Projetando e operando Redes com Segurana e Desempenho com Mikrotik RouterOS

Eng. Wardner Maia MD Brasil Mikrotik Brasil

1

Agenda
Apresentao do Mikrotik / MD Brasil / MikrotikBrasil Principais Topologias de Redes para provimento de acesso utilizadas por pequenos/mdios operadores Problemas de Segurana Limitaes de Performance
Recursos para prover Segurana com Mikrotik RouterOS Solues para aumento de Performance e QoS com Mikrotik Aliando Segurana, Performance e alta disponibilidade
2

O que o Mikrotik RouterOS ?

Um poderoso sistema operacional carrier class que pode ser instalado em um PC comum ou placa SBC (Single Board Computer), podendo desempenhar as funes de:
Ponto de Acesso Wireless modo 802.11 e proprietrio Rdio para enlaces ponto a ponto de longa distancia Bridge com recursos de filtros Poderoso Firewall Controlador de Banda e QoS Concentrador de tneis e VPNs (PPPoE, PPtP, IPSeC, L2TP, etc) Roteador de Borda com protocolos RIP, OSPF e BGP Servidor Dial-in e Dial-out Hotspot e gerenciador de usurios WEB Proxy Recursos de Bonding, VRRP, etc, etc.
3

Mikrotik RouterOS uma pequena histria de grande sucesso 1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia) 1995: Solues para WISPs em vrios pases 1996: Publicado na Internet o paper Wireless Internet Access in Latvia 1996: Incorporada e Fundada a empresa MikroTikls 2002: Desenvolvimento de Hardware prprio Equipe de 70 desenvolvedores baseados em Riga - Latvia Atualmente: O RouterOS da Mikrotik tende a ser um padro de fato para provedores de servio internet podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.
4

MikrotikBrasil
Consultoria, Treinamentos Integrao de Equipamentos

MikrotikBrasil - OEM Sales Program (incio de 2006)

MikrotikBrasil South America Distributors (janeiro de 2007)

MikrotikBrasil - Training Partners in Americas (Julho / 2007)

Mikrotik &
Wireless

Configuraes Fsicas / Banda

Resumo dos padres IEEE empregados e suas caractersticas: Padro IEEE 802.11b Freqncia 2.4 Ghz Tecnologia DSSS Velocidades 1, 2, 5.5 e 11mbps

802.11g 802.11a

2.4 Ghz 5 Ghz

OFDM OFDM

6, 9, 12, 18, 24, 36 48 e 54 mbps 6, 9, 12, 18, 24, 36 48 e 54 mbps

OBS: Tecnologia n j disponvel na V4

10

Canalizao em 802.11a
Modo Turbo

Maior troughput
Menor nmero de canais

Maior vulnerabilidade a interferncias

Requerida sensibilidade maior Diminui nvel de potencia de Tx
11

Canalizao em 802.11a
Modos 10 e 5 Mhz

Menor troughput
Maior nmero de canais

Menor vulnerabilidade a interferncias

Requerida menor sensibilidade Aumenta nvel de potencia de Tx
12

Recorte de tela efetuado: 8/6/2008, 9:06 PM

Configuraes da camada Fsica Como trabalha o CSMA Carrier Sense Multiple Access
Estao A
defer
CRS

Redes Ethernet Tradicionais Mtodo CSMA/CD

Estao B

CRS

defer

Estao C

CRS

CRS

(Collision Detection)

COLISO

Estao A

Redes Wireless 802.11

Estao B
Estao C
CRS
backoff

CRS
backoff defer backoff (rest)

Mtodo CSMA/CA
CRS

CRS

(Collision Avoidance)
13

Recorte de tela efetuado: 8/6/2008, 9:06 PM

Configuraes da camada Fsica Nstreme

Enable Nstreme: Habilita o Nstreme.
(As opes abaixo dessa s fazem sentido

estando esta habilitada.) Enable Polling: Habilita o mecanismo de Polling. Recomendado

Disable CSMA: Desabilita o Carrier Sense. Recomendado

Framer Policy: Poltica em que sero agrupados os pacotes:

dynamic size: O Mikrotik determina best fit: agrupa at o valor definido em Framer Limit sem fragmentar

exact size: agrupa at o valor definido em Framer Limit fragmentando se necessrio Framer Limit: Tamanho mximo do pacote em Bytes.
14

Recorte de tela efetuado: 8/6/2008, 9:06 PM

Configuraes da camada Fsica Prop. Extensions e WMM support

WMM support: QoS no meio fsico (802.11e)
enabled: permite que o outro dispositivo use wmm required: requer que o outro dispositio use wmm

15

Discusso das topologias de redes utilizadas por pequenos/mdios operadores e seus problemas

16

To Bridge, or not to Bridge ?

