Escolar Documentos
Profissional Documentos
Cultura Documentos
Lancore Mikrotik Mtcna PDF
Lancore Mikrotik Mtcna PDF
CERTIFICAO MTCNA
AGENDA
APRESENTE-SE A TURMA
Diga seu nome;
Sua empresa;
Seu conhecimento sobre o RouterOS;
Seu conhecimento com redes;
O que voc espera do curso;
OBJETIVOS DO CURSO
ROUTERBOARDS
So hardwares criados pela Mikrotik;
Atualmente existe uma grande variedade de
RouterBoards.
MIKROTIK ROUTEROS
Alm
INSTALAO DO ROUTEROS
10
Os pacotes combinados
E os pacotes individuais
11
INSTALANDO PELO CD
12
PACOTES DO ROUTEROS
13
PACOTES DO ROUTEROS
14
INSTALANDO PELO CD
15
16
17
Coloque na mquina os
pacotes a serem instalados
Bootar e selecionar os
pacotes a serem instalados
18
PRIMEIRO ACESSO
Via terminal
Via Winbox
19
CONECTANDO....
Cabo
Ethernet
Winbox
20
CONSOLE NO MIKROTIK
21
CONSOLE NO MIKROTIK
22
CONSOLE NO MIKROTIK
23
CONSOLE NO MIKROTIK
24
CONSOLE NO MIKROTIK
Comando Export
Comando Import
25
WINBOX
26
27
28
29
MANUTENO DO MIKROTIK
Atualizao
Gerenciando pacotes
Backup
ATUALIZAES
32
PACOTES
PACOTES
34
BACKUP
35
LICENCIAMENTO
A formatao com
outras ferramentas
muda o software-id
causa a perda da
licena.
36
DVIDAS ???
37
38
40
CAMADA II - ENLACE
41
ENDEREO MAC
42
43
ENDEREO IP
44
SUB REDE
End. de Rede
End. Broadcast
192.168.0.1/24
192.168.0.0
192.168.0.255
192.168.0.1/25
192.168.0.0
192.168.0.127
192.168.0.1/26
192.168.0.0
192.168.0.63
192.168.0.200/26
192.168.0.192
192.168.0.255
45
ENDEREAMENTO CIDR
46
1.
2.
3.
47
CAMADA IV - TRANSPORTE
CAMADA IV - TRANSPORTE
Protocolo TCP:
Protocolo UDP:
49
PORTAS TCP
Protocolo
TCP
FTP
Porta 21
SSH
Porta 22
Telnet
Porta 23
WEB
Porta 80
UDP
No garante ou no confirma
entrega dos dados.
53
DVIDAS ????
54
DIAGRAMA INICIAL
55
CONFIGURAO DO ROUTER
56
CONFIGURAO DO ROUTER
2
57
CONFIGURAO DO ROUTER
58
CONFIGURAO DO ROUTER
59
TESTE DE CONECTIVIDADE
Analisar os resultados
60
UTILIZAO DO NAT
4
63
TESTE DE CONECTIVIDADE
Analisar os resultados;
GERENCIANDO USURIOS
65
GERENCIAMENTO DE USURIOS
66
ATUALIZANDO A ROUTERBOARD
WIRELESS NO MIKROTIK
68
CONFIGURAES FSICAS
Padro
IEEE
Frequncia
Tecnologia
Velocidades
802.11b
2.4 Ghz
DSSS
1, 2, 5.5 e 11 Mbps
802.11g
2.4 Ghz
OFDM
802.11a
5 Ghz
OFDM
802.11n
69
802.11B - DSSS
70
Canal 1
2.412
GHz
Canal 6
2.437
GHz
Canal 11
2.462
GHz
71
2.4Ghz-B: Modo
802.11b, que permite
velocidades de 1 11
Mbps e utiliza
espalhamento espectral.
2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 54
Mbps e utiliza OFDM.
2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado
para ser usado somente em processo de migrao.
