Você está na página 1de 362

TREINAMENTO MIKROTIK

CERTIFICAÇÃO – MTCNA

Produzido por: Alive Solutions


Instrutor: Guilherme Ramires
AGENDA

• Treinamento diário das 09:00hs às 19:00hs

• Coffe break as 16:00hs

• Almoço as 13:00hs – 1 hora de duração

2
Algumas regras importantes

• Por ser um curso oficial, o mesmo não poderá ser


filmado ou gravado

• Procure deixar seu aparelho celular desligado ou em


modo silencioso

• Durante as explanações evite as conversas paralelas.


Elas serão mais apropriadas nos laboratórios

• Desabilite qualquer interface wireless ou dispositivo 3G


em seu laptop
3
Algumas regras importantes

• Perguntas são sempre bem vindas. Muitas vezes a sua


dúvida é a dúvida de todos.

• O acesso a internet será disponibilizado para efeito


didático dos laboratórios. Portanto evite o uso
inapropriado.

• O certificado de participação somente será concedido


a quem obtiver presença igual ou superior a 75%.

4
Apresente-se a turma

• Diga seu nome;


• Sua empresa;
• Seu conhecimento sobre o RouterOS;
• Seu conhecimento com redes TCP/IP;
• O que você espera do curso;

• Lembre-se de seu número: XY

5
Objetivos do curso

• Prover um visão geral sobre o Mikrotik RouterOS e


as RouterBoards.

• Mostrar de um modo geral todas ferramentas que


o Mikrotik RouterOS dispõe para prover boas
soluções.

6
Onde está a Mikrotik ?

7
RouterBoards

• São hardwares criados pela Mikrotik;


• Atualmente existe uma grande variedade de
RouterBoards.

8
Mikrotik RouterOS

• RouterOS é o sistema operacional das


RouterBoards e que pode ser configurado
como:
– Um roteador dedicado
– Controlador de banda
– Firewall
– Gerenciador de usuários
– Dispositivo QoS personalizado
– Qualquer dispositivo wirless 802.11a/b/g/n

• Além das RouterBoards ele também pode ser


instalado em PC’s.
9
Instalação do RouterOS

• O Mikrotik RouterOS pode ser instalado a partir


de:

– CD ISO bootável – imagem


– Via rede com utilitário Netinstall

10
Onde obter o Mikrotik RouterOS

• Para obter os últimos pacotes do Mikrotik RouterOS


basta acessar:
http://www.mikrotik.com/download.html

• Lá você poderá baixar as imagens “.iso”

• Os pacotes combinados

• E os pacotes individuais

11
Instalando pelo CD
• Inicie o PC com o modo boot pelo CD

12
Pacotes do RouterOS
• System: Pacote principal contendo os serviços básiscos e drivers. A rigor é o único que é
obrigatório
• PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc..
• DHCP: Cliente, Relay e Servidor DHCP
• Advanced-tools: Ferramentas de diagnóstico, netwatch e outros ultilitários
• Arlan: Suporte a uma antiga placa Aironet – antiga arlan
• Calea: Pacote para vigilância de conexões (Exigido somente nos EUA)
• GPS: Suporte a GPS ( tempo e posição )
• HotSpot: Suporte a HotSpot
• ISDN: Suporte as antigas conexões ISDN
• LCD: Suporte a display LCD
• NTP: Servidor de horário oficial mundial
13
Pacotes do RouterOS
• Radiolan: Suporte a placa RadioLan

• RouterBoard: Utilitário para RouterBoards

• Routing: Suporte a roteamento dinâmico tipo RIP, OSPF, MME e BGP

• Security: Suporte a ssh, IPSec e conexão segura do winbox

• Synchronous: suporte a placas síncronas Moxa, Cyclades PC300, etc...

• Telephony: Pacote de suporte a telefônia – protocolo h.323

• UPS: Suporte as no-breaks APC

• User-Manager: Serviço de autenticação User-Manager

• Web-Proxy: Serviço Web-Proxy

• Wireless: Suporte a placas Atheros e PrismII

• Wireless-Nv2: Suporte ao protocolo nstreme versão 2


14
Instalando pelo CD
• Pode-se selecionar os pacotes desejados usando a barra de espaços ou “a” para
todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja
configurações pode-se mantê-las pressionando “y”.

15
Instalação com Netinstall

• Pode ser instalado em PC que boota via rede(configurar


na BIOS)

• Pode ser baixado também em:


http://www.mikrotik.com/download.html

• O netinstall é um excelente recurso para reinstalar em


routerboards quando o sistema foi danificado ou
quando se perde a senha do equipamento.

16
Instalação com Netinstall
• Para se instalar em uma RouterBoard,
inicialmente temos que entrar via serial, com
cabo null modem e os seguintes parâmetros:

– Velocidade: 115.200 bps


– Bits de dados: 8
– Bits de parada: 1
– Controle de fluxo: hardware

17
Instalação com Netinstall
• Atribuir um IP para o
Net Booting na mesma
faixa da placa de rede
da máquina

• Coloque na máquina os
pacotes a serem
instalados

• Bootar e selecionar os
pacotes a serem
instalados

18
Primeiro acesso
• O processo de instalação não configura IP no
Mikrotik. Portanto o primeiro acesso pode ser
feito das seguintes maneiras:

– Direto no console (em pcs)

– Via terminal

– Via telnet de MAC, através de


outro Mikrotik ou sistema que
suporte telnet de MAC e esteja no
mesmo barramento físico de rede

– Via Winbox
19
Console no Mikrotik
• Através do console do Mikrotik é possível
acessar todas configurações do sistema de
forma hierárquica conforme os exemplos abaixo:
Acessando o menu “interface”
[admin@MikroTik] > interface
[admin@MikroTik] interface > ethernet

Para retornar ao nível anterior basta digitar ..


[admin@MikroTik] interface ethernet> ..
[admin@MikroTik] interface >

Para voltar ao raiz digite /


[admin@MikroTik] interface ethernet> /
[admin@MikroTik] >
20
Console no Mikrotik
• ? Mostra um help para o diretório em que se
esteja

• ? Após um comando incompleto mostra as


opções disponíveis para o comando

• Comandos podem ser completados com a tecla


TAB

• Havendo mais de uma opção para o já digitado,


pressione TAB 2 vezes para mostrar as opções
disponíveis
21
Console no Mikrotik
• Comando PRINT mostra informações de configuração:
[admin@MikroTik] > interface ethernet> print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 R ether1 1500 00:0C:42:34:F7:02 enabled

[admin@MikroTik] > interface ethernet> print detail


0 R name="ether1" mtu=1500 l2mtu=1526 mac-address=00:0C:42:34:F7:02 arp=enabled
auto-negotiation=yes full-duplex=yes speed=100Mbps

22
Console no Mikrotik
• É possível monitorar o status das interfaces com o seguinte comando:

[guilherme@MKT] > interface wireless monitor wlan1


status: running-ap
band: 5ghz
frequency: 5765MHz
noise-floor: -112dBm
overall-tx-ccq: 93%
registered-clients: 8
authenticated-clients: 8
current-ack-timeout: 33
nstreme: no
current-tx-powers:
9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21)
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/
18) 23
Console no Mikrotik
• Comandos para manipular regras
– add, set, remove: adiciona, muda e remove regras;
– disabled: desabilita regra sem deletar;
– move: move a regra cuja a ordem influência.

• Comando Export
– Exporta todas as configurações do diretoria acima;
– Pode ser copiado e colado em um editor de textos;
– Pode ser exportado para arquivo.

• Comando Import
– Importa um arquivo de configuração criado pelo comando export.

24
WINBOX
• Winbox é o utilitário para administração do Mikrotik em modo gráfico.
Funciona em Windows. Para funcionar no Linux é necessário a
instalação do emulador Wine. A comunicação é feita pela porta TCP
8291 e caso você habilite a opção “Secure Mode” a comunicação será
criptografada.

• Para baixar o winbox acesse o link:


http://www.mikrotik.com/download.html

25
Acessando pelo WINBOX
• É possível acessar o Mikrotik inicialmente sem endereço IP, através
do MAC da interface do dispositivo que está no mesmo
barramento físico que o usuário. Para isso basta clicar nos 3
pontos e selecione o MAC que aparecerá.

26
Configuração em Modo Seguro
• O Mikrotik permite o acesso ao sistema através do “modo seguro”.
Este modo permite desfazer as configurações modificadas caso a
sessão seja perdida de forma automática. Para habilitar o modo
seguro pressione “CTRL+X”.

27
Configuração em Modo Seguro
• Se um usuário entra em modo seguro, quando já há um
nesse modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/dont take it [u/r/d]

u – desfaz todas as configurações anteriores feitas em


modo seguro e põe a presente sessão em modo seguro

d – deixa tudo como está

r – mantém as configurações no modo seguro e põe a


sessão em modo seguro. O outro usuário receberá a
seguinte mensagem:
“Safe Mode Released by another user”

28
Configuração em Modo Seguro
• Todas configurações são desfeitas caso você perca comunicação com o
roteador, o terminal seja fechado clicando no “x” ou pressionando
CTRL+D.
• Configurações realizadas em modo seguro não são sofrem marcações
na lista de historico até serem confirmadas ou desfeitas. A flag “U”
significa que a ação não será desfeita. A flag “R” significa que a ação
foi desfeita.
• É possível visualizar o histórico de modificações através do menu:
/system history print

Obs.: O número máximo de registros em modo seguro é de 100.

29
Manutenção do Mikrotik

• Atualização

• Gerenciando pacotes

• Backup

• Informações sobre licenciamento

30
Atualizações

• As atualizações podem ser feitas a


partir de um conjunto de pacotes
combinados ou individuais.
• Os arquivo tem extensão .npk e
para atualizar a versão basta fazer o
upload para o diretório raiz e
efetuar um reboot.
• O upload pode ser feito por FTP ou
copiando e colando pelo Winbox.

31
Pacotes
• Adicionar novas funcionalidades podem ser
feitas através de alguns pacotes que não fazem
parte do conjunto padrão de pacotes
combinado.
• Esses arquivos também possuem extensão .npk
e para instalá-los basta fazer o upload para o
Mikrotik e efetuar um reboot do sistema.
• Alguns pacotes como “User Manager” e
“Multicast” são exemplos de pacotes adicionais
que não fazem parte do pacote padrão.
32
Pacotes
• Alguns pacotes podem ser habilitados e
desabilitados conforme sua necessidade.
Pacote desabilitado

Pacote marcado para


ser desabilitado

Pacote marcado para


ser habilitado

33
Backup

• Para efetuar o backup


basta ir em Files e clicar
no botão “Backup”.

• Para restaurar o backup


basta selecionar o arquivo
e clicar em “Restore”.

• Este tipo de backup pode causar problemas de MAC


caso seja restaurado em outro hardware. Para efetuar
um backup por partes use o comando “export”.
34
Licenciamento
• A chave é gerada sobre
um software-id fornecido
pelo sistema.

• A licença fica vinculada


ao HD ou Flash e/ou
placa mãe.

• A formatação com outras


ferramentas muda o
software-id causa a perda
da licença.

35
Dúvidas ???

36
Nivelamento de conhecimentos
TCP/IP

37
Modelo OSI
(Open System Interconnection)
CAMADA 7 – Aplicação: Comunicação com os programas. SNMP e TELNET.

CAMADA 6 – Apresentação: Camada de tradução. Compressão e criptografia

CAMADA 5 – Sessão: Estabelecimento das sessões TCP.

CAMADA 4 – Transporte: Controle de fluxo, ordenação dos pacotes e correção


de erros
CAMADA 3 – Rede: Associa endereço físico ao endereço lógico

CAMADA 2 – Enlace: Endereçamento físico. Detecta e corrige erros da camada 1

CAMADA 1 – Física: Bits de dados

38
Camada I – Camada Física

• A camada física define as características


técnicas dos dispositivos elétricos.

• É nesse nível que são definidas as


especificações de cabeamento estruturado,
fibras ópticas, etc... No caso da wireless é a
camada I que define as modulações,
frequências e largura de banda das
portadores.
39
Camada II - Enlace
• Camada responsável pelo endereçamento físico,
controle de acesso ao meio e correções de erros
da camada I.

• Endereçamento físico se faz pelos endereços


MAC (Controle de Acesso ao Meio) que são
únicos no mundo e que são atribuídos aos
dispositivos de rede.

• Ethernets e PPP são exemplos de dispositivos


que trabalham em camada II.
40
Endereço MAC

• É o único endereço físico de um dispositivo de


rede

• É usado para comunicação com a rede local

• Exemplo de endereço MAC: 00:0C:42:00:00:00

41
Camada III - Rede
• Responsável pelo endereçamento lógico dos
pacotes.

• Transforma endereços lógicos(endereços IPs)


em endereços físicos de rede.

• Determina que rota os pacotes irão seguir para


atingir o destino baseado em fatores tais como
condições de tráfego de rede e prioridade.
42
Endereço IP

• É o endereço lógico de um dispositivo de rede

• É usado para comunicação entre redes

• Exemplo de endereço ip: 200.200.0.1

43
Sub Rede
• É uma faixa de endereços IP que divide as redes em segmentos
• Exemplo de sub rede: 255.255.255.0 ou /24
• O endereço de REDE é o primeiro IP da sub rede
• O endereço de BROADCAST é o último IP da sub rede
• Esses endereços são reservados e não podem ser usados

End. IP/Máscara End. de Rede End. Broadcast


192.168.0.5/23 192.168.0.0 192.168.1.255
192.168.0.5/24 192.168.0.0 192.168.0.255
192.168.1.5/24 192.168.1.0 192.168.1.255
192.168.1.5/25 192.168.1.0 192.168.1.127
192.168.1.5/26 192.168.1.0 192.168.1.63 44
Endereçamento CIDR

45
Protocolo ARP – Address Resolution Protocol

• Utilizado para associar IP’s com endereços físicos.


• Faz a intermediação entre a camada II e a camada
III da seguinte forma:
1. O solicitante de ARP manda um pacote de broadcast
com informação do IP de destino, IP de origem e seu
MAC, perguntando sobre o MAC de destino.
2. O host que tem o IP de destino responde fornecendo
seu MAC.
3. Para minimizar o broadcast, o S.O mantém um tabela
ARP constando o par (IP – MAC).
46
Camada IV - Transporte
• Quando no lado do remetente é responsável por
pegar os dados das camadas superiores e dividir
em pacotes para que sejam transmitidos para a
camada de rede.

• No lado do destinatário pega pega os pacotes


recebidos da camada de rede, remonta os dados
originais e os envia para à camada superior.

Estão na camada IV: TCP, UDP, RTP


47
Camada IV - Transporte
Protocolo TCP:
O TCP é um protocolo de transporte que executa
importantes funções para garantir que os dados
sejam entregues de forma confiável, ou seja, sem que
os dados sejam corrompidos ou alterados.

Protocolo UDP:
O UDP é um protocolo não orientado a conexão e
portanto é mais rápido que o TCP. Entretanto não
garante a entrega dos dados.
48
Características do protocolo TCP
Garante a entrega de data gramas IP.
Executa a segmentação e reagrupamento de grande blocos de dados
enviados pelos programas e garante o seqüenciamento adequado e a
entrega ordenada de dados segmentados.
Verifica a integridade dos dados transmitidos usando cálculos de soma
de verificação.

Envia mensagens positivas dependendo do recebimento bem-sucedido


dos dados. Ao usar confirmações seletivas, também são enviadas
confirmações negativas para os dados que não foram recebidos.

