Você está na página 1de 382

Treinamento oficial Mikrotik Modulo MTCNA

(MikroTik Certified Network Associate)

Treinamento oficial Mikrotik Modulo MTCNA (MikroTik Certified Network Associate)

Agenda

Treinamento das 08:30hs às 18:30hs

Coffe break as 16:00hs

Almoço as 12:30hs – 1 hora de duração

Importante

Curso oficial: Proibido ser filmado ou gravado. Celular: Desligado ou em modo silencioso. Perguntas: Sempre bem vindas. Internet: Evite o uso inapropriado. Aprendizado: Busque absorver conceitos.

Evite conversas paralelas. Deixe habilitado somente a interface ethernet de seu computador.

Apresente-se a turma

Diga seu nome. Com que trabalha. Seu conhecimento sobre o RouterOS. Seu conhecimento com redes.

Objetivos do curso

Abordar todos os tópicos necessários para o exame de certificação MTCNA. Prover um visão geral sobre o Mikrotik RouterOS e as RouterBoards. Fazer uma abordagem simples e objetiva com a maioria das ferramentas que o Mikrotik RouterOS dispõe para prover boas soluções.

Onde está a Mikrotik ?

Onde está a Mikrotik ? Mikrotik(MK): Empresa Roterboard(RB):Hardware RouterOS(ROS): Software 1- Introdução 6
Onde está a Mikrotik ? Mikrotik(MK): Empresa Roterboard(RB):Hardware RouterOS(ROS): Software 1- Introdução 6

Mikrotik(MK): Empresa Roterboard(RB):Hardware RouterOS(ROS): Software

Onde está a Mikrotik ? Mikrotik(MK): Empresa Roterboard(RB):Hardware RouterOS(ROS): Software 1- Introdução 6

Oque são Routerboards?

Hardware criado pela Mikrotik. Atende desde usuários domésticos até grandes empresas. Hardware relativamente barato se comparado com outros fabricantes.

até grandes empresas. Hardware relativamente barato se comparado com outros fabricantes. 1- Introdução 7
até grandes empresas. Hardware relativamente barato se comparado com outros fabricantes. 1- Introdução 7

Nomenclatura das routerboards

Serie 400

Nomenclatura das routerboards Serie 400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet

RB 450

Nomenclatura das routerboards Serie 400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet
Nomenclatura das routerboards Serie 400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet
Nomenclatura das routerboards Serie 400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet
Nomenclatura das routerboards Serie 400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet

0 ou nenhuma wireless

5 interfaces ethernet

400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless
400 RB 4 5 0 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless

3 slots p/ wireless Serie 400

ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless Serie 400 RB 4 3 3
ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless Serie 400 RB 4 3 3

RB 433

ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless Serie 400 RB 4 3 3

3 interfaces ethernet

1- Introdução

8

RouterOS

RouterOS além de estar disponível para Routerboards também pode ser instalado em hardware x86. RouterOS é o sistema operacional das Routerboards e que pode ser configurado como:

Roteador Controlador de conteúdo (Web-proxy) Controlador de banda (Queues) Controlador de fluxo para QoS(Firewall mangle + Queues) Firewall (camada 2,3 e 7) Access Point wireless 802.11a/b/g/n (o hardware deve possuir wlan) Outros

Winbox

Winbox é uma utilitário usado para acessar o RouterOS via MAC ou IP. Usuário padrão é “admin” e senha vazio.

usado para acessar o RouterOS via MAC ou IP. Usuário padrão é “admin” e senha vazio.

Primeiros passos

Conecte o cabo de rede na interface 3 da routerboard e ligue ao seu computador. Caso você não tenha o utilitário winbox no seu computador faça o seguinte:

Altere seu computador para “Obter endereço IP automaticamente”.

Abra o navegador e digite 192.168.88.1.

No menu a esquerda clique na ultima opção (logout).

Agora na pagina de login , clique sobre o aplicativo winbox e salve no seu computador.

Resetando seu router

Abra o winbox clique em Clique no endereço MAC ou IP. No campo Login coloque “admin”. No campo Password deixe em branco. Clique em connect. Nos Menus a esquerda clique em “New Terminal”. Com terminal aberto digite:

clique em “New Terminal”. Com terminal aberto digite: – system reset-configuration no-defaults=yes Dica: Ao

system reset-configuration no-defaults=yes

Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.

Identificando seu roteador

Identificando seu roteador 1- Introdução 1 3

Diagrama da rede

Diagrama da rede Lembre-se de seu número: XY 1- Introdução 1 4

Lembre-se de seu número: XY

Configuração básica

Configurando endereço de IP Configurando mascara de sub-rede Configurando DNS Conectando seu router a um ponto de acesso Configurando seu computador Realizando testes de conectividade

Configuração do roteador

Adicione os IPs nas interfaces

Configuração do roteador Adicione os IPs nas interfaces 1- Introdução 1 6

Configuração do roteador

Adicione a rota padrão

Configuração do roteador Adicione a rota padrão 1- Introdução 1 7

Configuração do roteador

Adicione o servidor DNS Quando você checa a opção “Alow remote requests”, você está habilitando seu router como um servidor de DNS.

a opção “Alow remote requests”, você está habilitando seu router como um servidor de DNS. 1-

Configuração do roteador

Configuração da interface wireless

Configuração do roteador Configuração da interface wireless 1- Introdução 1 9

MNDP MikroTik Neighbor Discovery protocol

Habilite a interface wlan em Discovery Interface

MNDP MikroTik Neighbor Discovery protocol Habilite a interface wlan em Discovery Interface 1- Introdução 2 0

Configure seu Notebook

Configure seu Notebook 1- Introdução 2 1

Teste de conectividade

Pingar a partir da Routerboard o seguinte ip:172.25.X.254. Pingar a partir da Routerboard o seguinte endereço:

www.uol.com

Pingar a partir do notebook o seguinte ip:

10.X.Y.1

Pingar a partir do notebook o seguinte endereço:

www.uol.com

Analisar os resultados.

Corrigir o problema de conectividade

Diante do cenário apresentado quais soluções podemos apresentar?

Adicionar rotas estáticas. Utilizar protocolos de roteamento dinâmico. Utilizar NAT(Network Address Translation).

Utilização do NAT

O mascaramento é a técnica que permite que vários hosts de uma rede compartilhem um mesmo endereço IP de saída do roteador. No Mikrotik o mascaramento é feito através do Firewall na funcionalidade do NAT.

Todo e qualquer pacote de dados de uma rede possui um endereço IP de origem e destino. Para mascarar o endereço, o NAT faz a troca do endereço IP de origem. Quando este pacote retorna ele é encaminhando ao host que o originou.

Adicionando uma regra de source nat

Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1.

source nat Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1. 1-
source nat Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1. 1-

Teste de conectividade

Efetuar os testes de ping a partir do notebook. Analisar os resultados. Efetuar os eventuais reparos. Após a confirmação de que tudo está funcionando, faça o backup da routerboard e armazene-o no notebook. Ele será usado ao longo do curso.

Faça um backup

Clique no menu Files e depois em Backup para salvar sua configurações. Arraste o arquivo que foi gerado para seu computador.

em Backup para salvar sua configurações. Arraste o arquivo que foi gerado para seu computador. 1-

Instalação do RouterOS

Porque é importante saber instalar o RouterOS?

Necessário quando se deseja utilizar um hardware próprio.

Assim como qualquer S.O. o RouterOS também pode corromper o setor de inicialização (geralmente causado por picos elétricos).

Necessário quando se perde o usuário e senha de acesso ao sistema.

Instalação do RouterOS

Assim como qualquer sistema operacional o RouterOS precisa ser instalado(em routerboards já vem instalado por padrão) , as duas principais maneiras de instalar o ROS são:

ISO botável (imagem) Via rede utilizando o Netinstall

Download

http://www.mikrotik.com/download

Download http://www.mikrotik.com/download 1- Introdução 3 0

Download

No link acima você pode fazer o download das imagens ISO ou do arquivo contendo todos os pacotes.

Sempre ao fazer o download fique atento a arquitetura de hardware (mipsbe, mipsle,x86).

Obs: Nunca instale versões de teste em roteadores em produção sempre selecione versões estáveis.

Instalando pela ISO

Em caso de você estar utilizando uma maquina física grave a ISO em um CD e ajuste a sequencia de boot para CD/DVD.

estar utilizando uma maquina física grave a ISO em um CD e ajuste a sequencia de

Instalando via netinstall em routerboards

Instalando via netinstall em routerboards Para se instalar em uma Routerboard, inicialmente temos que entrar na

Para se instalar em uma Routerboard, inicialmente temos que entrar na routerboard via cabo serial e alterar a sequencia de inicialização para ethernet (placa de rede). Dentro da Routerboad temos um tutorial completo de como instalar o RouterOS em Routerboards.

