Treinamento oficial

MTCSE
Mikrotik Certified Security Engineer

Slide Versão 2020.2

1
 Sobre este material

Este material foi desenvolvido por Leonardo Vieira, José

Manuel e Fajar Nugroho e é de uso exclusivo de alunos da
Contract TI, não poderá ser compartilhado em hipótese
alguma, sob pena de responder legalmente a Lei de Direitos
Autorais vigente. (Lei nº 9.610/98)

Contract TI ® é uma marca registrada junto ao INPI – Instituto Nacional da

Propriedade Industrial e de uso exclusivo da Contract TI Com e Serv de Inf
Ltda.

2
Apresente-se

• Diga seu nome;

• Empresa;
• Qual seu conhecimento sobre MikroTik ?
• Qual seu conhecimento sobre redes ?
• O que você espera do curso ?

3
Antes do RouterOS o que usei

4
Antes das RB’s

5
Sobre o Professor

Leonardo Vieira
“leomikrotik”

• Mais de 20 anos experiência.

• Em 2009 iniciei com MikroTik
• Contract TI / Redes Brasil
• Palestrante MUM – Brasil Facebook.com/Leonardo.mikrotik

• Comunidade Telegram, Instagram, Youtube linkedin.com/in/albuquerqueleonardo/

@Contract_ti youtube.com/leomikrotik
facebook.com/contractti/
6
Certificação

7
Sobre o Professor

8
Certificado

• Todos alunos receberam um certificado de participação emitido

pela Contract TI em PDF.

• O aluno que realizar a prova e passar com nota igual ou superior

a 60% receberá o certificado oficial da MikroTik em PDF dentro
do site da mikrotik.com em sua conta.

9
Prova de certificação

• Tem que ter o certificado MTCNA Oficial válido.

• 25 Questões
• Inglês, algumas questões em português.
• Pode usar o tradutor
• 1 hora de duração. (2,4 min por questão em média)
• Nota igual ou superior a 60% para ser aprovado.
• Pode consultar apenas anotações, slide, RB e site da MikroTik.
• Se o aluno for reprovado terá que refazer o curso.
• Presença no treinamento é obrigatória.

10
Importante!

• Curso Oficial: Não pode filmar, gravar nem repassar slides e

demais materiais.
• Localização: Banheiro, água e café
• Celular: Modo silencioso ou desligado.
• Internet: Evite usar para não se distrair.
• Perguntas são sempre bem vindas.

11
Agenda

• Treinamento de 9:00 as 18:00hs

• Intervalo para almoço 12hs com 1:30 de duração.
• Coffe break as 15:30hs
• Após as 18hs revisão se necessário.

12
OFF TOPIC

• Faça suas anotações e busque absorver

conceitos.

bit.ly/dicaanote

13
Carreira Certificações MikroTik

14
E-mail Convite MikroTik

15
Conta no site da MikroTik

16
MTCNA Outline

• Módulo 1 – Introdução • Módulo 6 – Túneis Seguros

• Módulo 2 – Firewall • LAB prático
• Módulo 3 – Ataques camada OSI
• Módulo 4 – Criptografia
• Módulo 5 – Segurança do Router

https://i.mt.lv/cdn/training_pdf/mtcse_outline_2019181161836.pdf

17
Módulo 1

Introdução

18
Sobre Segurança

• Segurança é sobre proteção de ativos.

• D. Gollmann, Segurança de Computadores, Wiley

• Confidencialidade: Protegendo a privacidade das pessoas e

informações proprietárias.

• Integridade: Garantir não repúdio e autenticidade das informações.

• Disponibilidade: Assegurar o acesso oportuno e confiável ao uso

das informações.

19
Sobre Segurança

• Prevenção: Medidas que impeçam seus bens de serem

danificados ou roubados.

• Detecção: Medidas para detectar quando, como e por quem um ativo

foi danificado.

• Reação: Ações para recuperar seus ativos.

20
Ataques, mecanismos e serviços

• Ataque de segurança: Qualquer ação que comprometa a

segurança das informações.

• Mecanismos: Processos ou dispositivos para detectar, impedir ou

recuperar de um ataque de segurança.

• Serviço de Segurança: um serviço destinado a combater ataques de

segurança, geralmente implementando um ou mais mecanismos.

21
Ameaças à segurança - Ataques

FLUXO NORMAL

Origem da Destino da
informação informação

22
Ameaças à segurança - Ataques

INTERRUPÇÃO

Origem da Destino da
Informação Informação

“Serviços ou dados tornam-se indisponíveis, inutilizáveis, destruídos, como perda de

dados e negação de serviço etc.”

23
Ameaças à segurança - Ataques
INTERCEPTAÇÃO

Origem da Destino da
Informação Informação

Attacker

“Um terceiro não autorizado obteve acesso a um objeto, para roubar dados, ouvir a
comunicação entre outros...”

24
Ameaças à segurança - Ataques
MODIFICATION

Origem da Destino da
Informação Informação

Attacker

Modificação não autorizada dos dados ou adulterando serviços, modificando a

mensagem original.

25
Ameaças à segurança - Ataques
FABRICATION

Origem da Destino da
Informação Informação

Attacker

“Dados ou atividades adicionais são gerados que normalmente não existiriam, como
adicionar uma senha a um sistema, reproduzir mensagens enviadas anteriormente
etc.”

26
Tipos de Ataque

Interrupção

Ataque Ativo /
Modificação
Ameaças

Ataque / Ameaças Fabricação

Ataque Passivo /
Interceptação
Ameaças

27
Mecanismos de segurança

• Encriptação: Transformar os dados em algo que o invasor não

possa ler, editar, fornecendo confidencialidade, além de permitir
ao usuário validar se os dados foram modificados.

• Autenticação: Validação da identidade reivindicada de um usuário,

como nome de usuário, senha, etc.

28
Mecanismos de segurança

• Autorização: Verifica se o usuário tem autorização para executar

a ação solicitada.

• Auditoria: Rastreamento de quais usuários acessaram quais

informações e de que maneira. Em geral a auditoria não fornece
proteção mas é uma ferramenta para identificar possíveis falhas.

29
AMEAÇAS
COMUNS

30
Ameaças comuns

• Botnet: Coleção de robôs de softwares, ou “bots”, que criam um

exercito de computadores infectados “conhecidos como zumbis”
que são controlados remotamente pelo criador.

• O que ele pode fazer:

• Envio de e-mails de spam com vírus anexados.
• Espalhar todos os tipos de malware.
• Pode usar seu computador como parte de um ataque de
negação de serviço contra outros sistemas.

31
BOTNET NERCUS

https://www.bbc.com/news/technology-51828781

32
Ameaças comuns
• Distributed denial-of-servisse (DDOS)
“Um ataque de negação de serviços distribuído (DDoS) ocorre quando
um usuário mal intencionado recebe uma rede de computadores
zumbis para sabotar um site ou servidor específico.

• O que ele pode fazer:

• O tipo mais comum de ataque DDoS é quando um invasor
envia muitas informações inúteis a uma rede.
• O grande volume de mensagens inúteis recebidas obriga a
desligar, negando assim o acesso a usuários legítimos.
33
Ameaças comuns
• Hacking
• “Hacking é um termo usado para descrever ações executadas por
alguém para obter acesso não autorizado a um computador.”

• O que ele pode fazer:

• Encontrar pontos fracos (ou erros pré-existentes) em suas
configurações de segurança e explora-los para acessar seus
dispositivos.
• Instalar um cavalo de Tróia, fornecendo uma porta dos fundos
para hackers entrarem e procurarem por informações.
34
Ameaças comuns
• Malware
• “O malware é uma das formas mais comuns de se infectar ou danificar seu PC, é
um software que infecta seu PC, como vírus, worms, cavalos de troia, spyware e
adware .”