Oferece um método preferencial de transporte de programas que


devem usar transmissão confiável de dados baseados em sessões, como
banco de dados cliente/servidor por exemplo.
49
Diferenças básicas entre TCP e UDP
TCP UDP
Serviço sem conexão. Não é
Serviço orientado por conexão. estabelecida conexão entre os
hosts.
Garante a entrega através do uso
Não garante ou não confirma
de confirmação e entrega
entrega dos dados.
seqüenciada dos dados.
Programas que usam TCP tem Programas que usam UDP são
garantia de transporte confiável de responsáveis pela confiabilidade
dados. dos dados.
Mais lento, usa mais recursos e Rápido, exige poucos recursos e
somente dá suporte a ponto a oferece comunicação ponto a
ponto. ponto e multiponto. 50
Estado das conexões
• É possível observar o estado das conexões no MikroTik no menu
Connections.

51
Portas TCP/UDP
Protocolo
TCP/UDP

FTP -T SSH -T DNS-U WEB-T


Porta 21 Porta 22 Porta 53 Porta 80

O uso de portas, permite o funcionamento de vários serviços, ao


mesmo tempo, no mesmo computador, trocando informações com
um ou mais serviços/servidores.

Portas abaixo de 1024 são registradas para serviços especiais.


52
Dúvidas ????

53
DIAGRAMA INICIAL

54
Configuração do Router
• Adicione os ips as interfaces

Obs.: Atente para selecionar as interfaces corretas.

55
Configuração do Router
• Adicione a rota padrão

56
Configuração do Router
• Adicione o servidor DNS
1

57
Configuração do Router
• Configuração da interface wireless

58
Teste de conectividade

• Pingar a partir da RouterBoard o seguinte ip:


192.168.X.254
• Pingar a partir da RouterBoard o seguinte
endereço: www.mikrotik.com;
• Pingar a partir do notebook o seguinte ip:
192.168.X.254
• Pingar a partir do notebook o seguinte endereço:
www.mikrotik.com;
• Analisar os resultados
59
Corrigir o problema de conectividade

• Diante do cenário apresentado quais soluções


podemos apresentar?

– Adicionar rotas estáticas;

– Utilizar protocolos de roteamento dinâmico;

– Utilizar NAT(Network Address Translation).

60
Utilização do NAT
• O mascaramento é a técnica que permite que
vários hosts de uma rede compartilhem um
mesmo endereço IP de saída do roteador. No
Mikrotik o mascaramento é feito através do
Firewall na funcionalidade do NAT.

• Todo e qualquer pacote de dados de uma rede


possui um endereço IP de origem e destino. Para
mascarar o endereço, o NAT faz a troca do
endereço IP de origem. Quando este pacote
retorna ele é encaminhando ao host que o
originou.
61
• Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.
3

62
Teste de conectividade

• Efetuar os testes de ping a partir do notebook;


• Analisar os resultados;
• Efetuar os eventuais reparos.

Após a confirmação de que tudo está funcionando,


faça o backup da routerboard e armazene-o no
notebook. Ele será usado ao longo do curso.

63
Gerenciando usuários
• O acesso ao roteador pode ser controlado;
• Pode-se criar usuários e/ou grupos diferentes;

2 64
Gerenciamento de usuários

• Adicione um novo usuário com seu nome e dê a ele


acesso “Full”

• Mude a permissão do usuário “admin” para “Read”

• Faça login com seu novo usuário.

65
Atualizando a RouterBoard

• Faça o download dos pacotes no seguinte


endereço: ftp://172.31.254.2
• Faça o upload dos pacotes para sua RouterBoard
• Reinicie a RouterBoard para que os pacotes novos
sejam instalados
• Confira se os novos pacotes foram instalados com
sucesso.

66
Wireless no Mikrotik

67
Configurações Físicas
Padrão IEEE Frequência Tecnologia Velocidades

802.11b 2.4 Ghz DSSS 1, 2, 5.5 e 11 Mbps

802.11g 2.4 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54


Mbps
802.11a 5 Ghz OFDM 6, 9, 12, 18, 24, 36, 48 e 54
Mbps
802.11n 2.4 Ghz e 5 BQSP, QPSQ e De 6.5Mbps até 600 Mbps
Ghz QAM

68
802.11b - DSSS

69
Canais não interferentes em
2.4 Ghz - DSSS
Canal 1 Canal 6 Canal 11

2.412 GHz 2.437 GHz 2.462 GHz

70
Configurações Físicas – 2.4Ghz
• 2.4Ghz-B: Modo 802.11b,
que permite velocidades
de 1 à 11 Mbps e utiliza
espalhamento espectral.

• 2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 à 54
Mbps e utiliza OFDM.

• 2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser


usado somente em processo de migração.
71
Canais do espectro de 5Ghz

• Em termos regulatórios a frequência de 5Ghz é dividida em 3


faixas:
Faixa baixa: 5150 a 5350 Mhz
Faixa média: 5470 a 5725 Mhz
Faixa alta: 5725 a 5850 Mhz
72
Aspectos legais do espectro de 5Ghz

Faixa Baixa Faixa Média Faixa Alta


Freqüências 5150-5250 5250-5350 5470-5725 5725-5850
Largura 100 Mhz 100 Mhz 255 Mhz 125 Mhz
Canais 4 canais 4 canais 11 canais 5 canais
Detecção Detecção
de radar de radar
obrigatória obrigatória

73
Configurações Físicas – 5 Ghz
• 5Ghz: Modo 802.11a
opera nas três faixas
permitidas com
velocidades que vão de
6Mbps a 54 Mbps.

O modo 5Ghz permite ainda as variações de uso em 10Mhz e


5Mhz de largura de banda que permite selecionar freqüências
mais especificas, porém reduzindo a velocidade nominal.
Permite ainda a seleção do modo turbo ou “a/n” dependendo
do modelo do cartão. 74
Canalização em 802.11a – Modos 5Mhz e
10Mhz

Menor troughput
Maior número de canais
Menor vulnerabilidade a interferências
Requer menor sensibilidade
Aumenta o nível de potência de tx
75
Canalização em 802.11a – Modo
Turbo

Maior troughput
Menor número de canais
Maior vulnerabilidade a interferências
Requer maior sensibilidade
Diminui o nível de potência de tx
76
Padrão 802.11n
• INDICE:

MIMO
Velocidades do 802.11n
Bonding do canal
Agregação dos frames
Configuração dos cartões
Potência de TX em cartões N
Bridge transparente para links N utilizando MPLS/VPLS
77
MIMO
• MIMO: Multiple Input and Multiple Output

• SDM: Spatial Division Multiplexing


– Streams espaciais múltiplas através de múltiplas
antenas.

• Configurações de antenas múltiplas para receber e


transmitir:
1x1, 1x2, 1x3;
2x2, 2x3;
3x3
78
802.11n - Velocidades nominais

79
802.11n - Bonding dos canais 2 x 20Mhz

Adiciona mais 20Mhz ao canal existente

O canal é colocado abaixo ou acima da frequência


principal

É compatível com os clientes “legados” de 20Mhz


Conexão feito no canal principal

Permite utilizar taxas maiores


80
802.11n – Agregação dos frames
• Combina múltiplos frames de dados em um simples frame.
O que diminui o overhead
• Agregação de unidade de dados protocolo MAC (AMPDU)
– Aggregated MAC Protocol Data Units
– Usa Acknowledgement em bloco
– Pode aumentar a latência. Por padrão habilitado somente para
tráfego de melhor esforço

• Agregação de unidade de dados de serviços MAC (AMSDU)


– Enviando e recebendo AMSDU’s causa aumento de
processamento, pois este é processado a nível de software.

81
Configurando no Mikrotik
• HT Tx Chains / HT Rx Chains:
No caso dos cartões “n” a
configuração da antena é
ignorada.

• HT AMSDU Limit: Máximo AMSDU


que o dispositivo pode preparar.

• HT AMSDU Threshold: Máximo


tamanho de frame que é
permitido incluir em AMSDU.

82
Configurando no Mikrotik
• HT Guard Interval: Intervalo de
guarda.
– Any: Longo ou curto, dependendo
da velocidade de transmissão.
– Longo: Intervalo longo.

• HT Extension Channel: Define se será


usado a extensão adicional de 20Mhz.
– Below: Abaixo do canal principal
– Above: Acima do canal principal

• HT AMPDU Priorities: Prioridades do


frame para qual o AMPDU deve ser
negociado e utilizado.

83
Configurando no Mikrotik

• Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é


dobrada. 84
Bridge transparente em enlaces “N”
• WDS não suporta agregação de frames e
portanto não provê a velocidade total da
tecnologia “n”

• EoIP incremente overhead

• Para fazer bridge transparente com


velocidades maiores com menos overhead
em enlaces “n” devemos utilizar MPLS/VPLS.
85
Bridge transparente em enlaces “N”
• Para se configurar a bridge transparente em enlaces “n”, devemos
estabelecer um link AP <-> Station e configure uma rede ponto a
ponto /30.
– Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)
– Habilitar o LDP (Label Distribution Protocol) em ambos lados.
– Adicionar a wlan1 a interface MPLS

86
Bridge transparente em enlaces “N”
• Configurar o túnel VPLS em ambos os lados
• Crie uma bridge entre a interface VPLS e a ethernet conectada
• Confira o status do LDP e do túnel VPLS

87
Bridges VPLS - Considerações
• O túnel VPLS incrementa o pacote. Se este pacote
excede o MPLS MTU da interface de saida, este será
fragmentado.
• Se a interface ethernet suportar MPLS MTU de
1522 ou superior, a fragmentação pode ser evitada
alterando o MTU da interface MPLS.

• Uma lista completa sobre as MTU das RouterBoards


pode ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards

88
Setup Outdoor para enlaces “n”

• Recomendações segundo a Mikrotik:


– Teste de canal separadamente antes de usá-los ao
mesmo tempo.

– Para operação em 2 canais, usar polarizações


diferentes

– Quando utilizar antenas de polarização dupla, a


isolação mínima recomendada da antena é de 25dB.
89
Enlaces “n”

Estabeleça um link “N” com seu vizinho

Teste a performance com um e dois canais

Crie uma bridge transparente usando VPLS

90
Configurações de camada física - Potências

• default: Não altera a potência original do cartão


• cards rates: Fixa mas respeita as variações das taxas para cada velocidade
• all rates fixed: Fixa um valor para todas velocidades
• manual: permite ajustar potências diferentes para cada velocidade
91
Configurações de camada física - Potências

• Quando a opção “regulatory domain” está habilitada, somente as frequências


permitidas para o país selecionado em “Country” estarão disponíveis. Além disso
o Mikrotik ajustará a potência do rádio para atender a regulamentação do país,
levando em conta o valor em dBi informado em “Antenna Gain”.
• Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13
92
Configurações da camada física – Seleção de
antena
• Em cartões que tem duas saidas
para antenas, é possível escolher:
– antena a: utiliza antena “a”(main) para tx e rx
– antena b: utiliza antena “b”(aux) para tx e rx
– rx-a/tx-b: recepção em “a” e transmissão em
“b”
– tx-a/rx-b: transmissão em “b” e recepção em
“a”

93
Configurações da camada física – DFS
• no radar detect: escaneia o meio e
escolhe o canal em que for
encontrado o menor número de redes
• radar detect: escaneia o meio e
espera 1 minuto para entrar em
operação no canal escolhido se não
for detectada a ocupação do canal

• Obs.: O modo DFS é obrigatório no


Brasil para as faixas de 5250-5350 e
5350-5725

94
Configurações da camada física – Prop. Extensions e
WMM
• Proprietary Extensions: Opção com a única
finalidade de dar compatibilidade com
chipsets Centrino.

• WMM Support: QoS no meio físico(802.11e)

– enabled: permite que o outro dispositivo use


wmm
– required: requer que o outro dispositivo use
wmm
– disabled: desabilita a função wmm

95
Configurações da camada física – AP e
Client tx rate / Compression
• Defaul AP TX Rate: Taxa máxima que o AP
pode transmitir para cada um de seus
clientes. Funciona para qualquer cliente.

• Default Client TX Rate: Taxa máxima que o


cliente pode transmitir para o AP. Só funciona
para clientes Mikrotik.

• Compression: Recurso de compressão em Hardware disponível


em chipsets Atheros. Melhora o desempenho se o cliente
possuir este recurso e não afeta clientes que não possuam o
recurso. Porém este recurso é incompatível com criptografia.
96
Configurações da camada física – Data Rates

• A velocidade em uma rede wireless é


definida pela modulação que os
dispositivos conseguem trabalhar.

Supported Rates: São as velocidades de


dados entre o AP e os clientes.
Basic Rates: São as velocidades que os
dispositivos se comunicam
independentemente do tráfego de
dados (beacons, sincronismos, etc...)

97
Configurações da camada física – ACK
Dados
Dispositivo Dispositivo
“A” “B”
ACK

• O ACK timeout é o tempo que um dispositivo


wireless espera pelo pacote Ack que deve ser
transmitido para confirmar toda transmissão
wireless.
– Dynamic: O Mikrotik calcula dinamicamente o Ack de
cada cliente mandando de tempos em tempos
sucessivos pacotes com Ack timeouts diferentes e
analisando as respostas.
– indoors: Valor constante para redes indoors.
– Pode-se também fixar valores manualmente.
98
Configurações da camada física – ACK
• Tabela de valores referenciais para ACK Timeout

Obs.: Utilize a tabela somente para referência inicial. 99


Ferramentas de Site Survey - Scan
A -> Ativa

B -> BSS

P -> Protegida

R -> Mikrotik

N -> Nstreme

• Escaneia o meio.

Obs.: Qualquer operação de site survey causa


queda das conexões estabelecidas.
100
Ferramentas de Site Survey – Uso de
frequências
• Mostra o uso das
frequências em todo o
espectro para site survey
conforme a banda
selecionada no menu
wireless.

101
Interface wireless - Alinhamento

• Ferramenta de alinhamento com sinal sonoro


– Colocar o MAC do AP remoto no campo Filter MAC
Address e Audio Monitor.

Rx Quality: Potência em dBm do último pacote recebido

Avg. Rx Quality: Potência média dos pacotes recebidos

Last Rx: Tempo em segundos do último pacote recebido

Tx Quality: Potência do último pacote transmitido

Last TX: Tempo em segundos do último pacote transmitido

Correct: Número de pacotes recebidos sem erro 102


Interface wireless - Sniffer
• Ferramenta para sniffar o
ambiente wireless
captando e decifrando
pacotes.

• Muito útil para detectar


ataques do tipo deauth e
monkey jack.

• Pode ser arquivado no


próprio Mikrotik ou
passado por streaming
para outro servidor com
protocolo TZSP.

103
Interface wireless - Snooper

• Com a ferramenta snooper é possível monitorar a carga de tráfego


em cada canal por estação e por rede.
• Scaneia as frequências definidas em scan-list da interface
104
Interface wireless - Geral
• Comportamento do protocolo
ARP
enable: Aceita e responde requisições ARP.

disable: Não responde a requisições ARP.


Clientes devem acessar através de tabelas
estáticas.
proxy-arp: Passa seu próprio MAC quando há
uma requisição para algum host interno ao
roteador.
reply-only: Somente responde as requisições.
Endereços vizinhos são resolvidos
estaticamente.

105
Interface wireless – Modo de operação

• ap bridge: Modo de ponto de acesso. Repassa os MACs do


meio wireless de forma transparente para a rede cabeada.
• bridge: O mesmo que o o modo “ap bridge” porém aceitando
somente um cliente.
• station: Modo cliente de um ap. Não pode ser colocado em
bridge com outras interfaces.

