TREINAMENTO MIKROTIK

CERTIFICAO MTCWE
Produzido por: Alive Solutions
www.guilhermeramires.com
Instrutor: Guilherme Ramires

AGENDA
Treinamento dirio das 09:00hs s 19:00hs
Coffe break as 16:00hs
Almoo as 13:00hs 1 hora de durao

Algumas regras importantes

Por ser um curso oficial, o mesmo no poder
ser filmado ou gravado
Procure deixar seu aparelho celular desligado
ou em modo silencioso
Durante as explanaes evite as conversas
paralelas. Elas sero mais apropriadas nos
laboratrios
Desabilite qualquer interface wireless ou
dispositivo 3G em seu laptop
3

Algumas regras importantes

Perguntas so sempre bem vindas. Muitas
vezes a sua dvida a dvida de todos.
O acesso a internet ser disponibilizado para
efeito didtico dos laboratrios. Portanto
evite o uso inapropriado.
O certificado de participao somente ser
concedido a quem obtiver presena igual ou
superior a 75%.
4

Apresente-se a turma

Diga seu nome;

Sua empresa;
Seu conhecimento sobre o RouterOS;
Seu conhecimento com redes;
O que voc espera do curso;

Lembre-se de seu nmero: XY

5

Objetivo do Curso
Proporcionar conhecimento e treinamento
prtico para Mikrotik RouterOS com
recursos avanados sem fio para redes de
pequeno e mdio porte.
Introduzir a rede sem fios 802.11n
Aps a concluso do curso, voc ser
capaz de planejar, implementar, ajustar e
depurar problemas em redes wireless no
MikroTik RouterOS.
6

Tpicos
Viso geral dos padres Wireless
Ferramentas Wireless
Soluo de problemas dos clientes
wireless
Opes Avanadas Wireless
DFS e country regulation
Data Rates e TX-power
Virtual AP
7

Tpicos (cont.)
Segurana na Wireless

Access List e Connect List

Gerenciamento de Frame Protection
RADIUS MAC Authentication
Encryption

Wireless WDS e MESH

Bridges Wireless Transparentes
WDS
VPLS/MPLS

Protocolo Wireless Nstreme

802.11n
8

DIAGRAMA INICIAL

Setup na RouterBoard
Modifique seu System Identity e Radio Name por
seu XY SEU_NOME
Verifique se seu Mikrotik RouterOS est com a
verso 4.14 ou superior
Modifique seu NTP client use a.ntp.br para
primrio e b.ntp.br para secundrio
Cheque a conectividade com internet e faa um
backup da configurao

10

Padres Wireless

802.11b 11Mbps, 2.4Ghz

802.11g 54Mbps, 2.4Ghz
802.11a 54Mbps, 5Ghz
802.11n 300Mbps, 2.4/5Ghz

11

Bandas Wireless
2Ghz
B, B/G, Only-G, G-Turbo, Only-N, B/G/N,
5mhz, 10mhz

5Ghz
A, A-Turbo, Only-N, A/N, 5mhz, 10mhz

12

Bandas Suportadas por chipset

AR5213/AR5414
A/B/G, G-Turbo, A-Turbo, 5Mhz, 10Mhz

AR5416/AR9160/AR9220
A/B/G/N, 5Mhz*, 10Mhz*

*no suportado completamente

13

Frequncias Suportadas
A/B/G Chipsets Atheros
2Ghz band: 2192-2539Mhz
5Ghz band: 4920-6100Mhz

N Chipset Atheros
2Ghz band: 2192-2539Mhz
5Ghz band: 4800-6075Mhz

14

Scan List
Frequncias padro da lista de verificao sero
mostradas em negrito no campo de freqncia
(Somente no Winbox)
Valores padro do scan-list sero mostrados
quando o pas indicado for o 'default'
Faixas de freqncia podem ser especificadas
por um trao. Ex.: 5500-5700
Frequncias exatas so especificadas por
virgulas. Ex.: 5500,5520,5540
possvel mesclar tambm.
Ex.: Default,5520,5540,5600-5700
15

Ferramentas de Site Survey

Scan
Frequency Usage
Spectral Scan/History
Snooper
Align
Sniffer

16

Scan
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme

Escaneia o meio.
Obs.: Qualquer operao de site survey causa
queda das conexes estabelecidas.
17

Uso de frequncias
Mostra o uso das
frequncias em todo o
espectro para site
survey conforme a
banda selecionada no
menu wireless.

18

Scan de spectro
Possvel somente em Chipsets Atheros
802.11n
Alcance
2ghz, 5ghz, canal atual ou faixa

Valores
mdia, pico mdio, interferncia, mximo,
mnimo

Exemplos classificavis
wifi, bluetooth, microondas, etc
19

Historico Spectral
Representa o espectrograma em lote
Mostra nveis de potncia impressos em
diferentes cores
Opo de udio - execues de cada linha
conforme impresso
Cada linha tocada da esquerda para a
direita, com freqncias mais elevadas
correspondendo aos valores mais elevados
no espectrograma
20

Historico Spectral

21

Spectral-scan

22

Spectral-scan
Monitora continuamente os dados espectrais
Cada linha representa um bloco do
espectrograma conforme abaixo:
Frequncia
Valor numrico mdio de rx
Caractersticas do grfico de barras
Valor mdio da potncia - ':'
Pico mdio sustentado - '.'
Mxima flutuao nica- ':'

Tambm possvel mostrar opes de

interferncia
23

Alinhamento

Ferramenta de alinhamento com sinal sonoro

Colocar o MAC do AP remoto no campo Filter MAC
Address e Audio Monitor.