• O que ele pode fazer:

• Intimidar com o scareware, que geram mensagens de pop-up informando
que seu PC tem problema de segurança ou outras informações falsas.
• Formatar o HD do seu computador, fazendo com que você perca todas suas
informações.
• Alterar ou excluir arquivos.
• Roubar informações confidenciais.
• Enviar e-mails em seu nome.
• Assumir o controle do seu computador e de todo o software em execução

35
Ameaças comuns
• Phishing
• “O phishing é usado com mais frequência por criminosos cibernéticos porque é
fácil de executar e pode produzir os resultados que procura como muito pouco
esforço.

• O que ele pode fazer:

• Sugere que você forneça informações solicitando atualização e ou
confirmação de sua conta. É frequentemente apresentado de uma maneira
que parece oficial e intimidante, para encorajá-lo a agir.
• Fornece aos criminosos seu nome de usuário e senha para que eles possam
acessar suas contas (sua conta bancária on-line, contas de compras etc.) e
roubar seus números de cartão de crédito.

36
Ameaças comuns
• Ransomware
• “O ransomware é um tipo de malware que restringe o acesso ao seu computador
ou aos seus arquivos e exibe uma mensagem exigindo pagamento para a
restrição aos dados seja removida.

• O que ele pode fazer:

• Ramsomware Lockscreen: exibe uma imagem que impede o acesso ao seu
computador.
• Ransomware de criptografia: criptografa os arquivos do HD e as vezes
deunidades de rede compartilhadas, unidades USB como pendrive, HD
Externo e até mesmo algumas unidades de armazenamento em nuvem,
impedindo que você os abra.

37
Ameaças comuns
• Spam
• “O spam é um dos métodos mais comuns de enviar e coletar informações
pessoais”.

• O que ele pode fazer:

• Irrita-lo com mensagens indesejadas.
• Criar um ônus para provedores de serviços de comunicação e as empresas
filtrarem as mensagens eletrônicas.
• Phishing para sua informação, engando você com links de ofertas e
promoções muito boas para serem verdadeiras.
• Meio para malware, golpes, fraudes e ameaças à sua privacidade.

38
Ameaças comuns
• Spoofing
• “Essa técnica é frequentemente usada em conjunto com o phishing na tentativa
de roubar suas informações.”

• O que ele pode fazer:

• Enviar spam usando seu endereço de e-mail ou uma variação do seu
endereço de e-mail para sua lista de contatos.
• Recria sites falsos que parecem ser verdadeiros. Pode ser uma instituição
financeira ou outro site que exija login, senha ou outras informações
pessoais.

39
Ameaças comuns
• Spyware & Adware
• “Essa técnica é frequentemente usada por terceiros para se infiltrar em seu
computador ou roubar suas informações sem que você perceba.”

• O que ele pode fazer:

• Coletar informações sobre você sem que você saiba e forneça a terceiros.
• Enviar seus nomes de usuário, senhas, hábitos de navegação, lista de
aplicativos que você baixou, configurações e até a versão do seu sistema
operacional para terceiros.
• Mudar a maneira como o computador funciona sem seu conhecimento.
• Levar você a sites indesejados ou inundá-lo com anúncios pop-up
incontroláveis.

40
Ameaças comuns
• Cavalos de Tróia
• “É um software malicioso que está disfarçado de um software legítmo ou
incorporado a ele. É um arquivo executável que se instala e é executado
automaticamente após o download.”

• O que ele pode fazer:

• Excluir seus arquivos.
• Usar o seu computador para invadir outros computadores.
• Assistir você através da sua webcam.
• Registrar as teclas digitadas (como o número do cartão de crédito que você
inseriu em uma compra on-line).
• Registrar nomes de usuário, senhas e outras informações pessoais.

41
Ameaças comuns
• Vírus
• “Programas de computador maliciosos que geralmente são enviados como um
anexo de e-mail ou um download com a intenção de infectar seu computador.”

• O que ele pode fazer:

• Enviar e-mails falsos “spam”
• Fornecer acesso ao seu computador e listas de contatos.
• Digitalizar e encontrar informações pessoais como senhas no seu PC
• Sequestrar seu navegador.
• Desativar suas configurações de segurança como por exemplo antivírus.
• Exibir anúncios indesejados.

42
Ameaças comuns
• Worm
• “Um worm, diferentemente de um vírus, funciona por conta própria sem se
conectar a arquivos ou programas. Ele vive na memória do computador, não
danifica ou altera o disco rígido e se propaga enviando-se para outros
computadores em uma rede.”

• O que ele pode fazer:

• Espalhar para todos na sua lista de contatos.
• Causar uma tremenda quantidade de danos ao desligar partes da internet,
causando estrados em uma rede interna e custando às empresas enormes
quantidade de receita perdida.

43
Implementação de Segurança com RouterOS

ROUTEROS
SECURITY
DEPLOYMENT

44
MikroTik como Firewall Global

DATA CENTER

ESCRITÓRIO
INTERNET

VISITANTE

45
MikroTik como Firewall Global

• Prós
• Topologia Simples
• Fácil de gerenciar

• Contra
• Ponto único de falha
• Exige alto recurso de hardware

46
MikroTik Firewalls específicos

DATA CENTER

ESCRITÓRIO
INTERNET

VISITANTE

47
MikroTik como Firewall Global
• Prós
• Consumo menor de recursos em cada roteador
• Concentrando um firewall em cada rede.

• Contra
• Diferentes segmentos de redes, diferentes tratamentos
• Precisa configurar o firewall de forma diferente em cada roteador.
• Possível que use regras repetidas em firewall diferentes.

48
MikroTik com um IPS

DATA CENTER

OFFICE
INTERNET

GUEST

49
MikroTik com um IPS

• Prós
• Configurações de firewall limpas no roteador, pois todas as configurações de
firewall são realizadas no IPS. “Sistema de prevenção de Intrusões”

• Contra
• Será necessário de muitos recursos para usar o RouterOS como um IPS.

50
MikroTik com IDS Server

DATA CENTER

OFFICE
INTERNET

GUEST
IDS SERVER

51
MikroTik com IDS Server
• Prós
• Todas as regras são feitas automaticamente via API do Servidor IDS ( Intrusion
Detection System)

• Contra
• É necessário um dispositivo adicional para ser acionado pelo trafego “ruim”
• Necessário um hardware potente para espelhar todo o tráfego da rede.
• Precisa de scripts especiais para enviar informações ao roteador.
• Caro

52
IDS X IPS

Fonte da imagem: GSTI

53
Módulo 2

FIREWALL

54
Stateful Firewall

• O RouterOS implementa firewall stateful. Um firewall stateful é um

firewall capaz de rastrear conexões ICMP, UDP e TCP.

• Isso significa que o firewall é capaz de identificar se um pacote está

relacionado a um pacote anterior.

• O firewall pode rastrear o estado operacional.

55
Connection Tracking

56
GENERIC TIMEOUT

Para cada tipo de conexão há

um timeout mas observe que
o Generic esta com 10min ou seja
se rodar um tipo de flood diferente de
TCP, UDP ou ICMP o hacker terá 10min
pra consumir memoria e processamento.