Pacotes do RouterOS

System: Pacote principal contendo os serviços básicos e drivers. A rigor é o único

que é obrigatório. PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc

DHCP: Cliente, Relay e Servidor DHCP.

Advanced-tools: Ferramentas de diagnóstico, netwatch e outros utilitários.

HotSpot: Suporte a HotSpot.

NTP: Servidor de horário oficial mundial.

IPv6: Suporte a endereçamento IPv6

MPLS: Suporte a MPLS

Routing: Suporte a roteamento dinâmico.

Security : IPSEC, SSH, Secure WinBox.

Não é possível adicionar drivers ou qualquer outro tipo de pacote que não seja criado diretamente pela Mikrotik.

Gerenciando pacotes

Você pode habilitar e desabilitar pacotes em:

Gerenciando pacotes Você pode habilitar e desabilitar pacotes em: 1- Introdução 3 5

Primeiro acesso

Por padrão o processo de instalação não atribui nenhum endereço de IP ao router então o primeiro acesso pode ser feito por:

Cabo serial (linha de comando) Teclado e monitor em x86 (linha de comando) Via mac-telnet (linha de comando) Winbox via MAC (interface gráfica)

Mac-telnet

Mac-telnet 1- Introdução 3 7

Outros modos de acesso

Após configurar um endereço de IP no RouterOS existem outros modos de acesso.

SSH FTP Telnet Web

um endereço de IP no RouterOS existem outros modos de acesso. SSH FTP Telnet Web 1-

SSH e telnet

SSH e telnet 1- Introdução 3 9

FTP

Usado para transferir arquivos.

FTP Usado para transferir arquivos. 1- Introdução 4 0

WEB

O acesso via web traz quase todas as funções existentes no winbox.

WEB O acesso via web traz quase todas as funções existentes no winbox. 1- Introdução 4

Upgrade do RouterOS

Faça download de Upgrade package (.npk). Arraste para dentro de Files no winbox e reinicie seu router.

de Upgrade package (.npk). Arraste para dentro de Files no winbox e reinicie seu router. 4

4

1- Introdução

2

42

Atualizando a RB

Atualizando a RB Confira a versão atual. Faça download do pacote .npk. Envie o pacote para

Confira a versão atual. Faça download do pacote .npk. Envie o pacote para sua Routerboard usando o winbox ou via FTP. Reinicie o roteador. Confira se a nova versão foi instalada. Novas versões estão disponíveis no site. http://www.mikrotik.com/download

4

1- Introdução

3

43

Atualizando a RB

Certifique se que sua routerboard tem conectivade com a internet. Cliquem em System=> Packages=> Check for Updates

tem conectivade com a internet. Cliquem em System=> Packages=> Check for Updates 1- Introdução 4 4

Upgrade de firmware

Para fazer upgrade de firmware clique em:

Upgrade de firmware Para fazer upgrade de firmware clique em: 1- Introdução 4 5

Níveis de licença

O RouterOS trabalha com níveis de licença isso significa que cada nível lhe oferece um numero X de recursos. Quanto a atualização de versão L3/4 = versão atual + 1 = pode ser usada L5/6 = versão atual + 2 = pode ser usada A chave de licença é gerada sobre um software-id fornecido pelo sistema. A licença fica vinculada ao HD ou Flash e/ou placa mãe. A formatação com outras ferramentas muda o software-id causa a perda da licença.

Níveis de licença

Níveis de licença 1- Introdução 4 7

NTP

As routerboard não tem fonte de alimentação interna, logo toda vez que é reiniciada o sistema perde a data e a hora, isso vem a ser um grande problema quando é necessário analisar os logs. Para que seu equipamento fique sempre com a data e hora correta devemos usar o cliente NTP (Network time protocol).

fique sempre com a data e hora correta devemos usar o cliente NTP (Network time protocol).

Configurando Cliente NTP

Configurando Cliente NTP 1- Introdução 4 9

Ajustando fuso horário

Ajustando fuso horário 1- Introdução 5 0

Backup

Existem duas maneiras de se realizar backup do sistema:

Backup comum = Salva todo o conteúdo do router em um arquivo criptografado que não pode ser editado(salva inclusive os usuários e senhas de login no router). Backup com comando export = Você pode exportar um backup completo ou apenas uma parte. Com esse tipo de backup o arquivo gerado não é criptografado e pode ser aberto por qualquer editor de texto(não exporta dados de usuários e senhas de login no router).

Backup comum

Backup comum Observe que o arquivo gerado recebe o identificação do router mais as informações de

Observe que o arquivo gerado recebe o identificação do router mais as informações de data e hora.

Backup pelo comando export

Backup pelo comando export Para exportar as configurações para dentro de um arquivo use opção “file”

Para exportar as configurações para dentro de um arquivo use opção “file” e dê um nome ao arquivo e sempre use a opção “compact” para que seu arquivo venha apenas com as informações necessárias(evita exporta mac-address de um equipamento para outro).

Localizando e editando backup

Localizando e editando backup Após o comando “export file=bkp_router_XY compact” O arquivo gerado está no menu

Após o comando “export file=bkp_router_XY compact” O arquivo gerado está no menu files.

Após transferir o arquivo para sua maquina ele poderá ser editado pelo bloco de notas.

Backup

Faça os dois tipos de backup. Arraste os dois backups para seu computador e tente abrir com o bloco de notas e observe o resultado Agora acesse o link abaixo e faça o upload do arquivo de backup criptografado. http://mikrotikpasswordrecovery.com/

Modo seguro

O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione “CTRL+X” ou na parte superior clique em Safe Mode.

Para habilitar o modo seguro pressione “CTRL+X” ou na parte superior clique em Safe Mode. 1-
Para habilitar o modo seguro pressione “CTRL+X” ou na parte superior clique em Safe Mode. 1-

Modo seguro

Se um usuário entra em modo seguro, quando já há um nesse modo, a seguinte mensagem será dada:

“Hijacking Safe Mode from someone – unroll/release/

u: desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro

d: deixa tudo como está

r: mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte mensagem:

“Safe Mode Released by another user”

Dúvidas e perguntas ?

Dúvidas e perguntas ? 1- Introdução 5 8

Modelo OSI, TCP/IP

e

protocolos

Um pouco de historia

1962 1965

1969 – Desenvolvido o TCP.

1978

1981 – Inicio de discussões sobre padronizações. 1984 – Chegada do modelo OSI

– Primeiras comunicações em rede. – Primeira comunicação WAN.

– Vários padrões de comunicação.

Siglas ISO - International Organization for Standardization OSI - Open Systems Interconnection

Modelo OSI vs TCP/IP

Modelo OSI

Modelo TCP/IP

Modelo usado para estudos

Modelo usado na prática

Modelo OSI Modelo TCP/IP Modelo usado para estudos Modelo usado na prática 2 - OSI, TCP/IP

Um pouco mais sobre o modelo OSI

Um pouco mais sobre o modelo OSI Os dados são gerados na camada de aplicação, e

Os dados são gerados na camada de aplicação, e a partir de então serão encapsulados camada por camada até chegar a camada física onde serão transformados em

sinais (elétricos ,luminosos etc

)

Em cada camada são adicionados cabeçalhos. Veja abaixo os tipos de informações que são imputadas em cada cabeçalho.

de informações que são imputadas em cada cabeçalho. Cabeçalho possui porta (TCP/UDP) de origem e destino
de informações que são imputadas em cada cabeçalho. Cabeçalho possui porta (TCP/UDP) de origem e destino
de informações que são imputadas em cada cabeçalho. Cabeçalho possui porta (TCP/UDP) de origem e destino

Cabeçalho possui porta (TCP/UDP) de origem e destino

Cabeçalho possui IP de origem e destino

Cabeçalho possui MAC de origem e destino

Encapsulamento

Encapsulamento Dados Dados Dados D a d o s Camada 7 aplicação - Dados Camada 4
Dados Dados
Dados
Dados
Dados
Dados

Dados

Camada 7 aplicação - DadosEncapsulamento Dados Dados Dados D a d o s Camada 4 transporte - Portas Camada 3

Camada 4 transporte - PortasDados Dados D a d o s Camada 7 aplicação - Dados Camada 3 rede -

Camada 3 rede - IPo s Camada 7 aplicação - Dados Camada 4 transporte - Portas Camada 2 enlace -

Camada 2 enlace - MACd o s Camada 7 aplicação - Dados Camada 4 transporte - Portas Camada 3 rede

PDU - Protocol data unit

Protocol data unit ou em português Unidade de dados de protocolo em telecomunicações descreve um bloco de dados que é transmitido entre duas instâncias da mesma camada.

Camada

PDU

Camada física

Bit

Camada de enlace

Quadro ou trama

Camada de rede

Pacote

Camada de transporte

Segmento

1 - Camada física

A camada física define as características técnicas dos dispositivos elétricos.