72
Faixa alta:
73
Faixa Mdia
Faixa Alta
5150-5250
5250-5350
5470-5725
5725-5850
Largura
100 Mhz
100 Mhz
255 Mhz
125 Mhz
Canais
4 canais
4 canais
11 canais
5 canais
Deteco de
radar
obrigatria
Deteco de
radar
obrigatria
74
75
Menor troughput
76
Maior troughput
77
PADRO 802.11N
INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Potncia de TX em cartes N
78
MIMO
2x2, 2x3;
3x3
79
80
81
82
CONFIGURANDO NO MIKROTIK
HT Tx Chains / HT Rx Chains:
No caso dos cartes n a
configurao da antena
ignorada.
83
CONFIGURANDO NO MIKROTIK
84
CONFIGURANDO NO MIKROTIK
85
87
88
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_Router
Boards
89
ENLACES N
92
93
95
96
97
Dados
ACK
Dispositiv
o B
99
100
Escaneia o meio.
101
102
103
104
105
106
107
108
109
110
Redes ethernet
tradicionais utilizam o
mtodo CSMA/CD
(Colision Detection).
111
Framer Policy
Dynamic size: O Mikrotik
determina.
112
113
114
115
116
117
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
119
WDS Mode
dynamic: As interfaces wds so adicionada dinamicamente quando um
dispositivo wds encontra outro compatvel.
120
WDS / MESH
121
WDS / MESH
122
123
1.
2.
3.
124
125
126
127
FALSA SEGURANA
Pontos negativos:
128
FALSA SEGURANA
Controle de MACs:
129
FALSA SEGURANA
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar
a chave, como:
Airodump
Airreplay
Aircrack
130
131
FUNDAMENTOS DE SEGURANA
Privacidade
Integridade
Autenticao
AP
Cliente: O AP tem que garantir que o cliente quem diz
ser.
Cliente
AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
ataque do homem do meio.
132
PRIVACIDADE E INTEGRIDADE
Tanto a privacidade como a integridade so garantidos
por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA o RC4,
porm implementado de uma forma bem mais segura que na
WEP. E na WPA2 utiliza-se o AES.
133
A configurao da chave
WPA/WAP2-PSK muito simples
no Mikrotik.
135
136
137
138
1.
2.
3.
Assinar as requisies na CA
4.
5.
139
O metodo EAP-TLS
tambm pode ser usado
com certificados.
140
Metodos TLS
141
142
TIPOS DE EAP
143
A configurao da parte do
cliente bem simples.
Selecione o certificado
correspondente.
145
Ponto de
fragilidade
146
WPA-PSK
EAP-TLS e EAP-PEAP:
EPA-TLS
148
149
150
Configurando o perfil:
151
CONFIGURANDO O RADIUS
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC
#
Cleartext-Password:=MAC
Mikrotik-Wireless-Psk = Chave_Psk
000C42000001
Cleartext-Password:=000C42000001
Mikrotik-Wireless-Psk = 12341234
000C42000002
Cleartext-Password:=000C43000002
Mikrotik-Wireless-Psk = 2020202020ABC
152
Mikrotik
14988
ATTRIBUTE
ATTRIBUTE
Mikrotik-Recv-Limit
Mikrotik-Xmit-Limit
1
2
integer
integer
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
Mikrotik-Group
Mikrotik-Wireless-Forward
Mikrotik-Wireless-Skip-Dot1x
Mikrotik-Wireless-Enc-Algo
Mikrotik-Wireless-Enc-Key
Mikrotik-Rate-Limit
8
Mikrotik-Realm
Mikrotik-Host-IP
Mikrotik-Mark-Id
Mikrotik-Advertise-URL
Mikrotik-Advertise-Interval
Mikrotik-Recv-Limit-Gigawords 14
Mikrotik-Xmit-Limit-Gigawords 15
3
4
5
6
7
string
9
10
11
12
13
integer
integer
string
integer
integer
integer
string
ATTRIBUTE
Mikrotik-Wireless-Psk
16
string
string
ipaddr
string
string
integer
153
FIREWALL NO MIKROTIK
154
FIREWALL
FIREWALL - OPES
156
157
Deciso de
Roteamento
Interface de
Saida
Processo Local
IN
Processo Local
OUT
Filtro Input
Filtro Output
Deciso de
Roteamento
Filtro Forward
http://wiki.mikrotik.com/wiki/Manual:Packet_F
low
158
1.
