Escolar Documentos
Profissional Documentos
Cultura Documentos
CERTIFICAO MTCWE
Produzido por: Alive Solutions
www.guilhermeramires.com
Instrutor: Guilherme Ramires
AGENDA
Treinamento dirio das 09:00hs s 19:00hs
Coffe break as 16:00hs
Almoo as 13:00hs 1 hora de durao
Apresente-se a turma
Objetivo do Curso
Proporcionar conhecimento e treinamento
prtico para Mikrotik RouterOS com
recursos avanados sem fio para redes de
pequeno e mdio porte.
Introduzir a rede sem fios 802.11n
Aps a concluso do curso, voc ser
capaz de planejar, implementar, ajustar e
depurar problemas em redes wireless no
MikroTik RouterOS.
6
Tpicos
Viso geral dos padres Wireless
Ferramentas Wireless
Soluo de problemas dos clientes
wireless
Opes Avanadas Wireless
DFS e country regulation
Data Rates e TX-power
Virtual AP
7
Tpicos (cont.)
Segurana na Wireless
DIAGRAMA INICIAL
Setup na RouterBoard
Modifique seu System Identity e Radio Name por
seu XY SEU_NOME
Verifique se seu Mikrotik RouterOS est com a
verso 4.14 ou superior
Modifique seu NTP client use a.ntp.br para
primrio e b.ntp.br para secundrio
Cheque a conectividade com internet e faa um
backup da configurao
10
Padres Wireless
11
Bandas Wireless
2Ghz
B, B/G, Only-G, G-Turbo, Only-N, B/G/N,
5mhz, 10mhz
5Ghz
A, A-Turbo, Only-N, A/N, 5mhz, 10mhz
12
AR5416/AR9160/AR9220
A/B/G/N, 5Mhz*, 10Mhz*
13
Frequncias Suportadas
A/B/G Chipsets Atheros
2Ghz band: 2192-2539Mhz
5Ghz band: 4920-6100Mhz
N Chipset Atheros
2Ghz band: 2192-2539Mhz
5Ghz band: 4800-6075Mhz
14
Scan List
Frequncias padro da lista de verificao sero
mostradas em negrito no campo de freqncia
(Somente no Winbox)
Valores padro do scan-list sero mostrados
quando o pas indicado for o 'default'
Faixas de freqncia podem ser especificadas
por um trao. Ex.: 5500-5700
Frequncias exatas so especificadas por
virgulas. Ex.: 5500,5520,5540
possvel mesclar tambm.
Ex.: Default,5520,5540,5600-5700
15
Scan
Frequency Usage
Spectral Scan/History
Snooper
Align
Sniffer
16
Scan
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
Escaneia o meio.
Obs.: Qualquer operao de site survey causa
queda das conexes estabelecidas.
17
Uso de frequncias
Mostra o uso das
frequncias em todo o
espectro para site
survey conforme a
banda selecionada no
menu wireless.
18
Scan de spectro
Possvel somente em Chipsets Atheros
802.11n
Alcance
2ghz, 5ghz, canal atual ou faixa
Valores
mdia, pico mdio, interferncia, mximo,
mnimo
Exemplos classificavis
wifi, bluetooth, microondas, etc
19
Historico Spectral
Representa o espectrograma em lote
Mostra nveis de potncia impressos em
diferentes cores
Opo de udio - execues de cada linha
conforme impresso
Cada linha tocada da esquerda para a
direita, com freqncias mais elevadas
correspondendo aos valores mais elevados
no espectrograma
20
Historico Spectral
21
Spectral-scan
22
Spectral-scan
Monitora continuamente os dados espectrais
Cada linha representa um bloco do
espectrograma conforme abaixo:
Frequncia
Valor numrico mdio de rx
Caractersticas do grfico de barras
Valor mdio da potncia - ':'
Pico mdio sustentado - '.'
Mxima flutuao nica- ':'
Alinhamento
Sniffer
Ferramenta para
sniffar o ambiente
wireless captando e
decifrando pacotes.
Muito til para
detectar ataques do
tipo deauth e
monkey jack.
Pode ser arquivado
no prprio Mikrotik
ou passado por
streaming para outro
servidor com
protocolo TZSP.
