a probabilidade máxima. Entretanto existem casos que o tamanho
real da fila é muito maior que o max threshould então todos os pacotes que
excederem o min threshould serão descartados.
RED é indicado em links congestionados com altas taxas de dados. Como é muito
rápido funciona bem com TCP.
10 - QoS 262
Controle de tráfego – Tipos de fila
SFQ: Stochastic Fairness Queuing – Enfileiramento Estocástico “com justiça” é
uma disciplina que tem “justiça” assegurada por algoritmos de hashing e round
roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4 opções:
– src-address
– dst-address
– src-port
– dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritmo
round roubin distribui a banda disponível para estas sub-filas, a cada “rodada”
configurada no parâmetro allot(bytes).
Não limita o tráfego. O objetivo é equalizar os fluxos de tráfegos(sessões TCP e
streaming UDP) quando o link(interface) está completamente cheio. Se o link não
está cheio, então não haverá fila e, portanto, qualquer efeito, a não ser quando
combinado com outras disciplinas (qdisc).
10 - QoS 263
Controle de tráfego – Tipos de fila
• SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e
há 1024 sub-filas disponíveis.
10 - QoS 264
Controle de tráfego – Tipos de fila
PCQ: Per Connection Queuing – Enfileiramento por conexão foi
criado para resolver algumas imperfeições do SFQ. É o único
enfileiramento de baixo nível que pode fazer limitação sendo uma
melhoria do SFQ, sem a natureza “estocástica”. PCQ também cria
sub-filas considerando o parâmetro pcq-classifier. Cada sub-fila tem
uma taxa de transmissão estabelecida em rate e o tamanho
máximo igual a limit. O tamanho total de uma fila PCQ fica limitado
ao configurado em total limit. No exemplo abaixo vemos o uso do
PCQ com pacotes classificados pelo endereço de origem.
10 - QoS 265
Controle de tráfego – Tipos de fila
PCQ: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes
com diferentes endereços serão organizados em sub-filas diferentes. Nesse caso é
possível fazer a limitação ou equalização para cada sub-fila com o parâmetro Rate.
Neste ponto o mais importante é decidir qual interface utilizar esse tipo de disciplina.
Se utilizarmos na interface local, todo o tráfego da interface pública será agrupado
pelo endereço de origem.O que não é interessante. Mas se for empregado na
interface pública todo o tráfego dos clientes será agrupado pelo endereço de origem,
o que torna mais fácil equalizar o upload dos clientes. O mesmo controle pode ser
feito para o download, mas nesse caso o classificador será o “dst. Address” e
configurado na interface local.
10 - QoS 266
QoS - HTB
• Hierarchical Token Bucket é uma disciplina de enfileiramento hierárquico que é
usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB
simula vários links em um único meio físico, permitindo o envio de diferentes tipos
de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito útil para
limitar download e upload de usuários em uma rede. Desta forma não existe
saturamento da largura de banda disponível no link físico. Além disso, no Mikrotik,
é utilizado para fazer QoS.
10 - QoS 267
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
10 - QoS 268
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Queue03 irá receber 2Mbps
Queue04 irá receber 6Mbps
Queue05 irá receber 2Mbps
Exemplo de HTB Exemplo de HTB
228
Obs.: Após satisfazer todas garantias, o HTB disponibilizará
mais banda, até o máximo permitido para a fila com maior
prioridade. Mas, neste caso, permitirá-se uma reserva de
8M para as filas Queue04 e Queue05, as quais, a que
possuir maior prioridade receberá primeiro o adicional de
banda, pois a fila Queue2 possui garantia de banda
atribuída.
10 - QoS 269
QoS - HTB
Termos do HTB:
– Filter: Um processo que classifica pacotes. Os filtros são responsáveis pela
classificação dos pacotes para que eles sejam colocados nas correspondentes
qdisc. Todos os filtros são aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a árvore HTB. Se um pacote não está classificado
em nenhuma das qdiscs, é enviado a interface diretamente, por isso nenhuma
regra HTB é aplicada aos pacotes.