106
Interface wireless – Modo de
operação

• station pseudobridge: Estação que pode ser colocada em


modo bridge, porém sempre passa ao AP seu próprio MAC.
• station pseudobridge clone: Modo idêntico ao anterior,
porém passa ao AP um MAC pré determinado anteriormente.
• station wds: Modo estação que pode ser colocado em bridge
com a interface ethernet e que passa os MACs de forma
transparente. É necessário que o AP esteja em modo wds.

107
Interface wireless – Modo de
operação

• alignment only: Modo utilizado para efetuar alinhamento de


antenas e monitorar sinal. Neste modo a interface wireless
“escuta” os pacotes que são mandados a ela por outros
dispositivos trabalhando no mesmo canal.
• wds slave: Adéqua suas configurações conforme outro AP
com mesmo SSID.
• nstreme dual slave: Será visto no tópico especifico de
nstreme.
108
Interface wireless – AP Virtual

Com as interfaces virtuais podemos montar


várias redes dando perfis de serviço
diferentes.

Name: Nome da rede virtual


MTU: Unidade máxima de
transferência(bytes)
MAC: Endereço MAC do novo AP
ARP: Modo de operação do protocolo ARP

Obs.: As demais configurações são idênticas as de


um AP. 109
Camada Física - Wireless
• Como trabalha o
CSMA?
– Redes ethernet
tradicionais utilizam o
método CSMA/CD
(Colision Detection).

– Redes wireless 802.11


utilizam o método
CSMA/CA (Colision
Avoidance). 110
Protocolo Nstreme - Configuração
Framer Policy
Dynamic size: O Mikrotik determina.

Best fit: Agrupa até o valor em “Frame


Limit” sem fragmentar.

Exact Size: Agrupa até o valor em


“Frame Limit” fragmentando se
necessário.

• Enable Nstreme: Habilita o nstreme.


• Enable Polling: Habilita o mecanismo de polling. Recomendado.
• Disable CSMA: Desabilita o Carrier Sense. Recomendado.
• Framer Limit: Tamanho máximo do pacote em bytes.
111
Protocolo Nstreme Dual -
Configuração

1 – Colocar a interface em modo


“nstreme dual slave”.

2 – Adicionar uma interface Nstreme


Dual e definir quem será TX e quem
será RX.

Obs.: Utilize sempre canais distantes.


112
Protocolo Nstreme Dual -
Configuração
3 – Verifique o MAC escolhido pela
interface Nstreme e informe no lado
oposto.

4 – Criar uma bridge e adicionar as


interfaces ethernet e a interface
Nstreme Dual

Práticas de RF recomendadas:
Use antenas de qualidade, Polarizações diferentes, canais distantes e
mantenha uma boa distância entre as antenas. 113
WDS & WDS MESH

114
WDS – WIRELESS DISTRIBUTION SYSTEM

• WDS é a melhor forma garantir uma grande área de


cobertura wireless utilizando vários APs e prover
mobilidade sem a necessidade de re-conexão dos
usuários. Para tanto, todos os AP’s devem ter o
mesmo SSID e mesmo canal. 115
WDS e o protocolo STP

• A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o


looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante porém o RSTP é mais rápido.
• O RSTP inicialmente elege uma root bridge e utiliza o algoritmo “breadth-
first search” que quando encontra um MAC pela primeira vez, torna o link
ativo. Se encontra outra vez, torna o link desabilitado.
• Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No
entanto é possível interferir no comportamento padrão, modificando
custos, prioridades e etc...

116
WDS e o protocolo STP
Quanto menor a prioridade, maior a
chance de ser eleita como bridge
root.

Quando os custos são iguais é eleita


a porta com prioridade mais baixa.

O custo da porta permite um


caminho ser eleito em lugar do
outro.
117
WDS e o protocolo STP

• A Bridge usa o endereço MAC da porta ativa com menor número


de porta.
• A porta wireless está ativa somente quando existem hosts
conectados a ela.
• Para evitar que os MACs fiquem variando, é possível atribuir um
MAC manualmente.
118
WDS / WDS MESH
• WDS Default Bridge: A bridge padrão
para as interfaces wds.
• WDS Default Cost: Custo da porta bridge
do link wds.
• WDS Cost Range: Margem de custo que
pode ser ajustada com base no
troughtput do link.

• WDS Mode
• dynamic: As interfaces wds são adicionada dinamicamente quando um
dispositivo wds encontra outro compatível.
• static: As interfaces wds devem ser adicionadas manualmente apontando o
MAC da outra ponta.
• (mesh): WDS com um algoritmo proprietário para melhoria do link. Só
possui compatibilidade com outros dispositivos Mikrotik.

119
WDS / MESH
• Altere o modo de operação
da wireless para: ap-bridge

WDS: Selecione o modo wds


dynamic-mesh.
WDS Default Bridge:
Selecione a bridge criada.
Obs:. Certifique-se que todos
estão no canal 5180 e SSID:
wds-lab.
120
Interface Wireless – Controle de
Acesso

• A Access List é utilizada pelo AP para restringir


associações de clientes. Esta lista contem os endereços
MAC de clientes e determina qual ação deve ser tomada
quando um cliente tenta conectar.

• A comunicação entre clientes da mesma interface,


virtual ou real, também é controlada na Access List.
121
Interface Wireless – Controle de
Acesso
• O processo de associação ocorre
da seguinte forma:

1. Um cliente tenta se associar a uma interface wlan;


2. Seu MAC é procurado na access list da interface
wlan;
3. Caso encontrado, a ação especifica será tomada:
Authentication: Define se o cliente poderá se associar ou
não;
Fowarding: Define se os clientes poderão se comunicar.
122
Interface Wireless – Access List
MAC Address: Endereço MAC a ser liberado
ou bloqueado.
Interface: Interface real ou virtual onde
será feito o controle de acesso.
AP Tx Limit: Limite de tráfego enviado para
o cliente.

Client Tx Limit: Limite de tráfego enviado


do cliente para o AP.

Private Key: Chave wep criptografada.

Private Pre Shared Key: Chave WPA.

Management Protection Key: Chave usada para evitar ataques de


desautenticação. Somente compatível com outros Mikrotiks. 123
Interface Wireless – Connect List
• A Connect List tem a finalidade de listar
os APs que o Mikrotik configurado como
cliente pode se conectar.

MAC Address: MAC do AP a se conectar


SSID: Nome da rede
Area Prefix: String para conexão com AP de mesma área
Security Profile: Definido nos perfis de segurança.

Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP
falso.

124
Segurança de Acesso em redes sem fio

125
Falsa segurança
• Nome da rede escondido:
– Pontos de acesso sem fio por padrão
fazem o broadcast de seu SSID nos
pacotes chamados “beacons”. Este
comportamento pode ser modificado
no Mikrotik habilitando a opção “Hide
SSID”.

• Pontos negativos:
– SSID deve ser conhecido pelos clientes
– Scanners passivos o descobrem
facilmente pelos pacotes de “probe
request” dos clientes.
126
Falsa segurança

• Controle de MACs:
– Descobrir MACs que trafegam no ar é muito
simples com ferramentas apropriadas e inclusive
o Mikrotik como sniffer.

– Spoofar um MAC é bem simples. Tanto usando


windows, linux ou Mikrotik.

127
Falsa segurança
• Criptografia WEP:
– “Wired Equivalent Privacy” – Foi o sistema de criptografia
inicialmente especificado no padrão 802.11 e está baseado
no compartilhamento de um segredo entre o ponto de
acesso e os clientes, usando um algoritmo RC4 para a
criptografia.
– Várias fragilidades da WEP foram reveladas ao longo do
tempo e publicadas na internet, existindo várias
ferramentas para quebrar a chave, como:
Airodump
Airreplay
Aircrack
• Hoje com essas ferramentas é bem simples quebrar a
WEP.
128
Evolução dos padrões de segurança

129
Fundamentos de Segurança
Privacidade
As informações não podem ser legíveis para terceiros.

Integridade
As informações não podem ser alteradas quando em
transito.

Autenticação
AP Cliente: O AP tem que garantir que o cliente é
quem diz ser.
Cliente AP: O cliente tem que se certificar que está
conectando no AP correto. Um AP falso possibilita o
chamado ataque do “homem do meio”.
130
Privacidade e Integridade
Tanto a privacidade como a integridade são
garantidos por técnicas de criptografia.

O algoritmo de criptografia de dados em WPA é o


RC4, porém implementado de uma forma bem mais
segura que na WEP. E na WPA2 utiliza-se o AES.

Para a integridade dos dados WPA usa


TKIP(Algoritmo de Hashing “Michael”) e WPA2 usa
CCM(Cipher Chaining Message Authentication Check –
CBC – MAC)
131
Chave WPA e WPA2 - PSK
• A configuração da chave
WPA/WAP2-PSK é muito simples
no Mikrotik.

• Configure o modo de chave


dinâmico e a chave pré-
combinada para cada tipo de
autenticação.

Obs.: As chaves são alfanuméricas


de 8 até 64 caracteres.

132
Segurança de WPA / WPA2

• Atualmente a única maneira conhecida para se


quebrar a WPA-PSK é somente por ataque de
dicionário.

• Como a chave mestra PMK combina uma contra-


senha com o SSID, escolhendo palavras fortes
torna o sucesso de força bruta praticamente
impossível.

• A maior fragilidade paras os WISP’s é que a chave


se encontra em texto plano nos computadores
dos clientes ou no próprio Mikrotik.
133
Configurando EAP-TLS – Sem
Certificados
Crie o perfil EAP-TLS e associe a
interface Wireless cliente.

134
Segurança de EAP-TLS sem
certificados
• O resultado da negociação anônima resulta em uma
chave PMK que é de conhecimento exclusivo das
duas partes. Depois disso toda a comunicação é
criptografada por AES(WPA2) e o RC4(WPA).
• Seria um método muito seguro se não houvesse a
possibilidade de um atacante colocar um Mikrotik
com a mesma configuração e negociar a chave
normalmente como se fosse um cliente.
• Uma idéia para utilizar essa configuração de forma
segura é criando um túnel criptografado PPtP ou L2TP
entre os equipamentos depois de fechado o enlace.
135
Trabalhando com certificados

• Certificado digital é um arquivo que identifica de


forma inequívoca o seu proprietário.
• Certificados são criados por instituições
emissoras chamadas de CA (Certificate
Authorities).
• Os certificados podem ser:
– Assinados por uma instituição “acreditada” (Verisign,
Thawte, etc...)
– Certificados auto-assinados.
136
Passos para implementação de EAP-TLS
com certificados auto Assinados

1. Crie a entidade certificadora(CA)


2. Crie as requisições de Certificados
3. Assinar as requisições na CA
4. Importar os certificados assinados para os Mikrotiks
5. Se necessário, criar os certificados para máquinas
windows

137
EAP-TLS sem Radius em ambos lados

• O método EAP-TLS
também pode ser
usado com
certificados.

138
EAP-TLS sem Radius em ambos lados
• Metodos TLS

dont verify certificate: Requer um


certificado, porém não verifica.
no certificates: Certificados são
negociados dinamicamente com o
algoritmo de Diffie Hellman.
verify certificate: Requer um
certificado e verifica se foi assinado
por uma CA.
139
WPAx com radius

140
EAP-TLS com certificado

• EAP-TLS (EAP – Transport Layer Security)

– O Mikrotik suporta EAP-TLS tanto como cliente como AP e


ainda repassa esse método para um Servidor Radius.

– Prover maior nível de segurança e necessita de certificados


em ambos lados(cliente e servidor).

– O passo a passo completo para configurar um servidor


Radius pode ser encontrado em:
http://under-linux.org/wiki/Tutoriais/Wireless/freeradius-
mikrotik
141
EAP-TLS com Radius em ambos lados

• A configuração da parte do
cliente é bem simples.
– Selecione o método EAP-TLS
– Certifique-se que os
certificados estão instalados
e assinados pela CA.
– Associe o novo perfil de
segurança a interface
wireless correspondente.
142
EAP-TLS com Radius em ambos lados

• No lado do AP selecione o
método EAP “passthrough”.

• Selecione o certificado
correspondente.

Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado.


Caso a data do sistema não esteja correta, poderá causar falha no uso de
certificados devido a data validade dos mesmos.

143
Segurança de EAP-TLS com Radius
• Sem dúvida este é o método mais seguro que
podemos obter. Entretanto existe um ponto que
podemos levantar como possível fragilidade:

Ponto de fragilidade
– Se um atacante tem acesso físico ao link entre o AP e o
Radius ele pode tentar um ataque de força bruta para
descobrir a PMK.
– Uma forma de proteger este trecho é usando um túnel
L2TP.
144
Resumo dos metodos de
implantação e seus
problemas.
WPA-PSK
Chaves presentes nos clientes e acessíveis aos operadores.

Método sem certificados


Passível de invasão por equipamento que também opere
nesse modo.
Problemas com processador.

Mikrotik com Mikrotik com EAP-TLS


Método seguro porém inviável economicamente e de
implantação praticamente impossível em redes existentes.
145
Resumo dos métodos de
implantação e seus problemas.
Mikrotik com Radius
EAP-TLS e EAP-PEAP:
Sujeito ao ataque do “homem do meio” e pouco
disponível em equipamentos atuais.

EPA-TLS
Método seguro, porém também não disponível na
maioria dos equipamentos. Em placas PCI é possível
implementá-lo.

146
Método alternativo com Mikrotik
• A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave é configurada na Access List do
AP e é vinculada ao MAC Address do cliente, possibilitando que cada um
tenha sua chave.

Obs.: Cadastrando as PSK na access list,


voltamos ao problema da chave ser visível a
usuários do Mikrotik.

147
Método alternativo com Mikrotik

• Por outro lado, o Mikrotik permite que essas


chaves sejam distribuídas por Radius, o que
torna esse método muito interessante.

• Para isso é necessário:


– Criar um perfil WPA2 qualquer;
– Habilitar a autenticação via MAC no AP;
– Ter a mesma chave configurada tanto no cliente
como no Radius.

148
Método alternativo com Mikrotik
• Configurando o perfil:

149
Configurando o Radius
Arquivo users: (/etc/freeradius)

#Sintaxe:
# MAC Cleartext-Password:=“MAC”
# Mikrotik-Wireless-Psk = “Chave_Psk”

000C42000001 Cleartext-Password:=“000C42000001”
Mikrotik-Wireless-Psk = “12341234”

000C42000002 Cleartext-Password:=“000C43000002”
Mikrotik-Wireless-Psk = “2020202020ABC”

150
Corrigindo o dicionário de atributos
(/usr/share/freeradius/dictionary.mikrotik)

VENDOR Mikrotik 14988

ATTRIBUTE Mikrotik-Recv-Limit 1 integer


ATTRIBUTE Mikrotik-Xmit-Limit 2 integer
ATTRIBUTE Mikrotik-Group 3 string
ATTRIBUTE Mikrotik-Wireless-Forward 4 integer
ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x 5 integer
ATTRIBUTE Mikrotik-Wireless-Enc-Algo 6 integer
ATTRIBUTE Mikrotik-Wireless-Enc-Key 7 string
ATTRIBUTE Mikrotik-Rate-Limit 8 string
ATTRIBUTE Mikrotik-Realm 9 string
ATTRIBUTE Mikrotik-Host-IP 10 ipaddr
ATTRIBUTE Mikrotik-Mark-Id 11 string
ATTRIBUTE Mikrotik-Advertise-URL 12 string
ATTRIBUTE Mikrotik-Advertise-Interval 13 integer
ATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14 integer
ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords 15 integer

ATTRIBUTE Mikrotik-Wireless-Psk 16 string

151
Firewall no Mikrotik

152
Firewall
• O firewall é normalmente usado como ferramenta de segurança para
prevenir o acesso não autorizado a rede interna e/ou acesso ao
roteador em si, bloquear diversos tipos de ataques e controlar o fluxo
de dados de entrada, de saída e passante.
• Além da segurança é no firewall que serão desempenhadas diversas
funções importantes como a classificação e marcação de pacotes para
desenvolvimento de regras de QoS.
• A classificação do tráfego feita no firewall pode ser baseada em vários
classificadores como endereços MAC, endereços IP, tipos de endereços
IP, portas, TOS, tamanho do pacotes, etc...