Rx Quality: Potncia em dBm do ltimo pacote recebido

Avg. Rx Quality: Potncia mdia dos pacotes recebidos
Last Rx: Tempo em segundos do ltimo pacote recebido
Tx Quality: Potncia do ltimo pacote transmitido
Last TX: Tempo em segundos do ltimo pacote transmitido
Correct: Nmero de pacotes recebidos sem erro
24

Sniffer
Ferramenta para
sniffar o ambiente
wireless captando e
decifrando pacotes.
Muito til para
detectar ataques do
tipo deauth e
monkey jack.
Pode ser arquivado
no prprio Mikrotik
ou passado por
streaming para outro
servidor com
protocolo TZSP.
25

Snooper

Com a ferramenta snooper possvel monitorar a carga

de trfego em cada canal por estao e por rede.
Scaneia as frequncias definidas em scan-list da interface
26

DFS
no radar detect: escaneia o meio
e escolhe o canal em que for
encontrado o menor nmero de
redes
radar detect: escaneia o meio e
espera 1 minuto para entrar em
operao no canal escolhido se
no for detectada a ocupao do
canal
Obs.: O modo DFS obrigatrio
no Brasil para as faixas de 52505350 e 5350-5725
27

DFS Lab

Setor 1 habilita modo AP em 5180Mhz

Setor 2 e habilita modo AP em 5280Mhz
Habilite o DFS mode em no radar detect
Observe os saltos de frequncia

28

Frequency Mode - Potncias

default: No altera a potncia original do carto

cards rates: Fixa mas respeita variaes das taxas para cada velocidade
all rates fixed: Fixa um valor para todas velocidades
manual: permite ajustar potncias diferentes para cada velocidade
29

Frequency Mode - Potncias

Quando a opo regulatory domain est habilitada, somente as

frequncias permitidas para o pas selecionado em Country
estaro disponveis. Alm disso o Mikrotik ajustar a potncia do
rdio para atender a regulamentao do pas, levando em conta o
valor em dBi informado em Antenna Gain.
Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13

30

Analisando a tabela de registro

para solucionar problemas na
conexo

31

Soluo de problemas de
clientes wireless

ACK-timeout
CCQ
TX/RX e Signal Strength
Frames x HW-frames
Data-rate flapping

32

Tabela Registration

33

CCQ Client Connection Quality

Valor em porcentagem que mostra o quo
eficaz a largura de banda usada em
relao largura de banda mxima terica
disponvel
Mdia ponderada de valores de Tmin/Treal
calculada para cada frame transmitido
Tmin o tempo que seria necessrio para
transmitir determinado frame na taxa mais
elevada, sem re-transmisses
Treal o tempo real tomado para transmitir o
frame
34

Frames x HW-frames
Retransmisses so quando a placa envia um
frame e voc no recebe de volta o
reconhecimento (ACK), ento voc envia o
frame mais uma vez at voc receber a
confirmao
Se o valor hw-frames maior que o valor de
frames, ento isso significa que o enlace est
fazendo retransmisses
No caso do Nstreme voc no pode comparar
os quadros com hw-frames
35

Usando as configuraes
avanadas para soluo de
problemas e ajustes finos a
conexo sem fio

36

Opes Wireless Avanadas

Aba Advanced no menu Wireless
HW-retries
HW-protection
RTS/CTS
CTS to self

Adaptive-noise-immunity
Configuration Reset
WMM
37

Wireless Advanced

38

Advanced Wireless Tab

Area string que descreve o AP, utilizado na
connect list de clientes que se conectam
escolhendo o AP pela rea de prefixo
Ack-timeout tempo limite de confirmao de
cdigo em mS; "dinmico", por padro
Periodic-calibration para garantir o
desempenho do chipset em casos de excesso
de temperatura e mudanas ambientais

39

HW-retries
Nmero de tentativas de envio de frames
at que a transmisso seja considerada
falha
Data rate diminuido a cada falha
Mas se no houver uma taxa inferior, 3
falhas seqenciais ativa a pausa da
transmisso on-fail-retry ento o tempo e o
contador so reiniciados
O frame ser retransmitido at o sucesso
ou at que o cliente seja desconectado
40

HW-protection
Frame protection ajuda a conter o
problema do n escondido
Proteo CTS/RTS
Proteo CTS to self

hw-protection-threshold limite de
tamanho do frame em que a proteo
deve ser usada; 0 - utilizado para todos os
frames
41

RTS/CTS based protection

Proteo baseada no RTS/CTS
Quando o dispositivo est disposto a enviar
frames, inicialmente envia RequestToSend e
aguarda ClearToSend do destino
Recebendo frames RTS ou CTS de
dispositivos 802.11 possvel saber quando
iniciar uma transmisso e consequentemente
quando no se deve iniciar uma transmisso.

42

Proteo baseada em
CTS to self
Proteo baseada em "CTS to self"
Dispositivo dispostos a enviar frames enviam
frame CTS "para si.
Conforme o protocolo 802.11, dispositivos
que recebem este frame sabem que no
podem transmitir.
A proteo "CTS to self" causa menos
overhead, porm importante lembrar que a
proteo s funcionar para os dispositivos
que receberem o frame CTS do AP.
43

CTS to self ou RTS/CTS

Se houver duas ou mais estaes
escondidas a proteo "CTS to self" no
ter efeito, porque elas no sero capazes
de enviar frames CTS para as outras
estaes neste caso as estaes devem
utilizar a proteo RTS/CTS para que as
outras estao no transmitam quando
receberem frames CTS enviados pelo AP.
Voc deve optar por utilizar somente um
tipo de proteo.
44