57
Connection Tracking

58
SETUP RB
LAB RB

/interface
set [ find default-name=wlan1 ] comment="To Internet" name=wlan1-internet
set [ find default-name=ether3 ] comment="To Lan" name=ether3-Lan

/ip pool
add name=dhcp_pool1 ranges=192.168.11.2-192.168.11.254

/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether3-Lan name=dhcp1

59
Lab. ICMP tracking
LAB RB

/ip address
add address=192.168.11.1/24 interface=ether3-Lan network=192.168.11.0

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=wlan1-internet

/ip dhcp-server network

add address=192.168.11.0/24 gateway=192.168.11.1

/ip firewall nat

add action=masquerade chain=srcnat out-interface=wlan1-internet

/system identity
set name=X-SeuNome

60
Lab. ICMP tracking
LAB RB

61
Lab. ICMP tracking
LAB RB

62
SETUP WIRELESS PROFILE
LAB RB

/interface wireless security-profiles

add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=profile1
supplicant-identity="" wpa2-pre-shared-key=treinamento

63
WIRELESS SETUP
LAB RB

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-XX comment="To
Internet" disabled=no name=wlan1-internet radio-name=SEUNOME security-profile=profile1
ssid=PROVEDOR

64
Lab. ICMP tracking
LAB RB

/ip firewall mangle

add action=mark-connection chain=forward dst-address=8.8.8.8 new-
connection-mark=icmp passthrough=yes protocol=icmp

65
Lab. ICMP tracking
LAB RB

/ip firewall mangle

add action=mark-packet chain=forward connection-mark=icmp new-packet-mark=icmpout
out-interface=wlan1-internet passthrough=yes

66
Lab. ICMP tracking
LAB RB

/ip firewall mangle

add action=mark-packet chain=forward connection-mark=icmp new-packet-
mark=icmpin out-interface=ether3-Lan passthrough=yes

67
PING DO SEU PC

68
Lab. ICMP tracking
LAB RB

69
Lab. ICMP tracking
LAB RB

70
Lab. Securing areas

71
Lab. Securing area
LAB RB

/ip firewall filter

add action=drop chain=forward comment="Drop external traffic" connection-state=new in-interface=\
wlan1-internet

72
REDE LOCAL COM IP PUBLICO
LAB RB

• Script: ProtegerRedeLocal-IPPublico.rsc

73
PACKET FLOW

74
Packet Flow

75
Packet Flow

76
Packet Flow

77
RAW TABLE

78
RAW TABLE

A RAW table oferece duas chains - prerouting e output

A função da Tabela RAW é processor os pacotes antes da connection tracking,
reduzindo de forma significative o uso da CPU.
É um firewall Stateless muito eficiente.
As ações mais comuns nesta tabela são Drop e No-Track; a ação no track é
utiilizado para dar um bypass da connection tracking.

79
RAW TABLE

80
RAW TABLE

• Existe duas chains default sendo a Output e Prerouting

• É possível o adm criar novas chains e usar a ação JUMP.

81
RAW TABLE
#sudo hping3 -c 20000 -d 120 -S -w 64 -p 80 --flood --rand-source IPdaVitima LAB RB

82
CONFIGURAÇÃO PADRÃO

83
SYSTEM DEFAULT CONF

• Todos os roteadores da MikroTik tem uma configuração de fábrica,

“default” e varia entre os modelos existentes.
• Para ver a configuração default use o comando
/system default-configuration print
• Muitos modelos a porta ether1 vem específica para ligar o link de
internet e por isso não se tem acesso por winbox nesta porta usando
a conf default.

84
EXEMPLO DE SAÍDA DO PRINT

85
CPE ROUTER

• Este padrão de configuração, o roteador é definido como um dispositivo cliente sem

fio.

• Interface WAN é a interface sem fio.

• A porta WAN configurou o cliente DHCP.

• Está protegida por firewall e a descoberta/conexão MAC está desativada.

86
CPE ROUTER

Alguns equipamentos que vem com este tipo de configuração

RB711, 911, 912, 921, 922 - com Level3 (CPE) license, SXT, QRT, SEXTANT, LHG,
LDF, DISC, Groove, Metal

87
LTE CPE AP ROUTER

• Esse tipo de configuração é aplicado aos roteadores que possuem uma interface sem
fio e uma LTE.

• A interface LTE é considerada como uma porta WAN protegida pelo firewall e a
descoberta/conexão MAC desativada.

• O endereço IP na porta WAN é adquirido automaticamente. OWireless é configurado

como um ponto de acesso e conectado a todas as portas Ethernet disponíveis.

• Lista de roteadores usando esse tipo de configuração:

• wAP LTE kit, LtAP mini kit

88
AP ROUTER
• Esse tipo de configuração é aplicado aos roteadores de ponto de acesso doméstico a serem usados
diretamente da caixa sem configuração adicional (exceto roteador e senhas sem fio
• A primeira porta Ethernet é configurada como uma porta WAN (protegida por firewall, com um
cliente DHCP e conexão/descoberta MAC desativada)

• Outras portas Ethernet e interfaces sem fio são adicionadas à Brigde LAN com um IP 192.168.88.1/24 e
um servidor DHCP

• No caso de roteadores dual band, um sem fio é configurado como ponto de acesso de 5 GHz e o
outro como ponto de acesso de 2,4 GHz.

• Lista de roteadores usando esse tipo de configuração:

• RB450, 751, 850, 951, 953, 2011, 3011, 4011, mAP, wAP, hAP, OmniTIK

89
PTP BRIDGE CPE
• Ethernet em Bridge com interface sem fio

• O endereço IP padrão 192.168.88.1/24 está definido na interface Bridge

• Existem duas opções possíveis - como CPE e AP

• Para CPE interface sem fio é definida no modo " stationbridge".

• Para AP o modo " bridge " é usado.

• Lista de roteadores usando esse tipo de configuração:

• DynaDish - como CPE

90
WISP BRIDGE
• A configuração é a mesma do PTP Bridge no modo AP, exceto que o modo sem fio
está definido como ap_bridge para configurações PTMP.

• O roteador pode ser acessado diretamente usando o endereço MAC.

• Se o dispositivo estiver conectado à rede com o servidor DHCP ativado, o cliente

DHCP configurado na interface bridge receberá o endereço IP, que pode ser usado
para acessar o roteador.

• Lista de roteadores usando esse tipo de configuração:

• RB 911,912,921,922 – com licença Level4

• cAP, Groove A, Metal A, RB711 A, BaseBox, NetBox, mANTBox, NetMetal

91
SWITCH

• Esta configuração utiliza recursos do chip do switch para configurar o switch.

• Todas as portas ethernet são adicionadas ao grupo de switches e

o endereço IP padrão 192.168.88.1/24 é definido na master port antes da v6.41

• No RoS 6.41 em diante usa o Hardware Offload e coloca todas as portas em um

Bridge.

• Lista de roteadores usando esse tipo de configuração:

• FiberBox, CRS

92
IP ONLY

• Quando nenhuma configuração específica é encontrada, o endereço IP

192.168.88.1/24 é definido em ether1, ou combo1 ou sfp1.

• Lista de roteadores usando esse tipo de configuração:

• RB 411,433,435,493,800, M11, M33,1100

• CCR

93
CAP

• Este tipo de configuração é usado quando o dispositivo deve ser usado como um
ponto de acesso sem fio que é controlado pelo CAPsMAN

• Quando a configuração padrão CAP é carregada, ether1 é considerado como

uma porta de gerenciamento com um cliente DHCP

• Todas as outras interfaces Ethernet são interligadas e todas as interfaces sem fio
estão definidas para serem gerenciadas pelo CAPsMAN

• Nenhuma das RB atuais vem com o modo CAP habilitado de fábrica.

94
IPV6

Nota:

• Por padrão, o pacote IPv6 está desativado no RouterOS v6.

• Se a configuração do roteador for redefinida com default-configuration = yes e o

pacote IPv6 estiver ativado, a configuração padrão também será aplicada ao
firewall IPv6.

95
GERENCIAMENTO DE ACESSO

96
IP SERVICE

• É uma boa prática desativar os serviços que

você não irá utilizar.

• Alterar a porta padrão

• Permitir o acesso apenas vindo da rede local e VPN.