153
Firewall - Opções

Filter Rules: Regras para filtro de pacotes.

NAT: Onde é feito a tradução de endereços e portas.

Mangle: Marcação de pacotes, conexão e roteamento.

Service Ports: Onde são localizados os NAT Helpers.

Connections: Onde são localizadas as conexões existentes.


Address List: Lista de endereços ips inseridos de forma dinâmica ou
estática e que podem ser utilizadas em várias partes do firewall.
Layer 7 Protocols: Filtros de camada 7. 154
Firewall – Canais default

• O Firewall opera por meio de regras. Uma regra é


uma expressão lógica que diz ao roteador o que
fazer com um tipo particular de pacote.
• Regras são organizadas em canais(chain) e existem
3 canais “default”.
– INPUT: Responsável pelo tráfego que CHEGA no router;
– OUTPUT: Responsável pelo tráfego que SAI do router;
– FORWARD: Responsável pelo tráfego que PASSA pelo
router.
155
Firewall – Fluxo de pacotes
Interface de Interface de
Entrada Saida

Processo Local Processo Local


IN OUT

Decisão de Decisão de
Roteamento Filtro Input Filtro Output Roteamento

Filtro Forward

• Para maiores informações acesse:


http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
156
Firewall – Princípios gerais

1. As regras de firewall são sempre processadas por


canal, na ordem que são listadas de cima pra
baixo.
2. As regras de firewall funcionam como expressões
lógicas condicionais, ou seja: “se <condição>
então <ação>”.
3. Se um pacote não atende TODAS condições de
uma regra, ele passa para a regra seguinte.
157
Firewall – Princípios gerais

4. Quando um pacote atende TODAS as condições


da regra, uma ação é tomada com ele não
importando as regras que estejam abaixo nesse
canal, pois elas não serão processadas.
5. Algumas exceções ao critério acima devem ser
consideradas como as ações de: “passthrough”,
log e “add to address list”.
6. Um pacote que não se enquadre em qualquer
regra do canal, por padrão será aceito.
158
Firewall – Filters Rules

• As regras de filtro pode ser organizadas e


mostradas da seguinte forma:
– all: Mostra todas as regras.
– dynamic: Regras criadas dinamicamente por
serviços.
– forward, input output: Regras referente a cada
canal.
– static: Regras criadas estaticamente pelos usuários.
159
Firewall – Filters Rules
Algumas ações que podem ser tomadas nos filtros de
firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante,
mas não aloca recursos.

160
Filter Rules – Canais criados pelo usuário

• Além dos canais padrão o administrador pode criar canais


próprios. Esta prática ajuda na organização do firewall.
• Para utilizar o canal criado devemos “desviar” o fluxo
através de uma ação JUMP.
• No exemplo acima podemos ver 3 novos canais criados.
• Para criar um novo canal basta adicionar uma nova regra
e dar o nome desejado ao canal.
161
Firewall – Filters Rules

• Ações relativas a canais criados


pelo usuário:
– jump: Salta para um canal
definido em jump-target
– jump target: Nome do canal
para onde se deve saltar

– return: Retorna para o canal que


chamou o jump
162
Como funciona o canal criado pelo
usuário
Canal criado
pelo usuário

REGRA REGRA

REGRA REGRA

REGRA REGRA

JUMP REGRA

REGRA REGRA

REGRA REGRA

REGRA REGRA

REGRA REGRA

163
Como funciona o canal criado pelo
usuário

Caso exista alguma


REGRA REGRA
regra de RETURN, o
REGRA REGRA retorno é feito de
forma antecipada e
REGRA REGRA as regras abaixo
serão ignoradas.
JUMP RETURN

REGRA REGRA

REGRA REGRA

REGRA REGRA

REGRA REGRA

164
Firewall – Address List

• A address list contém uma lista de endereços IP que pode ser


utilizada em várias partes do firewall.
• Pode-se adicionar entradas de forma dinâmica usando o filtro ou
mangle conforme abaixo:
– Ações:
• add dst to address list: Adiciona o IP de destino à lista.
• add src to address list: Adiciona o IP de origem à lista.
– Address List: Nome da lista de endereços.
– Timeout: Porque quanto tempo a entrada permanecerá na
lista.
165
Firewall – Técnica do “knock knock”

166
Firewall – Técnica do “knock knock”
• A técnica do “knock knock” consiste em permitir acesso ao roteador somente após
ter seu endereço IP em uma determinada address list.
• Neste exemplo iremos restringir o acesso ao winbox somente a endereços IPs que
estejam na lista “libera_winbox”
/ip firewall filter

add chain=input protocol=tcp dst-port=2771 action=add-src-to-address-list address-list=knock \


address-list-timeout=15s comment="" disabled=no

add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add-src-to-address-list \


address-list=libera_winbox address-list-timeout=15m comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept disabled=no

add chain=input protocol=tcp dst-port=8291 action=drop disabled=no

167
Firewall – Connection Track
Refere-se a habilidade do roteador em manter o estado da
informação relativa as conexões, tais como endereços IP de
origem e destino, as respectivas portas, estado da conexão,
tipo de protocolos e timeouts. Firewalls que fazem
connection track são chamados de “statefull” e são mais
seguros que os que fazem processamentos “stateless”.

168
Firewall – Connection Track

O sistema de connection track é o coração do


firewall. Ele obtém e mantém informações sobre
todas conexões ativas.
Quando se desabilita a função “connection
tracking” são perdidas as funcionalidades NAT e as
marcações de pacotes que dependam de conexão.
No entanto, pacotes podem ser marcados de forma
direta.
Connection track é exigente de recursos de
hardware. Quando o equipamento trabalha
somente como bridge é aconselhável desabilitá-la.
169
Localização da Connection Tracking

Interface de Processo Local Processo Local Interface de


Entrada IN OUT Saida

Conntrack Conntrack

Decisão de Decisão de
Roteamento Filtro Input Filtro Output Roteamento

Filtro Forward

170
Firewall – Connection Track

• Estado das conexões:


– established: Significa que o pacote faz parte de uma conexão já
estabelecida anteriormente.
– new: Significa que o pacote está iniciando uma nova conexão
ou faz parte de uma conexão que ainda não trafegou pacotes
em ambas direções.
– related: Significa que o pacote inicia uma nova conexão, porém
está associada a uma conexão existente.
– invalid: Significa que o pacote não pertence a nenhuma
conexão existente e nem está iniciando outra.
171
Firewall
Protegendo o Roteador e os Clientes

172
Princípios básicos de proteção
Proteção do próprio roteador
Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
Permitir somente serviços necessários no próprio roteador.
Prevenir e controlar ataques e acessos não autorizado ao
roteador.

Proteção da rede interna


Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
Permitir somente os serviços necessários nos clientes.
Prevenir e controlar ataques e acesso não autorizado em
clientes.
173
Firewall – Tratamento de conexões

• Regras do canal input


– Descarta conexões inválidas.
– Aceitar conexões estabelecidas.
– Aceitar conexões relacionadas.
– Aceitar todas conexões da rede interna.
– Descartar o restante.
174
Firewall – Controle de serviços

• Regras do canal input


– Permitir acesso externo ao winbox.
– Permitir acesso externo por SSH.
– Permitir acesso externo ao FTP.
– Realocar as regras. 175
Firewall – Filtrando tráfego
prejudicial/inútil
• Bloquear portas mais comuns utilizadas por vírus.

• Baixar lista com portas e protocolos utilizados por


vírus.
ftp://172.31.254.1/virus.rsc

• Importar o arquivo virus.rsc e criar um “jump”


para que as regras funcionem.
176
Firewall – Filtrando tráfego indesejável e
possíveis ataques.
• Controle de ICMP
– Internet Control Message Protocol é basicamente uma
ferramenta para diagnóstico da rede e alguns tipos de
ICMP devem ser liberados obrigatoriamente.
– Um roteador usa tipicamente apenas 5 tipos de
ICMP(type:code), que são:
• Ping – Mensagens (8:0) e (0:0)
• Traceroute – Mensagens (11:0) e (3:0-1)
• PMTUD – Mensagens (3:4)

• Os outros tipos de ICMP podem ser bloqueados.


177
Firewall – Filtrando tráfego
indesejável
• IP’s Bogons:
– Existem mais de 4 milhões de endereços IPV4.
– Existem muitas ranges de IP restritos em rede públicas.
– Existem várias ranges reservadas para propósitos específicos.
– Uma lista atualizada de IP’s bogons pode ser encontrada em:
http://www.team-cymru.org/Services/Bogons/bogon-dd.html

• IP’s Privados:
– Muitos aplicativos mal configurados geram pacotes destinados a
IP’s privados e é uma boa prática filtrá-los.

178
Firewal – Proteção básica
• Ping Flood:

– Ping Flood consiste no envio


de grandes volumes de
mensagens ICMP aleatórias.

– É possível detectar essa


condição no Mikrotik criando
uma regra em firewall filter e
podemos associá-la a uma
regra de log para monitorar a
origem do ataque ou
simplesmente dropar.

179
Firewal – Proteção básica

• Port Scan:
– Consiste no scaneamento de portas TCP e/ou UDP.
– A detecção de ataques somente é possível para o
protocolo TCP.
– Portas baixas (0 – 1023)
– Portas altas (1024 – 65535)

180
Firewal – Proteção básica
• Ataques DoS:
– O principal objetivo do ataque de DoS é o consumo de
recursos de CPU ou banda.
– Usualmente o roteador é inundado com requisições de
conexões TCP/SYN causando resposta de TCP/SYN-ACK
e a espera do pacote TCP/ACK.
– Normalmente não é intencional ou é causada por vírus
em clientes.
– Todos os IP’s com mais de 15 conexões com o roteador
podem ser considerados atacantes.
181
Firewal – Proteção básica

• Ataques DoS:
– Se simplesmente descartamos as conexões,
permitiremos que o atacante crie uma nova conexão.

– Para que isso não ocorra, podemos implementar a


proteção em dois estágios:
• Detecção – Criar uma lista de atacantes DoS com base em
“connection limit”.
• Supressão – Aplicando restrições aos que forem
detectados.

182
Firewal – Proteção para ataques DoS

Criar a lista de atacantes


para posteriormente
aplicarmos a supressão
adequada.

183
Firewal – Proteção para ataques DoS

• Com a ação “tarpit”


aceitamos a conexão e
a fechamos, não
deixando no entanto o
atacante trafegar.

• Essa regra deve ser


colocada antes da
regra de detecção ou
então a address list irá
reescrevê-la todo
tempo. 184

184
Firewal – Proteção básica
• Ataque dDoS:
– Ataque de dDoS são
bastante parecidos com os
de DoS, porém partem de
um grande número de
hosts infectados.
– A única medida que
podemos tomar é habilitar
a opção TCP SynCookie no
Connection Track do
firewall.
185
Firewall - NAT
• NAT – Network Address Translation é uma técnica que permite que
vários hosts em uma LAN usem um conjunto de endereços IP’s para
comunicação interna e outro para comunicação externa.

• Existem dois tipos de NAT.


– Src NAT: Quando o roteador reescreve o IP ou porta de origem.

SRC DST SRC NAT Novo SRC DST

– Dst NAT: Quando o roteador reescreve o IP ou porta de destino.

SRC DST DST NAT SRC Novo DST


186
Firewall - NAT
As regras de NAT são organizadas em canais:
dstnat: Processa o tráfego enviado PARA o roteador
e ATRAVÉS do roteador, antes que ele seja dividido
em INPUT e/ou FORWARD.

srcnat: Processa o tráfego enviado A PARTIR do


roteador e ATRAVÉS do roteador, depois que ele sai
de OUTPUT e/ou FORWARD.

187
Firewall NAT – Fluxo de pacotes
Interface de Interface de
Entrada Saida

Processo Local Processo Local


IN OUT
Conntrack

dstnat Conntrack srcnat

Decisão de Decisão de
Roteamento Filtro Input Filtro Output Roteamento

Filtro Forward 188


Firewall - NAT
• Source NAT: A ação “mascarade” troca o endereço IP de origem de uma
determinada rede pelo endereço IP da interface de saída. Portanto se
temos, por exemplo, a interface ether2 com endereço IP 185.185.185.185
e uma rede local 192.168.0.0/16 por trás da ether1, podemos fazer o
seguinte:

Desta forma, todos os endereços IPs da rede


local vão obter acesso a internet utilizando o
endereço IP 185.185.185.185

189
Firewall - NAT
• NAT (1:1): Serve para dar acesso bi-direcional a um determinado
endereço IP. Dessa forma, um endereço IP de rede local pode ser
acessado através de um IP público e vice-versa.

190
Firewall - NAT
• Redirecionamento de portas: O NAT nos possibilita redirecionar portas
para permitir acesso a serviços que rodem na rede interna. Dessa
forma podemos dar acesso a serviços de clientes sem utilização de
endereço IP público.

Redirecionamento Redirecionamento
para acesso ao para acesso ao
servidor WEB do servidor WEB do
cliente cliente
192.168.100.10 pela 192.168.100.20 pela
porta 6380. porta 6480.

191
Firewall - NAT
• NAT (1:1) com netmap: Com o netmap podemos criar o mesmo
acesso bi-direcional de rede para rede. Com isso podemos mapear,
por exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24
assim:

192
Firewall – NAT Helpers

• Hosts atrás de uma rede nateada não possuem conectividade


fim-a-fim verdadeira. Por isso alguns protocolos podem não
funcionar corretamente neste cenário. Serviços que requerem
iniciação de conexões TCP fora da rede, bem como protocolos
“stateless” como UDP, podem não funcionar. Para resolver este
problema, a implementação de NAT no Mikrotik prevê alguns
“NAT Helpers” que têm a função de auxiliar nesses serviços.

193
Firewall – Mangle
• O mangle no Mikrotik é uma facilidade que permite a introdução de
marcas em pacotes IP ou em conexões, com base em um
determinado comportamento especifico.

• As marcas introduzidas pelo mangle são utilizadas em


processamento futuro e delas fazem uso o controle de banda, QoS,
NAT, etc... Elas existem somente no roteador e portanto não são
passadas para fora.

• Com o mangle também é possível manipular o determinados


campos do cabeçalho IP como o “ToS”, TTL, etc...