É nesse nível que são definidas as especificações de cabeamento estruturado, fibras ópticas, etc

Banda, frequência e potencia são grandeza que podemos alterar diretamente na camada 1.

frequência e potencia são grandeza que podemos alterar diretamente na camada 1. 2 - OSI, TCP/IP
frequência e potencia são grandeza que podemos alterar diretamente na camada 1. 2 - OSI, TCP/IP
frequência e potencia são grandeza que podemos alterar diretamente na camada 1. 2 - OSI, TCP/IP
frequência e potencia são grandeza que podemos alterar diretamente na camada 1. 2 - OSI, TCP/IP
frequência e potencia são grandeza que podemos alterar diretamente na camada 1. 2 - OSI, TCP/IP

2 - Camada de enlace

Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da camada I.

Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede.

Switchs, bridges ,ethernets e PPP são exemplos de dispositivos que trabalham em camada II.

bridges ,ethernets e PPP são exemplos de dispositivos que trabalham em camada II. 2 - OSI,
bridges ,ethernets e PPP são exemplos de dispositivos que trabalham em camada II. 2 - OSI,
bridges ,ethernets e PPP são exemplos de dispositivos que trabalham em camada II. 2 - OSI,

Endereço MAC

É o único endereço físico de um dispositivo de rede. É usado para comunicação com a rede local.

Exemplo de endereço MAC:

00:0C:42:00:00:00

3 - Camada de rede

Responsável pelo endereçamento lógico dos pacotes. Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade.

o destino baseado em fatores tais como condições de tráfego de rede e prioridade. 2 -
o destino baseado em fatores tais como condições de tráfego de rede e prioridade. 2 -
o destino baseado em fatores tais como condições de tráfego de rede e prioridade. 2 -

4 - Camada de transporte

Quando no lado do remetente, é responsável por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede.

No lado do destinatário, pega os pacotes recebidos da camada de rede, remonta os dados originais e os envia para à camada superior.

Estão na camada IV: TCP, UDP, RTP

dados originais e os envia para à camada superior. Estão na camada IV: TCP, UDP, RTP
dados originais e os envia para à camada superior. Estão na camada IV: TCP, UDP, RTP

Estado das conexões

É possível observar o estado das conexões no Mikrotik no menu Connections (IP=>Firewall=>Connections). Essa tabela também é conhecida como conntrack. Muito utilizada para analises e debugs rápidos.

também é conhecida como conntrack. Muito utilizada para analises e debugs rápidos. 2 - OSI, TCP/IP

5 - Camada de sessão

Administra e sincroniza diálogos entre dois processos de aplicação. Une duas entidades para um relacionamento e mais tarde as desune. (ex. de união:

login/autenticação e desunião: logoff). Controla troca de dados, delimita e sincroniza operações em dados entre duas entidades.

6 - Camada de apresentação

A principal função da camada de apresentação é assegurar que a informação seja transmitida de tal forma que possa ser entendida e usada pelo receptor.

Este nível pode modificar a sintaxe da mensagem, sempre preservando sua semântica.

O nível de apresentação também é responsável por outros aspectos da representação dos dados, como criptografia e compressão de dados.

7 - Camada de aplicação

Muito confundem aplicação com aplicativo. Usuário interagem com o aplicativo e o

aplicativo interage com protocolos da camada

de aplicação( HTTP, SMTP, FTP, SSH, Telnet

).

da camada de aplicação( HTTP , SMTP , FTP , SSH , Telnet ). HTTP HTTPS
da camada de aplicação( HTTP , SMTP , FTP , SSH , Telnet ). HTTP HTTPS

HTTP

HTTPS

DNS

da camada de aplicação( HTTP , SMTP , FTP , SSH , Telnet ). HTTP HTTPS
da camada de aplicação( HTTP , SMTP , FTP , SSH , Telnet ). HTTP HTTPS
da camada de aplicação( HTTP , SMTP , FTP , SSH , Telnet ). HTTP HTTPS

Protocolos

Protocolos 2 - OSI, TCP/IP e protocolos 7 4

Endereço IP

É o endereço lógico de um dispositivo de rede.

É usado para comunicação entre redes.

Endereço IPv4 é um numero de 32 bits divido em 4 parte separado por pontos.

Exemplo de endereço IP: 200.200.0.1.

Sub Rede

Como o próprio no já diz (sub rede)é a uma parte de rede ou seja uma rede que foi

dividida. O tamanho de uma sub rede é determinado por sua máscara de sub rede.

O endereço de IP geralmente é acompanhado da mascara de sub rede.

Com esses dois dados (Endereço IP e mascara de sub rede) podemos dimensionar onde

começa e onde termina nossa sub rede. Exemplo de mascara de sub rede: 255.255.255.0 ou /24.

O endereço de REDE é o primeiro IP da sub rede.

O endereço de BROADCAST é o último IP da sub rede.

Esses endereços(Rede e broadcast) são reservados e não podem ser usados.

End IP/Mas

10.1.2.3/8

10.1.2.3/16

10.1.2.3/24

End de Rede

10.0.0.0

10.1.0.0

10.1.2.0

End de Broadcast

10.255.255.255

10.1.255.255

10.1.2.255

Protocolos - IP

Usado para identificar logicamente um host. Possui endereços públicos e privados. Possui duas versões IPv4 (quase esgotado) e IPv6.

endereços públicos e privados. Possui duas versões IPv4 (quase esgotado) e IPv6. 2 - OSI, TCP/IP

Endereçamento CIDR

Endereçamento CIDR 2 - OSI, TCP/IP e protocolos 7 8

2 - OSI, TCP/IP e protocolos

78

Protocolos - ARP

ARP – Address resolution protocol ou simplesmente protocolo de resolução de endereços. Como o próprio nome sugere esse protocolo consegue resolver(encontrar) o endereço MAC através do endereço de IP e após feito isto o coloca em uma tabela.

o endereço MAC através do endereço de IP e após feito isto o coloca em uma

Como ARP funciona

Quando o dispositivo H1 precisa enviar dados para H2 que está no mesmo segmento de rede , o dispositivo H1 precisa descobrir o endereço MAC de H2.Então o protocolo ARP envia uma requisição para todos os diapositivos(MSG-01). Então o host que com endereço de IP apropriado(H2) responde com o dado solicitado (MSG-02). Então o dispositivo H1 recebe o endereço MAC e se prepara para o próximo passo para transmitir dados para H2.

MSG-02

Sou eu e meu MAC é 00:00:00:11:11:02

para H2. MSG-02 Sou eu e meu MAC é 00:00:00:11:11:02 MSG-01 Quero saber o MAC do
para H2. MSG-02 Sou eu e meu MAC é 00:00:00:11:11:02 MSG-01 Quero saber o MAC do
MSG-01 Quero saber o MAC do host com IP
MSG-01
Quero saber o
MAC do host
com IP
10.11.11.2 10.11.11.2/24 00:00:00:11:11:02 10.11.11.1/24 00:00:00:11:11:01 10.11.11.3/24 00:00:00:11:11:03
10.11.11.2
10.11.11.2/24
00:00:00:11:11:02
10.11.11.1/24
00:00:00:11:11:01
10.11.11.3/24
00:00:00:11:11:03

2 - OSI, TCP/IP e protocolos

00:00:00:11:11:02 10.11.11.1/24 00:00:00:11:11:01 10.11.11.3/24 00:00:00:11:11:03 2 - OSI, TCP/IP e protocolos 8 0

80

Protocolos - UDP / TCP

UDP

TCP

Serviço sem conexão; nenhuma sessão é estabelecida entre os hosts.

Serviço orientado por conexão; uma sessão é estabelecida entre os hosts.

O UDP não garante ou confirma a entrega nem sequencia os dados.

O TCP garante a entrega usando confirmações e entrega sequenciada dos dados.

O UDP é rápido, requer baixa sobrecarga e pode oferecer suporte à comunicação ponto a ponto e de ponto a vários pontos.

O TCP é mais lento, requer maior sobrecarga e pode oferecer suporte apenas à comunicação ponto a ponto.

Protocolos - ICMP

Internet Control Message Protocol ou protocolo de mensagens de controle da Internet é usado para relatar erros e trocar informações de status e controle. Geralmente usamos aplicativos que utilizam o protocolo ICMP para sabermos se um determinado host esta alcançável e/ou qual é a rota para aquele host(ping e tracert).

host esta alcançável e/ou qual é a rota para aquele host(ping e tracert). 2 - OSI,

Protocolos - DNS

Domain Name System - Sistema de Nomes de Domínios é utilizado para associar nomes a números e vice-versa.

de Nomes de Domínios é utilizado para associar nomes a números e vice-versa. 2 - OSI,

DHCP

DHCP 2 - OSI, TCP/IP e protocolos 8 4

Perguntas ?