2.
3.
159
5.
6.
160
161
162
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
Canal
criado pelo
usurio
165
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
RETURN
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
Caso exista
alguma regra de
RETURN, o
retorno feito de
forma antecipada e
as regras abaixo
sero ignoradas.
166
Aes:
167
168
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter seu
endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que estejam na
lista libera_winbox
169
170
171
Interface de
Entrada
Processo Local
IN
Conntrack
Deciso de
Roteamento
Processo Local
OUT
Interface de
Saida
Conntrack
Filtro Input
Filtro Output
Filtro Forward
Deciso de
Roteamento
172
FIREWALL
PROTEGENDO O ROTEADOR E OS CLIENTES
174
176
177
Controle de ICMP
179
IPs Bogons:
Existem mais de 4 milhes de endereos IPV4.
Existem muitas ranges de IP restritos em rede pblicas.
Existem vrias ranges reservadas para propsitos
especficos.
Uma lista atualizada de IPs bogons pode ser encontrada em:
http://www.team-cymru.org/Services/Bogons/bogon-dd.html
IPs Privados:
180
Ping Flood:
181
Port Scan:
Consiste no escaneamento de portas TCP e UDP.
A deteco de ataques somente possvel para o protocolo TCP.
Portas baixas (0 1023)
Portas altas (1024 65535)
182
Ataques DoS:
183
Ataques DoS:
184
185
Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando no
entanto o atacante
trafegar.
186
Ataque dDoS:
FIREWALL - NAT
DST
SRC
NAT
Novo SRC
DST
DST
DST
NAT
SRC
Novo DST
188
FIREWALL - NAT
189
Conntrack
Interface de
Saida
Processo Local
IN
dstnat
Deciso de
Roteamento
Filtro Input
Processo Local
OUT
Conntrack
srcnat
Filtro Output
Deciso de
Roteamento
190
Filtro Forward
FIREWALL - NAT
191
FIREWALL - NAT
192
FIREWALL - NAT
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.10 pela
porta 6380.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.20 pela
porta 6480.
193
FIREWALL - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso
bi-direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
194
Hosts atrs de uma rede nateada no possuem conectividade fima-fim verdadeira. Por isso alguns protocolos podem no funcionar
corretamente neste cenrio. Servios que requerem iniciao de
conexes TCP fora da rede, bem como protocolos stateless como
UDP, podem no funcionar. Para resolver este problema, a
implementao de NAT no Mikrotik prev alguns NAT Helpers
que tm a funo de auxiliar nesses servios.
195
FIREWALL MANGLE
196
FIREWALL MANGLE
197
Mangle
Prerouting
Processo Local
IN
Processo Local
OUT
Mangle Input
Mangle
Output
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Forward
Interface de
Saida
Mangle
Postrouting
198
FIREWALL MANGLE
199
FIREWALL MANGLE
Marcando conexes:
FIREWALL MANGLE
Marcando pacotes:
FIREWALL ESTRUTURA
202
203
FIREWALL - MANGLE
FIREWALL - MANGLE
205
FIREWALL - MANGLE
206
DVIDAS ???
207
208
Limite de banda: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda
de 1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes
por segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou
tambm chamado de Taxa ou Velocidade de Transferncia ou (throughput), que varia
aproximadamente entre 10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo,
numa velocidade de 56kbps, voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps
aproximadamente, enquanto numa banda de 256kbps, voc conseguir uma Taxa de
209
Transferncia de aproximadamente entre 25kbps a 30,7kbps
TRAFFIC SHAPING
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao do
trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o uso da
largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de tecnologias "voz
sobre ip" (VoIP), que permitem a conversao telefnica atravs da internet. O uso desta
tecnologia permite que a comunicao entre localidades distintas tenham seus custos
drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de condenada por
algumas instituies protetoras dos direitos do consumidor. Estas empresas utilizam programas
de gesto de dados que acompanham e analisam a utilizao e priorizam a navegao,
bloqueando ou diminuindo o trafego de dados VoIP, assim prejudicando a qualidade do uso deste
tipo de servio. A prtica tambm comumente adotada para outros tipos de servios, conhecidos
por demandar grande utilizao da largura de banda, como os de transferncia de arquivos, por
exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores, capturar
informaes sobre IPs acedidos, ativar gravaes automticas a partir de determinadas
condutas, reduzir ou interferir na transferncia de dados de cada utilizador, bloqueando redes
peer-to-peer (P2P) ou FTP.