194
Firewall – Mangle
• As regras de mangle são organizadas em canais e
obedecem as mesma regras gerais das regras de
filtro quanto a sintaxe.
• Também é possível criar canais pelo próprio
usuário.
• Existem 5 canais padrão:
– prerouting: Marca antes da fila “Global-in”;
– postrouting: Marca antes da fila “Global-out”;
– input: Marca antes do filtro “input”;
– output: Marca antes do filtro “output”;
– forward: Marca antes do filtro “forward”;
195
Firewall – Diagrama do Mangle

Interface de Processo Local Processo Local Interface de


Entrada IN OUT Saida

Mangle Input Mangle Output

Mangle Decisão de Decisão de Mangle


Prerouting Roteamento Roteamento
Postrouting

Mangle
Forward

196
Firewall – Mangle

As opções de marcações incluem:


mark-connection: Marca apenas o primeiro pacote.

mark-packet: Marca todos os pacotes.

mark-routing: Marca pacotes para política de


roteamento.

Obs.: Cada pacote pode conter os 3 tipos de marcas ao


mesmo tempo. Porém não pode conter 2 marcas iguais.
197
Firewall – Mangle

• Marcando rotas:

– As marcas de roteamento são aproveitadas para


determinar políticas de roteamento.
– A utilização dessas marcas será abordada no tópico
do roteamento.

198
Firewall – Mangle

• Marcando conexões:

– Use mark-connection para identificar uma ou um grupo


de conexões com uma marca especifica de conexão.
– Marcas de conexão são armazenadas na contrack.
– Só pode haver uma marca de conexão para cada
conexão.
– O uso da contrack facilita na associação de cada pacote
a uma conexão específica.
199
Firewall – Mangle

• Marcando pacotes:

– Use mark-packet para identificar um fluxo continuo


de pacotes.
– Marcas de pacotes são utilizadas para controle de
tráfego e estabelecimento de políticas de QoS.

200
Firewall – Mangle

• Marcando pacotes:

– Indiretamente: Usando a facilidade da connection


tracking, com base em marcas de conexão
previamente criadas. Esta é a forma mais rápida e
eficiente.

– Diretamente: Sem o uso da connection tracking não


é necessário marcas de conexões anteriores e o
roteador irá comparar cada pacote com
determinadas condições.
201
Firewall – Estrutura

202
Firewall – Fluxo de pacotes

203
Firewall - Mangle

• Um bom exemplo da utilização do mangle é


marcando pacotes para elaboração de QoS.

Após marcar a conexão, agora


precisamos marcar os pacotes
provenientes desta conexão.

204
Firewall - Mangle

Com base na conexão já


marcada anteriormente,
podemos fazer as
marcações dos pacotes.

Obs.: A marcação de P2P disponibilizada no Mikrotik não inclui os programas


que usam criptografia.
205
Firewall - Mangle
• É possível disponibilizar um modelo simples de
QoS utilizando o mangle. Para isso precisamos
marcar os seguintes fluxos:
– Navegação http e https;
– FTP
– Email
– MSN
– ICMP
– P2P
– Demais serviços
206
Dúvidas ???

207
QoS e Controle de banda

208
Conceitos básicos de Largura e Limite
de banda
• Largura de banda: Em telecomunicações, a largura da banda ou apenas banda (também chamada
de débito) usualmente se refere à bitrate de uma rede de transferência de dados, ou seja, a
quantidade em bits/s que a rede suporta. A denominação banda, designada originalmente a um
grupo de frequências é justificada pelo fato de que o limite de transferência de dados de um meio
está ligado à largura da banda em hertz. O termo banda larga denota conexões com uma largura em
hertz relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais
(56 kbps), na chamada conexão discada.

• Limite de banda: O limite de banda é o limite máximo de transferência de dados, onde também é
designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda
de 1Mbps, você conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também
chamado de Taxa ou Velocidade de Transferência ou (throughput), que varia aproximadamente
entre 10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de
56kbps, você conseguirá taxas de transferencia de no máximo 5,6 a 6,7 kbps aproximadamente,
enquanto numa banda de 256kbps, você conseguirá uma Taxa de Transferência de
aproximadamente entre 25kbps a 30,7kbps

209
Traffic Shaping
• Traffic shaping é um termo da língua inglesa, utilizado para definir a prática de
priorização do tráfego de dados, através do condicionamento do débito de redes, a fim
de otimizar o uso da largura de banda disponível.
• O termo passou a ser mais conhecido e utilizado após a popularização do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da
internet. O uso desta tecnologia permite que a comunicação entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns.
• No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituições protetoras dos direitos do consumidor. Estas
empresas utilizam programas de gestão de dados que acompanham e analisam a
utilização e priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP,
assim prejudicando a qualidade do uso deste tipo de serviço. A prática também é
comumente adotada para outros tipos de serviços, conhecidos por demandar grande
utilização da largura de banda, como os de transferência de arquivos, por exemplo, P2P
e FTP.
• Os programas de traffic shaping podem ainda fazer logs dos hábitos de utilizadores,
capturar informações sobre IPs acedidos, ativar gravações automáticas a partir de
determinadas condutas, reduzir ou interferir na transferência de dados de cada
utilizador, bloqueando redes peer-to-peer (P2P) ou FTP.

210
Qualidade de Serviço
• No campo das telecomunicações e redes de computadores, o termo Qualidade de
Serviço (QoS) pode tender para duas interpretações relacionadas, mas distintas.

• Em redes de comutação de circuitos, refere-se à probabilidade de sucesso em


estabelecer uma ligação a um destino. Em redes de comutação de pacotes refere-
se à garantia de largura de banda ou, como em muitos casos, é utilizada
informalmente para referir a probabilidade de um pacote circular entre dois
pontos de rede.

• Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira


procura oferecer bastantes recursos, suficientes para o pico esperado, com uma
margem de segurança substancial. É simples e eficaz, mas na prática é assumido
como dispendioso, e tende a ser ineficaz se o valor de pico aumentar além do
previsto: reservar recursos gasta tempo. O segundo método é o de obrigar os
provedores a reservar os recursos, e apenas aceitar as reservas se os routers
conseguirem servi-las com confiabilidade. Naturalmente, as reservas podem
ter um custo monetário associado!
211
Qualidade de Serviço

• Os mecanismos para prover QoS no Mikrotik são:


– Limitar banda para certos IP’s, subredes, protocolos,
serviços e outros parâmetros.
– Limitar tráfego P2P.
– Priorizar certos fluxos de dados em relação a outros.
– Utilizar burst’s para melhorar o desempenho web.
– Compartilhar banda disponível entre usuários de forma
ponderada dependendo da carga do canal.
– Utilização de WMM – Wireless Multimídia.
– MPLS – Multi Protocol Layer Switch
212
Qualidade de Serviço
• Os principais termos utilizados em QoS são:
– Queuing discipline(qdisc): Disciplina de enfileiramento. É um
algoritmo que mantém e controla uma fila de pacotes. Ela
especifica a ordem dos pacotes que saem, podendo inclusive
reordená-los, e determina quais pacotes serão descartados.
– Limit At ou CIR(Commited Information Rate): Taxa de dados
garantida. É a garantia de banda fornecida a um circuito ou
link.
– Max Limit ou MIR(Maximal Information Rate): Taxa máxima
de dados que será fornecida. Ou seja, limite a partir do qual
os pacotes serão descartados.
– Priority: É a ordem de importância que o tráfego é
processado. Pode-se determinar qual tipo de tráfego será
processado primeiro.
213
Filas - Queues

• Para ordenar e controlar o fluxo de dados, é aplicada


uma política de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: “As filas são aplicadas na
interface onde o fluxo está saindo.”

• A limitação de banda é feita mediante o descarte de


pacotes. No caso do protocolo TCP, os pacotes
descartados serão reenviados, de forma que não há com
que se preocupar com relação a perda de dados. O
mesmo não vale para o UDP.
214
Tipos de filas
• Antes de enviar os pacotes por uma interface, eles são processados por
uma disciplina de filas(queue types). Por padrão as disciplinas de filas são
colocadas sob “queue interface” para cada interface física.

• Uma vez adicionada uma fila para uma interface física, a fila padrão da
interface, definida em queue interface, não será mantida. Isso significa
que quando um pacote não encontra qualquer filtro, ele é enviado
através da interface com prioridade máxima.
215
Tipos de filas
• As disciplinas de filas são utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas são classificadas pela sua influência no fluxo de
pacotes da seguinte forma:
– Schedulers: (Re) ordenam pacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadram na disciplina. As disciplinas “schedulers”
são: PFIFO, BFIFO, SFQ, PCQ e RED.

– Shapers: Também fazem limitação. Esses são: PCQ e HTB.

216
Controle de tráfego

217
Controle de tráfego

• O controle de tráfego é implementado através


de dois mecanismos:

– Pacotes são policiados na entrada:


• Pacotes indesejáveis são descartados.

– Pacotes são enfileirados na interface de saída:


• Pacotes podem ser atrasados, descartados ou priorizados.

218
Controle de tráfego
O controle de tráfego é implementado
internamente por 4 tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de
pacotes.
Ex.: FIFO.
Classes:
Representam entidades de classificação de pacotes.
Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pacotes e atribuí-los as classes.
Policers:
Utilizados para evitar que o tráfego associado a cada filtro
ultrapasse limites pré-definidos. 219
Controle de tráfego – Tipos de fila
• PFIFO e BFIFO: Estas disciplinas de filas são baseadas no algoritmo FIFO(First-
in First-out), ou seja, o primeiro que entra é o primeiro que sai. A diferença
entre PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes.
Existe apenas um parâmetro chamado Queue Size que determina a
quantidade de dados em uma fila FIFO pode conter. Todo pacote que não
puder ser enfileirado (se fila estiver cheia) será descartado. Tamanhos grandes
de fila poderão aumentar a latência. Em compensação provê melhor utilização
do canal.

220
Controle de tráfego – Tipos de fila
• RED: Random Early Detection – Detecção Aleatória Antecipada é um mecanismo
de enfileiramento que tenta evitar o congestionamento do link controlando o
tamanho médio da fila. Quando o tamanho médio da fila atinge o valor
configurado em min threshould, o RED escolhe um pacote para descartar. A
probabilidade do número de pacotes que serão descartados cresce na medida em
que a média do tamanho da fila cresce. Se o tamanho médio da fila atinge o max
threshould, os pacotes são descartados com a probabilidade máxima. Entretanto
existem casos que o tamanho real da fila é muito maior que o max threshould
então todos os pacotes que excederem o min threshould serão descartados.
• RED é indicado em links congestionados com altas taxas de dados. Como é muito
rápido funciona bem com TCP.

221
Controle de tráfego – Tipos de fila
• SFQ: Stochastic Fairness Queuing – Enfileiramento Estocástico “com justiça” é
uma disciplina que tem “justiça” assegurada por algoritmos de hashing e
round roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4
opções:
– src-address
– dst-address
– src-port
– dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o
algoritmo round roubin distribui a banda disponível para estas sub-filas, a cada
“rodada” configurada no parâmetro allot(bytes).
Não limita o tráfego. O objetivo é equalizar os fluxos de tráfegos(sessões TCP e
streaming UDP) quando o link(interface) está completamente cheio. Se o link
não está cheio, então não haverá fila e, portanto, qualquer efeito, a não ser
quando combinado com outras disciplinas (qdisc).
222
Controle de tráfego – Tipos de fila
• SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e há 1024 sub-filas
disponíveis.
• É recomendado o uso de SFQ em links congestionados para garantir que
as conexões não degradem. SFQ é especialmente recomendado em
conexões wireless.

223
Controle de tráfego – Tipos de fila
• PCQ: Per Connection Queuing – Enfileiramento por conexão foi criado para
resolver algumas imperfeições do SFQ. É o único enfileiramento de baixo nível que
pode fazer limitação sendo uma melhoria do SFQ, sem a natureza “estocástica”.
PCQ também cria sub-filas considerando o parâmetro pcq-classifier. Cada sub-fila
tem uma taxa de transmissão estabelecida em rate e o tamanho máximo igual a
limit. O tamanho total de uma fila PCQ fica limitado ao configurado em total limit.
No exemplo abaixo vemos o uso do PCQ com pacotes classificados pelo endereço
de origem.

224
Controle de tráfego – Tipos de fila
• PCQ: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes
com diferentes endereços serão organizados em sub-filas diferentes. Nesse caso é
possível fazer a limitação ou equalização para cada sub-fila com o parâmetro Rate.
Neste ponto o mais importante é decidir qual interface utilizar esse tipo de disciplina. Se
utilizarmos na interface local, todo o tráfego da interface pública será agrupado pelo
endereço de origem. O que não é interessante. Mas se for empregado na interface
pública todo o tráfego dos clientes será agrupado pelo endereço de origem, o que torna
mais fácil equalizar o upload dos clientes. O mesmo controle pode ser feito para o
download, mas nesse caso o classificador será o “dst. Address” e configurado na
interface local.

225
QoS - HTB
• Hierarchical Token Bucket é uma disciplina de enfileiramento hierárquico que é
usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB
simula vários links em um único meio físico, permitindo o envio de diferentes
tipos de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito
útil para limitar download e upload de usuários em uma rede. Desta forma não
existe saturamento da largura de banda disponível no link físico. Além disso, no
Mikrotik, é utilizado para fazer QoS.

Cada class tem um pai e pode ter uma ou mais


filhas. As que não tem filhas são colocadas no
level 0, onde as filas são mantidas e chamadas
de leafs class.
Cada classe na hierarquia pode priorizar e dar
forma ao tráfego.

226
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Exemplo de HTB Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5

Queue03 irá receber 6Mbps


Queue04 irá receber 2Mbps
Queue05 irá receber 2Mbps

Obs.: Neste exemplo o HTB foi configurado de modo


que, satisfazendo todas as garantias, a fila pai não
possuirá nenhuma capacidade para distribuir mais
banda caso seja solicitado por uma filha.

227
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Exemplo de HTB
Queue03 irá receber 2Mbps
Queue04 irá receber 6Mbps
Queue05 irá receber 2Mbps

Obs.: Após satisfazer todas garantias, o HTB


disponibilizará mais banda, até o máximo permitido para
a fila com maior prioridade. Mas, neste caso, permitirá-se
uma reserva de 8M para as filas Queue04 e Queue05, as
quais, a que possuir maior prioridade receberá primeiro o
adicional de banda, pois a fila Queue2 possui garantia de
banda atribuida.

228
QoS - HTB
• Termos do HTB:
– Filter: Um processo que classifica pacotes. Os filtros são responsáveis pela
classificação dos pacotes para que eles sejam colocados nas
correspondentes qdisc. Todos os filtros são aplicados na fila raiz HTB e
classificados diretamente nas qdiscs, sem atravessar a árvore HTB. Se um
pacote não está classificado em nenhuma das qdiscs, é enviado a interface
diretamente, por isso nenhuma regra HTB é aplicada aos pacotes.

– Level: Posição de uma classe na hierarquia.

– Class: Algoritmo de limitação no fluxo de tráfego para uma determinada


taxa. Ela não guarda quaisquer pacotes. Uma classe pode conter uma ou
mais sub-classes(inner class) ou apenas uma e um qdisc(leaf classe).

229
QoS - HTB
• Estados das classes HTB:
– Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que está
consumindo:
• Verde: de 0% a 50% da banda disponível está em
uso.
• Amarelo: de 51% a 75% da banda disponível está
em uso.
• Vermelho: de 76% a 100% da banda disponível
está em uso. Neste ponto começam os descartes
de pacotes que se ultrapassam o max-limit.