25
Snooper
DFS
no radar detect: escaneia o meio
e escolhe o canal em que for
encontrado o menor nmero de
redes
radar detect: escaneia o meio e
espera 1 minuto para entrar em
operao no canal escolhido se
no for detectada a ocupao do
canal
Obs.: O modo DFS obrigatrio
no Brasil para as faixas de 52505350 e 5350-5725
27
DFS Lab
28
30
31
Soluo de problemas de
clientes wireless
ACK-timeout
CCQ
TX/RX e Signal Strength
Frames x HW-frames
Data-rate flapping
32
Tabela Registration
33
Frames x HW-frames
Retransmisses so quando a placa envia um
frame e voc no recebe de volta o
reconhecimento (ACK), ento voc envia o
frame mais uma vez at voc receber a
confirmao
Se o valor hw-frames maior que o valor de
frames, ento isso significa que o enlace est
fazendo retransmisses
No caso do Nstreme voc no pode comparar
os quadros com hw-frames
35
Usando as configuraes
avanadas para soluo de
problemas e ajustes finos a
conexo sem fio
36
Adaptive-noise-immunity
Configuration Reset
WMM
37
Wireless Advanced
38
39
HW-retries
Nmero de tentativas de envio de frames
at que a transmisso seja considerada
falha
Data rate diminuido a cada falha
Mas se no houver uma taxa inferior, 3
falhas seqenciais ativa a pausa da
transmisso on-fail-retry ento o tempo e o
contador so reiniciados
O frame ser retransmitido at o sucesso
ou at que o cliente seja desconectado
40
HW-protection
Frame protection ajuda a conter o
problema do n escondido
Proteo CTS/RTS
Proteo CTS to self
hw-protection-threshold limite de
tamanho do frame em que a proteo
deve ser usada; 0 - utilizado para todos os
frames
41
42
Proteo baseada em
CTS to self
Proteo baseada em "CTS to self"
Dispositivo dispostos a enviar frames enviam
frame CTS "para si.
Conforme o protocolo 802.11, dispositivos
que recebem este frame sabem que no
podem transmitir.
A proteo "CTS to self" causa menos
overhead, porm importante lembrar que a
proteo s funcionar para os dispositivos
que receberem o frame CTS do AP.
43
HW-fragmentation-threshold
o tamanho mximo do fragmento em bytes,
transmitido pela mdia sem fio
Este recurso permite que pacotes sejam
fragmentados antes da transmisso sobre o
meio sem fio para aumentar a probabilidade de
transmisso bem sucedida
Somente fragmentos que no foram
transmitidos corretamente sero retransmitidos.
Envio de pacote fragmentado menos eficiente
que a transmisso de pacotes no
fragmentados devido sobrecarga de protocolo
e uso de recursos em ambos lados transmisso e recepo
45
Adaptive-noise-immunity
Ajusta vrios parmetros do receptor
dinamicamente para minimizar interferncias e
rudos sobre a qualidade do sinal
Recurso proprietrio presente em Chipsets
Atheros 5212 ou superiores
Utiliza mais CPU
So 3 opes:
None desabilitado
Client-mode utilizado somente no modo station ou
station-wds
Ap-and-client-mode Habilitado em qualquer modo
(ponto-a-ponto ou ponto-multi-ponto).
46
1,2 background
0,3 best effort
4,5 video
6,7 voice
48
49
Data Rates
A velocidade em uma rede
wireless definida pela
modulao que os dispositivos
conseguem trabalhar.
Supported Rates: So as
velocidades de dados entre o AP
e os clientes.
Basic Rates: So as velocidades
que os dispositivos se
comunicam independentemente
do trfego de dados (beacons,
sincronismos, etc...)
50
Data rates
Configure o AP para permitir data rates de
at 24Mbps e teste o mximo throughput
Configure o AP para permitir somente
54Mbps e teste o mximo throughput e a
estabilidade da conexo.
52
Virtual AP
Usado para criar um novo AP com base
nas informaes fsicas do carto wireless
Funciona em cartes Atheros AR5212 e
superiores
Limitado a 128 APs por carto.
Usa diferentes endereos MAC
Pode ter seu prprio SSID, security profile,
Access/Connect-list, extenes WDS , etc.