Perguntas ? 2 - OSI, TCP/IP e protocolos 8 5

HotSpot no Mikrotik

HotSpot no Mikrotik 3 - Hotspot 8 6

Estrutura do Hotspot

Servidor de hotspot (Servers)
Servidor de hotspot (Servers)
Estrutura do Hotspot Servidor de hotspot (Servers) Perfis do hotspot (Server Profiles) Perfis de usuário (User
Perfis do hotspot (Server Profiles)
Perfis do hotspot (Server Profiles)
de hotspot (Servers) Perfis do hotspot (Server Profiles) Perfis de usuário (User Profile) Usuários (Users) Um
Perfis de usuário (User Profile)
Perfis de usuário (User Profile)
hotspot (Server Profiles) Perfis de usuário (User Profile) Usuários (Users) Um server por interface. Defini como

Usuários (Users)

Um server por interface.

Defini como os usuário poderão logar. Usar Radius ou não. Definir o diretório que contém as páginas de login.

Defini velocidade de cada perfil (planos). Defini popups. Defini scripts.

Defini usuário e senha Defini a qual plano o usuário esta associado.

HotSpot

Geralmente usado em área pública como hotéis, aeroportos, shoppings, universidades, etc

Acesso controlado a uma rede qualquer, com ou sem fio,

Autenticação baseada em nome de usuário e senha.

Com HotSpot, um usuário que tente navegação pela WEB é arremetido para uma página do HotSpot que pede suas credencias, normalmente usuário e senha.

HotSpot

HotSpot 3 - Hotspot 8 9
HotSpot 3 - Hotspot 8 9
HotSpot 3 - Hotspot 8 9
HotSpot 3 - Hotspot 8 9
HotSpot 3 - Hotspot 8 9

HotSpot

Apesar de ter sido bem simples a criação do Hotspot o RouterOS criou algumas regras necessárias para o funcionamento.

bem simples a criação do Hotspot o RouterOS criou algumas regras necessárias para o funcionamento. 3
bem simples a criação do Hotspot o RouterOS criou algumas regras necessárias para o funcionamento. 3

HotSpot – Detalhes do Servidor

Idle Timeout: Usado para detectar clientes que estão logados e não estão trafegando.

Keepalive Timeout: Usado para detectar clientes que estão logados porém não estão mais acessíveis.

que estão logados porém não estão mais acessíveis. Address Per MAC: Número de IPs permitidos para

Address Per MAC: Número de IPs permitidos para um determinado MAC.

HotSpot – Perfil do Servidor

HTML Directory: Diretório onde são colocadas as páginas desse hotspot.

HTTP Proxy/Port: Endereço e porta do servidor de web proxy.

Proxy/Port : Endereço e porta do servidor de web proxy. SMTP Server : Endereço do servidor

SMTP Server: Endereço do servidor SMTP.

Rate Limit: Usado para criar uma fila simples para todo o hotspot. Esta fila vai após as filas dinâmicas dos usuários.

HotSpot – Perfil do Servidor

Login by:

MAC: Usa o MAC dos clientes primeiro como nome do usuário. Se existir na tabela de usuários local ou em um Radius, o cliente é liberado sem usuário/senha.

HTTP CHAP: Usa o método criptografado.

HTTP PAP: Usa autenticação em texto plano.

Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se o cliente não tiver mais o cookie ou se tiver expirado ele de usar outro método.

HTTPS: Usa túnel SSL criptográfado. Para que este método funcione, um certificado válido deve ser importado para o roteador.

um certificado válido deve ser importado para o roteador. – Trial : Não requer autenticação por

Trial: Não requer autenticação por um determinado tempo.

Split User Domain: Corta o domínio do usuário no caso de usuario@hotspot.com

HTTP Cookie Lifetime: Tempo de vida dos cookies.

MAC Cookie: Nova funcionalidade usada para facilitar a acessibilidade para smartphones.

Hotspot - Radius

Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede que provê de forma centralizada autenticação, autorização e contabilização(Accounting em inglês).

Autenticação Roteador de borda Internet Roteadores buscando autenticação no Radius Servidor Radius 172.31.31.2 3
Autenticação
Roteador de borda
Internet
Roteadores buscando
autenticação no Radius
Servidor Radius 172.31.31.2
3 - Hotspot
94

Hotspot - Configurando Radius

Hotspot - Configurando Radius 3 - Hotspot 9 5
Hotspot - Configurando Radius 3 - Hotspot 9 5

HotSpot – Perfil do Servidor

HotSpot – Perfil do Servidor • Use Radius : Utiliza servidor Radius para autenticação dos usuários

Use Radius: Utiliza servidor Radius para autenticação dos usuários do hotspot.

Location ID e Location Name: Podem ser atribuídos aqui e no Radius. Normalmente deixado em branco.

Accounting: Usado para registrar o histórico de logins, tráfego, desconexões, etc

Interim Update: Frequência do envio de informações de accounting. 0 significa assim que ocorre o evento.

Nas Port Type: Wireless, ethernet ou cabo. Informação meramente para referência.

HotSpot – Perfil de Usuários

O User Profile serve para dar tratamento diferenciado a grupos de usuários, como suporte, comercial, diretoria, etc Session Timeout: Tempo máximo permitido. Idle Timeout/Keepalive: Mesma explicação anterior, no entanto agora somente para este perfil de usuários. Status Autorefresh: Tempo de refresh da página de Status do HotSpot. Shared Users: Número máximo de clientes com o mesmo username.

da página de Status do HotSpot. Shared Users : Número máximo de clientes com o mesmo

HotSpot – Perfil de Usuários

Os perfis de usuário podem conter os limites de

velocidade de forma completa. Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx burst-limit] [rxburstthreshold/tx-burst-threshold] [rx-burst-time/tx-bursttime][priority] [rx-limit-at/tx-limit-at]

Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k

128k de upload / 256k de download

256k de upload burst / 512k de download burst

96k threshould de upload / 192k threshloud de

download 8 segundos de burst

6 de prioridade

32k de garantia de upload / 64k de garantia de download

8 segundos de burst 6 de prioridade 32k de garantia de upload / 64k de garantia

HotSpot – Perfil de Usuários

Incoming Filter: Nome do firewall chain aplicado aos pacotes que chegam do usuário deste perfil.

Outgoing Filter: Nome do firewall chain aplicado aos pacotes vão para o usuário deste perfil.

Incoming Packet Mark: Marca colocada automaticamente em pacotes oriundos de usuários deste perfil.

Outgoing Packet Mark: Marca colocada automaticamente em pacotes que vão para usuários deste perfil.

Open Status Page: Mostra a página de status.

- http-login: para usuários que logam pela WEB.

- always: para todos usuários inclusive por MAC.

Tranparent Proxy: Se deve usar proxy transparente.

: para todos usuários inclusive por MAC. Tranparent Proxy : Se deve usar proxy transparente. 3

HotSpot – Perfil de Usuários

Com a opção Advertise é possível enviar de tempos em tempos “popups” para os usuários do HotSpot.

Advertise URL: Lista de páginas que serão anunciadas. A lista é cíclica, ou seja, quando a última é mostrada, começa-se novamente pela primeira. Advertise Interval: Intervalo de tempo de exibição de popups. Depois da sequência terminada, usa sempre o intervalo.

Advertise Timeout: Quanto tempo deve esperar para o anúncio ser mostrado, antes de bloquear o acesso a rede.

- Pode ser configurado um tempo.

- Nunca bloquear.

- Bloquear imediatamente.

o acesso a rede. - Pode ser configurado um tempo. - Nunca bloquear. - Bloquear imediatamente.

HotSpot – Perfil de Usuários

O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem executados em alguma situação especifica.

No HotSpot é possível criar scripts que executem comandos a medida que um usuário desse perfil conecta ou desconecta do HotSpot.

Os parâmetros que controlam essa execução são:

– On Login: Quando o cliente conecta ao HotSpot. – On Logout: Quando o cliente desconecta do HotSpot.

Os scripts são adicionados no menu:

/system script

Logout: Quando o cliente desconecta do HotSpot. Os scripts são adicionados no menu: /system script 3

HotSpot – Usuários

HotSpot – Usuários 3 - Hotspot 1 0 2

HotSpot – Usuários

Server: all para todos hotspots ou para um específico. Name: Nome do usuário. Se o modo Trial estiver ativado

o hotspot colocará automaticamente o nome “TMAC_

Address”. No caso de autenticação por MAC, o mesmo deve ser adicionado como username sem senha.

Address: Endereço IP caso queira vincular esse usuário

a um endereço fixo.