230
QoS - HTB
• No Mikrotik as estruturas do HTB pode ser anexadas a
quatro locais diferentes.
– Interfaces:
• Global-in: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas à Global-in recebem todo tráfego entrante no
roteador, antes da filtragem de pacotes.
• Global-out: Representa todas as interfaces de saida em geral(EGRESS
queue). As filas atreladas à Global-out recebem todo tráfego que sai do
roteador.
• Global-total: Representa uma interface virtual através do qual se passa
todo fluxo de dados. Quando se associa uma politíca de filas à Global-
total, a limitação é feita em ambas direções. Por exemplo se
configurarmos um total-max-limit de 300kbps, teremos um total de
download+upload de 300kbps, podendo haver assimetria.
• Interface X: Representa uma interface particular. Somente o tráfego
que é configurado para sair através desta interface passará através da
fila HTB.

231
Interfaces virtuais e o Mangle

Interface de Processo Local Processo Local Interface de


Entrada IN OUT Saida

Mangle Input Mangle Output


Mangle Global-out
Prerouting

Decisão de Decisão de Mangle


Global-in Roteamento Roteamento
Posrouting

Mangle
Forward
232
Filas simples

• As principais propriedades configuráveis de uma fila simples são:


– Limite por direção de IP de origem ou destino
– Interface do cliente
– Tipo de fila
– Limit-at, max-limit, priority e burst para download e upload
– Horário.
233
Filas simples - Burst
• Bursts são usados para
permitir altas taxas de
transferência por um
período curto de tempo.

Os parâmetros que controlam o burst são:


burst-limit: Limite máximo que o burst alcançará.
burst-time: Tempo que durará o burst.
burst-threshold: Patamar para começar a limitar.
max-limit: MIR
234
Como funciona o Burst

max-limite=256kbps

burst-time=8s

burst-threshold=192kbps

burst-limit=512kbps

• Inicialmente é dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula


a taxa média de consumo de banda durante o burst-time de 8 segundos.
– Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold.
– Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do threshold.
– Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde acaba o burst.
• A partir deste momento a taxa máxima do cliente passa a ser o max-limit.

235
Utilização do PCQ
• PCQ é utilizado para equalizar cada usuário ou
conexão em particular.
• Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.
• Devem ainda ser escolhidos os seguintes
parâmetros:
– pcq-classifier
– pcq-rate

236
Utilização do PCQ
• Caso 1: Com o rate configurado como zero, as subqueues não
são limitadas, ou seja, elas poderão usar a largura máxima de
banda disponível em max-limit.
• Caso 2: Se configurarmos um rate para a PCQ as subqueues
serão limitadas nesse rate, até o total de max-limit.

Caso 1 Caso 2

237
Utilização do PCQ

• Nesse caso, com o rate da fila é 128k, não


existe limit-at e tem um max-limit de
512k, os clientes receberão a banda da
seguinte forma:

238
Utilização do PCQ

• Nesse caso, com o rate da fila é 0, não


existe limit-at e tem um max-limit de
512k, os clientes receberão a banda da
seguinte forma:

239
Arvores de Fila
• Trabalhar com árvores de fila é uma maneira mais elaborada de administrar o
tráfego. Com elas é possível construir sob medida uma hierarquia de classes,
onde poderemos configurar as garantias e prioridades de cada fluxo em relação
à outros, determinando assim uma política de QoS para cada fluxo do roteador.
• Os filtros de árvores de filas são aplicados na interface especifica. Os filtros são
apenas marcas que o firewall faz no fluxo de pacotes na opção mangle. Os
filtros enxergam os pacotes na ordem em que eles chegam no roteador.
• A árvore de fila é também a única maneira para adicionar uma fila em uma
interface separada.
• Também é possível ter o dobro de enfileiramento. Ex: priorizando o tráfego
global-in e/ou global-out, limitação por cliente na interface de saída. Se é
configurado filas simples e árvores de filas no mesmo roteador, as filas simples
receberão o tráfego primeiro e em seguida o classficarão.

240
Arvores de Fila
• As árvores de fila são configuradas em
queue tree.

• Dentre as propriedades configuráveis


podemos destacar:
– Escolher uma marca de tráfego feita no
firewall mangle;
– parente-class ou interface de saída;
– Tipo de fila;
– Configurações de limit-at, max-limit,
priority e burst.

241
Arvores de Fila
QUEUE MARCA LIMIT-AT MAX-LIMIT PRIORITY
Q1 C1 10M 30M 8
Q2 C2 1M 30M 8
Q3 C3 1M 30M 8
Q4 C4 1M 30M 8
Q5 C5 1M 30M 8

Obs.: O roteador não conseguirá garantir banda para Q1 o tempo todo. 242
Arvores de Fila

• Filas com parent (hierarquia).

243
Arvores de Fila

• C1 possui maior prioridade, portanto


consegue atingir o max-limit. O restante da
banda é dividida entre as outras leaf-queue.
244
Dúvidas???

245
Túneis e VPN

246
VPN
• Uma Rede Privada Virtual é uma rede de
comunicações privada normalmente
utilizada por uma empresa ou conjunto
de empresas e/ou instituições,
construídas em cima de uma rede
pública. O tráfego de dados é levado pela
rede pública utilizando protocolos
padrão, não necessariamente seguros.

VPNs seguras usam protocolos de criptografia por tunelamento que


fornecem confidencialidade, autenticação e integridade necessárias para
garantir a privacidade das comunicações requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras.

247
VPN
• As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis
de segurança definidos.
– A base da formação das VPNs é o tunelamento entre
dois pontos, porém tunelamento não é sinônimo de
VPN.
248
Tunelamento
• A definição de tunelamento é a capacidade de criar túneis
entre dois hosts por onde trafegam dados.
• O Mikrotik implementa diversos tipos de tunelamento,
podendo ser tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– SSTP (Próprio Mikrotik)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE 249
PPP – Definições Comuns para os
serviços
• MTU/MRU: Unidade máximas de transmissão/ recepção
em bytes. Normalmente o padrão ethernet permite 1500
bytes. Em serviços PPP que precisam encapsular os
pacotes, deve-se definir valores menores para evitar
fragmentação.

Keepalive Timeout: Define o período de tempo em segundos após o qual o


roteador começa a mandar pacotes de keepalive por segundo. Se nenhuma
reposta é recebida pelo período de 2 vezes o definido em keepalive timeout
o cliente é considerado desconectado.
Authentication: As formas de autenticação permitidas são:
Pap: Usuário e senha em texto plano sem criptografica.
Chap: Usuário e senha com criptografia.
Mschap1: Versão chap da Microsoft conf. RFC 2433
Mschap2: Versão chap da Microsoft conf. RFC 2759
250
PPP – Definições Comuns para os
serviços

• PMTUD: Se durante uma comunicação alguma estação enviar pacotes


IP maiores que a rede suporte, ou seja, maiores que a MTU do
caminho, então será necessário que haja algum mecanismo para
avisar que esta estação deverá diminuir o tamanho dos pacotes para
que a comunicação ocorra com sucesso. O processo interativo de
envio de pacotes em determinados tamanhos, a resposta dos
roteadores intermediarios e a adequação dos pacotes posteriores é
chamada Path MTU Discovery ou PMTUD. Normalmente esta
funcionalidade está presente em todos roteadores, sistemas Unix e
no Mikrotik ROS.
• MRRU: Tamanho máximo do pacote, em bytes, que poderá ser
recebido pelo link. Se um pacote ultrapassa esse valor ele será
dividido em pacotes menores, permitindo o melhor
dimensionamento do túnel. Especificar o MRRU significa permitir MP
(Multilink PPP) sobre túnel simples. Essa configuração é útil para o
PMTUD superar falhas. Para isso o MP deve ser configurado em
ambos lados. 251
PPP – Definições Comuns para os
serviços
• Change MSS: Maximun Segment Size, tamanho máximo do segmento de dados. Um
pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está estabelecido
deve ser fragmentado antes de enviá-lo. Em alguns caso o PMTUD está quebrado ou
os roteadores não conseguem trocar informações de maneira eficiente e causam
uma série de problemas com transferência HTTP, FTP, POP, etc... Neste caso Mikrotik
proporciona ferramentas onde é possível interferir e configurar uma diminuição do
MSS dos próximos pacotes através do túnel visando resolver o problema.

252
PPPoE – Cliente e Servidor
• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui
informações sobre o remetente e o destinatário, desperdiçando mais banda.
Cerca de 2% a mais.

• Muito usado para autenticação de clientes com base em Login e Senha. O


PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a
internet.

• O cliente não tem IP configurado, o qual é atribuido pelo Servidor


PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik não é obrigatório o uso de Radius pois o mesmo permite
criação e gerenciamento de usuários e senhas em uma tabela local.

• PPPoE por padrão não é criptografado. O método MPPE pode ser usado desde
que o cliente suporte este método.

253
PPPoE – Cliente e Servidor

• O cliente descobre o servidor através do


protocolo pppoe discovery que tem o nome do
serviço a ser utilizado.

• Precisa estar no mesmo barramento físico ou os


dispositivos passarem pra frente as requisições
PPPoE usando pppoe relay.

No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará bem na


maioria dos casos. Se configurarmos pra zero, o servidor não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.

254
Configuração do Servidor PPPoE
1. Primeiro crie um pool de IPs para o
PPPoE.

/ip pool add name=pool-pppoe


ranges=172.16.0.2-172.16.0.254

2. Adicione um perfil para o PPPoE onde:


Local Address = Endereço IP do concentrado.
Remote Address = Pool do pppoe.

/ppp profile local-address=172.16.0.1


name=perfil-pppoe remote-address=pool-pppoe
255
Configuração do Servidor PPPoE

3. Adicione um usuário e senha


/ppp secret add name=usuario password=123456
service=pppoe profile=perfil-pppoe

Obs.: Caso queira verificar o MAC-Address, adicione


em Caller ID. Esta opção não é obrigatória, mas é um
parametro a mais para segurança.

256
Configuração do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vão
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe
vai escutar.

/interface pppoe-server server add


authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 max-
mru=1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes service-
name="Servidor PPPoE"

257
Mais sobre perfis
Bridge: Bridge para associar ao perfil

Incoming/Outgoing Filter: Nome do canal do


firewall para pacotes entrando/saindo.

Address List: Lista de endereços IP para associar


ao perfil.

DNS Server: Configuração dos servidores DNS a


atribuir aos clientes.

Use Compression/Encryption/Change TCP MSS:


caso estejam em default, vão associar ao valor
que está configurado no perfil default-profile.

258
Mais sobre perfis
Session Timeout: Duração máxima de uma
sessão PPPoE.
Idle Timeout: Período de ociosidade na
transmissão de uma sessão. Se não houver
tráfego IP dentro do período configurado, a
sessão é terminada.
Rate Limit: Limitação da velocidade na forma
rx-rate/tx-rate. Pode ser usado também na
forma rx-rate/tx-rate rx-burst-rate/tx-burst-
rate rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
Only One: Permite apenas uma sessão para o
mesmo usuário.

259
Mais sobre o database
Service: Especifica o serviço disponível para este
cliente em particular.

Caller ID: MAC Address do cliente.

Local/Remote Address: Endereço IP Local


(servidor) e remote(cliente) que poderão ser
atribuídos a um cliente em particular.

Limits Bytes IN/Out: Quantidade em bytes que o


cliente pode trafegar por sessão PPPoE.

Routes: Rotas que são criadas do lado do servidor


para esse cliente especifico. Várias rotas podem
ser adicionadas separadas por vírgula.

260
Mais sobre o PPoE Server
O concentrador PPPoE do Mikrotik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do
nome do serviço, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rádio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.

Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500
bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio
de clientes MS Windows. A opção One Session Per Host permite somente uma sessão por
host(MAC Address). Por fim, Max Sessions define o número máximo de sessões que o
concentrador suportará.
261
Segurança no PPPoE
• Para assegurar um servidor PPPoE
pode-se utilizar Filtros de Bridge,
configurando a entrada ou repasse dos
protocolos pppoe-discovery e pppoe-
session e descartando os demais.

• Mesmo que haja somente uma


interface, ainda sim é possível utilizar
os Filtros de Bridge, bastando para tal,
criar uma Bridge e associar em Ports
apenas esta interface. Em seguida
alterar no PPPoE Server a interface de
esculta.

262
Configurando o PPPoE Client

AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um.


Service: Nome do serviço designado no servidor PPPoE.
Dial On Demand: Disca sempre que é gerado tráfego de saída.
Add Default Route: Adiciona um rota padrão(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
263
PPTP e L2TP

• L2TP – Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada 2 é um


protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. O
protocolo L2TP trabalha na camada 2 de forma criptografada ou não e permite
enlaces entre dispositivos de redes diferentes unidos por diferentes
protocolos.

• O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacote de
dados. A porta UDP 1701 é utilizada para o estabelecimento do link e o tráfego
em si utiliza qualquer porta UDP disponível, o que significa que o L2TP pode
ser usado com a maioria dos Firewalls e Routers, funcionando também através
de NAT.
• O PPTP utiliza o protocolo GRE e o protocolo TCP na porta 1723.

• L2TP e PPTP possuem as mesma funcionalidades.

264
Configuração do Servidor PPTP e L2TP

• Configure um pool, um perfil para o PPTP, adicione um usuário em


“secrets” e habilite o servidor PPTP conforme as figuras. 265
Configuração do Servidor PPTP e
L2TP
• Configure os servidores
PPTP e L2TP.
• Atente para utilizar o perfil
correto.
• Configure nos hosts locais
um cliente PPTP e realize
conexão com um servidor
da outra rede.

Ex.: Hosts do Setor1 conectam


em Servidores do Setor2 e
vice-versa.

266
Configuração do Cliente PPTP e L2TP

• As configurações para o cliente PPTP e L2TP são


bem simples, conforme observamos nas imagens.
267
Túneis IPIP

• IPIP é um protocolo que encapsula pacotes IP sobre o próprio protocolo IP


baseado na RFC 2003. É um protocolo simples que pode ser usado pra
interligar duas intranets através da internet usando 2 roteadores.
• A interface do túnel IPIP aparece na lista de interfaces como se fosse uma
interface real.
• Vários roteadores comerciais, incluindo CISCO e roteadores baseados em
Linux suportam esse protocolo.
• Um exemplo prático de uso do IPIP seria a necessidade de monitorar hosts
através de um NAT, onde o túnel IPIP colocaria a rede privada disponível
para o host que realiza o monitoramento, sem a necessidade de criar
usuário e senha como nas VPNs.

268
Túneis IPIP

• Supondo que temos que unir as redes que estão por trás
dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma:

269
Túneis IPIP

• Agora precisamos atribuir os IPs as interfaces


criadas.

• Após criado o túnel IPIP as redes fazem parte do


mesmo domínio de broadcast.
270
Túneis EoIP
• EoIP(Ethernet over IP) é um protocolo
proprietário Mikrotik para encapsula mento
de todo tipo de tráfego sobre o protocolo IP.

Quando habilitada a função de Bridge dos roteadores que estão interligados através
de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de forma
transparente mesmo roteado pela internet e por vários protocolos.

O protocolo EoIP possibilita:


Interligação em bridge de LANs remotas através da internet.
Interligação em bridge de LANs através de túneis criptografados.

A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet através do protocolo GRE.

271
Túneis EoIP

• Criando um túnel EoIP entre as redes


por trás dos roteadores 10.0.0.1 e
22.63.11.6.
• Os MACs devem ser diferentes e estar
entre o rage: 00-00-5E-80-00-00 e 00-
00-5E-FF-FF-FF, pois são endereços
reservados para essa aplicação.
• O MTU deve ser deixado em 1500 para
evitar fragmentação.
• O túnel ID deve ser igual para ambos.

272
Túneis EoIP

• Adicione a interface EoIP a bridge,


juntamente com a interface que fará
parte do mesmo dominio de broadcast.