97
MAC SERVER

• O RouterOS possui opções para fácil acesso de gerenciamento a dispositivos de

rede, mesmo sem configuração de IP. Em redes de produção, os serviços específicos
devem ser configurados para acesso restrito (por exemplo, apenas interfaces
internas) ou desativados completamente!

98
MAC SERVER

/tool mac-server set allowed-interface-list=none

/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no

99
BANDWIDTH SERVER

• Bandwidth Test server é usado para testar a taxa de

transferência entre dois roteadores MikroTik. Recomenda-se
desativá-lo e ativar somente quando for usa-lo.

• /tool bandwidth-server set enabled=no

100
DNS CACHE

• O recurso de cache DNS pode ser usado para fornecer resolução de nomes de
domínio para o roteador em si e para os clientes conectados a ele.

• Caso o cache DNS não seja necessário no seu roteador ou se outro roteador for
usado para tais fins, o cache DNS deverá ser desativado:

• /ip dns set allow-remote-requests=no

• Se o cache DNS for deixado ativado, certifique-se de proteger o UDP / 53 na chain

INPUT vindo da internet.

sudo hping3 -c 20000 -d 120 -S -w 64 -p 53 -2 --flood --rand-source 172.16.30.1

101
OUTROS SERVIÇOS

• /ip proxy set enabled=no

• /ip socks set enabled=no

• /ip upnp set enabled=no

102
MAIS SEGURANÇA NO SSH
• Faça as seguintes alterações na configuração do SSH:

• Prefira criptografia de 256 e 192 bits em vez de 128 bits

• Desativar criptografia nula

• Prefira sha256 por hash em vez de sha1

• Desativar md5

• Use 2048bit prime para troca de Diffie Hellman em vez de 1024bit

• Comando /ip ssh set strong-crypto=yes

103
INTERFACES SEM USO

• É uma boa prática desativar as interfaces do roteador que você não

está utilizando.

104
BRIDGE FIREWALL

105
BRIDGE FIREWALL

• A bridge implementa filtros de pacotes e portanto fornece funções de segurança

que são usadas para gerenciar o fluxo de dados.

106
BRIDGE FIREWALL
Se
Condição
Então execute
Ação

107
BRIDGE FIREWALL

108
LAB

• Apenas como simples exemplo podemos

impedir que a VPC4 ping a VPC5 realizando
na “CRS” o filtro Bridge.

109
BRIDGE FILTER
LAB RB

/interface bridge filter

add action=drop chain=forward in-interface=!ether1 ip-protocol=icmp \
mac-protocol=ip out-interface=!ether1

110
BRIDGE FILTER
LAB RB

Com a regra criada podemos ver que impedimos a VPC de passar ping de uma
para a outra mas não fizemos bloqueio de ping com a internet.
Este foi apenas um exemplo o uso das regras dependem de cada cenário.

111
Módulo 3

+ ATAQUES

112
MNDP

• O objetivo do MNDP “MikroTik Neighor Discovery

Protocol é facilitar encontrar dispositivos vizinhos que
suportam tanto o MNDP quanto o CDP “Cisco
Discovery Protocol” que estão no mesmo domínio de
broadcast.

• Por padrão vem habilitado no RouterOS e ele usa o

UDP/5678

113
ANTES DO ATAQUE

• A boa prática é criar uma interface list colocando apenas

interfaces confiáveis e que você deseja utilizar o MNDP.
• Nunca deixar aberto para a Operadora como está na
imagem acima.

114
YERSINIA

Yersinia é uma ferramenta de pentest/hackers que roda apenas em

unuix/Linux. Passou a ser utilizada em 2017 e que ainda está e
desenvolvimento a versão mais recente 0.8.2
Criada pelo Alfredo Andres e David Barroso.

Ataques para os seguintes protocolos

STP, CDP, DTP, DHCP, HSPR, VTP entre outros.

https://github.com/tomac/yersinia

115
ATAQUE MNDP
LAB RB

• O objetivo do ataque é encher

a tabela Neighbors consumir

recursos do equipamento.

• yersinia cdp –attack 1

116
ATAQUE MNDP
LAB RB

117
ATQUE DHCP STARVATION
• O hacker usa um novo endereço MAC para solicitar um novo
IP ao DHCP Server até esgotar os Ips da pool.
• Restringir o nº de MAC aprendido pela porta Switch
• Desta forma o DHCP server só entregaria 1 IP pois só
aprendeu 1 MAC.

port-security
Router max 1 MAC
Portsecurity
max 1 MAC

118
ATAQUE DHCP STARVATION

Ou comando
#yersinia dhcp -attack 1
Aperte a letra G
119
ATAQUE DHCP STARVATION

Agora pressione X e depois número 1

120
DHCP STARVATION

/interface bridge filter

add action=accept chain=forward comment="ACEITA 10 DHCP POR SEG" disabled=yes dst-port=67 ip-
protocol=udp limit=10,5 mac-protocol=ip
add action=drop chain=forward comment="DROPEXCESSO DHCP" disabled=yes dst-port=67 ip-protocol=udp
mac-protocol=ip

121
DHCP ROGUE
DHCP Rogue é um servidor DHCP que não está sob o controle administrativo do TI.

122
DHCP ROGUE

Proteção: DHCP Snooping

123
ATAQUE DOS X DDOS

124
HPING

Pequeno utilitário que monta e envia pacotes ICMP, UDP ou TCP

personalizados; Foi inspirado no comando ping mas oferece muito mais
controle. Infelizmente seu desenvolvimento parou em 2005.
O projeto Nmap criou e mantém o Nping que é um programa
semelhante com suporte a IPv6.
Authors: Salvatore S.

http://www.hping.org/

125
Ataque SYN Flood
Usando a aplicação “hping3” e execute o comando abaixo

Comando para realizar o ataque

#hping3 –S –p 2000 –-flood IP-DO-ALVO

-S set SYN Flag

-p set a porta alvo

126
Sem proteção

127
SYN Flood
LAB RB

128
SYN FLOOD
LAB RB

129
SYN FLOOD
LAB RB

130
SYN FLOOD
LAB RB

/ip firewall filter

add action=add-src-to-address-list address-list=Ataque-SYNFlood \
address-list-timeout=1d chain=input comment="Detecta Ataque
Syn Flood" \
connection-limit=15,32 in-interface=wlan1-internet protocol=tcp \
tcp-flags=syn

131
BLOQUEIO COM FILTER

132
SYN Flood

/ip firewall raw

add action=drop chain=prerouting comment="SYN Flood Ataque" src-address-list=\
Ataque-SYNFlood

133
DROP NO RAW
• Este foi o resultado médio após fazer o drop pela RAW.

134
OUTRA PRÁTICA

• O ataque pode ser com IP spoofado

o que impediria o funcionamento das
regras anteriores.
• Então podemos limitar a quantidade
de SYN aceito e dropar o restante.

/ip firewall filter

add action=accept chain=input comment="ACEITA 30 SYN" connection-state=new limit=30,5:packet protocol=tcp
tcp-flags=syn
add action=drop chain=input comment="DROP SYN FLOOD" connection-state=new protocol=tcp tcp-flags=syn

135
TCP SYN COOKIES

É uma técnica usada para resistir

a ataques de IP Spoofing usados
por exemplo por ataques DOS.
Desenvolvido por Daniel J. B.

136
ICMP

137
ICMP

• O ICMP tem sua importância no diagnóstico de redes mas hackers

podem usar isso para o mal.

• Ping flood são grande volume de mensagens ICMP enviadas

aleatoriamente.

• Não é recomendável bloquear por completo o ICMP mas sim fazer o

controle.