MAC Address: Caso queira vincular esse usuário a um endereço MAC especifico. Profile: Perfil onde o usuário herda as propriedades. Routes: Rotas que serão adicionadas ao cliente quando se conectar. Sintaxe: “Endereço destino gateway métrica”. Várias rotas separadas por vírgula podem ser adicionadas.

destino gateway métrica”. Várias rotas separadas por vírgula podem ser adicionadas. 3 - Hotspot 1 0

HotSpot – Usuários

Limit Uptime: Limite máximo de tempo de conexão para o usuário. Limit Bytes In: Limite máximo de upload para o usuário. Limit Bytes Out: Limite máximo de download para o usuário. Limit Bytes Total: Limite máximo considerando o download + upload. Na aba das estatísticas é possível acompanhar a utilização desses limites.

+ upload. Na aba das estatísticas é possível acompanhar a utilização desses limites. 3 - Hotspot
+ upload. Na aba das estatísticas é possível acompanhar a utilização desses limites. 3 - Hotspot

HotSpot – Active

Mostra dados gerais e estatísticas de cada usuário conectado.

HotSpot – Active Mostra dados gerais e estatísticas de cada usuário conectado. 3 - Hotspot 1
HotSpot – Active Mostra dados gerais e estatísticas de cada usuário conectado. 3 - Hotspot 1
HotSpot – Active Mostra dados gerais e estatísticas de cada usuário conectado. 3 - Hotspot 1
HotSpot – Active Mostra dados gerais e estatísticas de cada usuário conectado. 3 - Hotspot 1

HotSpot – Liberações especiais

Para liberar acesso a internet para um determinado host utilize sem necessidade de autenticação IP Binding.

Para liberar acesso a um determinado site sem necessidade de autenticação utilize Walled Garden.

Para liberar acesso a um determinado IP ou porta sem necessidade de autenticação utilize o Walled Garden IP List.

HotSpot – IP Bindings

O Mikrotik por default tem habilitado o “universal client” que é uma facilidade que aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.

É possível também fazer traduções NAT estáticas com base no IP original, ou IP da rede ou MAC do cliente. É possível também permitir certos endereços “contornarem” a autenticação do hotspot. Ou seja, sem ter que logar na rede inicialmente.

Também é possível fazer bloqueio de endereços.

Ou seja, sem ter que logar na rede inicialmente. Também é possível fazer bloqueio de endereços.

HotSpot – IP Bindings

MAC Address: mac original do cliente. Address: Endereço IP do cliente. To Address: Endereço IP o qual o original deve ser traduzido.

Server: Servidor hotspot o qual a regra será aplicada. Type: Tipo do Binding.

- Regular: faz tradução regular 1:1

- Bypassed: faz tradução mas dispensa o cliente de logar no hotspot.

- Blocked: a tradução não será feita e todos os pacotes serão bloqueados.

HotSpot –Walled Garden

Configurando um “walled garden” é possível oferecer ao usuário o acesso a determinados serviços sem necessidade de autenticação. Por exemplo em um aeroporto poderia se disponibilizar informações sobre o tempo ou até mesmo disponibilizar os sites dos principais prestadores de serviço para que o cliente possa escolher qual plano quer comprar. Quando um usuário não logado no hotspot requisita um serviço do walled garden o gateway não intercepta e, no caso do http, redireciona a requisição para o destino ou um proxy. Para implementar o walled garden para requisições http, existe um web proxy embarcado no Mikrotik, de forma que todas requisições de usuários não autorizados passem de fato por esse proxy. Observar que o proxy embarcado no Mikrotik não tem a função de cache, pelo menos por hora. Notar também que esse proxy faz parte do pacote system e não requer o pacote web-proxy.

HotSpot –Walled Garden

É importante salientar que o walled garden não se destina somente a serviço WEB, mas qualquer serviço que se queira configurar. Para tanto existem 2 menus distintos conforme do figuras ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para outros serviços e protocolos.

ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para
ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para

HotSpot –Walled Garden

Action: Permite ou nega. Server: Hotspot para o qual o walled garden vale. Src.Address: Endereço IP do usuário requisitante. Dst. Address: Endereço IP do web server. Method: Método http ou https. Dst. Host: Nome do domínio do servidor de destino. Dst. Port: Porta de destino do servidor. Path: Caminho da requisição.

Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser usado coringas. Também é possível utilizar expressões regulares devendo essas ser iniciadas com (:)

coringas. Também é possível utilizar expressões regulares devendo essas ser iniciadas com (:) 3 - Hotspot

HotSpot –Walled Garden

Action: Aceita, descarta ou rejeita o pacote. Server: Hotspot para o qual o walled garden vale. Src. Address: Endereço IP do usuário requisitante. Dst. Address: Endereço IP do web server. Protocol: Protocolo a ser escolhido na lista. Dst. Port: Porta TCP ou UDP que será requisitada. Dst. Host: Nome do domínio do servidor de destino.

: Porta TCP ou UDP que será requisitada. Dst. Host : Nome do domínio do servidor

HotSpot – Cookies

Quando configurado o login por cookies, estes ficam armazenados no hotspot com nome do usuário, MAC e tempo de validade. Enquanto estiverem válidos o usuário não precisa efetuar o procedimento de login e senha. Podem ser deletados (-) forçando assim o usuário a fazer o login novamente.

de login e senha. Podem ser deletados (-) forçando assim o usuário a fazer o login

HotSpot – Ports

A facilidade NAT do hotspot causa problemas com alguns protocolos incompatíveis com NAT. Para que esses protocolos funcionem de forma consistente, devem ser usados os módulos “helpers”.

consistente, devem ser usados os módulos “helpers”. No caso do NAT 1:1 o único problema é

No caso do NAT 1:1 o único problema é com relação ao módulo de FTP que deve ser configurado para usar as portas 20 e 21.

Personalizando o HotSpot

As páginas do hotspot são completamente configuráveis e além disso é possível criar conjuntos completamente diferentes das páginas do hotspot para vários perfis de usuários especificando diferentes diretórios raiz. As principais páginas que são mostradas aos usuários são:

redirect.html – redireciona o usuário a uma página especifica.

login.html – página de login que pede usuário e senha ao cliente. Esta página tem os seguintes parâmetros:

Username/password.

Dst – URL original que o usuário requisitou antes do redirecionamento e que será aberta após a autenticação do usuário.

Popup – Será aberta uma janela popup quando o usuário se logar com sucesso.

HotSpot com HTTPS

Para utilizar o hotspot com HTTPS é necessário que se crie um certificado, assiná- lo corretamente e em seguida importá-lo através do menu /system certificates.

Perguntas ?

Perguntas ? 3 - Hotspot 1 1 7

Web Proxy

Web Proxy 4 - Web proxy 1 1 8

Web Proxy

Com o serviço de web proxy podemos fazer cache de “objetos” da internet e com isso economizar banda.

Também é possível utilizar o web proxy como filtro de conteúdo sem a necessidade de fazer cache.

Web Proxy – Como usar

Basicamente podemos usar o proxy de duas maneiras

Não transparente: É necessário configurar o endereço e porta do proxy nos computadores

Transparente: Não é necessário alterar nenhum configuração nos computadores(não tratar conexões HTTPS).

Habilitando nosso Web Proxy

Habilitando nosso Web Proxy 4 - Web proxy 1 2 1

Web Proxy – Não transparente

Precisamos configurar manualmente o endereço e porta do servidor de Proxy em nosso navegador.

Precisamos configurar manualmente o endereço e porta do servidor de Proxy em nosso navegador. 4 -

Web Proxy - Access

A lista de acesso permite controlar conteúdo que será permitido ou negado.

As regras adicionadas nesta lista são processadas de forma semelhante que as regras do firewall. Neste caso as regras irão processar as conexões e caso alguma conexão receba um “match” ela não será mais processada pelas demais regras.

e caso alguma conexão receba um “match” ela não será mais processada pelas demais regras. 4

Web Proxy - Access

Src. Address: Endereço ip de origem.

Dst. Address: Endereço ip de destino.

Dst. Port: Porta ou lista de portas destino.

Local Port: Porta correspondente do proxy.

Dst. Host: Endereço IP ou nome de

destino. Path: Nome da página dentro do servidor.

Method: Método HTTP usado nas

requisições. Action: Permite ou nega a regra.

Redirect To: URL ao qual o usuário será

redirecionado caso a regra seja de negação. Hits: Quantidade de vezes que a regra sofreu “macth”.

caso a regra seja de negação. Hits: Quantidade de vezes que a regra sofreu “macth”. 4

Web Proxy – Criando regras

Crie algumas regras de acesso que permitam e neguem acesso a alguns sites.

Dica: Para bloquear sites que contêm uma palavra especifica utilize : antes da palavra.

sites. Dica: Para bloquear sites que contêm uma palavra especifica utilize : antes da palavra. 4

Web Proxy – Dst. Host e Path

Dst. Host = Nome DNS ou IP utilizado para acessar um determinado site (de vermelho). Path = Caminho de uma página ou documento dentro de um determinado site (de verde).