273
Dúvidas ????

274
HotSpot no Mikrotik

275
HotSpot
• HotSpot é um termo utilizado para se referir a uma área
pública onde está disponível um serviço de acesso a internet,
normalmente através de uma rede sem fio wi-fi. Aplicações
típicas incluem o acesso em Hotéis, Aeroportos, Shoppings,
Universidades, etc...

O conceito de HotSpot no entanto pode ser usado para dar acesso controlado
a uma rede qualquer, com ou sem fio, através de autenticação baseada em
nome de usuário e senha.

Quando em uma área de cobertura de um HotSpot, um usuário que tente


navegação pela WEB é arremetido para uma página do HotSpot que pede suas
credencias, normalmente usuário e senha. Ao fornecê-las e sendo um cliente
autorizado pelo HotSpot o usuário ganha acesso à internet podendo sua
atividade ser controlada e bilhetada.

276
HotSpot
• Setup do HotSpot:

1. Escolha a interface que vai


“ouvir” o hotspot.

2. Escolha o IP em que vai rodar o


hotspot e indique se a rede será
mascarada.

3. Dê um pool de endereços que


serão distribuídos para os
usuários do hotspot.

4. Selecione um certificado, caso


queira usar.

277
HotSpot
• Setup do HotSpot(cont.):

5. Indique o endereço IP do seu


servidor smtp, caso queira.
6. Dê o endereço IP dos
servidores DNS que irão
resolver os nomes para os
usuários do hotspot.
7. Dê o nome do DNS que irá
responder aos clientes ao
invés do IP.
8. Adicione um usuário padrão.

Feito. O HotSpot já está pronto


para ser usado.

278
HotSpot
• Embora tenha sido uma configuração fácil e rápida, o Mikrotik se encarregou de
fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma
fila especifica para o HotSpot.

279
HotSpot – Detalhes do Servidor
Address Per MAC: Número de IPs permitidos para um
determinado MAC.

Idle Timeout: Máximo período de tempo de


inatividade para clientes autorizados. É utilizado para
detectar os clientes que estão conectados mas não
estão trafegando dados. Atingindo o tempo
configurado, o cliente é retirado da lista dos hosts
autorizados. O tempo é contabilizado levando em
consideração o momento da desconexão menos o
tempo configurado.

Keepalive Timeout: Utilizado para detectar se o computador do cliente está ativo e


respondendo. Caso nesse período de tempo o teste falhe, o usuário tirado da tabela
de hosts e o endereço IP que ele estava usando é liberado. O tempo é contabilizado
levando em consideração o momento da desconexão menos o tempo configurado.
280
HotSpot – Perfil do Servidor
HTML Directory: Diretório onde são colocadas as
páginas desse hotspot.

HTTP Proxy/Port: Endereço e porta do servidor de


web proxy.

SMTP Server: Endereço do servidor SMTP.

Rate Limit: Usado para criar uma fila simples para


todo o hotspot. Esta fila vai após as filas dinâmicas
dos usuários.

281
HotSpot – Perfil do Servidor
• Login by:
– MAC: Usa o MAC dos clientes primeiro como nome do
usuário. Se existir na tabela de usuários local ou em um
Radius, o cliente é liberado sem usuário/senha.
– HTTP CHAP: Usa o método criptografado.
– HTTP PAP: Usa autenticação em texto plano.
– Cookie: Usa HTTP cookies para autenticar sem pedir
credenciais. Se o cliente não tiver mais o cookie ou se tiver
expirado ele de usar outro método.
– HTTPS: Usa túnel SSL criptografado. Para que este método
funcione, um certificado válido deve ser importado para o
roteador.
– Trial: Não requer autenticação por um determinado tempo.

• Split User Domain: Corta o domínio do usuário no caso de usuario@hotspot.com


• HTTP Cookie Lifetime: Tempo de vida dos cookies.

282
HotSpot – Perfil do Servidor
• Use Radius: Utiliza servidor Radius para
autenticação dos usuários do hotspot.

• Location ID e Location Name: Podem ser atribuídos


aqui ou no Radius. Normalmente deixado em
branco.

• Accounting: Usado para registrar o histórico de


logins, tráfego, desconexões, etc...

• Interim Update: Freqüência do envio de


informações de accounting. 0 significa assim que
ocorre o evento.

• Nas Port Type: Wireless, ethernet ou cabo.


Informação meramente para referência.

283
HotSpot – Perfil de Usuários
• O Use Profile serve para dar tratamento
diferenciado a grupos de usuários, como
suporte, comercial, diretoria, etc...
Session Timeout: Tempo máximo permitido.

Idle Timeout/Keepalive: Mesma explicação


anterior, no entanto agora somente para este
perfil de usuários.

Status Autorefresh: Tempo de refresh da


página de Status do HotSpot.

Shared Users: Número máximo de clientes


com o mesmo username.

284
HotSpot – Perfil de Usuários
• Os perfis de usuário podem conter os limites de velocidade
de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx-burst-limit]
[rx-burst-threshold/tx-burst-threshold] [rx-burst-time/tx-
burst-time] [priority] [rx-limit-at/tx-limit-at]

Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k

128k de upload / 256k de download


256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de download

285
HotSpot – Perfil de Usuários
Incoming Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usuário deste perfil.
Outgoing Filter: Nome do firewall chain aplicado aos
pacotes vão para o usuário deste perfil.
Incoming Packet Mark: Marca colocada
automaticamente em pacotes oriundos de usuários
deste perfil.
Outgoing Packet Mark: Marca colocada
automaticamente em pacotes que vão para usuários
deste perfil.
Open Status Page: Mostra a página de status
http-login: para usuários que logam pela WEB.
always: para todos usuários inclusive por MAC.
Tranparent Proxy: Se deve usar proxy transparente.

286
HotSpot – Perfil de Usuários
• Com a opção Advertise é possível enviar de
tempos em tempos “popups” para os usuários do
HotSpot.
• Advertise URL: Lista de páginas que serão
anunciadas. A lista é cíclica, ou seja, quando a
última é mostrada, começa-se novamente pela
primeira.

Advertise Interval: Intervalo de tempo de exibição de popups. Depois da


sequência terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar para o anúncio ser mostrado,
antes de bloquear o acesso a rede.
Pode ser configurado um tempo.
Nunca bloquear.
Bloquear imediatamente.
287
HotSpot – Perfil de Usuários
• O Mikrotik possui uma linguagem interna de scripts
que podem ser adicionados para serem executados
em alguma situação especifica.

• No HotSpot é possível criar scripts que executem


comandos a medida que um usuário desse perfil
conecta ou desconecta do HotSpot.

• Os parâmetros que controlam essa execução são:


– On Login: Quando o cliente conecta ao HotSpot.
– On Logout: Quando o cliente desconecta do HotSpot.

• Os scripts são adicionados no menu:


/system script

288
HotSpot – Usuários

289
HotSpot – Usuários
• Server: all para todos hotspots ou para um específico.
• Name: Nome do usuário. Se o modo Trial estiver ativado o
hotspot colocará automaticamente o nome “T-
MAC_Address”. No caso de autenticação por MAC, o
mesmo deve ser adicionado como username sem senha.
• Address: Endereço IP caso queira vincular esse usuário a
um endereço fixo.
• MAC Address: Caso queira vincular esse usuário a um
endereço MAC especifico.

Profile: Perfil onde o usuário herda as propriedades.


Routes: Rotas que serão adicionadas ao cliente quando se conectar. Sintaxe:
“Endereço destino gateway metrica”. Várias rotas separadas por vírgula podem ser
adicionadas.
290
HotSpot – Usuários
• Limit Uptime: Limite máximo de tempo de conexão para
o usuário.
• Limit Bytes In: Limite máximo de upload para o usuário.
• Limit Bytes Out: Limite máximo de download para o
usuário.
• Limit Bytes Total: Limite máximo considerando o
download + upload.

• Na aba das estatísticas é possível acompanhar a


utilização desses limites.

291
HotSpot – Active
• Mostra dados gerais e estatísticas de cada usuário conectado.

292
HotSpot – IP Bindings

O Mikrotik por default tem habilitado o “universal client” que é uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.
Esta facilidade é denominada “DAT” na AP 2500 e “eezee” no StarOS.
É possivel também fazer traduções NAT estáticas com base no IP original, ou IP da
rede ou MAC do cliente. É possível também permitir certos endereços
“contornarem” a autenticação do hotspot. Ou seja, sem ter que logar na rede
inicialmente. Também é possível fazer bloqueio de endereços.

293
HotSpot – IP Bindings
MAC Address: mac original do cliente.

Address: Endereço IP do cliente.

To Address: Endereço IP o qual o original


deve ser traduzido.

Server: Servidor hotspot o qual a regra


será aplicada.

Type: Tipo do Binding


Regular: faz tradução regular 1:1
Bypassed: faz tradução mas dispensa o
cliente de logar no hotspot.
Blocked: a tradução não será feita e todos
os pacotes serão bloqueados.

294
HotSpot – Ports

• A facilidade NAT do hotspot causa


problemas com alguns protocolos
incompatíveis com NAT. Para que
esses protocolos funcionem de forma
consistente, devem ser usados os
módulos “helpers”.

• No caso do NAT 1:1 o único problema


é com relação ao módulo de FTP que
deve ser configurado para usar as
portas 20 e 21.

295
HotSpot – Walled Garden
• Configurando um “walled garden” é possível oferecer ao usuário o acesso a
determinados serviços sem necessidade de autenticação. Por exemplo em um
aeroporto poderia se disponibilizar informações sobre o tempo ou até mesmo
disponibilizar os sites dos principais prestadores de serviço para que o cliente
possa escolher qual plano quer comprar.

• Quando um usuário não logado no hotspot requisita um serviço do walled


garden o gateway não intercepta e, no caso do http, redireciona a requisição
para o destino ou um proxy.

• Para implementar o walled garden para requisições http, existe um web proxy
embarcado no Mikrotik, de forma que todas requisições de usuários não
autorizados passem de fato por esse proxy.

• Observar que o proxy embarcado no Mikrotik não tem a função de cache, pelo
menos por hora. Notar também que esse proxy faz parte do pacote system e
não requer o pacote web-proxy.
296
HotSpot – Walled Garden
• É importante salientar que o walled
garden não se destina somente a
serviço WEB, mas qualquer serviço
que se queira configurar. Para tanto
existem 2 menus distintos conforme
do figuras ao lado. Sendo o menu de
cima para HTTP e HTTPS e o de baixo
para outros serviços e protocolos.

297
HotSpot – Walled Garden
• Action: Permite ou nega.
• Server: Hotspot para o qual o walled garden vale.
• Src.Address: Endereço IP do usuário requisitante.
• Dst. Address: Endereço IP do web server.
• Method: Método http ou https.
• Dst. Host: Nome do domínio do servidor de destino.
• Dst. Port: Porta de destino do servidor.
• Path: Caminho da requisição.

Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser
usado coringas. Também é possível utilizar expressões regulares devendo essas
ser iniciadas com (:)

298
HotSpot – Walled Garden
• Action: Aceita, descarta ou rejeita o pacote.

• Server: Hotspot para o qual o walled garden vale.

• Src. Address: Endereço IP do usuário requisitante.

• Dst. Address: Endereço IP do web server.

• Protocol: Protocolo a ser escolhido na lista.

• Dst. Port: Porta TCP ou UDP que será requisitada.

• Dst. Host: Nome do domínio do servidor de destino.

299
HotSpot – Cookies

• Quando configurado o login por cookies, estes ficam armazenados no


hotspot com nome do usuário, MAC e tempo de validade.
• Enquanto estiverem válidos o usuário não precisa efetuar o
procedimento de login e senha.
• Podem ser deletados (-) forçando assim o usuário a fazer o login
novamente.

300
Personalizando o HotSpot
• As páginas do hotspot são completamente configuráveis e além
disso é possível criar conjuntos completamente diferentes das
páginas do hotspot para vários perfis de usuários especificando
diferentes diretórios raiz.

• As principais páginas que são mostradas aos usuários são:


– redirect.html – redireciona o usuário a uma página especifica.
– login.html – página de login que pede usuário e senha ao cliente. Esta
página tem os seguintes parâmetros:
• Username/password.
• Dst – URL original que o usuário requisitou antes do redirecionamento e que será
aberta após a autenticação do usuário.
• Popup – Será aberta uma janela popup quando o usuário se logar com sucesso.

301
HotSpot com HTTPS

• Para utilizar o hotspot com HTTPS é necessário que se crie um


certificado, assiná-lo corretamente e em seguida importá-lo
através do menu /system certificates.

302
Dúvidas ????

303
Roteamento

• O Mikrotik suporta dois tipos de roteamento:


– Roteamento estático: As rotas são criadas pelo usuário através de inserções pré-definidas
em função da topologia da rede.
– Roteamento dinâmico: As rotas são geradas automaticamente através de um protocolo de
roteamento dinâmico ou de algum agregado de endereço IP.

• O Mikrotik também suporta ECMP(Equal Cost Multi Path) que é um mecanismo


que permite rotear pacotes através de vários links e permite balancear cargas.

• É possível ainda no Mikrotik se estabelecer políticas de roteamento dando


tratamento diferenciado a vários tipos de fluxos a critério do administrador.

304
Políticas de Roteamento

• Existem algumas regras que devem ser seguidas para se


estabelecer uma política de roteamento:
– As políticas podem ser por marca de pacotes, por classes de endereços IP
e portas.
– As marcas dos pacotes devem ser adicionadas no Firewall, no módulo
Mangle com mark-routing.
– Aos pacotes marcados será aplicada uma política de roteamento,
dirigindo-os para um determinado gateway.
– É possível utilizar política de roteamento quando se utiliza NAT.

305
Políticas de Roteamento

• Uma aplicação típica de políticas de roteamento é trabalhar com dois


um mais links direcionando o tráfego para ambos. Por exemplo
direcionando tráfego p2p por um link e tráfego web por outro.
• É impossível porém reconhecer o tráfego p2p a partir do primeiro
pacote, mas tão somente após a conexão estabelecida, o que impede o
funcionamento de programas p2p em casos de NAT de origem.
• A estrátegia nesse caso é colocar como gateway default um link “menos
nobre”, marcar o tráfego “nobre” (http, dns, pop, etc.) e desvia-lo pelo
link nobre. Todas outras aplicações, incluindo o p2p irão pelo link menos
nobre.

306
Políticas de Roteamento

• Exemplo de política de
roteamento.

O roteador nesse caso terá 2


gateways com ECMP e check-
gateway. Dessa forma o tráfego será
balanceado e irá garantir o failover
da seguinte forma:

/ip route add dst-address=0.0.0.0/0


gateway=10.111.0.1,10.112.0.1 check-gateway=ping
307
Ex. de Política de Roteamento
1. Marcar pacotes da rede 192.168.10.0/24 como lan1 e
pacotes da rede 192.168.20.0/24 como lan2 da seguinte
forma:

/ip firewall mangle add src-address=192.168.10.0/24 action=mark-


routing new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24 action=mark-
routing new-marking-routing=lan2 chain=prerouting

2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1


e os pacotes da rede lan2 para o gateway 10.112.0.1 usando
as correspondentes marcas de pacotes da seguinte forma:

/ip routes add gateway=10.111.0.1 routing-mark=lan1 check- 192.168.20.0/24


192.168.10.0/24
gateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2 check-
gateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway=ping

308
Balanceamento de Carga com PCC

309
Balanceamento de Carga com PCC
• O PCC é uma forma de balancear o tráfego de acordo com um critério de
classificação pré-determinado das conexão. Os parametros de configuração são:

Classificador Denominador Contador

Obs.: O PCC está disponível no Mikrotik a partir da versão 3.24.