HW-fragmentation-threshold
o tamanho mximo do fragmento em bytes,
transmitido pela mdia sem fio
Este recurso permite que pacotes sejam
fragmentados antes da transmisso sobre o
meio sem fio para aumentar a probabilidade de
transmisso bem sucedida
Somente fragmentos que no foram
transmitidos corretamente sero retransmitidos.
Envio de pacote fragmentado menos eficiente
que a transmisso de pacotes no
fragmentados devido sobrecarga de protocolo
e uso de recursos em ambos lados transmisso e recepo
45

Adaptive-noise-immunity
Ajusta vrios parmetros do receptor
dinamicamente para minimizar interferncias e
rudos sobre a qualidade do sinal
Recurso proprietrio presente em Chipsets
Atheros 5212 ou superiores
Utiliza mais CPU
So 3 opes:
None desabilitado
Client-mode utilizado somente no modo station ou
station-wds
Ap-and-client-mode Habilitado em qualquer modo
(ponto-a-ponto ou ponto-multi-ponto).
46

Wireless Configuration reset

Algumas vezes
quando fazemos
diversas alteraes
avanadas
complicado voltar ao
cenrio padro.
Para isso use o boto
Reset Configuration
para zerar todas
configuraes do
carto.
47

Wireless MultiMedia (WMM)

So 4 filas de transmisses com
prioridades:

1,2 background
0,3 best effort
4,5 video
6,7 voice

Prioridades podem ser setadas por:

Bridge ou IP firewall
Ingress (VLAN ou WMM)
DSCP

48

WMM e Prop. Extensions

WMM Support: QoS no meio
fsico(802.11e)
enabled: permite que o outro dispositivo
use wmm
required: requer que o outro dispositivo
use wmm
disabled: desabilita a funo wmm

Proprietary Extensions: Opo com

a nica finalidade de dar
compatibilidade com chipsets
Centrino.

49

Data Rates
A velocidade em uma rede
wireless definida pela
modulao que os dispositivos
conseguem trabalhar.
Supported Rates: So as
velocidades de dados entre o AP
e os clientes.
Basic Rates: So as velocidades
que os dispositivos se
comunicam independentemente
do trfego de dados (beacons,
sincronismos, etc...)

50

Opes de mudana nos

Data rates
Baixar o maior supported data rates em clientes
com problema de sinal, diminui o nmero de
flaps
Baixar o maior supported data rates no AP, caso
a maioria dos clientes estejam com problemas
pra conectar em velocidades superiores, diminui
a capacidade da clula porm aumenta sua
estabilidade.
No recomendado desabilitar todos os data
rates baixos, deixando somentes os altos, pois
pode ocorrer diversas desconexes.
Observe que tanto o AP como o Cliente devem
suportar os mesmos Basic rates para que o link
wireless seja estabelecido.
51

Data rates
Configure o AP para permitir data rates de
at 24Mbps e teste o mximo throughput
Configure o AP para permitir somente
54Mbps e teste o mximo throughput e a
estabilidade da conexo.

52

Virtual AP
Usado para criar um novo AP com base
nas informaes fsicas do carto wireless
Funciona em cartes Atheros AR5212 e
superiores
Limitado a 128 APs por carto.
Usa diferentes endereos MAC
Pode ter seu prprio SSID, security profile,
Access/Connect-list, extenes WDS , etc.
53

Exemplo de AP Virtual

54

Virtual AP Lab
Trabalho em grupo
Conectem 2 routers por cable ethernet
Configuraes do primeiro router:
Crie duas interfaces VLAN na ethernet
Crie 2 hotspots um em cada VLAN
Em um Hotspot altere a cor do fundo da tela de login
Adicionem a linha background-color: #A9F5A9; no corpo do arquivo login.html

Configuraes do segundo router:

Crie duas interfaces VLAN na ethernet com os mesmos VLAN ID do
primeiro router
Crie 2 APs Virtual com diferentes SSID
Coloque em bridge a primeira VLAN com o primeiro AP Virtual
Coloque em bridge a segunda VLAN com o segundo AP Virtual

Conecte em cada AP virtual e verifique a pgina de login

Em seguida resetem as configuraes e troquem as tarefas

55

Gerenciamento de Acesso
default-forwarding (no AP) Define se os
clientes conectados ao mesmo carto podem ter
conectividade direta.
default-authentication No caso do AP define
se qualquer cliente pode conectar ao AP ou
somente os que estiverem na access list. No
caso da station o que estiver na connect list.
Sempre que houver uma access list ou
connect list, prevalece o que estiver nessas
listas.
56

Access/Connect Lists
Access List o filtro de autenticao do AP
Connect List o filtro de autenticao do cliente
As entradas nesta lista so ordenadas, assim
como no firewall, cada requisio de autenticao
ter que passar desde a primeira entrada at a
que atenda suas necessidades.
Pode existir vrias entradas para o mesmo
endereo MAC e uma nica entrada para os
demais endereos MAC.
Cada registro pode ser especificado para cada
carto ou para qualquer carto do roteador.
57

Access List
Podemos especificar uma poltica de
autenticao para uma range de nvel de sinal.
Exemplo: permitir somente conexes de clientes com
bom nvel de sinal

Podemos especificar uma poltica de

autenticao para um determinado perodo.
Exemplo: permitir somente conexes no horrio
comercial

Podemos especificar uma poltica de

autenticao conforme o perfil de segurana:
Exemplo: permitir que aquele cliente se conecte ao
AP somente com a senha escolhida para ele.
58

Wireless Access List

59

Wireless Connect List

Permite ou nega conexo ao AP baseado em:

SSID
MAC address do AP
Prefixo de Area do AP
Range de nve de sinal
Security Profile

possvel priorizar conexo a um AP em relao

ao outro somente trocando a ordem de entrada
na lista.
A Connect list em redes WDS, quando voc quer
priorizar conexo com um determinado AP
60

Access/Connect List
APs: Pessoas do Setor1 alterem o modo
da wireless para AP Bridge
Clientes: Pessoas do Setor2 vo conectar
aos seus parceiros equivalentes do Setor1
Garanta que voc esteja conectado ao AP
correto
Em seguida o Setor1 permitir somente
conexes do seu parceiro equivalente.