Exemplos:

http://wiki.mikrotik.com/wiki/Manual:IP/Proxy

http://www.mikrotik.com/thedude

Web Proxy – Transparente

Redirecionando o fluxo HTTP para proxy paralelo.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.10.254 to-ports=8080

add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.10.254 to-ports=8080 4 - Web proxy 1 2 7

Web Proxy – Transparente

Redirecionando o fluxo HTTP para proxy local.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-

ports=8080

local. /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to- ports=8080 4 - Web proxy 1

Web Proxy – Redirecionamento

Web Proxy – Redirecionamento 4 - Web proxy 1 2 9
Web Proxy – Redirecionamento 4 - Web proxy 1 2 9

Web Proxy - Parâmetros

Web Proxy - Parâmetros Src. Address: Endereço IP do servidor proxy caso você possua vários ips

Src. Address: Endereço IP do servidor proxy caso você possua vários ips no mesmo roteador. Port: Porta onde o servidor irá escuta. Parent Proxy: Servidor proxy pai usado em um sistema de hierarquia de proxy. Parent Proxy Port: Porta do proxy pai. Cache Administrator: Identificação do administrador do proxy(geralmente o email). Max Cache Size: Tamanho máximo do cache em KiBytes. Cache On Disk: Indica se o cache será em Disco ou em RAM.

Web Proxy - Parâmetros

Web Proxy - Parâmetros Max Client Connections: Número máximo de conexões simultâneas ao proxy. Max Server

Max Client Connections: Número máximo de conexões simultâneas ao proxy. Max Server Connections: Número máximo de conexões que o proxy fará a um outro servidor proxy. Max Fresh Time: Tempo máximo que os objetos que não possuem tempo padrão definidos, serão considerados atuais. Serialize Connections: Habilita múltiplas conexões entre o servidor e os clientes. Always From Cache: Ignore requisições de atualização dos clientes caso o objeto(conteúdo) for considerado atual.

Web Proxy - Parâmetros

Web Proxy - Parâmetros Cache Hit DSCP (TOS): Adiciona marca DSCP com o valor configurado a

Cache Hit DSCP (TOS): Adiciona marca DSCP com o valor configurado a pacotes que deram hit no proxy. Cache Drive: Exibe o disco que o proxy está usando para armazenamento dos objetos. Esses discos podem ser acessados no menu: /system stores.

Web Proxy - Status

Web Proxy - Status Uptime: Tempo que o proxy está rodando. Requests: Total de requisições ao

Uptime: Tempo que o proxy está rodando. Requests: Total de requisições ao proxy. Hits: Número de pedidos que foram atendidos pelo cache do proxy. Cache Used: Espaço usado em disco ou RAM usado pelo cache do proxy. Total RAM Used: Total de RAM usada pelo proxy.

Received From Servers: Total de dados em Kibytes recebidos de servidores externos. Sent To Clients: Total de dados em Kibytes enviados ao clientes. Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos clientes.

Web Proxy - Conexões

Aqui podemos a lista de conexões ativas no proxys

Src. Address: Endereço IP das conexões remotas. Dst. Address: Endereço destino que está sendo requisitado. Protocol: Protocolo utilizado pelo navegador. State: Status da conexão. Tx Bytes: Total de bytes enviados. Rx Bytes: Total de bytes recebidos remotamente.

Tx Bytes: Total de bytes enviados. Rx Bytes: Total de bytes recebidos remotamente. 4 - Web

Web Proxy - Cache

A lista de cache define como as requisições serão armazenadas ou não no cache do proxy.

Esta lista é manipulada da mesma forma que a lista de acesso.

Os parâmetros de configuração das regras são idênticas as regras da lista de acesso.

Web Proxy - Direct

A lista de acesso direto é utilizada quando um Parent Proxy está configurado. Desta forma é possível passar a requisição ao mesmo ou tentar encaminhar a requisição diretamente ao servidor de destino.

Esta lista é manipulada da mesma forma que a lista de acesso.

Os parâmetros de configuração das regras são idênticas as regras da lista de acesso.

Web Proxy – Segurança

Quando habilitamos um servidor de Proxy, ele pode ser usado por qualquer usuário, estando este na sua rede interna ou externa.

Precisamos garantir que somente os clientes da rede local terão acesso ao Proxy.

/ip firewall filter add action=drop chain=input in-interface=interface-wan

Web Proxy – Regras de Firewall

Desviando o fluxo web para o proxy

/ip firewall nat add chain=dstnat protocol=tcp dst- port=80 action=redirect to-ports=8080

Protegendo o proxy contra acessos externos não autorizados

/ip firewall filter add chain=input protocol=tcp dst- port=8080 ininterface= wan action=drop

Perguntas ?

Perguntas ? 4 - Web proxy 1 3 9

Wireless no Mikrotik

Wireless no Mikrotik 5 - Wireless 1 4 0

Conceitos 802.11a/b/g/n

Nas interfaces wireless podemos alterar alguns campos que irão definir caracterizas físicas da transmissão:

Banda

campos que irão definir caracterizas físicas da transmissão: Banda Frequência Largura de Canal 5 - Wireless

Frequência

campos que irão definir caracterizas físicas da transmissão: Banda Frequência Largura de Canal 5 - Wireless

Largura de Canal

campos que irão definir caracterizas físicas da transmissão: Banda Frequência Largura de Canal 5 - Wireless

Configurações Físicas

Padrão IEEE

Frequência

Tecnologia

Velocidade máx

802.11b

2.4Ghz

DSSS

11

Mbps

802.11g

2.4Ghz

DSSS e OFDM

54

Mbps

802.11a

5Ghz

OFDM

54

Mbps

802.11n

2.4Ghz e 5 Ghz

OFDM

600 Mbps

802.11b - DSSS

802.11b - DSSS 5 - Wireless 1 4 3

Canais não interferentes em 2.4 Ghz - DSSS

Canais não interferentes em 2.4 Ghz - DSSS 5 - Wireless 1 4 4

Canais do espectro de 5Ghz

Canais do espectro de 5Ghz • Em termos regulatórios a frequência de 5Ghz é dividida em

Em termos regulatórios a frequência de 5Ghz é dividida em 3 faixas:

Faixa baixa: 5150 a 5350 Mhz

Faixa média: 5470 a 5725 Mhz

Faixa alta:

5725 a 5850 Mhz

Canalização – 5Mhz e 10Mhz

Canalização – 5Mhz e 10Mhz Menor troughput Maior número de canais Menor vulnerabilidade a interferências

Menor troughput Maior número de canais Menor vulnerabilidade a interferências Requer menor sensibilidade Aumenta o nível de potência de tx

Canalização – Modo Turbo

Canalização – Modo Turbo Maior troughput Menor número de canais Maior vulnerabilidade a interferências

Maior troughput Menor número de canais Maior vulnerabilidade a interferências Requer maior sensibilidade Diminui o nível de potência de tx

Padrão 802.11n

MIMO Velocidades do 802.11n Bonding do canal Agregação dos frames Configuração dos cartões Potência de TX em cartões N

MIMO

MIMO: Multiple Input and Multiple Output

MIMO MIMO: Multiple Input and Multiple Output 5 - Wireless 1 4 9

802.11n - Velocidades nominais

802.11n - Velocidades nominais 5 - Wireless 1 5 0

802.11n - Bonding dos canais 2 x

20Mhz

Adiciona mais 20Mhz ao canal existente. O canal é colocado abaixo ou acima da frequência principal. É compatível com os clientes “legados” de

20Mhz.

Conexão feita no canal principal.

Permite utilizar taxas maiores.

802.11n – Agregação dos frames

Combina múltiplos frames de dados em um simples frame. O que diminui o overhead.

Agregação de unidade de dados protocolo MAC (AMPDU).

Aggregated MAC Protocol Data Units. Usa Acknowledgement em bloco. Pode aumentar a latência. Por padrão habilitado somente para tráfego de melhor esforço.

Agregação de unidade de dados de serviços MAC (AMSDU).

Enviando e recebendo AMSDU’s causa aumento de processamento, pois este é processado a nível de software.

Configurando no Mikrotik

HT Tx Chains / HT Rx Chains: No caso dos cartões “n” a configuração da antena é ignorada. HT AMSDU Limit: Máximo AMSDU que o dispositivo pode preparar. HT AMSDU Threshold:

Máximo tamanho de frame que é permitido incluir em AMSDU.

pode preparar. HT AMSDU Threshold : Máximo tamanho de frame que é permitido incluir em AMSDU.

Configurando no Mikrotik

Configurando no Mikrotik Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é

Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é dobrada.

Bridge transparente em enlaces “N”

WDS não suporta agregação de frames e portanto não provê a velocidade total da tecnologia “n”.

EoIP incrementa overhead.

Para fazer bridge transparente com velocidades maiores com menos overhead em enlaces “n” devemos utilizar MPLS/VPLS.

