Treinamento oficial MikroTik Módulo MTCNA (MikroTik Certified Network Associate) Módulos MikroTik 1- Introdução 2 Agenda Treinamento das 08:30hs às 18:30hs Coffe break as 16:00hs Almoço as 12:30hs – 1 hora de duração 1- Introdução 3 Agenda Conteúdo do MTCNA: Configuração básica; Gerencia de redes; Bridges Roteamento estático; Wireless; Firewall; QoS e Controle de banda; Túneis e VPNs. 1- Introdução Conteúdo bônus: Revisão TCP/IP; Load Balance; Failover; Introdução ao OSPF; Hotspot; Web Proxy. 4 Importante Curso oficial: Proibido ser filmado ou gravado. Celular: Desligado ou em modo silencioso. Perguntas: Sempre bem vindas. Internet: Evite o uso inapropriado. Aprendizado: Busque absorver conceitos. Evite conversas paralelas. Deixe habilitado somente a interface ethernet de seu computador. 1- Introdução 5 Apresente-se a turma Diga seu nome. Com que trabalha. Seu conhecimento sobre o RouterOS. Seu conhecimento com redes. 1- Introdução 6 Objetivos do curso Abordar todos os tópicos necessários para o exame de certificação MTCNA. Prover um visão geral sobre o MikroTik RouterOS e as RouterBoards. Fazer uma abordagem simples e objetiva com a maioria das ferramentas que o MikroTik RouterOS dispõe para prover boas soluções. 1- Introdução 7 Onde está a MikroTik ? MikroTik(MK): Empresa Roterboard(RB):Hardware RouterOS(ROS): Software 1- Introdução 8 Oque são Routerboards? Hardware criado pela MikroTik. Atende desde usuários domésticos até grandes empresas. Hardware relativamente barato se comparado com outros fabricantes. Possui atualmente mais de 100 modelos de Roteadores e Switchs. Veja abaixo algum modelos. Uso doméstico e Soho Wireless integrado Empresas de médio porte RB 951 Empresas de médio porte Wireless integrado RB 951G RB 750r2 Empresas de médio porte Montável e Rack RB 2011 Grandes empresas 72 núcleos de processamento RB 2011 CCR 1072 Nomenclatura das routerboards Serie 400 RB 450 0 ou nenhuma wireless 5 interfaces ethernet 3 slots p/ wireless Serie 400 RB 433 3 interfaces ethernet 1- Introdução 10 RouterOS RouterOS além de estar disponível para Routerboards também pode ser instalado em hardware x86. RouterOS é o sistema operacional das Routerboards e que pode ser configurado como: Roteador Controlador de conteúdo (Web-proxy) Controlador de banda (Queues) Controlador de fluxo para QoS(Firewall mangle + Queues) Firewall (camada 2,3 e 7) Access Point wireless 802.11a/b/g/n (o hardware deve possuir wlan) Outros 1- Introdução 11 Winbox Winbox é uma utilitário usado para acessar o RouterOS via MAC ou IP. Usuário padrão é “admin” e senha vazio. 1- Introdução 12 Primeiros passos Conecte o cabo de rede na interface 3 da routerboard e ligue ao seu computador. Caso você não tenha o utilitário winbox no seu computador faça o seguinte: – Altere seu computador para “Obter endereço IP automaticamente”. – Abra o navegador e digite 192.168.88.1. – No menu a esquerda clique na ultima opção (logout). – Agora na pagina de login , clique sobre o aplicativo winbox e salve no seu computador. 1- Introdução 13 Resetando seu router Abra o winbox clique em Clique no endereço MAC ou IP. No campo Login coloque “admin”. No campo Password deixe em branco. Clique em connect. Nos Menus a esquerda clique em “New Terminal”. Com terminal aberto digite: system reset-configuration no-defaults=yes Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar. 1- Introdução 14 Diagrama da rede Lembre-se de seu número: XY 1- Introdução 15 Identificando seu roteador 1- Introdução 16 Configuração básica Conectando seu router a um ponto de acesso Configurando endereço de IP Configurando mascara de sub-rede Configurando DNS Configurando Gateway (rota default) Configurando seu computador Realizando testes de conectividade 1- Introdução 17 Renomeando suas interfaces Renomeie suas interface conforme a imagem abaixo. 1- Introdução 18 Conectando seu router a um ponto de acesso Configuração da interface wireless 1- Introdução 19 Configurando IP na interface de WAN Adicione os IP na interface de WAN 1- Introdução 20 Teste de conectividade 1) Pingar a partir da Routerboard o seguinte IP: 172.25.X.254 2) Pingar a partir da Routerboard o IP de WAN dos integrantes de seu grupo. 3) Pingar a partir da Routerboard o IP de WAN dos integrantes de outro grupo. 4) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8 1- Introdução 21 Configuração do roteador Adicione a rota padrão 1- Introdução 22 Teste de conectividade 1) Pingar a partir da Routerboard o IP de WAN dos integrantes de outro grupo. 2) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8 3) Pingar a partir da Routerboard o seguinte endereço: uol.com 1- Introdução 23 Configuração do roteador Adicione o servidor DNS Teste novamente o ping para: uol.com Quando você checa a opção “Alow remote requests”, você está habilitando seu router como um servidor de DNS. 1- Introdução 24 Configurando IP na interface de LAN Adicione os IP na interface de LAN 1- Introdução 25 Configure seu Notebook 1- Introdução 26 Teste de conectividade 1) Pingar a partir do notebook o seguinte IP: 10.X.Y.1 2) Pingar a partir do notebook o seguinte IP: 8.8.8.8 3) Pingar a partir do notebook o seguinte endereço: uol.com 4) Analisar os resultados. 1- Introdução 27 Adicionando uma regra de source nat Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1. 1- Introdução 28 Teste de conectividade Efetuar os testes de ping a partir do notebook. Analisar os resultados. Efetuar os eventuais reparos. Após a confirmação de que tudo está funcionando, faça o backup da routerboard e armazene-o no notebook. Ele será usado ao longo do treinamento. 1- Introdução 29 Faça um backup Clique no menu Files e depois em Backup para salvar sua configurações. Arraste o arquivo que foi gerado para seu computador. 1- Introdução 30 Instalação do RouterOS Porque é importante saber instalar o RouterOS? Necessário quando se deseja utilizar um hardware próprio. Assim como qualquer S.O. o RouterOS também pode corromper o setor de inicialização (geralmente causado por picos elétricos). Necessário quando se perde o usuário e senha de acesso ao sistema. 1- Introdução 31 Instalação do RouterOS Assim como qualquer sistema operacional o RouterOS precisa ser instalado(em routerboards já vem instalado por padrão) , as duas principais maneiras de instalar o ROS são: ISO botável (imagem) Via rede utilizando o Netinstall 1- Introdução 32 Download http://www.mikrotik.com/download 1- Introdução 33 Download No link acima você pode fazer o download das imagens ISO ou do arquivo contendo todos os pacotes. Sempre ao fazer o download fique atento a arquitetura de hardware (mipsbe, mipsle,x86). Obs: Nunca instale versões de teste em roteadores em produção sempre selecione versões estáveis. 