Escolar Documentos
Profissional Documentos
Cultura Documentos
English:
This material is an effort intended to improve the level of knowledge of professionals
that work with Mikrotik RouterOS and should be used solely for self-study purposes.
Digital copies and/or any printed material contained in this presentation or derived
from it are property of MD Brasil TI & Telecom and cannot be used for any kind of
training, presentation or workshop, even non-commercial ones.
Reproduction of any part or picture requires previous written authorization of MD
Brasil. For information about how to obtain such authorization, please contact
mdbrasil@mdbrasil.com.br.
Portuguese:
Este material um esforo que visa aprimorar o grau de conhecimento de
profissionais que trabalham com Mikrotik RouterOS e deve ser usado apenas com
objetivos de auto estudo.
Cpias digitais e/ou materiais impressos com contedo desta apresentao ou dela
derivados so de propriedade a MD Brasil TI & Telecom a no podem ser usados para
qualquer tipo de treinamento, apresentao ou seminrio, mesmo os de finalidades
no comerciais.
A reproduo de qualquer parte ou figura requer prvia autorizao por escrito da
MD Brasil. Para informaes em como obter esta autorizao, por favor contate
mdbrasil@mdbrasil.com.br.
Tecnologias e
Protocolos
suportados
Proprietrios Nstreme
Nstreme dual
Nstreme v2 (Nv2)
4
Protocolos IEEE
6.5 a 300
802.11n 2.4 e 5 GHz OFDM/MIMO
mbps
OFDM/MIMO,
MU-MIMO,
802.11ac 5 GHz > 6 GHz
SDMA, at 160
MHz
Camada fsica
(frequncia, largura de banda,
potncia, modulao)
6
Camada Fsica
Camada fsica
(frequncia, largura de banda,
potncia, modulao)
7
Camada Fsica
Frequncias
8
Frequncias
Frequncias suportadas:
- Pode funcionar em qualquer banda suportada pelo
dispositivo Wireless (RouterOS somente o controla)
1 2 3 4 5 6 7 8 9 10 11 12 13
MD1302041311
10
Faixa de 2.4 GHz
22 MHz
20 MHz
Carto R52HnD
Opera tanto em 2.4 como em
5 GHz
Largura de Banda
16
Meio fsico largura de banda
Exemplos
Tecnologias de
tratamento dos
sinais
21
Camada Fsica - Tecnologias
22
Camada Fsica
Tecnologias:
23
Intervalo de Guarda
Em OFDM o intervalo de
guarda a faixa de
segurana que mantida
para assegurar a transmisso
do sinal sem interferncia
adjacente.
Tecnologias de
Modulao
25
Modulao
Em telecomunicaes o code
rate (ou information rate) a
proporo til de dados para a
transmisso da informao. Ou
seja, por exemplo um code
rate de 5/6, significa que para
transmitir 5 bits de
informao, 6 so gerados
para efeito de correo de
erros.
Modulaes em 802.11a/b/g
Taxas suportadas:
empregadas para o trfego
dos dados
Taxas bsicas:
empregadas para frames de
controle/protocolo
Tecnologias:
30
Camada Fsica
Tecnologia MIMO
31
Camada Fsica
Tecnologia MIMO
Canal 0 Canal 1
Carto R11e-5HacT
3 Streams espaciais
R52 HnD
32
Configurao de streams
(MIMO)
Esquemas de Modulao
(MCS) em 802.11n
Potncias
36
Potncias
Em telecomunicaes usual
representar potncias, ganhos e
perdas em unidades relativas
(Decibis)
Frmulas:
[P(dBm/10)]
P(mw) = 10
Regra dos 3 dB
Exemplos :
20 dBm = 100 mw
23 dBm = 200 mw
26 dBm = 400 mw
29 dBm = 800 mw
Regra dos 10 dB
Exemplos :
0 dBm = 1 mw
10 dBm = 10 mw
20 dBm = 100 mw
30 dBm = 1000 mw (1 Watt)
Potncias
Relao mw e dBm
0 dBm 1 mW
-10 dBm 0.1 mW
-20 dBm 0.01 mW
-30 dBm 0.001 mW
-40 dBm 0.0001 mW 30 dBm 1000 mW
-50 dBm 0.00001 mW 29 dBm 600 mW
-60 dBm 0.000001 mW 26 dBm 300 mW
-70 dBm 0.0000001 mW 23 dBm 200 mW
-80 dBm 0.00000001 mW 20 dBm 100 mW
-90 dBm 0.000000001 mW 0 dBm 1 mW
Sensibilidade
To ou mais importante
quanto a potncia de
um rdio a sua
sensibilidade, que o
valor mnimo em dBm
em que o rdio escuta
a transmisso. Esse
valor varia em funo
da potncia utilizada.