138
ICMP

Sourced from Through Destined to

ICMPv4 Message
Device Device Device
ICMPv4-unreach-net Limit rate Limit rate Limit rate

ICMPv4-unreach-host Limit rate Limit rate Limit rate

ICMPv4-unreach-proto Limit rate Deny Limit rate

ICMPv4-unreach-port Limit rate Deny Limit rate

ICMPv4-unreach-frag-needed Send Permit Limit rate

ICMPv4-unreach-src-route Limit rate Deny Limit rate

ICMPv4-unreach-net-unknown (Depr) Deny Deny Deny

ICMPv4-unreach-host-unknown Limit rate Deny Ignore

ICMPv4-unreach-host-isolated (Depr) Deny Deny Deny

ICMPv4-unreach-net-tos Limit rate Deny Limit rate

Recomendações ICMPv4

139
ICMP
Sourced from Through Destined to
ICMPv4 Message
Device Device Device
ICMPv4-unreach-host-tos Limit rate Deny Limit rate

ICMPv4-unreach-admin Limit rate Limit rate Limit rate

ICMPv4-unreach-prec-violation Limit rate Deny Limit rate

ICMPv4-unreach-prec-cutoff Limit rate Deny Limit rate

ICMPv4-quench Deny Deny Deny

ICMPv4-redirect-net Limit rate Deny Limit rate

ICMPv4-redirect-host Limit rate Deny Limit rate

ICMPv4-redirect-tos-net Limit rate Deny Limit rate

ICMPv4-redirect-tos-host Limit rate Permit Limit rate

ICMPv4-timed-ttl Limit rate Permit Limit rate

Recommendations for
ICMPv4

140
ICMP
Sourced from Through Destined to
ICMPv4 Message
Device Device Device
ICMPv4-timed-reass Limit rate Permit Limit rate

ICMPv4-parameter-pointer Limit rate Deny Limit rate

ICMPv4-option-missing Limit rate Deny Limit rate

ICMPv4-req-echo-message Limit rate Permit Limit rate

ICMPv4-req-echo-reply Limit rate Permit Limit rate

ICMPv4-req-router-sol Limit rate Deny Limit rate

ICMPv4-req-router-adv Limit rate Deny Limit rate

ICMPv4-req-timestamp-message Limit rate Deny Limit rate

ICMPv4-req-timestamp-reply Limit rate Deny Limit rate

ICMPv4-info-message (Depr) Deny Deny Deny

Recommendations for
ICMPv4

141
ICMP

Sourced from Through Destined to

ICMPv4 Message
Device Device Device
ICMPv4-info-reply (Depr) Deny Deny Deny

ICMPv4-mask-request Limit rate Deny Limit rate

ICMPv4-mask-reply Limit rate Deny Limit rate

Recommendations for
ICMPv4

142
ATAQUE ICMP SMURF

O hacker envia uma grande quantidade de pacotes ICMP para um IP de Broadcast

com IP de origem falso. Os equipamentos da rede que receber o pacote vai
responder ao IP falso. Quanto mais equipamentos a rede tem pior é o ataque.

143
ATAQUE ICMP SMURF

Como realizar o ataque:

#hping3 -1 --flood --spoof <target> <broadcast_address>

144
PROTEÇÃO ICMP SMURF

• Uma forma de evitar este ataque é dar drop nos pacotes destinados
ao broadcast ICMP.
• Em uma rede em Bridge também pode-se usar filtros.

/ip firewall filter

add action=drop chain=input comment="PACOTES DE ICMP PARA BROACAST" \
dst-address-type=broadcast log=yes protocol=icmp

145
ICMP INPUT

SCRIPT PRONTO NA PASTA DE ALUNOS

146
ICMP FOWARD

147
UDP FLOOD

Assim como TCP, ICMP o UDP também tem como ser usado
para flood afim de consumir recurso do roteador.

hping3 -2 –p 53 --flood 201.1.1.1

148
UDP FLOOD

Neste caso temos que limitar a quantidade de pacotes UDP

destinado ao nosso roteador.

#Script na pasta Alunos.

149
PORTSCAN
Nmap é uma ferramenta de código aberto para exploração de rede e
auditoria de segurança.
Comummente utilizada para identificar portas abertas.

151
PORTSCAN

Script de proteção esta na pasta de alunos

152
ANTI-SPOOFING

IP Spoofing é uma técnica que se consiste em falsificar o IP de origem;

/ip firewall filter

add action=drop chain=forward comment="Filtro anti-spoofing" dst-address-list=!rede-local src-address-list=!rede-local

153
HAVE I BEEN

https://monitor.firefox.com
https://haveibeenpwned.com

154
MKBRUTUS

• Ataque Brutforce via

porta do API MikroTik

wget http://172.16.30.60/arquivos/Wordlist/rockyou.rar

unrar x rockyou.rar
#python3 mkbrutus.py -t 192.168.1.1 -d rockyou.txt -u admin -p 8728

155
MÓDULO 4

CRIPTOGRAFIA

156
O QUE É?

• Criptografia é a “arte” da criação de documentos que podem ser compartilhados

secretamente pela comunicação pública.
• Tradicionalmente, a criptografia refere-se a:
• Prática e o estudo da criptografia.
• Transformar informações para evitar que pessoas não autorizadas a compreenda.
• Mas hoje, a criptografia vai além da criptografia ou decriptografia, inclui:
• Técnica para garantir que as mensagens criptografadas não sejam modificadas.
• Técnica para identificação segura/autenticação de parceiros de comunicação.

157
MECANISMOS DE SEGURANÇA
• Criptografia:
• Processo de transformação de textos simples em texto cifrado usando
chave
de criptográfica.
• Usado em todos os nós
• Em camada de aplicação – usado em um e-mail seguro, sessões de bancos
de dados e mensagens.
• Na camada de sessão – usado Secure Socket Layer “SSL” ou Transport Layer
Security “TLS”.
• Na camada de rede – Usado protocolos como IPSec

• Benefícios do bom algoritmo de criptografia:

• Resistente a ataque de criptográfico
• Eles suportam comprimento de chave variáveis, longos e escalabilidade.
• Criam um efeito de avalanche
• Nenhuma restrição de exportação ou importação.

158
TERMINOLOGIA
➢plaintext (P) : a mensagem original
➢ciphertext (C) : a mensagem codificada
➢Cipher : algoritmo para transformar texto simples em texto cifrado
➢key (k) : informação usada em cifra conhecida apenas pelo remetente / destinatário
➢encipher/encrypt (e) : convertendo texto simples em texto cifrado
➢decipher/decrypt (d) : recuperando texto cifrado de texto simples
➢cryptography : estudo de princípios/métodos de criptografia
➢Cryptanalysis : o estudo dos princípios/métodos de decifrar o texto cifrado sem conhecer a chave
➢Cryptology : o campo da criptografia e criptoanálise

159
MÉTODOS DE CRIPTOGRAFIA

Existem dois tipos de métodos de criptografia:

➢Criptografia simétrica
➢As chaves remetente e receptor são idênticas
➢Criptografia assimétrica (chave pública)
➢Encryption key (public), decryption key secret (private)

160
CRIPTOGRAFIA SIMETRICA

➢Usa uma única chave para criptografar e descriptografar as informações

➢Também conhecido como um algoritmo de chave secreta
➢A chave deve ser mantida como um “segredo” para manter a segurança
➢Essa chave também é conhecida como chave privada
➢Segue a forma mais tradicional de criptografia com comprimentos de chave variando de 40
a 256 bits

161
ALGORITMOS DE CHAVE SIMÉTRICA

162
CRIPTOGRAFIA ASSIMÉTRICA

• Também chamada de criptografia de chave pública

• Mantém a chave privada privada
• Qualquer pessoa pode ver a chave pública
• Chaves separadas para criptografia e descriptografia (pares de
chaves públicas e privadas)
• Exemplos de algoritmos de chave assimétrica:
• RSA, DSA, Diffie-Hellman, El Gamal, curva elíptica e PKCS