1- Introdução 34 Instalando pela ISO Em caso de você estar utilizando uma maquina física grave a ISO em um CD e ajuste a sequencia de boot para CD/DVD. 1- Introdução 35 Instalando via netinstall em routerboards Para instalar o RouterOS em uma Routerboard, inicialmente temos que acessar a routerboard via interface serial e alterar a sequencia de inicialização para ethernet (placa de rede). Caso a Routerboard não possua interface serial a sequencia de inicialização poderá ser alterada segurando o botão de reset. Veja abaixo. Dica O botão de reset tem duas funções: 1º - Resetar a configuração de fabrica Mantenha o botão pressionando durante o boot até os LED’s começarem a piscar(solte o botão assim que o LED começar a piscar) 2º - Alterar sequencia de boot para instalação via NetInstall Mantenha o botão pressionando durante o boot por um tempo maior até os LED’s pararem de piscar então solte o botão e use o manual de instalação via NetInstall 1- Introdução 36 Pacotes do RouterOS System: Pacote principal contendo os serviços básicos e drivers. A rigor é o único que é obrigatório. PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc.. DHCP: Cliente, Relay e Servidor DHCP. Advanced-tools: Ferramentas de diagnóstico, netwatch e outros utilitários. HotSpot: Suporte a HotSpot. NTP: Servidor de horário oficial mundial. IPv6: Suporte a endereçamento IPv6 MPLS: Suporte a MPLS Routing: Suporte a roteamento dinâmico. Security : IPSEC, SSH, Secure WinBox. Dica - Não é possível adicionar drivers ou qualquer outro tipo de pacote que não seja criado diretamente pela MikroTik. 1- Introdução 37 Lista completa de pacotes do RouterOS Package advanced-tools (mipsle, mipsbe, ppc, x86) calea (mipsle, mipsbe, ppc, x86) dhcp (mipsle, mipsbe, ppc, x86) Features advanced ping tools. netwatch, ip-scan, sms tool, wakeon-LAN data gathering tool for specific use due to "Communications Assistance for Law Enforcement Act" in USA Dynamic Host Control Protocol client and server gps (mipsle, mipsbe, ppc, x86) hotspot (mipsle, mipsbe, ppc, x86) Global Positioning System devices support HotSpot user management ipv6 (mipsle, mipsbe, ppc, x86) IPv6 addressing support mpls (mipsle, mipsbe, ppc, x86) Multi Protocol Labels Switching support multicast (mipsle, mipsbe, ppc, x86) Protocol Independent Multicast Sparse Mode; Internet Group Managing Protocol - Proxy ntp (mipsle, mipsbe, ppc, x86) ppp (mipsle, mipsbe, ppc, x86) Network protocol client and service MlPPP client, PPP, PPTP, L2TP, PPPoE, ISDN PPP clients and servers routerboard (mipsle, mipsbe, ppc, x86) accessing and managing RouterBOOT. RouterBOARD specific imformation. routing (mipsle, mipsbe, ppc, x86) dynamic routing protocols like RIP, BGP, OSPF and routing utilities like BFD, filters for routes. security (mipsle, mipsbe, ppc, x86) IPSEC, SSH, Secure WinBox system (mipsle, mipsbe, ppc, x86) basic router features like static routing, ip addresses, sNTP, telnet, API, queues, firewall, web proxy, DNS cache, TFTP, IP pool, SNMP, packet sniffer, e-mail send tool, graphing, bandwidth-test, torch, EoIP, IPIP,bridging, VLAN, VRRP etc.). Also, for RouterBOARD platform - MetaROUTER | Virtualization ups (mipsle, mipsbe, ppc, x86) user-manager (mipsle, mipsbe, ppc, x86) wireless (mipsle, mipsbe, ppc, x86) arlan (x86) isdn (x86) lcd (x86) radiolan (x86) synchronous (x86) xen ( discontinued x86) kvm (x86) routeros-mipsle (mipsle) routeros-mipsbe (mipsbe) routeros-powerpc (ppc) routeros-x86 (x86) mpls-test (mipsle, mipsbe, ppc, x86) routing-test (mipsle, mipsbe, ppc, x86) APC ups MikroTik User Manager wireless interface support legacy Aironet Arlan support ISDN support LCD panel support RadioLan cards support FarSync support XEN Virtualization KVM Virtualization combined package for mipsle (RB100, RB500) (includes system, hotspot, wireless, ppp, security, mpls, advanced-tools, dhcp, routerboard, ipv6, routing) combined package for mipsbe (RB400) (includes system, hotspot, wireless, ppp, security, mpls, advanced-tools, dhcp, routerboard, ipv6, routing) combined package for powerpc (RB300, RB600, RB1000) (includes system, hotspot, wireless, ppp, security, mpls, advanced-tools, dhcp, routerboard, ipv6, routing) combined package for x86 (Intel/AMD PC, RB230) (includes system, hotspot, wireless, ppp, security, mpls, advanced-tools, dhcp, routerboard, ipv6, routing) Multi Protocol Labels Switching support improvements routing protocols (RIP, OSPF, BGP) improvements http://wiki.mikrotik.com/wiki/Manual:System/Packages 1- Introdução 38 Gerenciando pacotes Você pode habilitar e desabilitar pacotes em: 1- Introdução 39 Mac-telnet 1- Introdução 40 MNDP MikroTik Neighbor Discovery protocol Protocolo para descoberta de vizinhos. 1- Introdução 41 Outros modos de acesso Após configurar um endereço de IP no RouterOS existem outros modos de acesso. SSH FTP Telnet Web 1- Introdução 42 SSH e telnet 1- Introdução 43 FTP Usado para transferir arquivos. 1- Introdução 44 WEB O acesso via web traz quase todas as funções existentes no winbox. 1- Introdução 45 Upgrade do RouterOS Faça download de Upgrade package (.npk). Arraste para dentro de Files no winbox e reinicie seu router. 4 1- Introdução 6 46 Atualizando a RB Faça download do pacote .npk. Envie o pacote para sua Routerboard usando o winbox ou via FTP. Reinicie o roteador. Confira se a nova versão foi instalada. Novas versões estão disponíveis no site. http://www.mikrotik.com/download 4 1- Introdução 7 47 Atualizando a RB Certifique se que sua routerboard tem conectivade com a internet. Cliquem em System=> Packages=> Check for Updates 1- Introdução 48 Upgrade de firmware Para fazer upgrade de firmware clique em: 1- Introdução 49 Níveis de licença O RouterOS trabalha com níveis de licença isso significa que cada nível lhe oferece um numero X de recursos. A chave de licença é gerada sobre um software-id fornecido pelo sistema. A licença fica vinculada ao HD ou Flash e/ou placa mãe. A formatação com outras ferramentas muda o software-id causa a perda da licença. 1- Introdução 50 Níveis de licença 1- Introdução 51 NTP As routerboard não tem fonte de alimentação interna, portanto sempre que o hardware for desligado sistema perde a data e a hora, isso vem a ser um grande problema quando é necessário analisar os logs. Para que seu equipamento fique sempre com a data e hora correta devemos usar o cliente NTP (Network time protocol). 1- Introdução 52 Configurando Cliente NTP 1- Introdução 53 Ajustando fuso horário 1- Introdução 54 Backup Existem duas maneiras de se realizar backup do sistema: Backup comum = Salva todo o conteúdo do router em um arquivo criptografado que não pode ser editado(salva inclusive os usuários e senhas de login no router). Backup com comando export = Você pode exportar um backup completo ou apenas uma parte. Com esse tipo de backup o arquivo gerado não é criptografado e pode ser aberto por qualquer editor de texto(não exporta dados de usuários e senhas de login no router). 1- Introdução 55 Diferença entre os dois backups Backup comum Criptografado X Permite colocar senha X Carrega usuários de acesso ao router X Carrega usuários PPP, hotspot e outros X Comando export X Possível editar X Compatível com hardware diferente X Possibilidade de exportar e importar por partes X 1- Introdução 56 Backup comum Observe que o arquivo gerado recebe o identificação do router mais as informações de data e hora. 1- Introdução 57 Localizando e editando backup Após o comando “export file=bkp_router_XY compact” O arquivo gerado está no menu files. Após transferir o arquivo para sua maquina ele poderá ser editado pelo bloco de notas. 