Em seguida apaguem as entradas e

invertam os papis.

61

Segurana de Acesso em redes

sem fio

62

Segurana na Wireless
Autenticaes
PSK
EAP

Encriptaes
AES
TKIP
WEP

Segurana por EAP RADIUS

63

Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por
padro fazem o broadcast de seu
SSID nos pacotes chamados
beacons. Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID.

Pontos negativos:
SSID deve ser conhecido pelos
clientes
Scanners passivos o descobrem
facilmente pelos pacotes de
probe request dos clientes.
64

Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar
muito simples com ferramentas
apropriadas e inclusive o Mikrotik como
sniffer.
Spoofar um MAC bem simples. Tanto
usando windows, linux ou Mikrotik.

65

Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de
criptografia inicialmente especificado no padro
802.11 e est baseado no compartilhamento de um
segredo entre o ponto de acesso e os clientes,
usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo
do tempo e publicadas na internet, existindo vrias
ferramentas para quebrar a chave, como:
Airodump
Airreplay
Aircrack

Hoje com essas ferramentas bem simples

quebrar a WEP.
66

WEP (obsoleto)

67

Fundamentos de Segurana
Privacidade
As informaes no podem ser legveis para
terceiros.

Integridade
As informaes no podem ser alteradas quando
em transito.

Autenticao
AP
Cliente: O AP tem que garantir que o cliente
quem diz ser.
Cliente
AP: O cliente tem que se certificar que
est conectando no AP correto. Um AP falso
possibilita o chamado ataque do homem do meio.
68

Privacidade e Integridade
Tanto a privacidade como a integridade so
garantidos por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA
o RC4, porm implementado de uma forma bem
mais segura que na WEP. E na WPA2 utiliza-se o
AES.
Para a integridade dos dados WPA usa
TKIP(Algoritmo de Hashing Michael) e WPA2 usa
CCM(Cipher Chaining Message Authentication
Check CBC MAC)
69

TKIP
Temporal Key Integrity Protocol o
protocolo de segurana usado em redes
wireless do tipo IEEE 802.11
TKIP a evoluo da WEP e ambas so
baseadas no algoritmo RC4
Ao contrrio da WEP a TKIP fornece
Mistura de chave por pacote,
Mensagem de verificao de integridade,
Mecanismo de re-criao de chave
70

AES-CCM
AES - Advanced Encryption Standard
um codificador em bloco que funciona com
um tamanho de bloco fixo de 128 bits e
uma chave de 128, 192 ou 256 bits

71

Unicast Cipher
Tanto no AP como na Station pelo menos
um tipo de criptografia deve ser escolhida
para que seja estabelecida conexo entre
ambos.

72

Group Cipher
Para o AP
Se um AP estiver utilizando grupos de
criptografia (AES e TKIP), o mtodo mais
seguro ser escolhido AES

Para a Station
Se uma Station usa ambos grupos de
criptografia ela ir conectar em qualquer AP
que suporte qualquer mtodo.

73

Chave WPA e WPA2 - PSK

A configurao da chave
WPA/WAP2-PSK muito
simples no Mikrotik.
Configure o modo de chave
dinmico e a chave prcombinada para cada tipo
de autenticao.
Obs.: As chaves so
alfanumricas de 8 at 64
caracteres.
74

Segurana de WPA / WPA2

Atualmente a nica maneira conhecida para se
quebrar a WPA-PSK somente por ataque de
dicionrio.
Como a chave mestra PMK combina uma
contra-senha com o SSID, escolhendo
palavras fortes torna o sucesso de fora bruta
praticamente impossvel.
A maior fragilidade paras os WISPs que a
chave se encontra em texto plano nos
computadores dos clientes ou no prprio
Mikrotik.
75

Configurando EAP-TLS Sem

Certificados
Crie o perfil EAP-TLS e associe a
interface Wireless cliente.

76

Segurana de EAP-TLS sem

certificados
O resultado da negociao annima resulta em
uma chave PMK que de conhecimento
exclusivo das duas partes. Depois disso toda a
comunicao criptografada por AES(WPA2) e o
RC4(WPA).
Seria um mtodo muito seguro se no houvesse
a possibilidade de um atacante colocar um
Mikrotik com a mesma configurao e negociar a
chave normalmente como se fosse um cliente.
Uma idia para utilizar essa configurao de
forma segura criando um tnel criptografado
PPtP ou L2TP entre os equipamentos depois de
fechado o enlace.
77

Trabalhando com certificados

Certificado digital um arquivo que
identifica de forma inequvoca o seu
proprietrio.
Certificados so criados por instituies
emissoras chamadas de CA (Certificate
Authorities).
Os certificados podem ser:
Assinados por uma instituio acreditada
(Verisign, Thawte, etc...)
Certificados auto-assinados.
78

Passos para implementao de

EAP-TLS com certificados auto
Assinados
1. Crie a entidade certificadora(CA)
2. Crie as requisies de Certificados
3. Assinar as requisies na CA
4. Importar os certificados assinados para os
Mikrotiks
5. Se necessrio, criar os certificados para
mquinas windows
79

EAP-TLS sem Radius em

ambos lados
O mtodo EAPTLS tambm
pode ser usado
com certificados.