163
CRIPTOGRAFIA ASSIMÉTRICA

• RSA: a primeira e ainda mais comum implementação

• DSA: especificado no Digital Signature Standard (DSS) do NIST,
fornece capacidade de assinatura digital para autenticação de Mensagens
• Diffie-Hellman: usado apenas para troca de chave secreta e não
para autenticação ou assinatura digital
• ElGamal: semelhante ao Diffie-Hellman e usado para troca de chaves
• PKCS: conjunto de normas e diretrizes interoperáveis

164
PUBLIC KEY INFRASTRUCTURE - PKI
➢Estrutura que constrói a rede de confiança
➢Combina criptografia de chave pública, assinaturas digitais, para
garantir confidencialidade, integridade, autenticação, não-repúdio e
controle de acesso
➢Protege aplicativos que exigem alto nível de segurança

Funções de uma PKI :

• Registration • Key generation
• Initialization • Key update
• Certification • Cross-certification
• Key pair recovery • Revocation

165
COMPONETES DE UMA PKI

• Autoridade de certificação
• O terceiro confiável
• Confiada pelo proprietário do certificado e pela parte que confia no certificado.
• Autoridade de validação
• Autoridade de registro
• Para grandes CAs, um RA separado pode ser necessário para retirar algum
trabalho da CA
• Verificação de identidade e registro da entidade que solicita um certificado
• Diretório central

166
CERTIFICADOS

167
CERTIFICADOS
• Certificados de chave pública vinculam valores de chave pública a assuntos
• Uma autoridade de certificação confiável verifica a identidade do sujeito e
assina digitalmente cada certificado
• Valida
• Tem uma vida útil válida limitada
• Pode ser usado usando comunicações não confiáveis e pode ser armazenado em
cache em armazenamento não seguro
• Como o cliente pode verificar independentemente a assinatura do certificado
• Certificado NÃO é igual a assinatura
• É implementado usando assinatura
• Certificados são estáticos
• Se houver alterações, ele deverá ser reemitido

168
CERTIFICADOS DIGITAIS

• Certificado digital - elemento básico da PKI; credencial segura que identifica o proprietário
• Também chamado de certificado de chave pública
• Lida com o problema de
• Vinculando uma chave pública a uma entidade
• Uma questão legal importante relacionada a comércio eletrônico
• Um certificado digital contém:
• Chave pública do usuário
• ID do usuário
• Outras informações, por exemplo período de validade

169
CERTIFICADOS DIGITAIS

• Exemplos de certificado:
• X509 (padrão)
• PGP (Privacidade Muito Boa)
• A Autoridade de Certificação (CA) cria e assina digitalmente certificados
• Para obter um certificado digital, Alice deve:
• Faça uma solicitação de assinatura de certificado para a CA
• A CA retorna o certificado digital de Alice, vinculando
criptograficamente sua identidade à chave pública:
• CertA = {IDA, KA_PUB, informações, SigCA (IDA, KA_PUB, informações)}

170
X.509

• Um padrão ITU-T para uma infraestrutura de chave pública (PKI) e

infraestrutura de gerenciamento de privilégios (PMI)
• Assume um sistema hierárquico estrito de autoridades de
certificação (CAs)
• RFC 1422 - base de PKI baseada em X.509
• A versão atual X.509v3 fornece uma linha de base comum para a
Internet
• Estrutura de um certificado, revogação de certificado (CRLs)

171
X.509

• Uso do certificado X.509:

• Buscar certificado
• Buscar lista de revogação de certificado
(CRL)
• Verifica o certificado na CRL
• Verifica a assinatura usando o certificado

172
TODO CERTIFICADO CONTÉM

• Corpo do certificado
• Número da versão, número de série, nomes do emissor e assunto
• Chave pública associada ao assunto
• Data de validade (nem antes nem depois)
• Extensões para tributos adicionais
• Algoritmo de assinatura
• Usado pela CA para assinar o certificado
• Assinatura
• Criado aplicando o corpo do certificado como entrada para uma
função de hash unidirecional. O valor de saída é criptografado
com a chave privada da CA para formar o valor da assinatura

173
AUTORIDADE DE CERTIFICAÇÃO

• Emissor e assinante do certificado

• Terceiros Confiáveis
• Baseado no modelo de confiança
• Em quem confiar?
• Tipos:
• CA corporativa
• CA individual (PGP)
• CA global (como VeriSign)
• Funções :
• Inscreve e valida assinantes
• Emite e gerencia certificados
• Gerencia a revogação e renovação de certificados
• Estabelece Políticas e Procedimentos

174
LISTA DE REVOGAÇÃO

• A CA publica periodicamente uma estrutura de dados chamada CRL

(lista de revogação de certificado)
• Descrito no padrão X.509
• Cada certificado revogado é identificado em uma CRL por seu número
de série
• A CRL pode ser distribuída postando em um URL da web conhecido ou
na entrada do diretório X.500 da própria CA

175
CERTIFICADO AUTOASSINADOS

176
CERTIFICADO AUTOASSINADO

• Um certificado SSL autoassinado não usa a cadeia de confiança

comumente usada por outros certificados SSL
• É um certificado de identidade assinado pela mesma entidade cuja
identidade certifica
• Geralmente usado quando uma empresa deseja executar testes
internos sem o esforço ou a despesa de adquirir um certificado SSL
padrão.

177
CERTIFICADO SELF-SIGNED

/certificate
add name=CA country=BR state=MG locality=BELOHORIZONTE organization=CONTRACTTI
unit=CONTRACTTI common-name=172.16.30.1 \
subject-alt-name=IP:172.16.30.1 key-size=2048 days-valid=365 \
key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign

178
SIGN

/certificate sign CA name=CA

179
CERTIFICADO AUTOASSINADO

/certificate
add name=www country=BR state=MG locality=BELOHORIZONTE organization=CONTRACTTI
unit=CONTRACTTI common-name=172.16.30.1 \
subject-alt-name=IP:172.16.30.1 key-size=2048 days-valid=365 \
key-usage=digital-signature,key-encipherment,tls-client,tls-server

180
CERTIFICADO AUTOASSINADO

certificate sign www name=www ca=CA

181
COMO FICOU

182
EXPORTAR E IMPORTAR NO WIN

183
WEBFIG

184
CERTIFICADOS VALIDOS GRATUITOS

185
LET’S ENCRYPT

• Let's Encrypt é uma nova Autoridade de Certificação (CA) que oferece

certificados SSL GRATUITOS tão seguros quanto os certificados pagos atuais.

• Let's Encrypt é uma autoridade de certificação gratuita desenvolvida pelo

Internet Security Research Group (ISRG).

• Os certificados SSL são emitidos por um período de 90 dias e precisam ser

renovados para garantir a validade.

• Esses certificados são validados por domínio, não requerem um

IP dedicado e são suportados em todas as soluções de
hospedagem SiteGround.

186
LET’S ENCRYPT
• Principais benefícios de usar um certificado SSL Let's Encrypt :
• É gratuito - qualquer pessoa que possua um domínio pode obter
um certificado confiável para esse domínio a custo zero.

• É automático - Todo o processo de inscrição de certificados ocorre durante

o processo de instalação ou configuração nativa do servidor. A renovação
ocorre automaticamente em segundo plano.

• É seguro: O Let’s Encrypt serves como uma plataforma para implementar

técnicas modernas de segurança e práticas recomendadas.
• Mais informações - https://letsencrypt.org

187
SSL FOR FREE

É necessário um domínio válido

https://www.sslforfree.com

188
SSL FOR FREE

189
SSL FOR FREE

190
SSL FOR FREE

191
FREE OF CHARGE VALID CERT

192
FREE OF CHARGE VALID CERT

“System > Certificate”: import both the “certificate.crt” and the “private.key”

193
FREE OF CHARGE VALID CERT.

194
MÓDULO 6

TUNNEIS SEGUROS

195
SSTP

SSTP – Secure Socket Tunneling Protocol

Utiliza a porta TCP/443 é possível alterar a porta.