53
Exemplo de AP Virtual
54
Virtual AP Lab
Trabalho em grupo
Conectem 2 routers por cable ethernet
Configuraes do primeiro router:
Crie duas interfaces VLAN na ethernet
Crie 2 hotspots um em cada VLAN
Em um Hotspot altere a cor do fundo da tela de login
Adicionem a linha background-color: #A9F5A9; no corpo do arquivo login.html
55
Gerenciamento de Acesso
default-forwarding (no AP) Define se os
clientes conectados ao mesmo carto podem ter
conectividade direta.
default-authentication No caso do AP define
se qualquer cliente pode conectar ao AP ou
somente os que estiverem na access list. No
caso da station o que estiver na connect list.
Sempre que houver uma access list ou
connect list, prevalece o que estiver nessas
listas.
56
Access/Connect Lists
Access List o filtro de autenticao do AP
Connect List o filtro de autenticao do cliente
As entradas nesta lista so ordenadas, assim
como no firewall, cada requisio de autenticao
ter que passar desde a primeira entrada at a
que atenda suas necessidades.
Pode existir vrias entradas para o mesmo
endereo MAC e uma nica entrada para os
demais endereos MAC.
Cada registro pode ser especificado para cada
carto ou para qualquer carto do roteador.
57
Access List
Podemos especificar uma poltica de
autenticao para uma range de nvel de sinal.
Exemplo: permitir somente conexes de clientes com
bom nvel de sinal
59
SSID
MAC address do AP
Prefixo de Area do AP
Range de nve de sinal
Security Profile
Access/Connect List
APs: Pessoas do Setor1 alterem o modo
da wireless para AP Bridge
Clientes: Pessoas do Setor2 vo conectar
aos seus parceiros equivalentes do Setor1
Garanta que voc esteja conectado ao AP
correto
Em seguida o Setor1 permitir somente
conexes do seu parceiro equivalente.
61
62
Segurana na Wireless
Autenticaes
PSK
EAP
Encriptaes
AES
TKIP
WEP
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por
padro fazem o broadcast de seu
SSID nos pacotes chamados
beacons. Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos
clientes
Scanners passivos o descobrem
facilmente pelos pacotes de
probe request dos clientes.
64
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar
muito simples com ferramentas
apropriadas e inclusive o Mikrotik como
sniffer.
Spoofar um MAC bem simples. Tanto
usando windows, linux ou Mikrotik.
65
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de
criptografia inicialmente especificado no padro
802.11 e est baseado no compartilhamento de um
segredo entre o ponto de acesso e os clientes,
usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo
do tempo e publicadas na internet, existindo vrias
ferramentas para quebrar a chave, como:
Airodump
Airreplay
Aircrack
WEP (obsoleto)
67
Fundamentos de Segurana
Privacidade
As informaes no podem ser legveis para
terceiros.
Integridade
As informaes no podem ser alteradas quando
em transito.
Autenticao
AP
Cliente: O AP tem que garantir que o cliente
quem diz ser.
Cliente
AP: O cliente tem que se certificar que
est conectando no AP correto. Um AP falso
possibilita o chamado ataque do homem do meio.
68
Privacidade e Integridade
Tanto a privacidade como a integridade so
garantidos por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA
o RC4, porm implementado de uma forma bem
mais segura que na WEP. E na WPA2 utiliza-se o
AES.
Para a integridade dos dados WPA usa
TKIP(Algoritmo de Hashing Michael) e WPA2 usa
CCM(Cipher Chaining Message Authentication
Check CBC MAC)
69
TKIP
Temporal Key Integrity Protocol o
protocolo de segurana usado em redes
wireless do tipo IEEE 802.11
TKIP a evoluo da WEP e ambas so
baseadas no algoritmo RC4
Ao contrrio da WEP a TKIP fornece
Mistura de chave por pacote,
Mensagem de verificao de integridade,
Mecanismo de re-criao de chave
70
AES-CCM
AES - Advanced Encryption Standard
um codificador em bloco que funciona com
um tamanho de bloco fixo de 128 bits e
uma chave de 128, 192 ou 256 bits
71
Unicast Cipher
Tanto no AP como na Station pelo menos
um tipo de criptografia deve ser escolhida
para que seja estabelecida conexo entre
ambos.