1- Introdução 58 Backup Faça os dois tipos de backup. Arraste os dois backups para seu computador e tente abrir com o bloco de notas e observe o resultado 1- Introdução 59 Modo seguro O MikroTik permite o acesso ao sistema através do “modo seguro”. Este modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione “CTRL+X” ou na parte superior clique em Safe Mode. 1- Introdução 60 Modo seguro Se um usuário entra em modo seguro, quando já há um nesse modo, a seguinte mensagem será dada: “Hijacking Safe Mode from someone – unroll/release/ – u: desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro – d: deixa tudo como está – r: mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte mensagem: “Safe Mode Released by another user” 1- Introdução 61 Dúvidas e perguntas ? 1- Introdução 62 Modelo OSI, TCP/IP e protocolos 2 - OSI, TCP/IP e protocolos 63 Um pouco de historia 1962 – Primeiras comunicações em rede. 1965 – Primeira comunicação WAN. 1969 – Desenvolvido o TCP. 1978 – Vários padrões de comunicação. 1981 – Inicio de discussões sobre padronizações. 1984 – Chegada do modelo OSI Siglas ISO - International Organization for Standardization OSI - Open Systems Interconnection 2 - OSI, TCP/IP e protocolos 64 Modelo OSI vs TCP/IP Modelo OSI Modelo TCP/IP Modelo usado para estudos Modelo usado na prática 2 - OSI, TCP/IP e protocolos 65 Um pouco mais sobre o modelo OSI Os dados são gerados na camada de aplicação, e a partir de então serão encapsulados camada por camada até chegar a camada física onde serão transformados em sinais (elétricos ,luminosos etc...) Em cada camada são adicionados cabeçalhos. Veja abaixo os tipos de informações que são imputadas em cada cabeçalho. Cabeçalho possui porta (TCP/UDP) de origem e destino Cabeçalho possui IP de origem e destino Cabeçalho possui MAC de origem e destino 2 - OSI, TCP/IP e protocolos 66 Encapsulamento 1- Introdução 67 Encapsulamento Dados Camada 7 aplicação - Dados Camada 4 transporte - Portas Camada 3 rede - IP Camada 2 enlace - MAC 2 - OSI, TCP/IP e protocolos 68 PDU - Protocol data unit Protocol data unit ou em português Unidade de dados de protocolo em telecomunicações descreve um bloco de dados que é transmitido entre duas instâncias da mesma camada. Camada PDU 4 - Camada de transporte Segmento 3 - Camada de rede Pacote 2 - Camada de enlace Quadro ou trama (frame) 1 - Camada física Bit 2 - OSI, TCP/IP e protocolos 69 1 - Camada física A camada física define as características técnicas dos dispositivos elétricos. É nesse nível que são definidas as especificações de cabeamento estruturado, fibras ópticas, etc... Banda, frequência e potencia são grandeza que podemos alterar diretamente na camada 1. 2 - OSI, TCP/IP e protocolos 70 2 - Camada de enlace Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da camada I. Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede. Switchs, bridges ,ethernets e PPP são exemplos de dispositivos que trabalham em camada II. NÃO separa os domínios de broadcast. PPPoE, DHCP, ARP e outros protocolos se propagam pelo domínio de broadcast. 2 - OSI, TCP/IP e protocolos 71 Criando uma bridge Podemos resumir um bridge como um switch virtual. Roteador Bridge1 1 2 - OSI, TCP/IP e protocolos 2 3 4 5 wlan1 72 Adicionando interfaces na bridge Roteador Bridge1 1 2 2 - OSI, TCP/IP e protocolos 3 4 5 wlan1 73 Endereço MAC É o único endereço físico de um dispositivo de rede. É usado para comunicação com a rede local. Exemplo de endereço MAC: 00:0C:42:00:00:00 2 - OSI, TCP/IP e protocolos 74 3 - Camada de rede Responsável pelo endereçamento lógico dos pacotes. Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade. Separa domínios de broadcast. PPPoE, DHCP, ARP e outros protocolos NÃO se propagam em domínio de broadcast diferentes. 2 - OSI, TCP/IP e protocolos 75 4 - Camada de transporte Quando no lado do remetente, é responsável por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede. No lado do destinatário, pega os pacotes recebidos da camada de rede, remonta os dados originais e os envia para à camada superior. Estão na camada IV: TCP, UDP, RTP 2 - OSI, TCP/IP e protocolos 76 Estado das conexões É possível observar o estado das conexões no MikroTik no menu Connections (IP=>Firewall=>Connections). Essa tabela também é conhecida como conntrack. Muito utilizada para analises e debugs rápidos. 2 - OSI, TCP/IP e protocolos 77 5 - Camada de sessão Administra e sincroniza diálogos entre dois processos de aplicação. Une duas entidades para um relacionamento e mais tarde as desune. (ex. de união: login/autenticação e desunião: logoff). Controla troca de dados, delimita e sincroniza operações em dados entre duas entidades. 2 - OSI, TCP/IP e protocolos 78 6 - Camada de apresentação A principal função da camada de apresentação é assegurar que a informação seja transmitida de tal forma que possa ser entendida e usada pelo receptor. Este nível pode modificar a sintaxe da mensagem, sempre preservando sua semântica. O nível de apresentação também é responsável por outros aspectos da representação dos dados, como criptografia e compressão de dados. 2 - OSI, TCP/IP e protocolos 79 7 - Camada de aplicação Muito confundem aplicação com aplicativo. Usuário interagem com o aplicativo e o aplicativo interage com protocolos da camada de aplicação( HTTP, SMTP, FTP, SSH, Telnet ...). HTTP HTTPS DNS 2 - OSI, TCP/IP e protocolos 80 O datagrama Dados Camada 7 aplicação - Dados Dados Camada 4 transporte - Portas Dados Camada 3 rede - IP Dados Camada 2 enlace - MAC 2 - OSI, TCP/IP e protocolos 81 Protocolos 2 - OSI, TCP/IP e protocolos 82 Endereço IP É o endereço lógico de um dispositivo de rede. É usado para comunicação entre redes. Endereço IPv4 é um numero de 32 bits divido em 4 parte separado por pontos. Exemplo de endereço IP: 200.200.0.1. 2 - OSI, TCP/IP e protocolos 83 Sub Rede Como o próprio no já diz (sub rede)é a uma parte de rede ou seja uma rede que foi dividida. O tamanho de uma sub rede é determinado por sua máscara de sub rede. O endereço de IP geralmente é acompanhado da mascara de sub rede. Com esses dois dados (Endereço IP e mascara de sub rede) podemos dimensionar onde começa e onde termina nossa sub rede. Exemplo de mascara de sub rede: 255.255.255.0 ou /24. O endereço de REDE é o primeiro IP da sub rede. O endereço de BROADCAST é o último IP da sub rede. Esses endereços(Rede e broadcast) são reservados e não podem ser usados. End IP/Mas 10.1.2.3/8 10.1.2.3/16 10.1.2.3/24 End de Rede 10.0.0.0 10.1.0.0 10.1.2.0 End de Broadcast 10.255.255.255 10.1.255.255 10.1.2.255 2 - OSI, TCP/IP e protocolos 84 Protocolos - IP Usado para identificar logicamente um host. Possui endereços públicos e privados. Possui duas versões IPv4 (quase esgotado) e IPv6. 2 - OSI, TCP/IP e protocolos 85 Protocolos - ARP ARP – Address resolution protocol ou simplesmente protocolo de resolução de endereços. Como o próprio nome sugere esse protocolo consegue resolver(encontrar) o endereço MAC através do endereço de IP e após feito isto o coloca em uma tabela. 