17

Topologias usuais de redes IP, Bridging, Switching e Firewalls de camada II (Filtros de Bridge)

18

Tpica Rede em Bridge

Gateway dos clientes o Gateway da borda

Somente um domnio de Broadcast

Rede Roteada

Gateway dos clientes distribuido e prximo aos clientes

Domnios de broadcast segregados

Mesmo nas redes roteadas podem haver segmentos em camada 2

Rede Roteada com Concentrador PPPoE Bridge over Routing

Uso de protocolo de roteamento dinamico, porm com Tneis transparentes at o concentrador.

Redes em Bridge
Redes IP em Bridge:
Redes com IP fixo

DHCP
Redes em Bridge Hotspot Mistas com Bridge sobre roteamento

Redes Inteiramente em camada 2 com PPPoE

22

Bridging x Switching
Bridging x Switching
APLICAO

Bridging e Switching ocorrem na camada II, porm em nveis distintos. O processo de Switching normalmente mais rpido (wire speed)
A partir da v4.0 o Mikrotik RouterOS suporta switching para vrios equipamentos,

APRESENTAO
SESSO

TRANSPORTE REDE
ENLACE

Bridge Switch

FSICA

23

Switching
O switch mantm uma tabela com os MACs conectados a ela, relacionando-os com a porta que foram aprendidos.
Quando um MAC no existe na tabela, ele procurado em todas as portas, comportando-se a switch como um HUB. O espao (Host table ou CAM table) limitado e quando preenchido totalmente faz com que a switch comporte-se como um HUB !

(RB450G)

(RB750)

24 (RB450)

Principais caractersticas das redes em Bridge

Redes com o mesmo domnio de broadcast. Alto Trfego intil/indesejado Clientes se enxergam na camada II (enlace) Clientes com recursos compartilhados podem ser facilmente invadidos
Fcil propagao de vrus, aumentando ainda mais os problemas de trfego. Rede com srios problemas de performance !
25

Redes IP em Bridge (sem isolao na camada II)

Com DHCP, sujeita a DHCP falso Fcilmente sniffvel usurios no tem privacidade. Usurios sujeitos a ataques de spoof de ARP. Ataque do homem-do-meio muito fcil de ser feito. Rede pode ser invadida por simples spoof de MAC e ou MAC +IP Rede com srios problemas de segurana !
26

Atacando a camada 2 Envenenamento de ARP (ARP Poisoning ou ARP Spoof)

Protocolo ARP
B

192.168.1.2
A 192.168.1.1 C

192.168.1.3

192.168.1.4

A pergunta para todos: Quem tem o IP 192.168.1.3 ? C responde para A: O IP 192.168.1.3 est no MAC XX:XX:XX:XX:XX:XX A registra em sua tabela arp o par: 192.168.1.3, MAC XX:XX:XX:XX:XX:XX
28

Envenenamento de ARP
Envenenamento de ARP Atacante emite para um alvo especfico ( ou em broadcast), mensagens de ARP gratuitas anunciando que o seu MAC o de quem quer spoofar (normalmente o gateway) Atacado tem suas tabelas ARP envenenadas e passam a mandar os pacotes para o Atacante Atacante manda para o gateway mensagens de ARP gratuitas anunciando seu MAC com o IP do Atacado

MAC

Atacado fala com o Gateway atravs do Atacante Homem do meio

29

Envenenamento de ARP
Z

B
A 192.168.1.1 D

192.168.1.2

192.168.1.3 192.168.1.4

Z fala para A: O IP 192.168.1.3 est no MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ Z fala para C: O IP 192.168.1.1 est no MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ A passa a falar com C (e vice versa) atravs de Z (Homem do meio)
30

Envenenamento de ARP Defesas

Bridging
A Bridge mantm uma tabela com os MACs conectados a ela, relacionando-os com a porta que foram aprendidos. Esses MACs so repassados para outras bridges ligadas no mesmo segmento de rede.
O nmero de entradas no tem propriamente um limite mas depende do hardware pois consome recursos de memria que so finitos.

Nas bridges possvel inspecionar os frames ethernet em camada 2 podendo a eles serem aplicados filtros, marcaes, etc

32

Filtros de camada 2

33

Defesas para Arp-Spoof

1) Mudana no comportamento do protocolo ARP

ARP disabled todos hosts tem que ter entradas estticas.

ARP Reply-Only Somente o concentrador tem entradas estticas. Inconvenientes: prtica

Arp esttico em todos os hosts muito difcil implementar na Reply-Only no protege o lado do cliente.

