Você está na página 1de 49

Projetando e operando Redes com Segurana e Desempenho com Mikrotik RouterOS

Eng. Wardner Maia MD Brasil Mikrotik Brasil


1

genda
presenta!o do Mikrotik " MD Brasil " MikrotikBrasil Principais #opologias de Redes para pro$imento de acesso utili%adas por pe&uenos"m'dios operadores Pro(lemas de Segurana )imita*es de Per+ormance Recursos para pro$er Segurana com Mikrotik RouterOS Solu*es para aumento de Per+ormance e ,oS com Mikrotik liando Segurana- Per+ormance e alta disponi(ilidade
2

O &ue ' o Mikrotik RouterOS .


/m poderoso sistema operacional 0carrier class1 &ue pode ser instalado em um P2 comum ou placa SB2 3Single Board 2omputer4- podendo desempenhar as +un*es de5
Ponto de cesso Wireless modo 678.99 e propriet:rio R:dio para enlaces ponto a ponto de longa distancia Bridge com recursos de +iltros Poderoso ;ire<all 2ontrolador de Banda e ,oS 2oncentrador de t=neis e >P?@s 3PPPoE- PPtP- APSe2- )8#P- etc4 Roteador de Borda com protocolos RAP- OSP; e BBP Ser$idor DialCin e DialCout Dotspot e gerenciador de usu:rios WEB ProEF Recursos de Bonding- >RRP- etc- etc.
3

Mikrotik RouterOS uma pe&uena histGria de grande sucesso 9HHI5 Primeira rede Wa$elan em H9JMD% em Riga- 3)at$ia4 9HHJ5 Solu*es para WASP@s em $:rios paKses 9HHL5 Pu(licado na Anternet o paper 0Wireless Anternet ccess in )at$ia1 9HHL5 Ancorporada e ;undada a empresa Mikro#ikls 87785 Desen$ol$imento de Dard<are prGprio E&uipe de M7 desen$ol$edores (aseados em Riga C )at$ia tualmente5 O RouterOS da Mikrotik tende a ser um padr!o de +ato para pro$edores de ser$io internet podendo ser inclusi$e um +orte concorrente com gigantes como a 2isco e outros.
4

MikrotikBrasil
Consultoria, Treinamentos Integrao de Equipamentos

MikrotikBrasil C OEM Sales Program 3inKcio de 877L4

MikrotikBrasil South merica Distri(utors 3janeiro de 877M4

MikrotikBrasil C #raining Partners in mericas 3Nulho " 877M4

Mikrotik O Wireless

2on+igura*es ;Ksicas " Banda


Resumo dos padr*es AEEE empregados e suas caracterKsticas5 Padro IEEE 678.99( 678.99g 678.99a Freqncia 8.P Bh% 8.P Bh% J Bh% Tecnologia DSSS O;DM O;DM Velocidades 9- 8- J.J e 99m(ps L- H- 98- 96- 8P- IL P6 e JP m(ps L- H- 98- 96- 8P- IL P6 e JP m(ps

OBS5 2art*es n j: disponK$eis com pacote 0<irelessCtest1


10

2anali%a!o em 678.99a Modo #ur(o

Maior troughput Menor n=mero de canais Maior $ulnera(ilidade a inter+erQncias Re&uerida sensi(ilidade maior Diminui nK$el de potencia de #E
11

2anali%a!o em 678.99a Modos 97 e J Mh%

Menor troughput Maior n=mero de canais Menor $ulnera(ilidade a inter+erQncias Re&uerida menor sensi(ilidade umenta nK$el de potencia de #E
12

R R R

Recorte de tela efetuado: 8/6/2008, 9:06 PM

2on+igura*es da camada ;Ksica ?streme


Enable #stre e: Da(ilita o ?streme. 3 s op*es a(aiEo dessa sG +a%em sentido estando esta ha(ilitada.4 Enable Polling: Da(ilita o mecanismo de Polling. Recomendado Disable CSMA: Desa(ilita o 2arrier Sense. Recomendado Fra er Polic!: PolKtica em &ue ser!o agrupados os pacotes5 dFnamic si%e5 O Mikrotik determina (est +it5 agrupa at' o $alor de+inido em ;ramer )imit sem +ragmentar eEact si%e5 agrupa at' o $alor de+inido em ;ramer )imit +ragmentando se necess:rio Fra er "i it: #amanho m:Eimo do pacote em BFtes.
13

R R R

Recorte de tela efetuado: 8/6/2008, 9:06 PM

2on+igura*es da camada ;Ksica Prop. EEtensions e WMM support


Pro$rietar! E%tensions: Op!o com a =nica +inalidade de dar compati(ilidade ao Mikrotik com chipsets 2entrino 3postC8.H.8J4 &MM s'$$ort5 ,oS no meio +Ksico 3678.99e4 enabled: permite &ue o outro dispositi$o use <mm req'ired: re&uer &ue o outro dispositio use <mm
14

Discuss!o das topologias de redes utili%adas por pe&uenos"m'dios operadores e seus pro(lemas

15

#o Bridge- or not to Bridge .