80

EAP-TLS sem Radius em

ambos lados
Mtodos TLS
dont verify certificate: Requer um
certificado, porm no verifica.
no certificates: Certificados so
negociados dinamicamente com o
algoritmo de Diffie Hellman.
verify certificate: Requer um
certificado e verifica se foi
assinado por uma CA.
81

WPAx com radius

82

EAP-TLS com certificado

EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como
AP e ainda repassa esse mtodo para um Servidor
Radius.
Prover maior nvel de segurana e necessita de
certificados em ambos lados(cliente e servidor).
O passo a passo completo para configurar um servidor
Radius pode ser encontrado em:
http://under-linux.org/wiki/Tutoriais/Wireless/freeradiusmikrotik
83

EAP-TLS com Radius em

ambos lados
A configurao da parte
do cliente bem
simples.
Selecione o mtodo
EAP-TLS
Certifique-se que os
certificados esto
instalados e assinados
pela CA.
Associe o novo perfil de
segurana a interface
wireless correspondente.
84

EAP-TLS com Radius em

ambos lados
No lado do AP selecione o
mtodo EAP
passthrough.
Selecione o certificado
correspondente.
Obs.: Verifique sempre se o sistema est com o cliente NTP
habilitado. Caso a data do sistema no esteja correta, poder causar
falha no uso de certificados devido a data validade dos mesmos.

85

Segurana de EAP-TLS com

Radius
Sem dvida este o mtodo mais seguro que
podemos obter. Entretanto existe um ponto que
podemos levantar como possvel fragilidade:

Ponto de fragilidade

Se um atacante tem acesso fsico ao link entre o

AP e o Radius ele pode tentar um ataque de fora
bruta para descobrir a PMK.
Uma forma de proteger este trecho usando um
tnel L2TP.

86

Resumo dos mtodos de

implantao e seus problemas.
WPA-PSK
Chaves presentes nos clientes e acessveis aos
operadores.

Mtodo sem certificados

Passvel de invaso por equipamento que tambm
opere nesse modo.
Problemas com processador.

Mikrotik com Mikrotik com EAP-TLS

Mtodo seguro porm invivel economicamente e de
implantao praticamente impossvel em redes
existentes.
87

Resumo dos mtodos de

implantao e seus problemas.
Mikrotik com Radius
EAP-TLS e EAP-PEAP:
Sujeito ao ataque do homem do meio e pouco
disponvel em equipamentos atuais.

EPA-TLS
Mtodo seguro, porm tambm no
disponvel na maioria dos equipamentos.
Em placas PCI possvel implement-lo.
88

Mtodo alternativo com Mikrotik

A partir da verso 3 o Mikrotik oferece a possibilidade de
distribuir uma chave WPA2 PSK por cliente. Essa chave
configurada na Access List do AP e vinculada ao MAC
Address do cliente, possibilitando que cada um tenha sua
chave.

Obs.: Cadastrando as PSK na access list,

voltamos ao problema da chave ser
visvel a usurios do Mikrotik.

89

Mtodo alternativo com Mikrotik

Por outro lado, o Mikrotik permite que
essas chaves sejam distribudas por
Radius, o que torna esse mtodo muito
interessante.
Para isso necessrio:
Criar um perfil no modo NONE;
Habilitar a autenticao via MAC no AP;
Ter a mesma chave configurada tanto no
cliente como no Radius.
90

RADIUS MAC Authentication

91

Mtodo alternativo com Mikrotik

92

RADIUS MAC Authentication

Opo de autenticao remota atravs de um
servidor RADIUS
possvel utilizar este recurso para autenticar e
desautenticar um cliente em um determinado AP
MAC mode username ou username and
password
MAC Caching Time quanto tempo a resposta
de autenticao RADIUS para autenticao de
endereos MAC, se considerados vlidos para o
cache
93

Configurando o cliente RADIUS

Crie um cliente
RADIUS no menu
Radius
Especifique o servio,
endereo IP do
servidor RADIUS e
senha
A aba Status mostra
os andamento das
requisies.
94

Configurando o Radius
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC

Cleartext-Password:=MAC

Mikrotik-Wireless-Psk = Chave_Psk

000C42000001

Cleartext-Password:=000C42000001
Mikrotik-Wireless-Psk = 12341234

000C42000002

Cleartext-Password:=000C43000002
Mikrotik-Wireless-Psk = 2020202020ABC
95

Corrigindo o dicionrio de atributos

(/usr/share/freeradius/dictionary.mikrotik)
VENDOR

Mikrotik

14988

ATTRIBUTE

Mikrotik-Recv-Limit

integer

ATTRIBUTE

Mikrotik-Xmit-Limit

integer

ATTRIBUTE

Mikrotik-Group

string

ATTRIBUTE

Mikrotik-Wireless-Forward

integer

ATTRIBUTE

Mikrotik-Wireless-Skip-Dot1x

integer

ATTRIBUTE

Mikrotik-Wireless-Enc-Algo

integer

ATTRIBUTE

Mikrotik-Wireless-Enc-Key

string

ATTRIBUTE

Mikrotik-Rate-Limit

string

ATTRIBUTE

Mikrotik-Realm

string

ATTRIBUTE

Mikrotik-Host-IP

10

ipaddr

ATTRIBUTE

Mikrotik-Mark-Id

11

string

ATTRIBUTE

Mikrotik-Advertise-URL

12

string

ATTRIBUTE

Mikrotik-Advertise-Interval

13

integer

ATTRIBUTE

Mikrotik-Recv-Limit-Gigawords

14

integer

ATTRIBUTE

Mikrotik-Xmit-Limit-Gigawords

15

integer

ATTRIBUTE

Mikrotik-Wireless-Psk

16

string

96

Segurana na Wireless
Estabelea um link entre voc e seu
parceiro:
Escolham e combinem entre si um perfil de
segurana a utilizar.