2 - OSI, TCP/IP e protocolos 86 Como ARP funciona Quando o dispositivo H1 precisa enviar dados para H2 que está no mesmo segmento de rede , o dispositivo H1 precisa descobrir o endereço MAC de H2.Então o protocolo ARP envia uma requisição para todos os diapositivos(MSG-01). Então o host que com endereço de IP apropriado(H2) responde com o dado solicitado (MSG-02). Então o dispositivo H1 recebe o endereço MAC e se prepara para o próximo passo para transmitir dados para H2. MSG-01 Quero saber o MAC do host com IP 10.11.11.2 MSG-02 Sou eu e meu MAC é 00:00:00:11:11:02 10.11.11.2/24 00:00:00:11:11:02 10.11.11.1/24 00:00:00:11:11:01 10.11.11.3/24 00:00:00:11:11:03 2 - OSI, TCP/IP e protocolos 87 Protocolos - UDP / TCP UDP TCP Serviço sem conexão; nenhuma sessão é estabelecida entre os hosts. Serviço orientado por conexão; uma sessão é estabelecida entre os hosts. O UDP não garante ou confirma a entrega nem sequencia os dados. O TCP garante a entrega usando confirmações e entrega sequenciada dos dados. O UDP é rápido, requer baixa sobrecarga e pode oferecer suporte à comunicação ponto a ponto e de ponto a vários pontos. O TCP é mais lento, requer maior sobrecarga e pode oferecer suporte apenas à comunicação ponto a ponto. 2 - OSI, TCP/IP e protocolos 88 Protocolos - ICMP Internet Control Message Protocol ou protocolo de mensagens de controle da Internet é usado para relatar erros e trocar informações de status e controle. Geralmente usamos aplicativos que utilizam o protocolo ICMP para sabermos se um determinado host esta alcançável e/ou qual é a rota para aquele host(ping e tracert). 2 - OSI, TCP/IP e protocolos 89 DHCP 2 - OSI, TCP/IP e protocolos 90 Perguntas ? 2 - OSI, TCP/IP e protocolos 91 Roteamento 6 - Roteamento 92 O que é roteamento Em termos gerais, o roteamento é o processo de encaminhar pacotes entre redes conectadas. Para redes baseadas em TCP/IP, o roteamento faz parte do protocolo IP. Para que o roteamento funcione ele trabalha em combinação com outros serviços de protocolo. 6 - Roteamento 93 Quando o processo roteamento é utilizado? Sempre que dois hosts em redes distintas precisarem se comunicar, eles irão depender de um roteador para que tal comunicação ocorra. 192.168.1.201/24 192.168.1.1/24 192.168.20.1/24 192.168.1.202/24 Exemplo 1 Não necessita de roteamento 192.168.20.2/24 Exemplo 2 Necessita de roteamento Origem Destino Origem 192.168.1.201 192.168.1.202 192.168.1.201 6 - Roteamento Destino 192.168.20.2 94 Tipos de rotas /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 2- Introdução ao roteamento 95 Funcionamento padrão 192.168.1.1 192.168.1.200 187.15.15.134 8.8.8.8 Pacote IP Origem Destino 192.168.1.99 8.8.8.8 Tabela de rotas Quando um pacote chega a um roteador ele consulta sua tabela de rotas para verificar se existe uma entrada para o destino solititado. 6 - Roteamento Tudo que for destinado a: (Dst. Address) Encaminhe para o roteador: (Gateway) 0.0.0.0/0 192.168.1.1 10.10.10.0/24 192.168.4.1 10.172.0.0/23 10.172.4.1 8.8.0.0/16 10.172.5.1 96 Na tabela de rotas Para cada encaminhamento o roteador faz um leitura completa da tabela de rotas. Se o roteador encontrar mais de uma rota para o destino solicitado ele sempre irá utilizar a rota mais especifica. Tabela de rotas A rota defult será utilizada sempre que não houver uma rota mais especifica para o determinado destino. 6 - Roteamento Dst. Address Gateway 0.0.0.0/0 192.168.1.1 8.0.0.0/8 10.172.6.1 8.8.0.0/16 10.172.5.1 97 Diagrama simples para roteamento R1 1.1.1.1/30 1.1.1.2/30 10.1.1.1/24 10.2.2.1/24 Rede 2 Rede 1 10.2.2.0/24 10.1.1.0/24 10.1.1.2/24 R2 Roteamento 6 - Roteamento 10.2.2.2/24 98 Criando as rotas Rota em R1 para alcançar a rede 2 Rota em R2 para alcançar a rede 1 6 - Roteamento 99 Perguntas ? 6 - Roteamento 100 Wireless no Mikrotik 5 - Wireless 101 Configurações Físicas Padrão IEEE Frequência Largura de banda máxima Velocidade máx 802.11b 2.4Ghz 20Mhz 11 Mbps 802.11g 2.4Ghz 20Mhz 54 Mbps 802.11a 5Ghz 20Mhz 54 Mbps 802.11n 2.4Ghz e 5 Ghz 40Mhz 300 Mbps 802.11ac 5 Ghz 80Mhz 866 Mbps 5 - Wireless 102 Tipos de enlaces Ponto a ponto Station AP Ponto multi-ponto Station AP 60 ° Station Station 5 - Wireless 103 Interface wireless – Modo de operação ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada. bridge: O mesmo que o o modo “ap bridge” porém aceitando somente um cliente. station: Modo cliente de um ap. Não pode ser colocado em bridge com outras interfaces. station bridge: Faz um bridge transparente porém só pode ser usado para se conectar a um AP Mikrotik. 5 - Wireless 104 MIMO MIMO: Multiple Input and Multiple Output 5 - Wireless 105 Potências Quando a opção “regulatory domain” está habilitada, somente as frequências permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o MikroTik ajustará a potência do rádio para atender a regulamentação do país, levando em conta o valor em dBi informado em “Antenna Gain”. 5 - Wireless 106 Espalhamento espectral 1 3 5 7 9 11 2412 2422 2432 2442 2452 2462 2422 2432 2442 2452 + 20Mhz 2402 2412 5 - Wireless 2462 2472 107 Canalização – 5Mhz e 10Mhz Menor troughput Maior número de canais Menor vulnerabilidade a interferências Requer menor sensibilidade Aumenta o nível de potência de tx 5 - Wireless 108 Canalização – 20Mhz, 40Mhz e 80Mhz Maior troughput Menor número de canais Maior vulnerabilidade a interferências Requer maior sensibilidade Diminui o nível de potência de tx 5 - Wireless 109 Data Rates A velocidade em uma rede wireless é definida pela modulação que os dispositivos conseguem trabalhar. Supported Rates: São as velocidades de dados entre o AP e os clientes. Basic Rates: São as velocidades que os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc...) 5 - Wireless 110 802.11n - Velocidades nominais 5 - Wireless 111 Ferramentas de Site Survey - Scan A -> Ativa B -> BSS P -> Protegida R -> Mikrotik Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das conexões estabelecidas. 5 - Wireless 112 Ferramentas de Site Survey – Uso de frequências Mostra o uso das frequências em todo o espectro para site survey conforme a banda selecionada no menu wireless. 5 - Wireless 113 Interface wireless - Sniffer Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes. Muito útil para detectar ataques. Pode ser arquivado no próprio MikroTik ou passado por streaming para outro servidor com protocolo TZSP. 5 - Wireless 114 Interface wireless - Snooper Com a ferramenta snooper é possível monitorar a carga de tráfego em cada canal por estação e por rede. Scaneia as frequências definidas em scan-list da interface. 5 - Wireless 115 NV2 Proprietário da MikroTik (não funciona com outros fabricantes). Baseado em TDMA (Time Division Multiple Access). Resolver o problema do nó escondido. Melhora throughput e latência especialmente em PtMP. Funcionamento do NV2 • Diferente do padrão 802.11 onde não existe controle do meio, com a utilização de NV2 o AP controla todo o acesso ao meio (em outras palavras o AP decide quem irá transmitir e quem irá receber). • Em redes NV2 o AP divide o tempo em períodos fixos (Timeslot). • Esses períodos (Timeslot) são alocados para Download e Upload de forma organizada, sendo que dois clientes não irão transmitir ao mesmo tempo e logo temos o seguinte: - Evitamos colisões - Aproveitamos melhor a largura de banda - Aumento do throughput Segurança de Acesso em redes sem fio 5 - Wireless 118 Falsa segurança Nome da rede escondido: Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes chamados “beacons”. Este comportamento pode ser modificado no MikroTik habilitando a opção “Hide SSID”. Pontos negativos: SSID deve ser conhecido pelos clientes. Scanners passivos o descobrem facilmente pelos pacotes de “probe request” dos clientes. 