34

Defesas para Arp-Spoof

2) Segregao do trfego (isolao de clientes) Em uma rede tpica voltada para provimento de acesso desejvel que os clientes na camada 2 somente enxerguem o gateway. Vamos chamar de segregao do trfego s medidas que tem de ser tomadas para isolar todo tipo de trfego entre clientes. No caso de uma rede Wireless, com essas medidas tem que ser feitas em 2 nveis:

Na Interface (Wireless) Em todas as portas da bridge.(Wireless e Wired)

35

Segregando o trfego na camada 2 (1 Interface Wireless)

Cliente 1

Cliente 2

Default forward desabilitado nas placas e nos access lists

36

Segregao de trfego na camada II (2 interfaces em bridge)

1
2

Bridge
1 2

3
1 3 2 4

4 3, 4
3, 4

1
2

1 2

3, 4 3, 4 2 Regras

37

Wlan1, 2, 3 e 4

Segregando o trfego na camada II 4 Interfaces em Bridge

12 Regras ?

ether1

4 Regras

1 Regra !

Obrigado Edson
38

/interface bridge filter add chain=forward in-interface=!ether2 out-interface=!ether2 action=drop

Segregando o trfego na camada II Vrios equipamentos em Bridge

/interface bridge filter add chain=forward in-interface=ether1 out-interface=ether2 action=accept add chain=forward in-interface=ether2 out-interface=ether1 action=accept add chain=forward in-interface=!ether2 out-interface=!ether2 action=drop

Defesas para Arp-Spoof

Em redes onde existam outros equipamentos que no suportem a segregao de trfego, a nica medida que pode ser feita so filtros para controlar o protocolo ARP pelo menos nos trechos em que o trfego passa pelo Mikrotik RouterOS. Exemplos:
1- Aceita requisies de ARP de qualquer host

2- Aceita respostas de ARP oriundas do Gateway

40

Defesas para Arp-Spoof

Em redes onde existam outros equipamentos que no suportem a segregao de trfego, o que pode ser feito combinar o ARP reply-only com alguns filtros e para evitar o envenenamento dos clientes pelo menos nos trechos em que o trfego passa pelo Mikrotik RouterOS.

1 Gateway em reply-only (tabelas estticas)

2 - Aceita requisies de ARP de qualquer host

41

Defesas para Arp-Spoof

3 Descarta qualquer resposta que no seja oriunda do Gateway

42

Protegendo o ARP (medidas complementares)

Pode-se ainda eliminara pacotes de ARP esprios descartando ARP no ethernet e pacotes no IPV4

PPPoE soluo?
Usurios no autenticam o Servidor sujeitos ao ataque do Homem-do-meio. Ataque de negao de servio com PPPoE falso Ataques de negao de servio por mltiplas requisies Filtros de Bridge que deixam s passar PPPoE discovery e PPPoE session evitam trfego indesejado mas ataques
MACs spoofados no do direito a navegao mas prejudicam usurios PPPoE no soluo quando no se tem criptografia e nem isolao entre clientes !
44

Hotspot soluo?
Usurios no autenticam o Servidor sujeitos ao ataque do Homem-do-meio. Ataque de negao de servio com Hotspot falso MACs spoofados do a navegao de primeira se o Hotspot estiver usando DHCP
MACs spoofados + IP descobeto do a navegao mesmo sem utilizar DHCP

Hotspot no soluo quando no se tem criptografia e nem isolao entre clientes !

45

Atacando a camada 2 Atacando clientes e provedores de PPPoE e Hotspot

Atacando Provedores e Clientes de Hotspot e PPPoE

So ataques simples de camada 1 e 2 que consistem em colocar um AP com mesmo SSID e Banda de operao e executando o mesmo servio (PPPoE ou Hotspot) Dependendo da potencia do sinal e localizao relativa do atacante em relao aos clientes no necessrio maiores medidas. Pode ser necessrio fazer um ataque de DoS no provedor inicialmente.