310
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links

Primeiro vamos marcar as conexões. Atente


para a interface de entrada(clientes), o
denominador(links) e o contador que inicia
em zero.
311
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links

312
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links

313
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links

Agora vamos marcar as rotas com base nas


marcações de conexões já feitas
anteriormente.
Atente agora para desmarcar a opção
“passthrough”.

314
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links

315
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links

316
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links

Agora vamos criar as rotas baseadas nas marcações de rotas. Iremos considerar que os
3 gateways internet são: 10.10.10.1, 20.20.20.1 e 30.30.30.1
317
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links

Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma
operação para as demais interfaces.
318
Roteamento Dinâmico
• O Mikrotik suporta os seguintes protocolos:
– RIP versão 1 e 2;
– OSPF versão 2 e 3;
– MME;
– BGP versão 4.

• O uso de protocolos de roteamento dinâmico permite


implementar redundância e balanceamento de links de forma
automática e é uma forma de se fazer uma rede semelhante as
redes conhecidas como Mesh, porém de forma estática.

319
Roteamento dinâmico - BGP

• O protocolo BGP é destinado a fazer comunicação


entre AS(Autonomos System) diferentes, podendo
ser considerado como o coração da internet.
• O BGP mantém uma tabela de “prefixos” de rotas
contendo informações para se encontrar
determinadas redes entre os AS’s.
• A versão corrente do BGP no Mikrotik é a 4,
especificada na RFC 1771.
320
Roteamento Dinâmico - OSPF

• O protocolo Open Shortest Path First, é um protocolo do tipo “link state”. Ele
usa o algoritmo de Dijkstra para calcular o caminho mais curto para todos os
destinos.

• O OSPF distribui informações de roteamento entre os roteadores que


participem de um mesmo AS(Autonomous System) e que tenha o protocolo
OSPF habilitado.

• Para que isso aconteça, todos os roteadores tem de ser configurados de uma
maneira coordenada e devem ter o mesmo MTU para todas as redes
anunciadas pelo protocolo OSPF.

• O protocolo OSPF é iniciado depois que é adicionado um registro na lista de


redes. As rotas são aprendidas e instaladas nas tabelas de roteamento dos
roteadores.
321
Roteamento Dinâmico - OSPF

Tipos de roteadores em OSPF:


Roteadores internos a uma área
Roteadores de backbone (área 0)
Roteadores de borda de área (ABR)
OS ABRs devem ficar entre dois roteadores e devem
tocar a área 0
Roteadores de borda Autonomous System (ASBR)
São roteadores que participam do OSPF mas fazem
comunicação com um AS.
322
OSPF - Áreas

• O protocolo OSPF permite que vários roteadores sejam agrupados entre si.
Cada grupo formado é chamado de área e cada área roda uma cópia do
algoritmo básico, e cada área tem sua própria base de dados do estado de
seus roteadores.
• A divisão em áreas é importante pois como a estrutura de uma área só é visível
para os participantes desta, o tráfego é sensívelmente reduzido. Isso também
previne o “recalculo” das distâncias por áreas que não participam da área que
promoveu alguma mudança de estado.
• É aconselhavel utilizar no entre 50 e 60 roteadores em cada área.

323
OSPF - Redes
• Aqui definimos as redes OSPF com os
seguintes parâmetros:
– Network: Endereço IP/Mascara, associado. Permite
definir uma ou mais interfaces associadas a uma
área. Somente redes conectadas diretamente
podem ser adicionadas aqui.

– Area: Área do OSPF associada.

324
OSPF - Opções
• Router ID: Geralmente o IP do roteador. Caso
não seja especificado o roteador usará o maior
IP que exista na interface.

• Redistribute Default Route:


– Never: nunca distribui rota padrão.

– If installed (as type 1): Envia com métrica 1 se tiver


sido instalada como rota estática, dhcp ou PPP.

– If installed (as type 2): Envia com métrica 2 se tiver


sido instalada como rota estática, dhcp ou PPP.

– Always (as type 1): Sempre, com métrica 1.

– Always (as type 2): Sempre, com métrica 2.

325
OSPF - Opções
• Redistribute Connected Routes: Caso habilitado, o
roteador irá distribuir todas as rotas relativas as redes
que estejam diretamente conectadas a ele.
• Redistribute Static Routes: Caso habilitado, distribui as
rotas cadastradas de forma estática em /ip routes.
• Redistribute RIP Routes: Caso habilitado, redistribui as
rotas aprendidas por RIP.
• Redistribute BGP Routes: Caso habilitado, redistribui as
rotas aprendidas por BGP.

• Na aba “Metrics” é possível modificar as métricas que


serão exportadas as diversas rotas.

326
OSPF

• Considerando nosso diagrama inicial, vamos aplicar o


OSPF em uma só área e testar a funcionalidade.
327
Dúvidas ????

328
Web Proxy
• O web proxy é uma ótima ferramenta para fazer
cache de “objetos” da internet e com isso
economizar banda.
• Também é possível utilizar o web proxy como filtro
de conteúdo sem a necessidade de fazer cache.
• Como o web proxy escuta todos ips do router, é
muito importante assegurar que somente clientes
da rede local irão acessá-lo.
• A boa prática recomenda o uso de 20GB de cache
para cada 1GB de memória RAM. Portanto com uma
simples regra de 3 é simples encontrar o valor ideal
para a memória RAM do seu equipamento.
329
Web Proxy - Parâmetros
• Src. Address: Enderço IP do servidor proxy caso
você possua vários ips no mesmo roteador.
• Port: Porta onde o servidor irá escuta.
• Parent Proxy: Servidor proxy pai usado em um
sistema de hierarquia de proxy.
• Parent Proxy Port: Porta o parent proxy escuta.
• Cache Administrator: Identificação do
administrador do proxy.
• Max Cache Size: Tamanho máximo do cache em
KiBytes.
• Cache On Disk: Indica se o cache será em Disco ou
em RAM.

330
Web Proxy - Parâmetros
• Max Client Connections: Número máximo de
conexões simultâneas ao proxy.
• Max Server Connections: Número máximo de
conexões que o proxy fará a um outro servidor
proxy.
• Max Fresh Time: Tempo máximo que os objetos
que não possuem tempo padrão definidos, serão
considerados atuais.
• Serialize Connections: Habilita múltiplas conexões
ao servidor para múltiplas conexões para os
clientes.
• Always From Cache: Ignore requisições de
atualização dos clientes caso o objeto será
considerado atual.

331
Web Proxy - Parâmetros
• Cache Hit DSCP (TOS): Adiciona marca DSCP com
o valor configurado a pacotes que deram hit no
proxy.
• Cache Drive: Exibe o disco que o proxy está
usando para armazenamento dos objetos. Esses
discos podem ser acessados no menu: /system
stores.

332
Web Proxy - Status
• Uptime: Tempo que o proxy está rodando.
• Requests: Total de requisições ao proxy.
• Hits: Número de pedidos que foram atendidos
pelo cache do proxy.
• Cache Used: Espaço usado em disco ou RAM
usado pelo cache do proxy.
• Total RAM Used: Total de RAM usada pelo proxy.

Received From Servers: Total de dados em Kibytes recebidos de servidores


externos.
Sent To Clients: Total de dados em Kibytes enviados ao clientes.
Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos
clientes.
333
Web Proxy - Conexões
Aqui podemos a lista de conexões ativas no proxys

Src. Address: Endereço IP das conexões remotas


Dst. Address: Endereço destino que está sendo requisitado
Protocol: Protocolo utilizado pelo navegador
State: Status da conexão
Tx Bytes: Total de bytes enviados
Rx Bytes: Total de bytes recebidos remotamente

334
Web Proxy - Access
A lista de acesso permite controlar
conteúdo que será permitido ou não
para armazenamento no cache do
proxy.

As regras adicionadas nesta lista são


processadas de forma semelhante que
as regras do firewall. Neste caso as
regras irão processar as conexões e
caso alguma conexão receba um
“match” ela não será mais processada
pelas demais regras.

335
Web Proxy - Access
Src. Address: Endereço ip de origem
Dst. Address: Endereço ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereço ip ou DNS de destino
Path: Nome da página dentro do servidor
Method: Método HTTP usado nas requisições
Action: Permite ou nega a regra
Redirect To: URL ao qual o usuário será redirecionado
caso a regra seja de negação
Hits: Quantidade de vezes que a regra sofreu “macth”

336
Web Proxy - Cache
A lista de cache define como as requisições serão armazenadas ou não
no cache do proxy.

Esta lista é manipulada da mesma forma que a lista de acesso.

De forma análoga ao firewall, qualquer requisição que não esteja na lista


de regras, será armazenada no cache.

Os parâmetros de configuração das regras são idênticas as regras da lista


de acesso.

337
Web Proxy - Direct
A lista de acesso direto é utilizada quando um Parent Proxy está
configurado. Desta forma é possível passar a requisição ao mesmo ou
tentar encaminhar a requisição diretamente ao servidor de destino.

Esta lista é manipulada da mesma forma que a lista de acesso.

Diferentemente do firewall, qualquer requisição que não esteja na lista


de regras, será por padrão negada.

Os parâmetros de configuração das regras são idênticas as regras da lista


de acesso.

338
Web Proxy – Regras de Firewall
Para que o proxy funcione de forma correta e segura, é necessário criar
algumas regras no “firewall nat” e no “firewall filter”.

Primeiramente precisamos desviar o fluxo de pacotes com destino a


porta 80 para o servidor web proxy.

Em seguida precisamos garantir que somente os clientes da rede local


terão acesso ao servidor web proxy.

339
Web Proxy – Regras de Firewall
Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol=tcp dst-port=80
action=redirect to-ports=8080
/ ip firewall nat add chain=dstnat protocol=tcp dst-port=80
action=dst-nat to-address=LAN to-ports=8080

Protegendo o proxy contra acessos externos não autorizados


/ip firewall filter add chain=input protocol=tcp dst-port=8080 in-
interface=wan action=drop

340
Exercício final

Abra um New Terminal

Digite: /system reset-configuration

341
Dúvidas ????

342
The Dude – O cara

343
The Dude – O cara

The Dude é uma ferramenta de monitoramento que:


Fornece informações acerca de quedas e
restabelecimentos de redes, serviços, assim como uso de
recursos de equipamentos.
Permite mapeamento da rede com gráficos da topologia
e relacionamentos lógicos entre os dispositivos.
Notificações via áudio/video/email acerca de eventos.
Gráfico de serviços mostrando latência, tempos de
respostas de DNS, utilização de banda, informações
físicas de links, etc...
Monitoramento de qualquer dispositivo que suporte o
protocolo SNMP.
344
The Dude – O cara

• Possibilidade de utilizar ferramentas para acesso direto a


dispositivos da rede a partir do diagrama da mesma.
• Acesso direto a dispositivos Mikrotik através do winbox.
• Armazenamento de histórico de eventos(logs) de toda a
rede, com momentos de queda, restabelecimentos, etc...
• Possibilidade de utilizar SNMP também para tomada de
decisões através do SNMP Set.

(Vide: MUM Czech Republic 2009 – Andrea Coppini)

345
Instalando o The Dude

• No Windows:
– Fazer o download, clicar no executável e responder sim
para todas as perguntas.

• No Linux:
– Instalar o wine e a partir daí proceder como no windows.

• Em Routerboard ou PC com Mikrotik:


– Baixar o pacote referente a arquitetura especifíca, enviar
para o Mikrotik via FTP ou Winbox e rebootar o roteador.

346
The Dude em Routerboards

• O espaço em disco consumido pela The Dude é considerável, entre outras


coisas, devido aos gráficos e logs a serem armazenados. Assim, no caso de
instalação em Routerboards é aconselhável o uso daquelas que possuam
armazenamento adicional como:
– RB 433UAH – Aceita HD externo via USB
– RB 450G – Aceita MicroSD
– RB 600 – Aceita SD
– RB 800 – Aceita MicroSD
– RB 1100 – Aceita MicroSD
• Não é aconselhável a instalação em outras Routerboards por problemas de
perdas de dados devido a impossibilidade de efetuar backups. Problemas de
processamento também devem ser considerados.

347
The Dude - Começando

• A instalação do The Dude sempre instala o cliente e o servidor e no


primeiro uso ele sempre irá tentar usar o Servidor Local(localhost). Caso
queira se conectar em outro servidor clique no “raio”.

348
The Dude - Começando

• O auto discovery permite que o servidor The Dude localize os dispositivos de


seu segmento de rede, através de provas de ping, arp, snmp, etc... E por
serviços também.
• Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por
seus vizinhos (neighbours).
• Apesar de ser uma “facilidade”, não é aconselhável utilizar este recurso.

349
The Dude – Adicionando dispositivos

• O The Dude tem um wizard para criação de


dispositivos. Informe o IP e, se o dispositivo for
Mikrotik, marque a opção “Router OS”.

350
The Dude – Adicionando dispositivos

• Em seguida descubra os serviços que estão rodando nesse equipamento. Após


isso o dispositivo estará criado.

351
The Dude – Adicionando dispositivos
• Clique no dispositivo criado para ajustar vários
parâmetros. Dentre esses os principais:
– Nome de exibição
– Tipo do dispositivo

352
The Dude – Adicionando dispositivos
• O The Dude possui vários dispositivos pré-definidos, mas pode-se criar
novos dispositivos personalizados para que o desenho realmente reflita
a realidade prática.
• Por razões de produtividade é aconselhável que todos os dispositivos
existentes na rede sejam criados com suas propriedades especificas
antes do desenho da rede, mas nada impede que isso seja feito depois.

353
The Dude – Adicionando dispositivos

• Quando a rede possui elementos não


configuráveis por IP como switchs L2, é
necessário criar dispositivos estáticos para fazer
as ligações. Com isso é possível concluir o
diagrama da rede de forma mais realista e
parecida com a real.

354
The Dude – Criando links

• Para criar links entre os dispositivos basta clicar no mapa com o botão
direito, selecionar Add Link e ligar os dois dispositivos informando:
– Device: Dispositivo que irá fornece as informações do link.
– Mastering type: Informa como as informações serão obtidas.
– Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha
a interface que deseja monitorar a velocidade e estado do link.
– Speed: Informando a velocidade do link, é ativado a sinalização do estado
do mesmo baseando-se em cores.
– Type: Tipo de conexão física entre os dispositivos.

355
The Dude – Notificações

• Efetue um duplo clique no dispositivo e vá na guia “Notifications”. Nela


você pode informar o tipo de notificação que deseja receber.

356
The Dude – Serviços indesejáveis
• Com o The Dude podemos monitorar serviços que não desejamos que estejam
ativos.

357
The Dude – gráficos
• Podemos manipular a forma como os gráficos irão ser apresentados
para identificar serviços, estado dos links etc...

358
The Dude – Efetuando Backups

• As configurações são salvas automaticamente na


medida em que são feitas. Para se ter um backup
externo use o “export” para gerar um arquivo .xml
com todas as configurações que poderão ser
importadas sempre que necessário.

359
Dúvidas ????

360
Laboratório Final

• Abram um terminal

• Executem: /system reset-configuration no-


defaults=yes

361
Obrigado!!

Contato: ramires@alivesolutions.com.br
Site: www.alivesolutions.com.br
Fan Page: www.fb.com/AliveSolutions

Você também pode gostar