5 - Wireless 119 Falsa segurança Controle de MACs: Descobrir MACs que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o MikroTik como sniffer. Spoofar um MAC é bem simples. Tanto usando windows, linux ou Mikrotik. 5 - Wireless 120 Interface Wireless – Controle de Acesso A Access List é utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar. A comunicação entre clientes da mesma interface, virtual ou real, também pode ser controlada na Access List. 5 - Wireless 121 Interface Wireless – Controle de Acesso O processo de associação ocorre da seguinte forma: Um cliente tenta se associar a uma interface wlan; Seu MAC é procurado na access list da interface wlan; Caso encontrado, a ação especifica será tomada: Authentication: Define se o cliente poderá se associar ou não; Fowarding: Define se os clientes poderão se comunicar. 5 - Wireless 122 Interface Wireless – Access List MAC Address: Endereço MAC a ser liberado ou bloqueado. Interface: Interface real ou virtual onde será feito o controle de acesso. AP Tx Limit: Limite de tráfego enviado para o cliente. Client Tx Limit: Limite de tráfego enviado do cliente para o AP. Private Key: Chave wep criptografada. Private Pre Shared Key: Chave WPA. Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros Mikrotiks. 5 - Wireless 123 Interface Wireless – Connect List A Connect List tem a finalidade de listar os APs que o MikroTik configurado como cliente pode se conectar. MAC Address: MAC do AP a se conectar. SSID: Nome da rede. Area Prefix: String para conexão com AP de mesma área. Security Profile: Definido nos perfis de segurança. Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP falso. 5 - Wireless 124 Falsa segurança Criptografia WEP: “Wired Equivalent Privacy” – Foi o sistema de criptografia inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia. Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar a chave, como: Airodump. Airreplay. Aircrack. Hoje com essas ferramentas é bem simples quebrar a WEP. 5 - Wireless 125 Evolução dos padrões de segurança 5 - Wireless 126 Chave WPA e WPA2 - PSK A configuração da chave WPA/WAP2PSK é muito simples no Mikrotik. No menu wireless clique na Security Profile e adicione um novo perfil Configure o modo de chave dinâmico e a chave pré combinada para cada tipo de autenticação. Em cada Wlan selecione o perfil de segurança desejado. Obs.: As chaves são alfanuméricas de 8 até 64 caracteres. 5 - Wireless 127 Segurança de WPA / WPA2 Atualmente a única maneira conhecida para se quebrar a WPA-PSK é somente por ataque de dicionário. A maior fragilidade paras os WISP’s é que a chave se encontra em texto plano nos computadores dos clientes ou no próprio Mikrotik. 5 - Wireless 128 Método alternativo com Mikrotik A partir da versão 3 o MikroTik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP e é vinculada ao MAC Address do cliente, possibilitando que cada um tenha sua chave. Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visível a usuários do Mikrotik. 5 - Wireless 129 Perguntas ? 5 - Wireless 130 Firewall no Mikrotik 7 - Firewall 131 Firewall O firewall é normalmente usado como ferramenta de segurança para prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de entrada, de saída e passante. Além da segurança é no firewall que serão desempenhadas diversas funções importantes como a classificação e marcação de pacotes para desenvolvimento de regras de QoS. A classificação do tráfego feita no firewall pode ser baseada em vários classificadores como endereços MAC, endereços IP, tipos de endereços IP, portas, TOS, tamanho do pacotes, etc... 7 - Firewall 132 Firewall - Opções Filter Rules: Regras para filtro de pacotes. NAT: Onde é feito a tradução de endereços e portas. Mangle: Marcação de pacotes, conexão e roteamento. Service Ports: Onde são localizados os NAT Helpers. Connections: Onde são localizadas as conexões existentes. Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e que podem ser utilizadas em várias partes do firewall. Layer 7 Protocols: Filtros de camada 7. 7 - Firewall 133 Estrutura do Firewall Firewall Tabela Filter Tabela NAT Canal input Canal SRCNAT regras regras regras regras Tabela Mangle Canal input regras Canal Output regras Canal Output Canal DSTNAT regras regras regras regras Canal Forward regras Canal Prerouting Canal Forward regras regras Canal Posrouting regras regras 7 - Firewall 134 Fluxo do Firewall Chegada Canal Prerouting Canal DSTNAT Decisão de roteamento Canal Forward Canal Output Canal Posrouting Canal SRCNAT Canal Input Decisão de roteamento Saída Processo local 7 - Firewall 135 Firewall – Connection Track Refere-se a habilidade do roteador em manter o estado da informação relativa as conexões, tais como endereços IP de origem e destino, as respectivas portas, estado da conexão, tipo de protocolos e timeouts. Firewalls que fazem connection track são chamados de “statefull” e são mais seguros que os que fazem processamentos “stateless”. 7 - Firewall 136 Firewall – Connection Track O sistema de connection tracking é o coração do firewall. Ele obtém e mantém informações sobre todas conexões ativas. Quando se desabilita a função “connection tracking” são perdidas as funcionalidades NAT e as marcações de pacotes que dependam de conexão. No entanto, pacotes podem ser marcados de forma direta. Connection track é exigente de recursos de hardware. Quando o equipamento trabalha somente como bridge é aconselhável desabilitá-la. 7 - Firewall 137 Localização da Connection Tracking Chegada conntrack Canal Prerouting Canal DSTNAT Decisão de roteamento Canal Forward Canal Output Canal Posrouting conntrack Canal SRCNAT Decisão de roteamento Saída Canal Input Processo local 7 - Firewall 138 Firewall – Connection Track Estado das conexões: established: Significa que o pacote faz parte de uma conexão já estabelecida anteriormente. new: Significa que o pacote está iniciando uma nova conexão ou faz parte de uma conexão que ainda não trafegou pacotes em ambas direções. related: Significa que o pacote inicia uma nova conexão, porém está associada a uma conexão existente. invalid: Significa que o pacote não pertence a nenhuma conexão existente e nem está iniciando outra. 7 - Firewall 139 Firewall – Princípios gerais As regras de firewall são sempre processadas por canal, na ordem que são listadas de cima pra baixo. As regras de firewall funcionam como expressões lógicas condicionais, ou seja: “se <condição> então <ação>”. Se um pacote não atende TODAS condições de uma regra, ele passa para a regra seguinte. 