O ataque pode ser feito para vrios objetivos, como simples negao de servio, descoberta de senhas de Hotspot e PPPoE, homem do meio, envenenamento de cache, etc.
Para descoberta de senhas pode-se utilizar um Radius em modo Promscuo
47

Atacando Provedores e Clientes de Hotspot e PPPoE

48

Radius configurado para capturar usurios e senhas

maia@maia-laptop:/etc/freeradius/radiusd.conf # Log authentication requests to the log file # allowed values: { no, yes } log_auth = yes # Log passwords with the authentication requests # allowed values: { no, yes } log_auth_badpass = yes log_auth_goodpass = yes
49

Ataques a Hotspot e PPPoE Contramedidas

Somente criptografia bem implementada pode evitar esses ataques. tolice pensar que uma rede Wireless est segura quando no usa criptografia. A implementao de criptografia em uma rede pode ser feita de inmeras maneiras, mais ou menos eficientes. A maneira mais segura seria com Certificados Digitais instalados em todos equipamentos (EAP-TLS) mas no entanto na prtica limitada pela ponta cliente que nem sempre tem o suporte adequado

O Mikrotik tem uma soluo intermediria muito interessante que a distribuio de chaves PSK individuais por cliente com as chaves distribuidas por Radius. Para detalhes dessa implementao ver http://mum.mikrotik.com Brazil 2008
50

Proteo definitiva da camada de enlace

tolice pensar que uma rede Wireless est segura quando no usa criptografia
A implementao de criptografia em uma rede pode ser feita de inmeras maneiras, mais ou menos eficientes. A maneira mais segura que seria com Certificados digitais Instalados em todos equipamentos limitada pela ponta cliente que nem sempre tem o suporte adequado O Mikrotik tem uma soluo intermediria muito interessante que a distribuio de chaves PSK individuais por cliente

51

Mtodo alternativo Mikrotik

O Mikrotik na verso V3 oferece a possibilidade de distribuir uma chave WPA2 por cliente . Essa chave configurada no Access List do AP e vinculada ao MAC address do cliente, possibilitando que cada cliente tenha sua chave.

Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a usurios do Mikrotik !
52

Proteo definitiva da camada de enlace

Uma chave PSK por cliente, distribuida por Radius.

53

Proteo e controle da camada III

Uma vez devidamente protegida a camada de enlace, necessrio proteger a camada de rede.
Regras de firewall negando conexes entre os clientes internos Regras protegendo trfego insano Protegendo ataques diversos. Reconhecendo e controlando o trfego.

54

Firewall do Mikrotik
Firewall Stateful Connection Tracking Canais definidos pelo usurio para otimizao e administrao do Firewall Filtro de pacotes por IP de origem, destino, protocolo, portas, flags, contedos, etc Recursos para detectar e evitar Ping Flood, Port Scan, DoS attack e dDoS attack NAT de origem, NAT de destino, NAT 1:1 Permite balanceamento de carga por conexo Amplos recursos de marcao de pacotes, reconhecimento de conexes, P2P, L7 para uso em QoS e outras aplicaes Adress Lists para armazenamento esttico ou dinamico de grupos de endereos etc, etc
55

Medidas de segurana complementares

sempre bom lembrar que existem medidas complementares e nem por isso de menor importancia que devem ser tomadas: Senhas de SSH, WEB, Telnet, etc de transceptores Servios que podem rodar nativamente nesses equipamentos O uso regular do NESSUS ou outra ferramenta de auditoria pode revelar muitas vulnerabilidades interessantes.

56

Disponibilidade de redes em Bridge

O Mikrotik pode garantir a redundancia de enlaces em uma rede em Bridge Utilizando: STP / RSTP ou Protocolo proprietrio HWMP+

57

Rede redundante com Spanning Tree ou HWMP

58

Disponibilidade de redes Roteadas

Protocolos de roteamento dinamico podem ser usados no s para a distribuio de rotas, como para prover redundancia.

MME OSPF

59

Roteamento Dinmico O Mikrotik suporta roteamento dinmico com os protocolos:

- RIP Verso 1 e 2
- BGP Border Gateway Protocol

- OSPF Open Shortest Path First

OSPF
Na verso atual routing-test tambem suportado o
OSPF-V3 para IPV6

BGP

60

Rede redundante com OSPF

61

OSPF

62

Tnel IPIP estabelecido entre

Cenrio MME

192.168.100.XY e 172.16.255.1

63

Tneis & VPNs

Tneis e VPNs

O Mikrotik d suporte a: Tneis IPIP

Tneis EoIP (proprietrio Mikrotik) Pode ser Servidor ou cliente de

PPP, PPtP, L2TP, PPPoE

Podem ser criados tneis

criptografados com IPSEC
65

BCP bridging (PPP tunnel bridging)

O Mikrotik RouterOS suporta o BCP (Bridge Control Protocol) para interfaces PPP, PPTP, L2TP e PPPoE. O BCP permite uma bridge para os pacotes que trafegam atravs de um tnel PPP. Aps estabelecido o BCP, ele independente do tnel PPP, no fica relacionado a qualquer endereo IP da interface.
O BCP necessita de suporte em ambos os lados (servidor e cliente PPP) para funcionar adequadamente. Com BCP possvel aumentar o MTU para at 65535 bytes !
66

Controle de Banda & QoS

67

Tipos de Filas

68

Bursts

Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.