Certificado de criptografia e autenticação de 2048 bits

Para túnnel seguro é necessário o certificado.

O RouterOS suporta SERVER E Client SSTP.

196
SSTP

Dois equipamentos RouterOS podem estabelecer um túnel SSTP

sem o uso do certificado. É recomendável o uso de certificados.

SSTP cliente envia pacotes de controle SSTP dentro da sessão HTTPS.

Quando o certificado entre servidor e cliente não está válido o tunnel

não será estabelecido.

197
SSTP

tcp connection
ssl negotiation

SSTP over HTTPS

IP binding

SSTP tunnel

198
LAB

INTERNET

R1
SSTP

199
SELF-SIGNED CERTIFICATE

/certificate
add name=ca-template common-name=MIKROTIK key-usage=key-cert-sign,crl-sign
add name=server-template common-name=server
add name=client1-template common-name=client1
add name=client2-template common-name=client2

200
ASSINANDO O CERTIFICADO

• Para cada cliente deve-se gerar

um novo certificado vinculado a
entidade certificadora CA do Server.

• No ca-crl-host usar o IP do Servidor.

/certificate
sign ca-template ca-crl-host=IP-SERVIDOR-SSTPex172.16.30.1 name=MIKROTIK
sign server-template ca=MIKROTIK name=server
sign client1-template ca=MIKROTIK name=client1
sign client2-template ca=MIKROTIK name=client2

201
ATIVANDO O SERVIDOR

202
SSTP SECRET

/ppp secret add name=demo password=demo local-address=10.0.0.1 remote-address=10.0.0.11 \

profile=default-encryption service=sstp

203
CERTIFICATE TRUSTED

/certificate
set MIKROTIK trusted=yes
set server trusted=yes

204
EXPORTANDO OS CERTIFICADOS

/certificate export-certificate MIKROTIK

/certificate export-certificate client1 export-passphrase=12345678
/certificate export-certificate client2 export-passphrase=12345678

205
IMPORTAR CERTIFICADO NO CLIENTE

1º importar o .crt
2º importar o .key

Após a importação deverá

aparecer a flag KAT

206
SSTP CLIENT COM CERTIFICADO

207
VPN CLIENTE WIN10

208
VPN – WINDOWS

209
VPN - WINDOWS

210
L2TP COM IPSEC

211
L2TP

• L2TP (Layer 2 Tunnelling Protocol). O L2TP foi proposto pela primeira

vez em 1999 como uma atualização para o L2F(Layer 2 Fowarding
protocol) e PPTP (Point-to-Point Tunnelling Protocol).
• Como o L2TP não fornece criptografia e nem autenticação forte por
si só, o IPSec dá mais segurança.
• Usados em conjunto, o L2TP e o Ipsec são muito mais seguros do que
o PPTP e um pouco mais lento.

212
L2TP/IPSEC

o L2TP/IPSec oferece alta velocidade e alto nível de segurança

para transmissão de dados.

Geralmente ele usa criptográficas AES.

O L2TP às vezes tem problemas ao atravessar firewall devido

ao uso da porta UDP 500, que alguns bloqueiam por padrão.

213
LAB

INTERNET

R1
L2TP/IPsec

214
SETUP L2TP/IPSEC SERVER

/interface l2tp-server server

set authentication=mschap1,mschap2 enabled=yes ipsec-secret=84GsvZAtUQnE \
use-ipsec=required

215
LAB

/ppp secret
add local-address=10.10.10.1 name=teste password=teste profile=default-encryption remote-
address=10.10.10.2 service=l2tp

216
TESTE COM WINDOWS

217
 IPSEC

INTERNET PROTOCOL SECURITY

218
IPSEC

• O Internet Protocol Security (IPsec) é um conjunto de

protocolos definidos pela IETF (Internet Engineering Task Force)
para garantir a troca de pacotes em redes desprotegidas IPv4
ou IPv6, como a Internet.
Fornece segurança da camada 3 (RFC 2401)

IPsec Combina componentes diferentes:

• Associações de segurança (SA)
• Cabeçalhos de autenticação (AH)
• Encapsulando carga útil de segurança (ESP)
• Troca de chaves da Internet (IKE)

219
IPSEC

Padronização IPsec é definida em:

• RFC 4301 Define a arquitetura IPsec original e os elementos comuns
ao AH e ao ESP
• RFC 4302 Define cabeçalhos de autenticação (AH)
• RFC 4303 Define a carga útil de segurança encapsulante (ESP)
• RFC 2408 ISAKMP
• RFC 5996 IKE v2 (setembro de 2010)
• Implementação de algoritmo criptográfico RFC 4835 para ESP e AH

220
OS BENEFÍCIOS

• Confidencialidade
• Criptografando dados
• Integridade
• Os roteadores em cada extremidade de um túnel calculam
o valor de soma de verificação ou hash dos dados
• Autenticação
• Assinaturas e certificados
• Tudo isso enquanto mantém a capacidade de rotear pelas
redes IP existentes

221
OS BENEFÍCIOS DO IPSEC
Integridade de dados e autenticação de origem
• Os dados são "assinados" pelo remetente e a "assinatura" é
verificada pelo destinatário
• A modificação dos dados pode ser detectada pela assinatura
"verificação"
• Como a “assinatura” é baseada em um segredo compartilhado,
fornece autenticação de origem
Proteção anti-replay
• Opcional: O remetente deve fornecer, mas o destinatário pode
ignorar

222
OS BENEFÍCIOS DO IPSEC

Gerenciamento de chaves
• IKE - negociação e estabelecimento de sessões
• As sessões são recodificadas ou excluídas automaticamente
• Chaves secretas são estabelecidas e autenticadas com segurança
• O par remoto é autenticado através de várias opções

223
MODOS IPSEC
Modo de transporte
• O cabeçalho IPsec é inserido no pacote IP
• Nenhum novo pacote é criado
• Funciona bem em redes em que aumentar o tamanho de um
pacote pode causar um problema
• Utilizado frequentemente para VPNs de acesso remoto

IP TCP PAYLOAD
HEADER HEADER
Tráfego normal sem IPSec
IP IPSec TCP PAYLOAD
HEADER HEADER Header Tráfego normal com IPSec

224
MODOS IPSEC
Modo Túnel
• Todo o pacote IP é criptografado e se torna o componente de
dados de um novo pacote IP (e maior).
• Utilizado frequentemente em uma VPN site to site IPSec.

IP TCP PAYLOAD
HEADER HEADER
Tráfego normal sem IPSec
New IP IPSec IP TCP PAYLOAD
HEADER HEADER Header Header Tráfego normal com IPSec

225
ARQUITETURA DO IPSEC
Cabeçalho de autenticação
AH Authentication Header

Encapsulando o Payload
IPSec Security Policy ESP Encapsulating Security Payload

IKE The Internet Key Exchange

226
AUTHENTICATION HEADER (AH)

AH é um protocolo que fornece autenticação de todo ou parte do conteúdo

de um datagrama através da adição de um cabeçalho calculado com base
nos valores no datagrama.
Quais partes do datagrama são usadas para o cálculo e o posicionamento
do cabeçalho dependem do modo de tunnel ou transporte.
• Fornece autenticação de origem e integridade de dados
• Proteção contra falsificação de fonte e ataques de repetição
• A autenticação é aplicada a todo o pacote, com os campos mutáveis no
cabeçalho IP zerados

227
AUTHENTICATION HEADER (AH)

• Opera sobre IP usando o protocolo 51

• No IPv4, o AH protege a carga útil e todos os campos de
cabeçalho, exceto campos mutáveis e opções de IP (como a
opção IPsec)
• O MikroTik RouterOS suporta os seguintes algoritmos de
autenticação para o AH:
• SHA1
• MD5

228
ENCAPSULATING SECURITY PAYLOAD (ESP)
O Encapsulating Security Payload (ESP) usa criptografia de chave
compartilhada para fornecer privacidade de dados. O ESP também suporta
seu próprio esquema de autenticação, como o usado no AH, ou pode ser
usado em conjunto com o AH.
O ESP empacota seus campos de uma maneira muito diferente da AH. Em vez
de ter apenas um cabeçalho, ele divide seus campos em três componentes:

: vem antes dos dados criptografados e sua localização depende

Header ESP : se o ESP é usado no modo de transporte ou no modo de túnel.