10 - QoS 270
QoS - HTB
Estados das classes HTB:
– Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que está
consumindo:
• Verde: de 0% a 50% da banda disponível está em
uso.
• Amarelo: de 51% a 75% da banda disponível está
em uso.
• Vermelho: de 76% a 100% da banda disponível
está em uso. Neste ponto começam os descartes
de pacotes que se ultrapassam o max-limit.
10 - QoS 271
QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
– Interfaces:
• Global-in: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas à Global-in recebem todo tráfego entrante no roteador,
antes da filtragem de pacotes.
• Global-out: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas à Global-out recebem todo tráfego que sai do roteador.
• Global-total: Representa uma interface virtual através do qual se passa todo
fluxo de dados. Quando se associa uma politíca de filas à Global-total, a
limitação é feita em ambas direções. Por exemplo se configurarmos um
totalmax-
limit de 300kbps, teremos um total de download+upload de 300kbps,
podendo haver assimetria.
• Interface X: Representa uma interface particular. Somente o tráfego que é
configurado para sair através desta interface passará através da fila HTB.
10 - QoS 272
Interfaces virtuais e o Mangle
10 - QoS 273
Filas simples
10 - QoS 274
Filas simples - Burst
Bursts são usados para
permitir altas taxas de
transferência por um período
curto de tempo.
10 - QoS 275
Como funciona o Burst
max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
10 - QoS 276
Utilização do PCQ
PCQ é utilizado para equalizar cada usuário ou
conexão em particular.
10 - QoS 277
Utilização do PCQ
• Caso 1: Com o rate configurado como zero, as subqueues
não são limitadas, ou seja, elas poderão usar a largura máxima
de banda disponível em max-limit.
10 - QoS 278
Utilização do PCQ
10 - QoS 279
Utilização do PCQ
10 - QoS 280
Árvores de Fila
Trabalhar com árvores de fila é uma maneira mais elaborada de
administrar o tráfego. Com elas é possível construir sob medida uma
hierarquia de classes, onde poderemos configurar as garantias e
prioridades de cada fluxo em relação à outros, determinando assim uma
política de QoS para cada fluxo do roteador.
Os filtros de árvores de filas são aplicados na interface especifica. Os
filtros são apenas marcas que o firewall faz no fluxo de pacotes na opção
mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no
roteador.
A árvore de fila é também a única maneira para adicionar uma fila em
uma interface separada.
Também é possível ter o dobro de enfileiramento. Ex: priorizando o
tráfego globalin e/ou global-out, limitação por cliente na interface de
saída. Se é configurado filas simples e árvores de filas no mesmo roteador,
as filas simples receberão o tráfego primeiro e em seguida o classificarão.
10 - QoS 281
Árvores de Fila
As árvores de fila são
configuradas em queue tree.
Dentre as propriedades
configuráveis podemos destacar:
– Escolher uma marca de tráfego
feita no firewall mangle;
– parente-class ou interface de
saída;
– Tipo de fila;
– Configurações de limit-at,
max-limit,priority e burst.
10 - QoS 282
Árvores de Fila
10 - QoS 283
Árvores de Fila
10 - QoS 284
Árvores de Fila
C1 possui maior prioridade, portanto
consegue atingir o max-limit. O restante da
banda é dividida entre as outras leaf-queue.
10 - QoS 285
Perguntas ?
10 - QoS 286
HotSpot no Mikrotik
3 - Hotspot 287
Estrutura do Hotspot
Servidor de hotspot (Servers) Um server por interface.
3 - Hotspot 288
HotSpot
Geralmente usado em área pública como hotéis,
aeroportos, shoppings, universidades, etc...
3 - Hotspot 289
HotSpot
3 - Hotspot 290
HotSpot
Apesar de ter sido bem simples a criação do
Hotspot o RouterOS criou algumas regras
necessárias para o funcionamento.