Utilizem a access list para testar o mtodo

wpa-psk com senhas individuais.

97

Management Frame Protection

RouterOS implementa uma chave de
gerenciamento de proteo de frame.
Dispositivos wireless RouterOS podem
verificar a veracidade da origem do frame
e confirmar se este frame particular
malicioso ou no.
Isso previne o atacante de lanar o tpico
ataque de desautenticao.

98

Management Protection Settings

Configurada no perfil de segurana
disabled - desabilita o recurso
allowed - habilita o recurso caso o outro lado suporte
Para o AP permite ambos metodos - com ou sem recurso
Para o cliente- conecta em APs com ou sem o mtodo

required - estabelece conexes com dispositivos

remotos somente se eles suportarem o mtodo
Para o AP aceita somente cliente que suportam o mtodo
Para o client conecta somente em APs que suportam o
mtodo.

99

Wireless WDS and MESH

100

WDS and MESH

Modos WDS:
Dynamic WDS
Static WDS

RSTP Bridge
HWMP+ MESH
Modo Reactive
Modo Proactive
Portais
101

WDS Wireless Distribution

System
WDS permite criar uma grande cobertura
wireless personalizada usando vrios
APs. O que seria impossvel fazer apenas
com um AP
WDS permite que os pacotes passem de
um AP para outro, como se os APs
fossem portas de um switch Ethernet
Os APs devem usar mesma banda,
mesmo SSID e operar no mesmo canal.
102

Wireless Distribution System

O AP (modo bridge/ap-bridge) pode criar links
WDS com:
Outro AP em modo bridge/ap-bridge
Outro AP em modo wds-slave
Um Cliente em modo station-wds

Voc deve desabilitar o DFS caso voc tenha

mais de um AP em modo bridge/ap-bridge e
sua rede WDS
A implementao do WDS pode diferenciar de
fabricamente para fabricamente portanto pode
ser que no haja compatibilidade WDS entre
diferentes fabricantes.
103

Configurao do WDS
Existem 4 modos de operao do WDS
Dynamic as interfaces WDS so criadas
automaticamente conforme se conecta a outro
dispositivo compatvel
Static as iterfaces WDS devem ser criadas
manualmente
Dynamic-mesh o mesmo que o modo dinmico,
porm com suporte HWMP+ (proprietrio Mikrotik e
no compatvel com outros fabricantes.)
Static-mesh mesmo que o modo esttico, porm
com suporte HWMP+ (proprietrio Mikrotik e no
compatvel com outros fabricantes.)
104

Configurao WDS
WDS Default Cost
custo padro das portas
da bridge para links
WDS
WDS Cost Range
margem de custo
ajustvel conforme o
throughput
WDS Ignore SSID se
deve se conectar a
outros AP WDS que
estiverem no mesmo
canal

105

Dynamic WDS
Criada por demanda, ir adicionar a
interface WDS no menu interfaces com a
flag (D).
Quando um link WDS cai, os endereos IP
a ele associado iro ficar inativos e as
portas da bridge sero removidas.
Especifique o parmetro wds-defaultbridge e atribua o endereo IP a esta
interface bridge para resolver este
problema.
106

Static WDS Interface

Exige que voc especifique manualmente
o endereo MAC do destinatrio e a
interface ao qual ser feita a conexo.
Interfaces WDS nunca desaparecem, a
no ser que voc remova ou desabilite-as
O parmetro WDS-default-bridge deve ser
alterado para none

107

Interface Static WDS

108

Link WDS Point-to-point

109

Single Band Mesh

110

Dual Band Mesh

111

WDS Mesh e Bridge

WDS Mesh no possvel sem uso de bridge
Para criar o WDS mesh todas interfaces WDS do
roteador devem ser colocadas na mesma bridge,
inclusive todas interfaces que os clientes estejam
conectados
Para evitar possveis loops na rede WDS
necessrio o uso do (Rapid) Spanning Tree
Protocol ((R)STP)
RSTP funciona mais rpido com mudanas de
topologia do que o STP, porm ambos tem
mesma funcionalidade.
112

(Rapid) Spanning Tree Protocol

(R)STP elimina a possibilidade do mesmo MAC
address ser visto por mltiplas portas da mesma
bridge desabilitando portas secundrias para
este MAC address
Primeiramente o (R)STP elege a bridge root baseado
na bridge ID
Em seguida o (R)STP usa o algoritmo de breadthfirst search tomando a root bridge com ponto de
partida
Se o algoritmo encontra o MAC address pela primeira vez
tornar o link ativo
Se o algoritmo encontra o MAC address pela segunda vez
tornar o link inativo
113

(R)STP em ao

114

Topologia (R)STP

115

Estado das porta na bridge

(R)STP
Disabled port para portas em loop
Root port caminho para a root bridge
Alternative port backup da root (s existe
no RSTP)
Designated port porta ativa de passagem
Backup port backup da designated port
(s existe no RSTP)

116

Admin MAC Address

A Bridge usa o endereo MAC da porta ativa com menor

nmero de porta.
A porta wireless est ativa somente quando existem hosts
conectados a ela.
Para evitar que os MACs fiquem variando, possvel atribuir
um MAC manualmente.
117

Configurao das portas RSTP

Cost permite
priorizar um caminho
Priority caso o custo
empate, a prioridade
ir determinar o
caminho
Horizon recurso
utilizado pelo MPLS
No encaminha o
pacote para as portas
com mesmo rtulo
118