72
Group Cipher
Para o AP
Se um AP estiver utilizando grupos de
criptografia (AES e TKIP), o mtodo mais
seguro ser escolhido AES
Para a Station
Se uma Station usa ambos grupos de
criptografia ela ir conectar em qualquer AP
que suporte qualquer mtodo.
73
76
80
82
85
Ponto de fragilidade
86
EPA-TLS
Mtodo seguro, porm tambm no
disponvel na maioria dos equipamentos.
Em placas PCI possvel implement-lo.
88
89
91
92
Configurando o Radius
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC
Cleartext-Password:=MAC
Mikrotik-Wireless-Psk = Chave_Psk
000C42000001
Cleartext-Password:=000C42000001
Mikrotik-Wireless-Psk = 12341234
000C42000002
Cleartext-Password:=000C43000002
Mikrotik-Wireless-Psk = 2020202020ABC
95
Mikrotik
14988
ATTRIBUTE
Mikrotik-Recv-Limit
integer
ATTRIBUTE
Mikrotik-Xmit-Limit
integer
ATTRIBUTE
Mikrotik-Group
string
ATTRIBUTE
Mikrotik-Wireless-Forward
integer
ATTRIBUTE
Mikrotik-Wireless-Skip-Dot1x
integer
ATTRIBUTE
Mikrotik-Wireless-Enc-Algo
integer
ATTRIBUTE
Mikrotik-Wireless-Enc-Key
string
ATTRIBUTE
Mikrotik-Rate-Limit
string
ATTRIBUTE
Mikrotik-Realm
string
ATTRIBUTE
Mikrotik-Host-IP
10
ipaddr
ATTRIBUTE
Mikrotik-Mark-Id
11
string
ATTRIBUTE
Mikrotik-Advertise-URL
12
string
ATTRIBUTE
Mikrotik-Advertise-Interval
13
integer
ATTRIBUTE
Mikrotik-Recv-Limit-Gigawords
14
integer
ATTRIBUTE
Mikrotik-Xmit-Limit-Gigawords
15
integer
ATTRIBUTE
Mikrotik-Wireless-Psk
16
string
96
Segurana na Wireless
Estabelea um link entre voc e seu
parceiro:
Escolham e combinem entre si um perfil de
segurana a utilizar.
97
98
99
100
RSTP Bridge
HWMP+ MESH
Modo Reactive
Modo Proactive
Portais
101
Configurao do WDS
Existem 4 modos de operao do WDS
Dynamic as interfaces WDS so criadas
automaticamente conforme se conecta a outro
dispositivo compatvel
Static as iterfaces WDS devem ser criadas
manualmente
Dynamic-mesh o mesmo que o modo dinmico,
porm com suporte HWMP+ (proprietrio Mikrotik e
no compatvel com outros fabricantes.)
Static-mesh mesmo que o modo esttico, porm
com suporte HWMP+ (proprietrio Mikrotik e no
compatvel com outros fabricantes.)
104
Configurao WDS
WDS Default Cost
custo padro das portas
da bridge para links
WDS
WDS Cost Range
margem de custo
ajustvel conforme o
throughput
WDS Ignore SSID se
deve se conectar a
outros AP WDS que
estiverem no mesmo
canal
105
Dynamic WDS
Criada por demanda, ir adicionar a
interface WDS no menu interfaces com a
flag (D).
Quando um link WDS cai, os endereos IP
a ele associado iro ficar inativos e as
portas da bridge sero removidas.
Especifique o parmetro wds-defaultbridge e atribua o endereo IP a esta
interface bridge para resolver este
problema.
106
107
108
109
110
111
(R)STP em ao
114
Topologia (R)STP
115
116
HWMP+
Para configurar o HWMP+ voc deve usar
o menu /interface mesh a configurao
bem similar a da bridge.
HWMP+ prov um roteamento otimizado
baseado na mtrica dos links
Para links Ethernet a mtrica configurada
estaticamente
Para links WDS a mtrica atualizada
dinamicamente dependendo do nvel de sinal
e qualidade do link
121
122
123
124
Portais
Rotas para os portais serviro como um tipo de
rota padro
Se um roteador interno no conhece o caminho
para um determinado destino, ele ir enviar todo
trfego pelo portal mais prximo o portal ir
descobrir o caminho pelo roteador, se
necessrio. Em seguida todo trfego ir fluir
pelo portal
Isto leva a um roteamento pouco eficiente, a no
ser que o trfego seja endereado ao portal ou
outra rede que esteja ligada diretamente ao
portal.