Os parametros que controlam o Burst so: burst-limit: limite mximo que alcanar burst-time: tempo que durar o burst burst-threshold: patamar onde comea a limitar max-limit: MIR
69

Recorte de tela efetuado: 8/20/2008, 11:19 AM

Type of Servide (Ipv4) / Traffic Class (IPV6)

70

Recorte de tela efetuado: 8/20/2008, 11:19 AM

ToS e DSCP

71

Recorte de tela efetuado: 8/20/2008, 11:19 AM

Wireless Multimidia (WMM) 802.11e

72

Limitao de Banda e QoS

PCQ disciplina de filas que

permite a equalizao de fluxos de forma simples e eficiente

512k

ou
128k 64k
64k

256k 512k 512k 256k

64k

Com HTB possvel implementar

rvores de Filas e priorizar fluxos

por portas ou servios

73

MPLS Multi Protocol Label Switching

Aplicando vrios recursos para uma rede de performance

Roteamento + Roteamento dinamico + Tuneis + VPNs + QoS

MPLS Multiprotocol Label Switching

J ouviu falar ou j usou MPLS ?

MPLS Multiprotocol Label Switching

Porque se preocupar com MPLS agora ?

MPLS Multi Protocol Label Switching

MPLS, ou MultiProtocol Label Switching, uma tecnologia de encaminhamento de pacotes baseada em rtulos (labels) que funciona, basicamente, com a adio de um rtulo nos pacotes de trfego (O MPLS indiferente ao tipo de dados transportado, pode ser trfego IP ou outro qualquer) entrada do backbone (chamados de roteadores de borda) e, a partir da, todo o roteamento pelo backbone passa a ser feito com base neste rtulo.
Cabealho MPLS L2

MPLS

L3

LABEL

EXP

S
77

TTL

Eficincia do encaminhamento de pacotes a maior vantagem do MPLS.

MPLS Multi Protocol Label Switching

MPLS permite a criao de Redes Virtuais Privadas garantindo um isolamento completo do trfego com a criao de tabelas de "labels" (usadas para roteamento) exclusivas de cada VPN.

Alm disso possvel realizar QoS (Quality of Service) com a priorizao de aplicaes crticas, dando um tratamento diferenciado para o trfego entre os diferentes pontos da VPN. QoS cria as condies necessrias para o melhor uso dos recursos da rede, permitindo tambm o trfego de voz e vdeo.

78

Bridging sobre Roteamento

Sem MPLS, Tuneis EoIP unem de forma transparente, redes distintas separadas por vrios saltos de roteamento.

79

MPLS VPLS

80

MPLS Multi Protocol Label Switching Limite de Roteamento IP

Aps dois fluxos de trfego IP para o mesmo destino serem mesclados, impossvel divid-los e encaminh-los por diferentes caminhos
Link sobrecarregado do Roteador C para Roteador E

40 Mbps de trfego de A para F 40 Mbps de trfego de B para F

MPLS Multi Protocol Label Switching Engenharia de Trfego Com tneis TE podemos alternar a carga por links menos utilizados.

Tnel TE1 50 Mbps Tnel TE2 50 Mbps

82

MPLS Multi Protocol Label Switching

Otimizao de Banda Tneis separados para VoIP e dados em geral
Tneis de backup atravs de um terceiro Link.

Tnel VoIP Tnel de Dados Backup Tnel VoIP Backup Tnel de Dados

83

ISP-Safe Um sistema open source para auxiliar na administrao de segurana em provedores

84

ISP-Safe
Um sistema Open Source de iniciativa da MD Brasil

85

Case MD Brasil
Pontos de acesso:
Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto

100% clientes com WPA2 atribuda por Radius

86

Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente Em seguida pedida autenticao Hotspot para cada cliente. A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio

OBS destaque para o uptime !

87

Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais

concentrao de clientes.
Web-Proxys dos pontos de acesso armazenam objetos pequenos Web-Proxy central (no Mikrotik) armazena objetos grandes.

88

Programa de Certificao Mikrotik / MDBrasil

MTCNA Mikrotik Certified Network Associate

MTCWE Mikrotik Certified Wireless Engineer

MTCRE Mikrotik Certified Routing Engineer

MTTCE Mikrotik Certified Traffic Control Engineer

MTCUME MIkrotic Certified User Management Engineer
89

Obrigado !
Wardner Maia maia@mikrotikbrasil.com.br

90