7 - Firewall 140 Processamento das regras SE combina com os campos ENTÃO executa a ação. SE IP de destino=8.8.8.8 ENTÃO execute Drop SE proto=TCP e dst-port=80 ENTÃO executa Accept 7 - Firewall 141 Firewall – Princípios gerais Quando um pacote atende TODAS as condições da regra, uma ação é tomada com ele, não importando as regras que estejam abaixo nesse canal, pois elas não serão processadas. Algumas exceções ao critério acima devem ser consideradas como as ações de: “passthrough”, log e “add to address list”. Um pacote que não se enquadre em qualquer regra do canal, por padrão será aceito. 7 - Firewall 142 Firewall – Filter Rules Forward Input Output As regras são organizadas em canais(chain) e existem 3 canais “default” de tabela filters. INPUT: Responsável pelo tráfego que CHEGA no router; OUTPUT: Responsável pelo tráfego que SAI do router; FORWARD: Responsável pelo tráfego que PASSA pelo router. 7 - Firewall 143 Firewall – Filters Rules Algumas ações que podem ser tomadas nos filtros de firewall: passthrough: Contabiliza e passa adiante. drop: Descarta o pacote silenciosamente. reject: Descarta o pacote e responde com uma mensagem de icmp ou tcp reset. tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas não aloca recursos. 7 - Firewall 144 Firewall – Organização das regras As regras de filtro pode ser organizadas e mostradas da seguinte forma: all: Mostra todas as regras. dynamic: Regras criadas dinamicamente por serviços. forward, input output: Regras referente a cada canal. static: Regras criadas estaticamente pelos usuários. 7 - Firewall 145 Firewall – Address List A address list contém uma lista de endereços IP que pode ser utilizada em várias partes do firewall. Pode-se adicionar entradas de forma dinâmica usando o filtro ou mangle conforme abaixo: Action: add dst to address list: Adiciona o IP de destino à lista. add src to address list: Adiciona o IP de origem à lista. Address List: Nome da lista de endereços. Timeout: Por quanto tempo a entrada permanecerá na lista. 7 - Firewall 146 Firewall Protegendo o roteador 7 - Firewall 147 Princípios básicos de proteção Proteção do próprio roteador : Tratamento das conexões e eliminação de tráfego prejudicial/inútil. Permitir somente serviços necessários no próprio roteador. Prevenir e controlar ataques e acessos não autorizado ao roteador. Proteção da rede interna : Tratamento das conexões e eliminação de tráfego prejudicial/inútil. Prevenir e controlar ataques e acesso não autorizado em clientes. 7 - Firewall 148 Firewall – Proteção básica Regras do canal input Descarta conexões inválidas. Aceitar conexões estabelecidas. Aceitar conexões relacionadas. Aceitar todas conexões da rede interna. Descartar o restante. 7 - Firewall 149 Firewall – Proteção básica Regras do canal input Permitir acesso externo ao winbox. Permitir acesso externo por SSH. Permitir acesso externo ao FTP. Realocar as regras. 7 - Firewall 150 Firewal – Port Scan Port Scan: Consiste no escaneamento de portas TCP e/ou UDP. A detecção de ataques somente é possível para o protocolo TCP. Portas baixas (0 – 1023) Portas altas (1024 – 65535) 7 - Firewall 151 Firewall – Técnica do “knock knock” 7 - Firewall 152 Firewall – Técnica do “knock knock” A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu endereço IP em uma determinada address list. Neste exemplo iremos restringir o acesso ao winbox somente a endereços IP´s que estejam na lista “libera_winbox”: /ip firewall filter add chain=input protocol=tcp dst-port=2771 action=add-src-to-address list address-list=knock address-list-timeout=15s comment="" disabled=no add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add src-to-address-list address-list=libera_winbox address-list-timeout=15m comment="" disabled=no add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept disabled=no add chain=input protocol=tcp dst-port=8291 action=drop disbled=no 7 - Firewall 153 Firewall – Ping flood Ping Flood consiste no envio de grandes volumes de mensagens ICMP aleatórias. Para evitar o Ping flood, podemos bloquear todo tráfego de ICMP. Ao bloquear todo trafego de ICMP podemos ter problemas com algumas aplicações (monitoramento e outros protocolos). Por isso é aconselhável colocarmos uma exceção permitindo um pelo menos 30 mensagens de ICMP por segundo. 7 - Firewall 154 Firewal – Evitando ping flood /ip firewall filter add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp 7 - Firewall 155 Firewal – Ataques do tipo DoS Ataques DoS: O principal objetivo do ataque de DoS é o consumo de recursos de CPU ou banda. Usualmente o roteador é inundado com requisições de conexões TCP/SYN causando resposta de TCP/SYN-ACK e a espera do pacote TCP/ACK. O ataque pode ser intencional ou causado por vírus em clientes. Todos os IP’s com mais de 15 conexões com o roteador podem ser considerados atacantes. 7 - Firewall 156 Firewal – Ataques do tipo DoS Se simplesmente descartamos as conexões, permitiremos que o atacante crie uma nova conexão. Para que isso não ocorra, podemos implementar a proteção em dois estágios: Detecção – Criar uma lista de atacantes DoS com base em “connection limit”. Supressão – Aplicando restrições aos que forem detectados. 7 - Firewall 157 Firewal – Detectando um ataque DoS Criar a lista de atacantes para posteriormente aplicarmos a supressão adequada. 7 - Firewall 158 Firewal – Suprimindo um ataque DoS Com a ação “tarpit” aceitamos a conexão e a fechamos, não deixando no entanto o atacante trafegar. Essa regra deve ser colocada antes da regra de detecção ou então a address list irá reescrevê-la todo tempo. 7 - Firewall 159 Firewal – DDoS Ataque DDoS: Ataque de DDoS são bastante parecidos com os de DoS,porém partem de um grande número de hosts infectados. A única medida que podemos tomar é habilitar a opção TCP SynCookie no Connection Tracking do firewall. 7 - Firewall 160 Firewall - NAT Tradução de endereços e portas 7 - Firewall 161 Firewall - NAT NAT – Network Address Translation é uma técnica que permite que vários hosts em uma LAN usem um conjunto de endereços IP’s para comunicação interna e outro para comunicação externa. Existem dois tipos de NAT : SRC NAT: O roteador faz alterações de IP ou porta de origem. DST NAT: O roteador faz alterações de IP ou porta de destino. 7 - Firewall 162 Firewall - NAT As regras de NAT são organizadas em canais: dstnat: Processa o tráfego enviado PARA o roteador e ATRAVÉS do roteador, antes que ele seja dividido em INPUT e/ou FORWARD. srcnat: Processa o tráfego enviado A PARTIR do roteador e ATRAVÉS do roteador, depois que ele sai de OUTPUT e/ou FORWARD. 7 - Firewall 163 Firewall NAT – Fluxo de pacotes 7 - Firewall 164 Firewall - SRCNAT Source NAT: A ação “mascarade” troca o endereço IP de origem de uma determinada rede pelo endereço IP da interface de saída. Portanto se temos, por exemplo, a interface ether5 com endereço IP 185.185.185.185 e uma rede local 192.168.0.0/16 por trás da ether1, podemos fazer o seguinte: Desta forma, todos os endereços IPs da rede local vão obter acesso a internet utilizando o endereço IP 185.185.185.185 7 - Firewall 165 Firewall - DSTNAT Redirecionamento de portas: O NAT nos possibilita redirecionar portas para permitir acesso a serviços que rodem na rede interna. Dessa forma podemos dar acesso a serviços de clientes sem utilização de endereço IP público. Redirecionamento para acesso ao servidor WEB do cliente 192.168.1.200 pela porta 80. 