3 - Hotspot 291
HotSpot – Detalhes do Servidor
Idle Timeout: Usado para detectar
clientes que estão logados e não
estão trafegando.
3 - Hotspot 292
HotSpot – Perfil do Servidor
HTML Directory: Diretório onde são
colocadas as páginas desse hotspot.
3 - Hotspot 293
HotSpot – Perfil do Servidor
Login by:
– MAC: Usa o MAC dos clientes primeiro como nome do usuário. Se
existir na tabela de usuários local ou em um Radius, o cliente é
liberado sem usuário/senha.
– HTTPS: Usa túnel SSL criptográfado. Para que este método funcione,
um certificado válido deve ser importado para o roteador.
Internet
Roteadores buscando
autenticação no Radius
Servidor Radius 172.31.31.2
3 - Hotspot 295
Hotspot - Configurando Radius
3 - Hotspot 296
HotSpot – Perfil do Servidor
• Use Radius: Utiliza servidor Radius para
autenticação dos usuários do hotspot.
3 - Hotspot 297
HotSpot – Perfil de Usuários
O User Profile serve para dar tratamento diferenciado a
grupos de usuários, como suporte, comercial, diretoria,
etc...
Session Timeout: Tempo máximo
permitido.
Idle Timeout/Keepalive: Mesma
explicação anterior, no entanto agora
somente para este perfil de usuários.
Status Autorefresh: Tempo de
refresh da página de Status do
HotSpot.
Shared Users: Número máximo de
clientes com o mesmo username.
3 - Hotspot 298
HotSpot – Perfil de Usuários
Os perfis de usuário podem conter os limites de
velocidade de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx
burst-limit] [rxburstthreshold/tx-burst-threshold]
[rx-burst-time/tx-bursttime][priority]
[rx-limit-at/tx-limit-at]
3 - Hotspot 299
HotSpot – Perfil de Usuários
Incoming Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usuário deste perfil.
3 - Hotspot 301
HotSpot – Perfil de Usuários
O Mikrotik possui uma linguagem interna de scripts que podem ser
adicionados para serem executados em alguma situação especifica.
3 - Hotspot 302
HotSpot – Usuários
3 - Hotspot 303
HotSpot – Usuários
Server: all para todos hotspots ou para um específico.
Name: Nome do usuário. Se o modo Trial estiver ativado
o hotspot colocará automaticamente o nome “TMAC_
Address”. No caso de autenticação por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereço IP caso queira vincular esse usuário
a um endereço fixo.
MAC Address: Caso queira vincular esse usuário a um
endereço MAC especifico.
Profile: Perfil onde o usuário herda as propriedades.
Routes: Rotas que serão adicionadas ao cliente quando
se conectar. Sintaxe: “Endereço destino gateway
métrica”. Várias rotas separadas por vírgula podem ser
adicionadas.
3 - Hotspot 304
HotSpot – Usuários
Limit Uptime: Limite máximo de
tempo de conexão para o usuário.
Limit Bytes In: Limite máximo de
upload para o usuário.
Limit Bytes Out: Limite máximo de
download para o usuário.
Limit Bytes Total: Limite máximo
considerando o download + upload.
Na aba das estatísticas é possível
acompanhar a utilização desses
limites.
3 - Hotspot 305
HotSpot – Active
Mostra dados gerais e estatísticas de cada usuário conectado.
3 - Hotspot 306
HotSpot – Liberações especiais
Para liberar acesso a internet para um
determinado host utilize sem necessidade de
autenticação IP Binding.
3 - Hotspot 307
HotSpot – IP Bindings
O Mikrotik por default tem habilitado o “universal client” que
é uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.
3 - Hotspot 308
HotSpot – IP Bindings
MAC Address: mac original do cliente.
Address: Endereço IP do cliente.
To Address: Endereço IP o qual o original deve ser
traduzido.