210
QUALIDADE DE SERVIO
211
QUALIDADE DE SERVIO
QUALIDADE DE SERVIO
213
FILAS - QUEUES
214
TIPOS DE FILAS
Uma vez adicionada uma fila para uma interface fsica, a fila padro
da interface, definida em queue interface, no ser mantida. Isso
significa que quando um pacote no encontra qualquer filtro, ele
enviado atravs da interface com prioridade mxima.
215
TIPOS DE FILAS
216
CONTROLE DE TRFEGO
217
CONTROLE DE TRFEGO
218
CONTROLE DE TRFEGO
Classes:
Filters:
Policers:
219
220
221
SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024
sub-filas disponveis.
recomendado o uso de SFQ em links congestionados para
garantir que as conexes no degradem. SFQ especialmente
recomendado em conexes wireless.
223
224
225
QOS - HTB
226
QOS - HTB
Exemplo de HTB
QOS - HTB
Exemplo de HTB
QOS - HTB
Termos do HTB:
229
QOS - HTB
Termos do HTB:
Inner Class: Uma classe que tenha uma ou mais classes filhas
ligada a ela. No armazenam quaisquer pacotes, ento qdiscs
no podem ser associadas a elas. S fazem limitao de trfego.
Definio de prioridade tambm ignorada.
Leaf class: Uma classe que tenha classe pai, mas ainda no tem
classe filha. Leaf class esto sempre localizadas no level 0 da
hierarquia.
Self feed: Uma sada fora da rvore HTB para a interface onde
todos os pacotes das classes ativas no seu nvel de hierarquia vo.
Existe uma self feed por level, cada uma constituda por 8 self
slots, que representam prioridades.
230
QOS - HTB
Termos do HTB:
Auto slot: Um elemento de uma self feed que corresponde a cada
prioridade. Existe um auto slot por nvel. Todas as classes ativas
no mesmo nvel, com a mesma prioridade, so anexados a um
auto slot que enviam os pacotes para fora.
Active class: Uma class que est associada a um auto slot em
determinado nvel.
Inner feed: Semelhante a uma self feed, constitudos de inner
self slots, presentes em cada classe interior. Existe um inner feed
por inner class.
Inner feed slot: Similar a auto slot. Cada inner feed
constitudo de inner slots os quais representam uma prioridade. 231
QOS - HTB
QOS - HTB
Interfaces:
Interface de
Entrada
Mangle
Prerouting
Global-in
Processo Local
IN
Processo Local
OUT
Interface de
Saida
Mangle Input
Mangle
Output
Global-out
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Prerouting
Mangle
Forward
234
FILAS SIMPLES
235
236
max-limite=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
237
UTILIZAO DO PCQ
238
UTILIZAO DO PCQ
Caso 2
239
UTILIZAO DO PCQ
240
UTILIZAO DO PCQ
241
ARVORES DE FILA
A rvore de fila tambm a nica maneira para adicionar uma fila em uma
interface separada.
242
ARVORES DE FILA
Dentre as propriedades
configurveis podemos destacar:
ARVORES DE FILA
QUEUE
MARCA
LIMIT-AT
MAX-LIMIT
PRIORITY
Q1
C1
10M
30M
Q2
C2
1M
30M
Q3
C3
1M
30M
Q4
C4
1M
30M
Q5
C5
1M
30M
244
ARVORES DE FILA
245
ARVORES DE FILA
246
DVIDAS???