Potências

Potências default : Não altera a potência original do cartão. cards rates : Fixa mas respeita
Potências default : Não altera a potência original do cartão. cards rates : Fixa mas respeita

default: Não altera a potência original do cartão. cards rates: Fixa mas respeita as variações das taxas para cada velocidade. all rates fixed: Fixa um valor para todas velocidades. manual: permite ajustar potências diferentes para cada velocidade.

Potências

Potências Quando a opção “regulatory domain” está habilitada, somente as frequências permitidas para o país

Quando a opção “regulatory domain” está habilitada, somente as frequências permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país, levando em conta o valor em dBi informado em “Antenna Gain”. Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13.

DFS no radar detect : escaneia o meio e escolhe o canal em que for

DFS

no radar detect: escaneia o meio e escolhe o canal em que for encontrado o menor número de redes. radar detect: escaneia o meio e espera 1 minuto para entrar em operação no canal escolhido se não for detectada a ocupação do canal. Obs.: O modo DFS é obrigatório no Brasil para as faixas de 5250-5250 e

5350-5725.

AP e Client tx rate

Defaul AP TX Rate: Taxa máxima que o AP pode transmitir para cada um de seus clientes. Funciona para qualquer cliente.

Default Client TX Rate: Taxa máxima que o cliente pode transmitir para o AP. Só funciona para clientes Mikrotik.

Rate : Taxa máxima que o cliente pode transmitir para o AP. Só funciona para clientes

Data Rates

A velocidade em uma rede wireless é definida pela modulação que os dispositivos conseguem trabalhar.

Supported Rates: São as velocidades de dados entre o AP e os clientes.

Basic Rates: São as velocidades que os dispositivos se comunicam independentemente

do tráfego de dados (beacons, sincronismos, etc

)

os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc ) 5 - Wireless
os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc ) 5 - Wireless

Ferramentas de Site Survey - Scan

Ferramentas de Site Survey - Scan A -> Ativa B -> BSS P -> Protegida R

A

-> Ativa

B

-> BSS

P

-> Protegida

R

-> Mikrotik

Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das conexões estabelecidas.

Ferramentas de Site Survey – Uso de frequências

Mostra o uso das frequências em todo o espectro para site survey conforme a banda selecionada no menu wireless.

das frequências em todo o espectro para site survey conforme a banda selecionada no menu wireless.

Interface wireless - Sniffer

Interface wireless - Sniffer Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes. Muito útil

Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes.

Muito útil para detectar ataques.

Pode ser arquivado no próprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP.

Interface wireless - Snooper

Interface wireless - Snooper Com a ferramenta snooper é possível monitorar a carga de tráfego em

Com a ferramenta snooper é possível monitorar a carga de tráfego em cada canal por estação e por rede. Scaneia as frequências definidas em scan-list da interface.

Interface wireless - Geral

Comportamento do protocolo ARP.

enable: Aceita e responde requisições ARP.

disable: Não responde a requisições ARP. Clientes devem acessar através de tabelas estáticas.

proxy-arp: Passa seu próprio MAC quando há uma requisição para algum host interno ao roteador.

reply-only: Somente responde as requisições. Endereços vizinhos são resolvidos estaticamente.

reply-only : Somente responde as requisições. Endereços vizinhos são resolvidos estaticamente. 5 - Wireless 1 6

Interface wireless – Modo de operação

Interface wireless – Modo de operação ap bridge : Modo de ponto de acesso. Repassa os

ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada.

bridge: O mesmo que o o modo “ap bridge” porém aceitando somente um cliente.

station: Modo cliente de um ap. Não pode ser colocado em bridge com outras interfaces.

Interface wireless – Modo de operação

Interface wireless – Modo de operação station pseudobridge : Estação que pode ser colocada em modo

station pseudobridge: Estação que pode ser colocada em modo bridge, porém sempre passa ao AP seu próprio MAC.

station pseudobridge clone: Modo idêntico ao anterior, porém passa ao AP um MAC pré determinado anteriormente.

station wds: Modo estação que pode ser colocado em bridge com a interface ethernet e que passa os MACs de forma transparente. É necessário que o AP esteja em modo wds.

Interface wireless – Modo de operação

Interface wireless – Modo de operação alignment only : Modo utilizado para efetuar alinhamento de antenas

alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que são mandados a ela por outros dispositivos trabalhando no mesmo canal. wds slave: Adéqua suas configurações conforme outro AP com mesmo SSID. nstreme dual slave: Será visto no tópico especifico de nstreme. station bridge: Faz um bridge transparente porém só pode ser usado para se conectar a um AP Mikrotik.

Interface wireless – AP Virtual

Interface wireless – AP Virtual Com as interfaces virtuais podemos montar várias redes dando perfis de

Com as interfaces virtuais podemos montar

várias redes dando perfis de serviço diferentes. Name: Nome da rede virtual.

MTU: Unidade máxima de transferência(bytes).

MAC: Endereço MAC do novo AP.

ARP: Modo de operação do protocolo ARP.

Obs.: As demais configurações são idênticas as de um AP.

: Modo de operação do protocolo ARP. Obs.: As demais configurações são idênticas as de um
: Modo de operação do protocolo ARP. Obs.: As demais configurações são idênticas as de um

Protocolo Nstreme Dual - Configuração

Protocolo Nstreme Dual - Configuração Colocar a interface em modo “nstreme dual slave”. Adicionar uma interface

Colocar a interface em modo “nstreme dual slave”.

Adicionar uma interface Nstreme Dual e definir quem será TX e quem será RX.

Obs.: Utilize sempre canais distantes.

Nstreme Dual e definir quem será TX e quem será RX. Obs.: Utilize sempre canais distantes.

Protocolo Nstreme Dual - Configuração

Verifique o MAC escolhido pela interface Nstreme e informe no lado oposto.

Criar uma bridge e adicionar as interfaces ethernet e a interface Nstreme Dual.

Práticas de RF recomendadas:

Use antenas de qualidade, Polarizações diferentes, canais distantes e mantenha uma boa distância entre as antenas.

Polarizações diferentes, canais distantes e mantenha uma boa distância entre as antenas. 5 - Wireless 1

WDS & WDS MESH

WDS & WDS MESH 5 - Wireless 1 7 2

WDS – WIRELESS DISTRIBUTION SYSTEM

WDS – WIRELESS DISTRIBUTION SYSTEM WDS é a melhor forma garantir uma grande área de cobertura

WDS é a melhor forma garantir uma grande área de cobertura wireless utilizando vários APs e prover mobilidade sem a necessidade de re- conexão dos usuários. Para tanto, todos os AP’s devem ter o mesmo SSID e mesmo canal.

WDS e o protocolo STP

WDS e o protocolo STP A “mágica” do wds só é possível por conta do protocolo
WDS e o protocolo STP A “mágica” do wds só é possível por conta do protocolo

A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de forma semelhante porém o RSTP é mais rápido.

O RSTP inicialmente elege uma root bridge e utiliza o algoritmo “breadth-first search” que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado.

Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No entanto é possível interferir no comportamento padrão, modificando custos, prioridades e etc

WDS e o protocolo STP

WDS e o protocolo STP Quanto menor a prioridade, maior a chance de ser eleita como
WDS e o protocolo STP Quanto menor a prioridade, maior a chance de ser eleita como

Quanto menor a prioridade, maior a chance de ser eleita como bridge root.

Quando os custos são iguais é eleita a porta com prioridade mais baixa.

O custo da porta permite um caminho ser eleito em lugar do outro.

WDS e o protocolo STP

WDS e o protocolo STP A Bridge usa o endereço MAC da porta ativa com menor

A Bridge usa o endereço MAC da porta ativa com menor número de porta. A porta wireless está ativa somente quando existem hosts conectados a ela. Para evitar que os MACs fiquem variando, é possível atribuir um MAC manualmente.

WDS / WDS MESH

WDS / WDS MESH WDS Default Bridge : A bridge padrão para as interfaces wds. WDS

WDS Default Bridge: A bridge padrão para as interfaces wds.

WDS Mode dynamic: As interfaces wds são adicionada dinamicamente quando um dispositivo wds encontra outro compatível. static: As interfaces wds devem ser adicionadas manualmente apontando o MAC da outra ponta. (mesh): WDS com um algoritmo proprietário para melhoria do link. Só possui compatibilidade com outros dispositivos Mikrotik.

WDS / MESH

WDS / MESH Altere o modo de operação da wireless para: ap-bridge WDS : Selecione o

Altere o modo de operação da wireless para:

ap-bridge WDS: Selecione o modo wds dynamic-mesh. WDS Default Bridge: Selecione a bridge criada.