Server: Servidor hotspot o qual a regra será aplicada.
Type: Tipo do Binding.
- Regular: faz tradução regular 1:1
- Bypassed: faz tradução mas
dispensa o cliente de logar no
hotspot.
- Blocked: a tradução não será feita e
todos os pacotes serão bloqueados.
3 - Hotspot 309
HotSpot –Walled Garden
Configurando um “walled garden” é possível oferecer ao usuário o
acesso a determinados serviços sem necessidade de autenticação.
Por exemplo em um aeroporto poderia se disponibilizar
informações sobre o tempo ou até mesmo disponibilizar os sites
dos principais prestadores de serviço para que o cliente possa
escolher qual plano quer comprar.
Quando um usuário não logado no hotspot requisita um serviço do
walled garden o gateway não intercepta e, no caso do http,
redireciona a requisição para o destino ou um proxy.
Para implementar o walled garden para requisições http, existe um
web proxy embarcado no Mikrotik, de forma que todas requisições
de usuários não autorizados passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik não tem a função de
cache, pelo menos por hora. Notar também que esse proxy faz
parte do pacote system e não requer o pacote web-proxy.
3 - Hotspot 310
HotSpot –Walled Garden
É importante salientar que o
walled garden não se destina
somente a serviço WEB, mas
qualquer serviço que se queira
configurar. Para tanto existem 2
menus distintos conforme do
figuras ao lado. Sendo o menu
de cima para HTTP e HTTPS e o
de baixo para outros serviços e
protocolos.
3 - Hotspot 311
HotSpot –Walled Garden
Action: Permite ou nega.
Server: Hotspot para o qual o walled garden
vale.
Src.Address: Endereço IP do usuário
requisitante.
Dst. Address: Endereço IP do web server.
Method: Método http ou https.
Dst. Host: Nome do domínio do servidor de
destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisição.
Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser usado
coringas. Também é possível utilizar expressões regulares devendo essas ser
iniciadas com (:)
3 - Hotspot 312
HotSpot –Walled Garden
Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden
vale.
Src. Address: Endereço IP do usuário
requisitante.
Dst. Address: Endereço IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que será
requisitada.
Dst. Host: Nome do domínio do servidor de
destino.
3 - Hotspot 313
HotSpot – Cookies
Quando configurado o login por cookies, estes
ficam armazenados no hotspot com nome do
usuário, MAC e tempo de validade.
Enquanto estiverem válidos o usuário não precisa
efetuar o procedimento de login e senha.
Podem ser deletados (-) forçando assim o usuário
a fazer o login novamente.
3 - Hotspot 314
HotSpot – Ports
A facilidade NAT do hotspot causa problemas
com alguns protocolos incompatíveis com NAT.
Para que esses protocolos funcionem de forma
consistente, devem ser usados os módulos
“helpers”.
3 - Hotspot 315
Personalizando o HotSpot
As páginas do hotspot são completamente configuráveis e além
disso é possível criar conjuntos completamente diferentes das
páginas do hotspot para vários perfis de usuários especificando
diferentes diretórios raiz.
As principais páginas que são mostradas aos usuários são:
– redirect.html – redireciona o usuário a uma página
especifica.
– login.html – página de login que pede usuário e senha ao
cliente.
Esta página tem os seguintes parâmetros:
• Username/password.
• Dst – URL original que o usuário requisitou antes do redirecionamento e que
será aberta após a autenticação do usuário.
• Popup – Será aberta uma janela popup quando o usuário se logar com
sucesso.
3 - Hotspot 316
HotSpot com HTTPS
Para utilizar o hotspot com HTTPS é
necessário que se crie um certificado, assiná-
lo corretamente e em seguida importá-lo
através do menu /system certificates.
3 - Hotspot 317
Perguntas ?
3 - Hotspot 318
Web Proxy
Exemplos:
http://wiki.mikrotik.com/wiki/Manual:IP/Proxy
http://www.mikrotik.com/thedude