Configurao de portas RSTP

Existem 3 opes para otimizar o
desempenho do protocolo RSTP:
Edge port indica se esta porta est
conectada a outras bridges
Point-to-point indica que esta porta esta
conectada a somente um dispositivo de rede
(WDS, wireless em modo bridge)
External-fdb permite o uso da tabela de
registro, em vez da base de dados de
encaminhamento (somente no AP)
119

Roteamento Layer-2 para redes

Mesh
MikroTik oferece uma alternativa ao RSTP - o
HWMP+
HWMP+ um protocolo Mikrotik de roteamento
em Layer-2 para rede wireless mesh
O protocolo HWMP+ por ser proprietrio no tem
compatibilidade com outros dispositivos wireless
IEEE 802.11s
HWMP+ funciona somente com:
wds-mode=static-mesh
wds-mode=dynamic-mesh
120

HWMP+
Para configurar o HWMP+ voc deve usar
o menu /interface mesh a configurao
bem similar a da bridge.
HWMP+ prov um roteamento otimizado
baseado na mtrica dos links
Para links Ethernet a mtrica configurada
estaticamente
Para links WDS a mtrica atualizada
dinamicamente dependendo do nvel de sinal
e qualidade do link
121

Modo Reactive Discover

Todos os caminhos
so descoberto por
demanda atravs
de broadcasts de
mensagens Path
Request (PREQ) na
rede.

122

Modo Reactive Response

O n ou roteador de
destino ir
responder com
mensagem Path
Response (PREP)

123

Modo Proactive Announcement

Os portais iro
anunciar sua
presena
enviando
mensagens de
Root
Announcement
(RANN) para
toda rede.

124

Modo Proactive Response

Os ns internos
iro responder com
mensagens de
Path Registration
(PREG)
Resultado
rvores de
roteamento com
origem nos
roteadores portais
125

Portais
Rotas para os portais serviro como um tipo de
rota padro
Se um roteador interno no conhece o caminho
para um determinado destino, ele ir enviar todo
trfego pelo portal mais prximo o portal ir
descobrir o caminho pelo roteador, se
necessrio. Em seguida todo trfego ir fluir
pelo portal
Isto leva a um roteamento pouco eficiente, a no
ser que o trfego seja endereado ao portal ou
outra rede que esteja ligada diretamente ao
portal.
126

Opes de configurao Mesh

Reoptimize paths envia periodicamente mensagens
PREQ solicitando endereos MAC conhecidos
Se nenhuma resposta de PREQ for recebida, o caminho atual
ser mantido (at que atinja o timeout)
Melhor para o modo Proactive e para redes mesh moveis

hwmp-preq-destination-only se no for setado ento os

Path Requests no podero ser respondidos somente
pelos roteadores destinatrios mas tambm por algum
roteador no caminho para o roteador de destino.
hwmp-preq-reply-and-forward funcional somente
quando hwmp-preq-destination-only=no; Roteador no
caminho aps a resposta passa adianta a mensagens
Path Request para o destino (com flags que somente o
destino poder responder)
127

WDS/MESH Lab
Configure seu carto wireless no modo AP Bridge com o
SSID SetorX substitua o X pelo n do seu setor
Habilite o modo Static WDS mesh
Crie um link WDS com o AP do servidor
Configure o MESH adicione a porta WDS no MESH
Use o MESH traceroute para checar as rotas para os
roteadores prximos
Crie um link WDS link com seu vizinho e adicione sua
porta ao MESH
Verifique novamente o MESH traceroute para seu
vizinho
128

Bridge Wireless Transparente

Colocar em bridge clientes Ethernets
usando WDS
Utilizar AP Bridge e Station WDS
Modo Pseudobridge com ou sem MAC
Cloning
Colocar em bridge clientes Wireless
usando WDS

129

Colocando em bridge clientes

Ethernet

130

Link AP-Station WDS

131

Station-WDS
Selecione o modo
station-wds
WDS a station
seta este modo
desabilitado
O modo StationWDS pode ser
colocado em bridge
132

Modo Pseudobridge
Usa um tipo de MAC-NAT Traduz o MAC address para
todo o trfego
Ele inspeciona os pacotes e cria uma tabela
correspondente com o IP e MAC addresses
Todos os pacotes so enviados ao AP com o MAC
address usado pela pseudobridge, em seguida os MAC
addresses dos pacotes recebidos sero restaurados a
partir da tabela de traduo
Existe somente uma entrada na tabela de traduo de
endereos para todos os pacotes no-IP - mais de um
host na rede bridge no pode usar protocolos no-IP
(pppoe por exemplo)
IPv6 no funciona com Pseudobridge
133

Modo Pseudobridge Clone

station-bridge-clone-mac usa o
endereo MAC escolhido para se conectar
ao AP
Caso escolha 00:00:00:00:00:00, a station
usar o MAC da interface wireless
Assim que o pacote com o endereo MAC
de um outro dispositivo necessita ser
transmitido, a estao ir reconectar ao
AP usando esse endereo
134

Clientes Wireless em Bridge

135

Bridge Transparente
Crie uma bridge entre voc e seu vizinho
Teste os 3 mtodos
WDS
Modo Pseudobridge
Modo Pseudobridge clone

Cheque a comunicao entre os

notebooks atrs dos roteadores.

136

MikroTik Nstreme
Nstreme um protocolo wireless
proprietrio MikroTik (incompatvel com
outros fabricantes) criado para melhorar o
desempenho de links wireless ponto-aponto e ponto-multiponto.