7 - Firewall 166 Firewall – NAT Helpers Hosts atrás de uma rede “nateada” não possuem conectividade fim-afim verdadeira. Por isso alguns protocolos podem não funcionar corretamente neste cenário. Serviços que requerem iniciação de conexões TCP fora da rede, bem como protocolos “stateless” como UDP, podem não funcionar. Para resolver este problema, a implementação de NAT no MikroTik prevê alguns “NAT Helpers” que têm a função de auxiliar nesses serviços. 7 - Firewall 167 Perguntas ? 7 - Firewall 168 Failover 8 - Balance e Failover 169 Acertando sua rota principal Abra sua rota default. Coloque o campo distance=1 Clique em comment e coloque principal 1- Introdução 170 Simulando um segundo link Adicione uma VLAN Adicione um IP para a VLAN 8 - Balance e Failover 171 Adicionando uma segunda rota 8 - Balance e Failover 172 Visão geral das rotas Veja como deve ficar suas rotas default. Quando o roteador tem duas rotas com o endereço de destino iguais o campo distace irá determinar qual rota será usado para o encaminhamento de pacotes. Lembrando que a menor distancia será sempre escolhida. 8 - Balance e Failover 173 Adicionando a nova regra de NAT Para não ter duas regras de NAT, vamos fazer o seguinte. Criar uma address-list no Firewall chamada rede-local e colocar e nela seu range de IP da sua rede local. 8 - Balance e Failover 174 Adicionando a nova regra de NAT Vá em IP -> Firewall -> NAT Apague as regras já existentes Crie a nova regra de NAT conforme a imagem 8 - Balance e Failover 175 Testando os dois links Acesse o site www.ping.eu e verifique seu IP publico. Desabilite sua rota principal e verifique se está navegando normalmente para internet. Acesse o site www.ping.eu novamente e verifique se seu IP publico mudou. 8 - Balance e Failover 176 Preparando nosso failover Para que possamos saber se um link realmente está fora devemos monitorar um host qualquer na internet. Devemos fazer com que o teste de monitoramento seja encaminhado sempre por um único link, pois caso isso não aconteça podemos ter um falso positivo. Como fazer com que um determinado host seja acessado por um único link? 8 - Balance e Failover 177 Manipulando a rota principal via comandos Quando o link principal estiver DOWN deveremos desabilitar a rota principal. O comando para desabilitar a rota é: /ip route disable [find comment=principal] Quando o link principal estiver UP deveremos habilitar a rota principal. O comando para desabilitar a rota é: /ip route enable [find comment=principal] 8 - Balance e Failover 178 Criando o script 8 - Balance e Failover 179 Forçando o teste sair somente por um link Para forçarmos o teste somente por um link, podemos criar uma rota de teste. 8 - Balance e Failover 180 Balanceamento de Carga com PCC Link 1 Link 2 172.25.X.254 172.25.10.254 8 - Balance e Failover 181 Elementos da operação de divisão Classificador ↓ Dividendo 8 - Balance e Failover Divisor Resto 182 Balanceamento de Carga com PCC O PCC é um recurso utilizado para classificar o tráfego de acordo com critérios pré-determinados relacionados das conexões. Os parâmetros de configuração são: Classificador ↓ Dividendo 8 - Balance e Failover Divisor Resto 183 Balanceamento de Carga com PCC Classificador Divisor Resto A partir do classificador selecionado será gerado um dividendo O dividendo que será divido pelo denominador e então encontraremos o resto da divisão. O resto será levado em conta para dizer se o pacote combina ou não com a regra do firewall. 8 - Balance e Failover 184 Balanceamento de Carga com PCC Primeiro precisamos fazer marcas de roteamento para que possamos direcionar os pacotes por mais de um gateway. Poderíamos simplesmente efetuar as marcas de roteamento , porém isso pode consumir muito recurso de processamento do roteador. Para evitar o consumo excessivo de CPU, primeiro marcamos a conexão e depois marcamos o roteamento com base na conexão que já foi marcada. Todas as marcações são feitas no Mangle do firewall 8 - Balance e Failover 185 Sequencia para criar um Load balance com PCC 1) Marcas de conexão Utilizando o PCC 2) Marcas de roteamento com base nas marcas de conexão criadas anteriormente 3) Criar novas rotas com base nas marcas de roteamento criadas anteriormente 8 - Balance e Failover 186 Criando as marcas de conexão – link1 Exemplo de PCC com 2 links 8 - Balance e Failover 187 Criando as marcas de conexão – link2 Exemplo de PCC com 2 links 8 - Balance e Failover 188 Criando as marcas de roteamento - link1 Exemplo de PCC com 2 links 8 - Balance e Failover 189 Criando as marcas de roteamento - link2 Exemplo de PCC com 2 links 8 - Balance e Failover 190 Criando as novas rotas Rota para link 1 com marcas de roteamento Rota para link 2 com marcas de roteamento 8 - Balance e Failover 191 Túneis e VPN 9 - Tuneis e VPN 192 VPN • Uma Rede Privada Virtual é uma rede de comunicações privada normalmente utilizada por uma empresa ou conjunto de empresas e/ou instituições, construídas em cima de uma rede pública. O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros. • VPNs seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. 9 - Tuneis e VPN 193 VPN • As principais características da VPN são: – Promover acesso seguro sobre meios físicos públicos como a internet por exemplo. – Promover acesso seguro sobre linhas dedicadas, wireless, etc... – Promover acesso seguro a serviços em ambiente corporativo de correio, impressoras, etc... – Fazer com que o usuário, na prática, se torne parte da rede corporativa remota recebendo IPs desta e perfis de segurança definidos. – A base da formação das VPNs é o tunelamento entre dois pontos, porém tunelamento não é sinônimo de VPN. 9 - Tuneis e VPN 194 Tunelamento • A definição de tunelamento é a capacidade de criar túneis entre dois hosts por onde trafegam dados. • O MikroTik implementa diversos tipos de tunelamento, podendo ser tanto servidor como cliente desses protocolos: – PPP (Point to Point Protocol) – PPPoE (Point to Point Protocol over Ethernet) – PPTP (Point to Point Tunneling Protocol) – L2TP (Layer 2 Tunneling Protocol) – OVPN (Open Virtual Private Network) – IPSec (IP Security) – Túneis IPIP – Túneis EoIP – Túneis VPLS – Túneis TE – Túneis GRE 9 - Tuneis e VPN 195 Site-to-site 9 - Tuneis e VPN 196 Conexão remota 9 - Tuneis e VPN 197 Endereçamento ponto a ponto /32 Geralmente usado em túneis Pode ser usado para economia de IPs. Router 1 Router 2 9 - Tuneis e VPN 198 Diagrama de VPN Internet IP público 172.25.1.1 IP da VPN 2.2.2.2 IP da VPN 1.1.1.1 Rede LAN 10.1.1.0/24 IP público 172.25.2.1 Rede LAN 10.1.2.0/24 DST GW DST GW 10.1.2.0/24 2.2.2.2 10.1.1.0/24 1.1.1.1 9 - Tuneis e VPN 199 Ativando o um roteador como servidor de VPN 9 - Tuneis e VPN 200 Criando o usuário para o PPTP Client Usuário e senha que será utilizado para autenticação. IP que será atribuído localmente quando o usuário “teste” se conectar IP que será atribuído para o host remoto quanto o usuário “teste” se conectar 9 - Tuneis e VPN 201 Criando o PPTP Client 9 - Tuneis e VPN 202 Acompanhando o Status Status no servidor 9 - Tuneis e VPN Status no client 203 Criando as rotas Rota no client Rota no servidor