Escolar Documentos
Profissional Documentos
Cultura Documentos
Agenda
Apresentao do Mikrotik / MD Brasil / MikrotikBrasil Principais Topologias de Redes para provimento de acesso utilizadas por pequenos/mdios operadores Problemas de Segurana Limitaes de Performance
Recursos para prover Segurana com Mikrotik RouterOS Solues para aumento de Performance e QoS com Mikrotik Aliando Segurana, Performance e alta disponibilidade
2
Mikrotik RouterOS uma pequena histria de grande sucesso 1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia) 1995: Solues para WISPs em vrios pases 1996: Publicado na Internet o paper Wireless Internet Access in Latvia 1996: Incorporada e Fundada a empresa MikroTikls 2002: Desenvolvimento de Hardware prprio Equipe de 70 desenvolvedores baseados em Riga - Latvia Atualmente: O RouterOS da Mikrotik tende a ser um padro de fato para provedores de servio internet podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.
4
MikrotikBrasil
Consultoria, Treinamentos Integrao de Equipamentos
Mikrotik &
Wireless
802.11g 802.11a
OFDM OFDM
Canalizao em 802.11a
Modo Turbo
Maior troughput
Menor nmero de canais
Canalizao em 802.11a
Modos 10 e 5 Mhz
Menor troughput
Maior nmero de canais
Configuraes da camada Fsica Como trabalha o CSMA Carrier Sense Multiple Access
Estao A
defer
CRS
Estao B
CRS
defer
Estao C
CRS
CRS
(Collision Detection)
COLISO
Estao A
CRS
backoff defer backoff (rest)
Mtodo CSMA/CA
CRS
CRS
(Collision Avoidance)
13
exact size: agrupa at o valor definido em Framer Limit fragmentando se necessrio Framer Limit: Tamanho mximo do pacote em Bytes.
14
15
Discusso das topologias de redes utilizadas por pequenos/mdios operadores e seus problemas
16
17
Topologias usuais de redes IP, Bridging, Switching e Firewalls de camada II (Filtros de Bridge)
18
Rede Roteada
Redes em Bridge
Redes IP em Bridge:
Redes com IP fixo
DHCP
Redes em Bridge Hotspot Mistas com Bridge sobre roteamento
Bridging x Switching
Bridging x Switching
APLICAO
Bridging e Switching ocorrem na camada II, porm em nveis distintos. O processo de Switching normalmente mais rpido (wire speed)
A partir da v4.0 o Mikrotik RouterOS suporta switching para vrios equipamentos,
APRESENTAO
SESSO
TRANSPORTE REDE
ENLACE
Bridge Switch
FSICA
23
Switching
O switch mantm uma tabela com os MACs conectados a ela, relacionando-os com a porta que foram aprendidos.
Quando um MAC no existe na tabela, ele procurado em todas as portas, comportando-se a switch como um HUB. O espao (Host table ou CAM table) limitado e quando preenchido totalmente faz com que a switch comporte-se como um HUB !
(RB450G)
(RB750)
24 (RB450)
Protocolo ARP
B
192.168.1.2
A 192.168.1.1 C
192.168.1.3
192.168.1.4
A pergunta para todos: Quem tem o IP 192.168.1.3 ? C responde para A: O IP 192.168.1.3 est no MAC XX:XX:XX:XX:XX:XX A registra em sua tabela arp o par: 192.168.1.3, MAC XX:XX:XX:XX:XX:XX
28
Envenenamento de ARP
Envenenamento de ARP Atacante emite para um alvo especfico ( ou em broadcast), mensagens de ARP gratuitas anunciando que o seu MAC o de quem quer spoofar (normalmente o gateway) Atacado tem suas tabelas ARP envenenadas e passam a mandar os pacotes para o Atacante Atacante manda para o gateway mensagens de ARP gratuitas anunciando seu MAC com o IP do Atacado
MAC
Envenenamento de ARP
Z
B
A 192.168.1.1 D
192.168.1.2
192.168.1.3 192.168.1.4
Z fala para A: O IP 192.168.1.3 est no MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ Z fala para C: O IP 192.168.1.1 est no MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ A passa a falar com C (e vice versa) atravs de Z (Homem do meio)
30
Bridging
A Bridge mantm uma tabela com os MACs conectados a ela, relacionando-os com a porta que foram aprendidos. Esses MACs so repassados para outras bridges ligadas no mesmo segmento de rede.
O nmero de entradas no tem propriamente um limite mas depende do hardware pois consome recursos de memria que so finitos.