16

Rede em Bridge

Bate<aF dos clientes ' o gate<aF de (orda /m sG domKnio de (roadcast

Rede Roteada

Bate<aF dos clientes ' sua #orre DomKnios de (roadcast segregados

Principais caracterKsticas das redes em Bridge


Redes com o mesmo domKnio de (roadcast. lto #r:+ego in=til"indesejado 2lientes se 0enEergam1 na camada AA 3enlace4 2lientes com recursos compartilhados podem ser +acilmente in$adidos ;:cil propaga!o de $Krus- aumentando ainda mais os pro(lemas de tr:+ego. Rede com s'rios pro(lemas de per+ormance S
19

Redes AP em Bridge 3sem isola!o na camada AA4


2om DD2P- sujeita a DD2P +also ;:cilmente 0sni++:$el1 usu:rios n!o tem pri$acidade. /su:rios sujeitos a ata&ues de spoo+ de RP. ta&ue do homemCdoCmeio muito +:cil de ser +eito. Rede pode ser in$adida por simples spoo+ de M 2 e ou M 2 TAP Rede com s'rios pro(lemas de segurana S
20

Solu*es Mikrotik para isolar a camada AA uma sG inter+ace

De+ault +or<ard desa(ilitado nas placas e nos access lists

21

Solu*es Mikrotik para isolar a camada AA 3mais de uma inter+ace em (ridge4

E &uando tudo $ai para uma s<itch sem >lan .

22

PPPoE ' solu!o.


/su:rios n!o autenticam o Ser$idor sujeitos ao ata&ue do DomemCdoCmeio. ta&ue de nega!o de ser$io com PPPoE +also ta&ues de nega!o de ser$io por m=ltiplas re&uisi*es ;iltros de Bridge &ue deiEam sG passar PPPoE disco$erF e PPPoE session e$itam tr:+ego indesejado mas ata&ues M 2@s spoo+ados n!o d!o direito a na$ega!o mas prejudicam usu:rios PPPoE no ( sol')o &uando n!o se tem criptogra+ia e nem isola!o entre clientes S
23

Dotspot ' solu!o.


/su:rios n!o autenticam o Ser$idor sujeitos ao ata&ue do DomemCdoCmeio. ta&ue de nega!o de ser$io com Dotspot +also M 2@s spoo+ados d!o a na$ega!o de primeira se o Dotspot esti$er usando DD2P M 2@s spoo+ados T AP desco(eto d!o a na$ega!o mesmo sem utili%ar DD2P *ots$ot no ( sol')o &uando n!o se tem criptogra+ia e nem isola!o entre clientes S

24

Prote!o de+initi$a da camada de enlace


U tolice pensar &ue uma rede Wireless est: segura &uando n!o usa criptogra+ia implementa!o de criptogra+ia em uma rede pode ser +eita de in=meras maneiras- mais ou menos e+icientes. maneira mais segura &ue seria com 2erti+icados digitais Anstalados em todos e&uipamentos ' limitada pela ponta cliente &ue nem sempre tem o suporte ade&uado O Mikrotik tem uma solu!o intermedi:ria muito interessante &ue ' a distri(ui!o de cha$es PSV indi$iduais por cliente
25

Mtodo alternativo Mikrotik


O Mikrotik na $ers!o >I o+erece a possi(ilidade de distri(uir uma cha$e WP 8 por cliente . Essa cha$e ' con+igurada no ccess )ist do P e ' $inculada ao M 2 address do cliente- possi(ilitando &ue cada cliente tenha sua cha$e.

2adastrar por'm nos access lists- $oltamos ao pro(lema da cha$e ser $isK$el a usu:rios do Mikrotik S
26

Prote!o de+initi$a da camada de enlace


/ma cha$e PSV por cliente- distri(uida por Radius.

27

Prote!o e controle da camada AAA


/ma $e% de$idamente protegida a camada de enlace- ' necess:rio proteger a camada de rede. internos Regras de +ire<all negando coneE*es entre os clientes Regras protegendo tr:+ego 0insano1 Protegendo ata&ues di$ersos. Reconhecendo e controlando o tr:+ego.