: Esta seção é colocada após os dados criptografados. isto

Trailer ESP
: contém preenchimento usado para alinhar os dados criptografados.

: Este campo contém um valor de verificação de integridade (ICV), calculado

ESP Auth Data : de maneira semelhante ao funcionamento do protocolo AH, por
: quando o recurso de autenticação opcional do ESP é usado.

229
ENCAPSULATING SECURITY PAYLOAD (ESP)

• Usa protocolo IP 50
• Fornece tudo o que é oferecido pela AH, além de
confidencialidade dos dados
• Ele usa criptografia de chave simétrica
• Deve criptografar e / ou autenticar em cada pacote
• A criptografia ocorre antes da autenticação
• A autenticação é aplicada aos dados no cabeçalho
IPsec, bem como aos dados contidos como payload.

230
ENCAPSULATING SECURITY PAYLOAD (ESP)

O RouterOS ESP suporta vários algoritmos de criptografia e autenticação.

Autenticação: SHA1, MD5

Encriptação:
DES : algoritmo de criptografia DES-CBC de 56 bits;
3DES : algoritmo de criptografia DES de 168 bits;
AES : algoritmo de criptografia AES-CBC de 128, 192 e chave de 256 bits;
Blowfish : adicionado desde a v4.5
Twofish : adicionado desde a v4.5
Camellia : algoritmo de criptografia Camellia de chave de 128, 192 e 256 bits
: adicionado desde a v4.5

231
INTERNET KEY EXCHANGER - IKE
O IKE (Internet Key Exchange) é um protocolo que fornece material de chave autenticado para a
estrutura ISAKMP (Internet Security Association e Key Management Protocol).

Existem outros esquemas de troca de chaves que funcionam com o ISAKMP, mas o IKE é o mais
amplamente usado. Juntos, eles fornecem meios para autenticação de hosts e gerenciamento
automático de associações de segurança (SA).

• “Um componente IPsec usado para executar autenticação mútua e estabelecer e manter
associações de segurança.” (RFC 5996)
• Normalmente usado para estabelecer sessões IPSec
• Um mecanismo de troca de chaves
• Cinco variações de uma negociação IKE:
• Dois modos (aggressive mode e main mode)
• Três métodos de autenticação (criptografia de chave pública pré-compartilhada e assinatura
de chave pública)
• Usa porta UDP 500

232
IKE MODE

233
INTERNET KEY EXCHANGER (IKE)

Fase I
• Estabelecer um canal seguro (ISAKMP SA)
• Usando o modo principal ou o modo agressivo
• Autenticar a identidade do computador usando certificados ou senha
(Pre-Shared) pré-compartilhado

Fase II
• Estabelece um canal seguro entre computadores destinados à
transmissão de dados (IPsec SA)
• Usando o modo quick (rápido)

234
INTERNET KEY EXCHANGER (IKE)

235
IKE FASE 1 (MAIN MODE)

• O modo principal negocia um ISAKMP SA que será usado

para criar as SAs IPsec.

• Três passos
• Negociação SA (algoritmo de criptografia, algoritmo hash,
método de autenticação, qual grupo DF usar)
• Faça uma troca Diffie-Hellman
• Fornecer informações de autenticação
• Autentica o peer

236
IKE FASE 1 (MAIN MODE)

237
IKE FASE 1 (AGRESSIVE MODE)

• Usa 3 mensagens para estabelecer IKE SA

• Sem proteção contra negação de serviço
• Não possui proteção de identidade
• Intercâmbio opcional e não amplamente
implementada

238
IKE FASE 2 (QUICK MODE)

• Todo o tráfego é criptografado usando a Associação de Segurança

ISAKMP
• Cria/atualiza chaves
• Cada negociação de modo rápido resulta em duas associações de
segurança IPsec (uma de entrada, uma de saída)

239
IKE PHASE 2 (QUICK MODE)

240
IKEV2

• A versão 2 do Internet Key Exchange (IKEv2) é o padrão de segunda

geração para uma troca de chaves segura entre dispositivos conectados.
• O IKEv2 funciona usando um protocolo de encapsulamento baseado em
IPsec para estabelecer uma conexão segura.
• Um dos benefícios mais importantes do IKEv2 é sua capacidade de se
reconectar muito rapidamente no caso de sua conexão VPN ser
interrompida.
• Reconexões rápidas e criptografia forte O IKEv2 é um excelente
candidato para usar

241
LAB IPSEC

INTERNET

R1 R2
IPsec

242
SETUP IPSEC R1

/ip ipsec peer add address=22.22.22.2/32 local-address=11.11.11.2 name=peer-R2

243
SETUP IPSEC R1

/ip ipsec identity add peer=peer-R2 secret=myIPSecLABsecret

244
SETUP IPSEC R1

/ip ipsec policy

add dst-address=192.168.2.0/24 tunnel=yes sa-dst-address=22.22.22.2 \
sa-src-address=11.11.11.2 src-address=192.168.1.0/24

245
SETUP IPSEC R1

/ip firewall nat add chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24 place-before=0

246
SETUP IPSEC R2-NEW

/ip ipsec peer add address=11.11.11.2/32 local-address=22.22.22.2 name=peer-R1

247
SETUP IPSEC R2

/ip ipsec identity add peer=peer-R1 secret=myIPSecLABsecret

248
LAB SETUP

/ip ipsec policy

add dst-address=192.168.1.0/24 tunnel=yes sa-dst-address=11.11.11.2 \
sa-src-address=22.22.22.2 src-address=192.168.2.0/24

249
LAB SETUP

/ip firewall nat add chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24 place-before=0

250
LAB SETUP

251
Último LAB

System → Reset Configuration

252
Pesquisa de Satisfação

Por favor, responda o questionário.

Quero ouvir sua opinião sobre o treinamento.

bit.ly/ctti-pesquisa

253
Redes Sociais

Muito Obrigado, espero revê-lo em breve!

Se puder, me add em suas redes sociais.

Te vejo na Web!

@Contract_ti facebook.com/contractti/
youtube.com/leomikrotik
facebook.com/Leonardo.mikrotik

254
Muito Obrigado

255
Módulo – Dúvidas ?

256
Observações

• Entre no site mikrotik.com - Faça login na sua conta MikroTik

• Observe se seu nome no cadastro está correto, pois é desta
forma que sairá no certificado se passar no teste.
• Entre em “my training sessions”
• Atenção relógio da prova, ela fecha sozinha ao terminar o
tempo.

257
Observações

• Não é permitido perguntar ao colega nem comentar

• Use apenas a Wiki da MikroTik, a RB e os slides.
• Não tente copiar a prova a aplicação de proteção pode
detectar anular sua prova e nós não poderemos devolver o
dinheiro pago.
• Quando passar não bata na mesa, desligue seus
equipamentos com cuidado pra não desligar o PC do colega
que está ao lado.

258
Obrigado!

#DominandoMikroTik
Boa prova!

259