247
TNEIS E VPN
248
VPN
249
VPN
TUNELAMENTO
251
252
253
254
255
2.
257
258
259
260
262
SEGURANA NO PPPOE
265
PPTP E L2TP
O trfego L2TP utiliza protocolo UDP tanto para controle como para
pacote de dados. A porta UDP 1701 utilizada para o estabelecimento
do link e o trfego em si utiliza qualquer porta UDP disponvel, o que
significa que o L2TP pode ser usado com a maioria dos Firewalls e
Routers, funcionando tambm atravs de NAT.
266
267
Configure os servidores
PPTP e L2TP.
Atente para utilizar o
perfil correto.
Configure nos hosts
locais um cliente PPTP e
realize conexo com um
servidor da outra rede.
268
269
TNEIS IPIP
270
TNEIS IPIP
Supondo que temos que unir as redes que esto por trs
dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma:
271
TNEIS IPIP
272
TNEIS EOIP
TNEIS EOIP
TNEIS EOIP
DVIDAS ????
276
HOTSPOT NO MIKROTIK
277
HOTSPOT
HOTSPOT
Setup do HotSpot:
1.
2.
3.
4.
279
HOTSPOT
5.
6.
7.
8.
Setup do HotSpot(cont.):
Indique o endereo IP do
seu servidor smtp, caso
queira.
D o endereo IP dos
servidores DNS que iro
resolver os nomes para os
usurios do hotspot.
D o nome do DNS que ir
responder aos clientes ao
invs do IP.
Adicione um usurio
padro.
280
HOTSPOT
281
282
Login by:
284
285
286
8 segundos de burst
6 de prioridade
287
288
289
290
HOTSPOT USURIOS
291
HOTSPOT USURIOS
292
HOTSPOT USURIOS
HOTSPOT ACTIVE
294
HOTSPOT IP BINDINGS
O Mikrotik por default tem habilitado o universal client que uma facilidade
que aceita qualquer IP que esteja configurado no cliente fazendo com ele um
NAT 1:1. Esta facilidade denominada DAT na AP 2500 e eezee no StarOS.
possivel tambm fazer tradues NAT estticas com base no IP original, ou IP
da rede ou MAC do cliente. possvel tambm permitir certos endereos
contornarem a autenticao do hotspot. Ou seja, sem ter que logar na rede
295
inicialmente. Tambm possvel fazer bloqueio de endereos.
HOTSPOT IP BINDINGS
HOTSPOT PORTS
298
300
HOTSPOT COOKIES
PERSONALIZANDO O HOTSPOT
Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que
ser aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com
sucesso.
303
304
DVIDAS ????
305
ROTEAMENTO
306
POLTICAS DE ROTEAMENTO
POLTICAS DE ROTEAMENTO
POLTICAS DE ROTEAMENTO
309
192.168.10.0/24
192.168.20.0/24
310
311
Denominador
Contador
312
313
314
315
316
317
318
Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar
que os 3 gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1
319
320
ROTEAMENTO DINMICO
323
OSPF - OPES
325
OSPF - OPES
OSPF - REAS
OSPF - REDES
328
OSPF
329
DVIDAS ????
330
WEB PROXY
O web proxy uma tima ferramenta para fazer cache de
objetos da internet e com isso economizar banda.
Tambm possvel utilizar o web proxy como filtro de
contedo sem a necessidade de fazer cache.
Como o web proxy escuta todos ips do router, muito
importante assegurar que somente clientes da rede local
iro acess-lo.
A boa prtica recomenda o uso de 20GB de cache para cada
1GB de memria RAM. Portanto com uma simples regra de
3 simples encontrar o valor ideal para a memria RAM do
331
seu equipamento.
334
335
336
337
338
340
341
342
EXERCCIO FINAL
Abra
um New Terminal
Digite:
/system reset-configuration
343
DVIDAS ????
344
345
346
347
No Windows:
No Linux:
350
352
353
354
355
356
358
359
360
361
DVIDAS ????
362
LABORATRIO FINAL
Abram um terminal
363
OBRIGADO!
364