28

;ire<all do Mikrotik
;ire<all State+ul 2onnection #racking 2anais de+inidos pelo usu:rio para otimi%a!o e administra!o do ;ire<all ;iltro de pacotes por AP de origem- destino- protocolo- portas+lags- conte=dos- etc Recursos para detectar e e$itar Ping ;lood- Port Scan- DoS attack e dDoS attack ? # de origem- ? # de destino- ? # 959 Permite (alanceamento de carga por coneE!o mplos recursos de marca!o de pacotes- reconhecimento de coneE*es- P8P- )M para uso em ,oS e outras aplica*es dress )ists para arma%enamento est:tico ou dinamico de grupos de endereos etc- etc

29

Medidas de segurana complementares


U sempre (om lem(rar &ue eEistem medidas complementares e nem por isso de menor importancia &ue de$em ser tomadas5 Senhas de SSD- WEB- #elnet- etc de transceptores Ser$ios &ue podem rodar nati$amente nesses e&uipamentos O uso regular do ?ESS/S ou outra +erramenta de auditoria pode re$elar muitas $ulnera(ilidades interessantes.

30

Disponi(ilidade de redes em Bridge


O Mikrotik pode garantir a redundancia de enlaces em uma rede em Bridge /tili%ando5 S#P " RS#P ou Protocolo propriet:rio DWMPT

31

Disponi(ilidade de redes Roteadas

Protocolos de roteamento dinamico podem ser usados n!o sG para a distri(ui!o de rotas- como para pro$er redundancia. MME OSP;

32

Roteamento DinWmico

O Mikrotik suporta roteamento dinWmico com os protocolos5 RAP >ers!o 9 e 8 BBP Border Bate<aF Protocol OSP; Open Shortest Path ;irst

OSP;
?a $ers!o atual routingCtest ' tam(em suportado o OSP;C>I para AP>L

BBP

33

OSP;

34

#=nel APAP esta(elecido entre 9H8.9L6.977.XY e 9M8.9L.8JJ.9

2en:rio MME

35

#=neis e >P?@s

O Mikrotik d: suporte a5 #=neis APAP #=neis EoAP 3propriet:rio Mikrotik4 Pode ser Ser$idor ou cliente de PPP- PPtP- )8#P- PPPoE Podem ser criados t=neis criptogra+ados com APSE2
36

2ontrole de Banda O ,oS

37

#ipos de ;ilas

38

Bursts

Bursts s!o usados para permitir altas taEas de dados por um curto perKodo de tempo. Os parametros &ue controlam o Burst s!o5 (urstClimit5 limite m:Eimo &ue alcanar: (urstCtime5 tempo &ue durar: o (urst (urstCthreshold5 patamar onde comea a limitar maEClimit5 MAR

39

R R R

Recorte de tela efetuado: 8/20/2008, 11:19 AM

#Fpe o+ Ser$ide 3Ap$P4 " #ra++ic 2lass 3AP>L4

40

R R R

Recorte de tela efetuado: 8/20/2008, 11:19 AM

#oS e DS2P

41

R R R

Recorte de tela efetuado: 8/20/2008, 11:19 AM

Wireless Multimidia 3WMM4 678.99e

42

)imita!o de Banda e ,oS

P2, ' disciplina de +ilas &ue permite a e&uali%a!o de +luEos de +orma simples e e+iciente

J98k

ou
986k LPk
LPk

8JLk J98k J98k 8JLk

LPk

2om D#B ' possK$el implementar :r$ores de ;ilas e priori%ar +luEos por portas ou ser$ios
43

Amplementa!o de WP 8 por cliente com Radius na MD Brasil

44

2ase MD Brasil
Pontos de acesso5 Mikrotik RB9II somente como P Bridge c" I cart*es RJ8- m'dia 8J clientes p" cart!o 977Z clientes com WP 8 atri(uKda por Radius

45

2ase MD Brasil
2lientes primeiro autenticamCse por M 2 T PSV indi$idual 3transaparente p" cliente Em seguida ' pedida autentica!o Dotspot para cada cliente. op!o por Dotspot nada tem a $er com a segurana. U somente uma op!o de negGcio

OBS desta&ue para o uptime S

46

2ase MD Brasil
Dotspot T We( ProEF rodam localmente em todos pontos de acesso com mais concentra!o de clientes. We(CProEF@s dos pontos de acesso arma%enam o(jetos pe&uenos We(CProEF central 3n!o Mikrotik4 arma%ena o(jetos grandes.

47

Programa de 2erti+ica!o Mikrotik " MDBrasil

MTC#A Mikrotik 2erti+ied ?et<ork ssociate MTC&E Mikrotik 2erti+ied Wireless Engineer MTC+E Mikrotik 2erti+ied Routing Engineer MTTCE Mikrotik 2erti+ied #ra++ic 2ontrol Engineer MTC,ME MAkrotic 2erti+ied /ser Management Engineer
48

O(rigado S
Wardner Maia maia[mikrotik(rasil.com.(r

49