Clculo de rdio enlaces
PR PT L T G T G R L R A
A = 20 log ( / 4 ) onde:
= comprimento de onda (300000/f (Hz))
D = distncia em metros
Clculo de rdio enlaces
Ferramenta online
https://www.mikrotik.com/test_link.php
Camada Fsica
Potncias e aspectos da
regulamentao brasileira
44
Camada Fsica
45
Aspectos regulamentares
Potncias:
Potncias
Sistemas multiponto:
Regulamento 506/2008
Seo X - Art. 45
Sistema de Acesso sem Fio em Banda Larga para Redes
Locais, operando nas faixas 5.150-5.350 MHz e 5.470-5.725
MHz, devem ser utilizados em aplicaes do servio mvel.
Regulamento 506/2008
Seo IX - Art. 39
Equipamentos Utilizando Tecnologia de Espalhamento
Espectral ou outras Tecnologias de Modulao Digital operando
nas faixas 902-907,5 MHz, 915-928 MHz, 2.400-2.483,5 MHz
e 5.725-5.850 MHz devem atender s condies estabelecidas
nesta Seo.
Potncias
Sistemas multiponto:
Regulatory domain:
Configura-se o country e
ganho da antena (deveria
ajustar a potncia do rdio
Superchannel:
Permite uso de todas
frequncias suportadas pelo
carto
Manipulao de Potncias
Camada fsica
(frequncia, largura de banda,
potncia, modulao)
58
Acesso ao meio fsico
Mtodos suportados
Esperando para
- CSMA/CA Carrier Sense Multiple transmitir
Access/Colision Avoidance
no
Canal Espera tempo
Livre? aleatrio
Mtodo no qual as estaes
sim
ouvem o meio fsico e no Espera tempo
transmitem caso ele esteja aleatrio
conteno no
Transmite
No h coordenao central
59
Acesso ao meio fsico
Mtodos suportados
- Polling AP
60
Acesso ao meio fsico
Mtodos suportados
61
Acesso ao meio fsico no
RouterOS
Mtodos
Nv2 TDMA
NStreme
Nstreme v2 (Nv2)
MAC a ser
informado ao
outro lado
Opes
unspecified
any
802.11
nstreme
nv2
nv2-nsteme-802.11
nv2-nstreme
Valor AP Estao
Estabelece rede Conecta em nstreme* ou
Unspecified
nstreme* ou 802.11 802.11
Conecta em qualquer
any Idem acima
protocolo disponvel
Estabelece rede Conecta apenas em rede
802.11
802.11 802.11
Estabelece rede Conecta apenas em rede
nstreme
nstreme nstreme
Valor AP Estao
Conecta apenas em rede
Nv2 Estabelece rede nv2
nv2
Procura nv2, depois por
nv2-nstreme- nstreme e finalmente por
Estabelece rede nv2
802.11 802.11 conectando-se na
que encontrar primeiro.
Procura por nv2, depois
por nstreme, conectando-
nv2-nstreme Estabelece rede nv2
se na que encontrar
primeiro.