Nas bridges possvel inspecionar os frames ethernet em camada 2 podendo a eles serem aplicados filtros, marcaes, etc
32
Filtros de camada 2
33
34
35
Cliente 2
Bridge
1 2
3
1 3 2 4
4 3, 4
3, 4
1
2
1 2
3, 4 3, 4 2 Regras
37
Wlan1, 2, 3 e 4
12 Regras ?
ether1
4 Regras
1 Regra !
Obrigado Edson
38
/interface bridge filter add chain=forward in-interface=ether1 out-interface=ether2 action=accept add chain=forward in-interface=ether2 out-interface=ether1 action=accept add chain=forward in-interface=!ether2 out-interface=!ether2 action=drop
40
41
42
PPPoE soluo?
Usurios no autenticam o Servidor sujeitos ao ataque do Homem-do-meio. Ataque de negao de servio com PPPoE falso Ataques de negao de servio por mltiplas requisies Filtros de Bridge que deixam s passar PPPoE discovery e PPPoE session evitam trfego indesejado mas ataques
MACs spoofados no do direito a navegao mas prejudicam usurios PPPoE no soluo quando no se tem criptografia e nem isolao entre clientes !
44
Hotspot soluo?
Usurios no autenticam o Servidor sujeitos ao ataque do Homem-do-meio. Ataque de negao de servio com Hotspot falso MACs spoofados do a navegao de primeira se o Hotspot estiver usando DHCP
MACs spoofados + IP descobeto do a navegao mesmo sem utilizar DHCP
45
O ataque pode ser feito para vrios objetivos, como simples negao de servio, descoberta de senhas de Hotspot e PPPoE, homem do meio, envenenamento de cache, etc.
Para descoberta de senhas pode-se utilizar um Radius em modo Promscuo
47
48
O Mikrotik tem uma soluo intermediria muito interessante que a distribuio de chaves PSK individuais por cliente com as chaves distribuidas por Radius. Para detalhes dessa implementao ver http://mum.mikrotik.com Brazil 2008
50
51
Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a usurios do Mikrotik !
52
53
54
Firewall do Mikrotik
Firewall Stateful Connection Tracking Canais definidos pelo usurio para otimizao e administrao do Firewall Filtro de pacotes por IP de origem, destino, protocolo, portas, flags, contedos, etc Recursos para detectar e evitar Ping Flood, Port Scan, DoS attack e dDoS attack NAT de origem, NAT de destino, NAT 1:1 Permite balanceamento de carga por conexo Amplos recursos de marcao de pacotes, reconhecimento de conexes, P2P, L7 para uso em QoS e outras aplicaes Adress Lists para armazenamento esttico ou dinamico de grupos de endereos etc, etc
55
56
57
58
Protocolos de roteamento dinamico podem ser usados no s para a distribuio de rotas, como para prover redundancia.
MME OSPF
59
- RIP Verso 1 e 2
- BGP Border Gateway Protocol
OSPF
Na verso atual routing-test tambem suportado o
OSPF-V3 para IPV6
BGP
60
61
OSPF
62
Cenrio MME
192.168.100.XY e 172.16.255.1
63
Tneis e VPNs
67
Tipos de Filas
68
Bursts
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.
Os parametros que controlam o Burst so: burst-limit: limite mximo que alcanar burst-time: tempo que durar o burst burst-threshold: patamar onde comea a limitar max-limit: MIR
69
70
ToS e DSCP
71
72
512k
ou
128k 64k
64k
64k
MPLS
L3
LABEL
EXP
S
77
TTL
MPLS permite a criao de Redes Virtuais Privadas garantindo um isolamento completo do trfego com a criao de tabelas de "labels" (usadas para roteamento) exclusivas de cada VPN.
Alm disso possvel realizar QoS (Quality of Service) com a priorizao de aplicaes crticas, dando um tratamento diferenciado para o trfego entre os diferentes pontos da VPN. QoS cria as condies necessrias para o melhor uso dos recursos da rede, permitindo tambm o trfego de voz e vdeo.
78
Sem MPLS, Tuneis EoIP unem de forma transparente, redes distintas separadas por vrios saltos de roteamento.
79
MPLS VPLS
80
Aps dois fluxos de trfego IP para o mesmo destino serem mesclados, impossvel divid-los e encaminh-los por diferentes caminhos
Link sobrecarregado do Roteador C para Roteador E
MPLS Multi Protocol Label Switching Engenharia de Trfego Com tneis TE podemos alternar a carga por links menos utilizados.
82
Tnel VoIP Tnel de Dados Backup Tnel VoIP Backup Tnel de Dados
83
84
ISP-Safe
Um sistema Open Source de iniciativa da MD Brasil
85
Case MD Brasil
Pontos de acesso:
Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto
86
Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente Em seguida pedida autenticao Hotspot para cada cliente. A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio
87
Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais
concentrao de clientes.
Web-Proxys dos pontos de acesso armazenam objetos pequenos Web-Proxy central (no Mikrotik) armazena objetos grandes.
88
Obrigado !
Wardner Maia maia@mikrotikbrasil.com.br
90