Criando a bridge

Criando a bridge Crie um bridge e altere o nome dela para bridge-wds Ative o protocolo
Criando a bridge Crie um bridge e altere o nome dela para bridge-wds Ative o protocolo

Crie um bridge e altere o nome dela para bridge-wds

Ative o protocolo RSTP

Adicionando a WLAN na bridge

Adicionando a WLAN na bridge Adicione a interface wlan1 na bridge-wds 5 - Wireless 1 8

Adicione a interface wlan1 na bridge-wds

Configurando a WLAN

Configurando a WLAN Altere as configurações de sua wlan1 conforme a imagem Ative o WDS conforme
Configurando a WLAN Altere as configurações de sua wlan1 conforme a imagem Ative o WDS conforme

Altere as configurações de sua wlan1 conforme a imagem

Ative o WDS conforme a imagem

Interface Wireless – Controle de Acesso

Interface Wireless – Controle de Acesso A Access List é utilizada pelo AP para restringir associações

A Access List é utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar.

A comunicação entre clientes da mesma interface, virtual ou real, também pode ser controlada na Access List.

Interface Wireless – Controle de Acesso

O processo de associação ocorre da seguinte forma:

Acesso O processo de associação ocorre da seguinte forma: Um cliente tenta se associar a uma

Um cliente tenta se associar a uma interface wlan;

Seu MAC é procurado na access list da interface wlan;

Caso encontrado, a ação especifica será tomada:

Authentication: Define se o cliente poderá se associar ou

não; Fowarding: Define se os clientes poderão se comunicar.

Interface Wireless – Access List

MAC Address: Endereço MAC a ser liberado ou bloqueado. Interface: Interface real ou virtual onde será feito o controle de acesso. AP Tx Limit: Limite de tráfego enviado para o cliente. Client Tx Limit: Limite de tráfego enviado do cliente para o AP. Private Key: Chave wep criptografada. Private Pre Shared Key: Chave WPA.

wep criptografada. Private Pre Shared Key : Chave WPA. Management Protection Key : Chave usada para

Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros Mikrotiks.

Interface Wireless – Connect List

A Connect List tem a finalidade de listar os APs que o Mikrotik configurado como cliente pode se conectar.

MAC Address: MAC do AP a se conectar. SSID: Nome da rede. Area Prefix: String para conexão com AP de mesma área. Security Profile: Definido nos perfis de segurança.

Security Profile : Definido nos perfis de segurança. Obs. : Essa é uma boa opção para

Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP falso.

Segurança de Acesso em redes sem fio

Segurança de Acesso em redes sem fio 5 - Wireless 1 8 6

Falsa segurança

Nome da rede escondido:

Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes chamados “beacons”. Este comportamento pode ser modificado no Mikrotik habilitando a opção “Hide SSID”.

Pontos negativos:

SSID deve ser conhecido pelos clientes. Scanners passivos o descobrem facilmente pelos pacotes de “probe request” dos clientes.

Falsa segurança

Controle de MACs:

Descobrir MACs que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer.

Spoofar um MAC é bem simples. Tanto usando windows, linux ou Mikrotik.

Falsa segurança

Criptografia WEP:

“Wired Equivalent Privacy” – Foi o sistema de criptografia inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia. Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar a chave, como:

Airodump. Airreplay. Aircrack.

Hoje com essas ferramentas é bem simples quebrar a WEP.

Evolução dos padrões de segurança

Evolução dos padrões de segurança 5 - Wireless 1 9 0

Chave WPA e WPA2 - PSK

A configuração da chave WPA/WAP2- PSK é muito simples no Mikrotik.

No menu wireless clique na Security Profile e adicione um novo perfil

Configure o modo de chave dinâmico e a chave pré combinada para cada tipo de autenticação.

Em cada Wlan selecione o perfil de segurança desejado.

Obs.: As chaves são alfanuméricas de 8 até 64 caracteres.

o perfil de segurança desejado. Obs.: As chaves são alfanuméricas de 8 até 64 caracteres. 5

Segurança de WPA / WPA2

Atualmente a única maneira conhecida para se quebrar a WPA-PSK é somente por ataque de dicionário.

A maior fragilidade paras os WISP’s é que a chave se encontra em texto plano nos computadores dos clientes ou no próprio Mikrotik.

Trabalhando com certificados

Certificado digital é um arquivo que identifica de forma inequívoca o seu proprietário.

Certificados são criados por instituições emissoras chamadas de CA (Certificate Authorities).

Os certificados podem ser:

Assinados por uma instituição “acreditada”(Verisign,

Thawte, etc

).

Certificados auto assinados.

Passos para implementação de EAP-TLS com certificados auto Assinados

Criar a entidade certificadora(CA).

Criar as requisições de Certificados.

Assinar as requisições na CA.

Importar os certificados assinados para os Mikrotiks.

Se necessário, criar os certificados para máquinas windows.

EAP-TLS sem Radius em ambos lados

EAP-TLS sem Radius em ambos lados O método EAP-TLS também pode ser usado com certificados. 5

O método EAP-TLS também pode ser usado com certificados.

WPAx com radius

WPAx com radius 5 - Wireless 1 9 6

Resumo dos métodos de implantação e seus problemas

WPA-PSK

Chaves presentes nos clientes e acessíveis aos operadores.

Método sem certificados

Passível de invasão por equipamento que também opere nesse modo. Problemas com processador.

Mikrotik com Mikrotik com EAP-TLS

Método seguro porém inviável economicamente e de implantação praticamente impossível em redes existentes.

Método alternativo com Mikrotik

A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP e é vinculada ao MAC Address do cliente, possibilitando que cada um tenha sua chave.

do cliente, possibilitando que cada um tenha sua chave. Obs.: Cadastrando as PSK na access list,

Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visível a usuários do Mikrotik.

Método alternativo com Mikrotik

Por outro lado, o Mikrotik permite que essas chaves sejam distribuídas por Radius, o que torna esse método muito interessante.

Para isso é necessário:

Criar um perfil WPA2 qualquer; Habilitar a autenticação via MAC no AP; Ter a mesma chave configurada tanto no cliente como no Radius.

Método alternativo com Mikrotik

Configurando o perfil:

Método alternativo com Mikrotik Configurando o perfil: 5 - Wireless 2 0 0
Método alternativo com Mikrotik Configurando o perfil: 5 - Wireless 2 0 0

Perguntas ?

Perguntas ? 5 - Wireless 2 0 1

Roteamento

Roteamento 6 - Roteamento 2 0 2

O que é roteamento

O que é roteamento Em termos gerais, o roteamento é o processo de encaminhar pacotes entre

Em termos gerais, o roteamento é o processo de encaminhar pacotes entre redes conectadas.

Para redes baseadas em TCP/IP, o roteamento faz parte do protocolo IP. Para que o roteamento funcione ele trabalha em combinação com outros serviços de protocolo.

Quando o roteamento é utilizado?

Sempre que um determinado host precisar se comunicar como outro host/server que não esteja na mesma sub-rede ele irá precisar de um roteador (gateway) para alcançar seu destino.

de um roteador (gateway) para alcançar seu destino. 192.168.1.201/24 192.168.1.200/24 192.168.1.1 192.168.20.1
de um roteador (gateway) para alcançar seu destino. 192.168.1.201/24 192.168.1.200/24 192.168.1.1 192.168.20.1
de um roteador (gateway) para alcançar seu destino. 192.168.1.201/24 192.168.1.200/24 192.168.1.1 192.168.20.1

192.168.1.201/24

(gateway) para alcançar seu destino. 192.168.1.201/24 192.168.1.200/24 192.168.1.1 192.168.20.1 192.168.20.2
(gateway) para alcançar seu destino. 192.168.1.201/24 192.168.1.200/24 192.168.1.1 192.168.20.1 192.168.20.2
(gateway) para alcançar seu destino. 192.168.1.201/24 192.168.1.200/24 192.168.1.1 192.168.20.1 192.168.20.2
(gateway) para alcançar seu destino. 192.168.1.201/24 192.168.1.200/24 192.168.1.1 192.168.20.1 192.168.20.2
(gateway) para alcançar seu destino. 192.168.1.201/24 192.168.1.200/24 192.168.1.1 192.168.20.1 192.168.20.2

192.168.1.200/24

192.168.1.1

192.168.20.1

192.168.20.2

192.168.1.200/24 192.168.1.1 192.168.20.1 192.168.20.2 Exemplo 1 Exemplo 2 Não necessita de roteamento
192.168.1.200/24 192.168.1.1 192.168.20.1 192.168.20.2 Exemplo 1 Exemplo 2 Não necessita de roteamento
192.168.1.200/24 192.168.1.1 192.168.20.1 192.168.20.2 Exemplo 1 Exemplo 2 Não necessita de roteamento

Exemplo 1

Exemplo 2

Não necessita de roteamento

Necessita de roteamento

Origem

Destino

Origem

Destino

192.168.1.201

192.168.1.200

192.168.1.201

192.168.20.2