68
Configuraes de enlace
em camada 2
Configuraes de bridge
ap-bridge:
Permite mltiplas conexes e pode funcionar como
bridge transparente;
bridge:
Permite apenas uma conexo e pode funcionar como
bridge transparente;
station:
Modo apenas estao. No pode ser colocado em
bridge;
station-wds:
Modo estao que pode ser colocada em bridge. Pode
funcionar como bridge transparente desde que o outro
lado seja um AP ou bridge com suporte a WDS
ativado;
station-bridge:
Modo estao que pode ser colocada em bridge. Pode
funcionar como bridge transparente desde que o outro
lado seja um AP ou bridge Mikrotik com a opo bridge
habilitada (default) ;
station-pseudo-bridge:
Modo estao que pode ser colocada em bridge e que
faz a chamada bridge falsa, passando vrios Ips atrs
de um mesmo MAC;
station-pseudo-bridge-clone:
Idntica a anterior com a possibilidade de clonar um
MAC arbitrrio;
Modo
Banda
76
Controle de acesso e segurana
Access list
Access List:
Lista endereos MAC e as aes especficas para estes,
como autenticao, forwarding, criptografia individual, etc
default-authenticate:
Com essa opo habilitada aceita a
conexo de qualquer MAC;
default-forward:
Com essa opo habilitada permite
o encaminhamento dos pacotes
entre os clientes do mesmo carto.
default-authenticate:
a poltica padro da interface com relao autenticao
na interface Wireless. Com essa opo habilitada (default)
aceita a conexo de qualquer MAC.
default-forward:
a poltica padro da interface com relao ao
encaminhamento de pacotes entre os clientes conectados
na mesma interface Wireless. Com essa opo habilitada
(default) permitido o encaminhamento.
81
Ferramentas de
Escaneamento
82
Interface Wireless / Geral / Scan
84
Interface Wireless / Geral / Alinhamento
85
Correct nmero de pacotes recebidos sem erro
Interface Wireless / Geral / Sniffer
Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao e
por rede.
Escaneia as frequencias definidas em scan-list da interface
87
Medidas de segurana
complementares/paliativas
Fragilidades:
- SSID tem de ser conhecido pelos clientes
- Scanners Passivos descobrem facilmente
pelos pacotes de probe requestdos
clientes.
Fragilidades:
Descobrir MACs que trafegam no ar muito simples com
ferramentas apropriadas. Ex
- Airopeek para Windows
- Kismet, Wellenreiter, etc para Linux/BSD
- Spoof de um MAC operao trivial
Criptografia WEP
Indstria WEP +
WEP WPA WPA2
(Wi-Fi Alliance) TKIP
Privacidade:
A informao no pode ser entendida por terceiros.
Integridade:
A informao no pode ser alterada quando em transito.
Autenticao:
1- O AP tem que garantir que o cliente quem ele diz ser.
2- O Cliente tem que se certificar que est se conectando no
AP verdadeiro.
Privacidade e Integridade
Garantidas por tcnicas de criptografia:
WPA utiliza RC4
WPA2 utiliza AES
*Existe uma chave nica por cliente e uma chave de bloco
para as mensagens de broadcast
Autenticao:
Dependendo da implementao, pode ser mais ou menos
segura
WPAx-PSK WPAx-EAP
(modo pessoal) (modo corporativo)
Mikrotik Mikrotik c/
proprietrio outros vendors
WPA - PSK
Configure o modo de chave dinmico,WPA
PSK, e a chave pr combinada.
WPA2 PSK
Configure o modo de chave dinmico
WPA2, PSK, e a chave pr combinada.
As chaves so alfanumricas de 8 at
63 caracteres
mdbrasil - todos direitos reservados 97
Mtodo alternativo Mikrotik
O Mikrotik na verso V3 oferece a possibilidade de distribuir uma chave WPA2 por
cliente . Essa chave configurada no Access List do AP e vinculada ao MAC
address do cliente, possibilitando que cada cliente tenha sua chave.
Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a
usurios do Mikrotik !
mdbrasil - todos direitos reservados 98
Mtodo alternativo Mikrotik
Felizmente porm o Mikrotik permite que a chave seja atribuda por Radius o que
torna muito interessante esse mtodo.
# Sintaxe:
# MAC Cleartext-Password := MAC
# Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
#Exemplo:
001DE05A1749 Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912