137

Protocolo Nstreme

Benefcios do protocolo Nstreme:

Client polling
Disable CSMA
A distncia do link no afeta o protocolo
Pequeno overhead por frame o que
permite atingir altos data rates

138

Protocolo Nstreme: Frames

framer-limit tamanho mximo do frame
framer-policy mtodo para combinar os
frames. Existem 4 modos:
none no combina pacotes
best-fit preenche o frame com a quantidade
mxima de pacotes, at atingir o limite estabelecido,
sem fragmentar
exact-size - preenche o frame com a quantidade
mxima de pacotes mesmo que seja necessrio
fragmentar o ltimo pacote
dynamic-size seleciona o melhor tamanho de frame
dinamicamente.
139

Nstreme Lab
Estabelea um link com seu vizinho e teste
o troughput
Em seguida habilite o Nstreme e teste
novamente utilizando diferentes polticas
de agrupamento de frames.

140

Nstreme Dual Protocol

Protocolo Wireless proprietrio MikroTik (no
compatvel com outros fabricantes) que funciona com
pares de cartes (somente chipsets Atheros) um
para transmitir e outro para receber

141

Interface Nstreme Dual

Coloque ambos
cartes em modo
nstreme_dual_slave
Crie a interface
Nstreme dual
Especifique o remote
MAC address O
MAC address da
interface nstreme dual
da outra ponta
Selecione uma poltica
de frame caso queira
142

802.11n

MIMO
802.11n Data Rates
Channel bonding
Frame Aggregation
Configurao dos cartes Wireless
TX-power em cartes N
Bridges Transparente em links N usando
MPLS/VPLS
143

Recursos do 802.11n

Altos data rates at 300Mbps

Suporte para canais de 20Mhz e 2x20Mhz
Funciona em 2.4 e 5ghz
Usa mltiplas antenas pra receber e
transmitir
Agregao de Frames

144

MIMO
MIMO Mltiplos Input e Mltiplos Output
SDM Spatial Division Multiplexing
Mltiplas streams espaciais atravs de
mltiplas antenas
Configurao de mltiplas antenas para
receber e transmitir:
1x1, 1x2, 1x3
2x2, 2x3
3x3
145

802.11n Data Rates

146

N card Data Rates

MikroTik 2010

147

Channel bonding 2x20Mhz

Adiciona um canal de 20Mhz ao canal
existente
Adicionado acima ou abaixo do canal
principal
Compatvel com clientes legados de
20Mhz conexo feita atravs do canal
principal
Permite utilizar altos data rates
148

Agregao de Frames
Combinando mltiplos frames de dados em um
nico frame o que diminui o overhead
Aggregation of MAC Service Data
Units (AMSDU)
Aggregation of MAC Protocol Data Units
(AMPDU)
Utiliza Reconhecimento em Bloco
Pode aumentar a latncia, por padro habilitado
somente para trfego de melhor esforo
Envio e recebimento de AMSDUs incrementa o uso
de CPU
149

Configurao do carto Wireless

150

Configurao do carto Wireless

ht-rxchains/ht-txchains qual conector do
carto ser usado para transmitir e receber
ht-amsdu-limit mximo AMSDU que o
dispositivo pode preparar
ht-amsdu-threshold mximo tamanho de
frame permitido a ser inserido no AMSDU

151

Configurao do carto Wireless

ht-guard-interval permitir utilizar um intervalo
de guarda curto
ht-extension-channel permitir utilizar o canal
de 20MHz adicional
ht-ampdu-priorities prioridades do frame para
cada AMPDU

152

TX-power para cartes N

Quando se usa dois
canais ao mesmo
tempo o tx-power
incrementado em 3db
veja a coluna totaltx-power
Quando se usa trs
canais ao mesmo
tempo o tx-power
incrementado em 5db
153

Bridge transparente em
enlaces N
WDS no suporta agregao de frames
e portanto no prov a velocidade total
da tecnologia n
EoIP incremente overhead
Para fazer bridge transparente com
velocidades maiores com menos
overhead em enlaces n devemos
utilizar MPLS/VPLS.
154

Bridge transparente em
enlaces N
Para se configurar a bridge transparente em enlaces
n, devemos estabelecer um link AP <-> Station e
configure uma rede ponto a ponto /30.
Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)
Habilitar o LDP (Label Distribution Protocol) em ambos
lados.
Adicionar a wlan1 a interface MPLS

155

Bridge transparente em
enlaces N
Configurar o tnel VPLS em ambos os lados
Crie uma bridge entre a interface VPLS e a ethernet
conectada
Confira o status do LDP e do tnel VPLS

156

Bridges VPLS - Consideraes

O tnel VPLS incrementa o pacote. Se este
pacote excede o MPLS MTU da interface de
sada, este ser fragmentado.
Se a interface ethernet suportar MPLS MTU
de 1522 ou superior, a fragmentao pode
ser evitada alterando o MTU da interface
MPLS.
Uma lista completa sobre as MTU das
RouterBoards pode ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards
157

Setup Outdoor para enlaces N

Recomendaes segundo a Mikrotik:
Teste de canal separadamente antes de
us-los ao mesmo tempo.
Para operao em 2 canais, usar
polarizaes diferentes
Quando utilizar antenas de polarizao
dupla, a isolao mnima recomendada da
antena de 25dB.
158

Enlaces n
Estabelea um link N com seu vizinho

Teste a performance com um e dois canais

Crie uma bridge transparente usando VPLS

159

Laboratrio Final
Abram um terminal
Executem: /system reset-configuration nodefaults=yes

160

OBRIGADO!

Guilherme Marques Ramires.

E-mail para contato: guilherme@mktsolutions.net.br
161