126
WDS/MESH Lab
Configure seu carto wireless no modo AP Bridge com o
SSID SetorX substitua o X pelo n do seu setor
Habilite o modo Static WDS mesh
Crie um link WDS com o AP do servidor
Configure o MESH adicione a porta WDS no MESH
Use o MESH traceroute para checar as rotas para os
roteadores prximos
Crie um link WDS link com seu vizinho e adicione sua
porta ao MESH
Verifique novamente o MESH traceroute para seu
vizinho
128
129
130
131
Station-WDS
Selecione o modo
station-wds
WDS a station
seta este modo
desabilitado
O modo StationWDS pode ser
colocado em bridge
132
Modo Pseudobridge
Usa um tipo de MAC-NAT Traduz o MAC address para
todo o trfego
Ele inspeciona os pacotes e cria uma tabela
correspondente com o IP e MAC addresses
Todos os pacotes so enviados ao AP com o MAC
address usado pela pseudobridge, em seguida os MAC
addresses dos pacotes recebidos sero restaurados a
partir da tabela de traduo
Existe somente uma entrada na tabela de traduo de
endereos para todos os pacotes no-IP - mais de um
host na rede bridge no pode usar protocolos no-IP
(pppoe por exemplo)
IPv6 no funciona com Pseudobridge
133
135
Bridge Transparente
Crie uma bridge entre voc e seu vizinho
Teste os 3 mtodos
WDS
Modo Pseudobridge
Modo Pseudobridge clone
136
MikroTik Nstreme
Nstreme um protocolo wireless
proprietrio MikroTik (incompatvel com
outros fabricantes) criado para melhorar o
desempenho de links wireless ponto-aponto e ponto-multiponto.
137
Protocolo Nstreme
138
Nstreme Lab
Estabelea um link com seu vizinho e teste
o troughput
Em seguida habilite o Nstreme e teste
novamente utilizando diferentes polticas
de agrupamento de frames.
140
141
802.11n
MIMO
802.11n Data Rates
Channel bonding
Frame Aggregation
Configurao dos cartes Wireless
TX-power em cartes N
Bridges Transparente em links N usando
MPLS/VPLS
143
Recursos do 802.11n
144
MIMO
MIMO Mltiplos Input e Mltiplos Output
SDM Spatial Division Multiplexing
Mltiplas streams espaciais atravs de
mltiplas antenas
Configurao de mltiplas antenas para
receber e transmitir:
1x1, 1x2, 1x3
2x2, 2x3
3x3
145
146
MikroTik 2010
147
Agregao de Frames
Combinando mltiplos frames de dados em um
nico frame o que diminui o overhead
Aggregation of MAC Service Data
Units (AMSDU)
Aggregation of MAC Protocol Data Units
(AMPDU)
Utiliza Reconhecimento em Bloco
Pode aumentar a latncia, por padro habilitado
somente para trfego de melhor esforo
Envio e recebimento de AMSDUs incrementa o uso
de CPU
149
150
151
152
Bridge transparente em
enlaces N
WDS no suporta agregao de frames
e portanto no prov a velocidade total
da tecnologia n
EoIP incremente overhead
Para fazer bridge transparente com
velocidades maiores com menos
overhead em enlaces n devemos
utilizar MPLS/VPLS.
154
Bridge transparente em
enlaces N
Para se configurar a bridge transparente em enlaces
n, devemos estabelecer um link AP <-> Station e
configure uma rede ponto a ponto /30.
Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)
Habilitar o LDP (Label Distribution Protocol) em ambos
lados.
Adicionar a wlan1 a interface MPLS
155
Bridge transparente em
enlaces N
Configurar o tnel VPLS em ambos os lados
Crie uma bridge entre a interface VPLS e a ethernet
conectada
Confira o status do LDP e do tnel VPLS
156
Enlaces n
Estabelea um link N com seu vizinho
159
Laboratrio Final
Abram um terminal
Executem: /system reset-configuration nodefaults=yes
160
OBRIGADO!