Status no servidor 9 - Tuneis e VPN Status no client 204 PPP – Definições Comuns para os serviços • MTU/MRU: Unidade máximas de transmissão/ recepção em bytes. Normalmente o padrão ethernet permite 1500 bytes. Em serviços PPP que precisam encapsular os pacotes, deve-se definir valores menores para evitar fragmentação. • Keepalive Timeout: Define o período de tempo em segundos após o qual o roteador começa a mandar pacotes de keepalive por segundo. Se nenhuma reposta é recebida pelo período de 2 vezes o definido em keepalive timeout o cliente é considerado desconectado. • Authentication: As formas de autenticação permitidas são: – Pap: Usuário e senha em texto plano sem criptografica. – Chap: Usuário e senha com criptografia. – Mschap1: Versão chap da Microsoft conf. RFC 2433 – Mschap2: Versão chap da Microsoft conf. RFC 2759 9 - Tuneis e VPN 205 PPP – Definições Comuns para os serviços • PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então será necessário que haja algum mecanismo para avisar que esta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a resposta dos roteadores intermediarios e a adequação dos pacotes posteriores é chamada Path MTU Discovery ou PMTUD. Normalmente esta funcionalidade está presente em todos roteadores, sistemas Unix e no MikroTik ROS. • MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes menores, permitindo o melhor dimensionamento do túnel. Especificar o MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser configurado em ambos lados. 9 - Tuneis e VPN 206 PPP – Definições Comuns para os serviços Change MSS: Maximun Segment Size, tamanho máximo do segmento de dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns caso o PMTUD está quebrado ou os roteadores não conseguem trocar informações de maneira eficiente e causam uma série de problemas com transferência HTTP, FTP, POP, etc... Neste caso MikroTik proporciona ferramentas onde é possível interferir e configurar uma diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema. 9 - Tuneis e VPN 207 PPPoE – Cliente e Servidor • PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui informações sobre o remetente e o destinatário, desperdiçando mais banda. Cerca de 2% a mais. • Muito usado para autenticação de clientes com base em Login e Senha. O PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a internet. • O cliente não tem IP configurado, o qual é atribuído pelo Servidor PPPoE(concentrador) normalmente operando em conjunto com um servidor Radius. No MikroTik não é obrigatório o uso de Radius pois o mesmo permite criação e gerenciamento de usuários e senhas em uma tabela local. • PPPoE por padrão não é criptografado. O método MPPE pode ser usado desde que o cliente suporte este método. 9 - Tuneis e VPN 208 PPPoE – Cliente e Servidor • O cliente descobre o servidor através do protocolo pppoe discovery que tem o nome do serviço a ser utilizado. • Precisa estar no mesmo barramento físico ou os dispositivos passarem pra frente as requisições PPPoE usando pppoe relay. • No MikroTik o valor padrão do Keepalive Timeout é 10, e funcionará bem na maioria dos casos. Se configurarmos pra zero, o servidor não desconectará os clientes até que os mesmos solicitem ou o servidor for reiniciado. 9 - Tuneis e VPN 209 Passos para criar o PPPoE server 1) Criar o Pool 2) Criar o servidor de PPPoE 3) Ajustar ou criar um novo perfil 4) Criar usuários 9 - Tuneis e VPN 210 • Criando um Pool Esses são os endereços que serão entregues ao clientes que se conectarem no servidor de PPPoE. • Para fins de organização iremos reservar o primeiro IP utilizável para usarmos em nosso roteador (no nosso caso o 10.1.1.1). • Tambem iremos fazer uma reserva de endereço para cliente que por ventura precisarem de IP fixo (no nosso caso do 10.1.1.241 até o 10.1.1.254) 9 - Tuneis e VPN 211 Criando o PPPoE server Service Name = Nome que os clientes vão procurar (pppoe-discovery). Interface = Interface onde o servidor pppoe vai escutar. 9 - Tuneis e VPN 212 Criando um novo perfil • Name = Nome de identificação do perfil • Local Address = Endereço que será utilizado no servidor de PPPoE • Remote Address = Endereços que serão entregues ao clientes que se conectarem(nesse caso selecionamos o pool previamente criado). 9 - Tuneis e VPN 213 • Criando um usuário Adicione um usuário e senha • Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID. Esta opção não é obrigatória, mas é um parâmetro a mais para segurança. 9 - Tuneis e VPN 214 Mais sobre perfis • Bridge: Bridge para associar ao perfil • Incoming/Outgoing Filter: Nome do canal do firewall para pacotes entrando/saindo. • Address List: Lista de endereços IP para associar ao perfil. • DNS Server: Configuração dos servidores DNS a atribuir aos clientes. • Use Compression/Encryption/Change TCP MSS: caso estejam em default, vão associar ao valor que está configurado no perfil default-profile. 9 - Tuneis e VPN 215 Mais sobre perfis • Session Timeout: Duração máxima de uma sessão PPPoE. • Idle Timeout: Período de ociosidade na transmissão de uma sessão. Se não houver tráfego IP dentro do período configurado, a sessão é terminada. • Rate Limit: Limitação da velocidade na forma rx-rate/tx-rate. Pode ser usado também na forma rx-rate/tx-rate rx-burst-rate/tx-burstrate rx-burst-threshould/tx-burst-threshould burst-time priority rx-rate-min/tx-rate-min. • Only One: Permite apenas uma sessão para o mesmo usuário. 9 - Tuneis e VPN 216 Mais sobre o database • Service: Especifica o serviço disponível para este cliente em particular. • Caller ID: MAC Address do cliente. • Local/Remote Address: Endereço IP Local (servidor) e remote(cliente) que poderão ser atribuídos a um cliente em particular. • Limits Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sessão PPPoE. • Routes: Rotas que são criadas do lado do servidor para esse cliente especifico. Várias rotas podem ser adicionadas separadas por vírgula. 9 - Tuneis e VPN 217 Mais sobre o PPoE Server O concentrador PPPoE do MikroTik suporta múltiplos servidores para cada interface com diferentes nomes de serviço. Além do nome do serviço, o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador é a identidade do roteador. O valor de MTU/MRU inicialmente recomendado para o PPPoE é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser configurado no AP. Para clientes MikroTik, a interface de rádio pode ser configurada com a MTU em 1600 bytes e a MTU da interface PPPoE em 1500 bytes. Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500 bytes. A opção One Session Per Host permite somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número máximo de sessões que o concentrador suportará. 9 - Tuneis e VPN 218 Configurando o PPPoE Client • • • • • AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um. Service: Nome do serviço designado no servidor PPPoE. Dial On Demand: Disca sempre que é gerado tráfego de saída. Add Default Route: Adiciona um rota padrão(default). User Peer DNS: Usa o DNS do servidor PPPoE. 9 - Tuneis e VPN 219 Perguntas ? 9 - Tuneis e VPN 220 QoS e Controle de banda 10 - QoS 221 Conceitos básicos de Largura e Limite de banda Largura de banda: Em telecomunicações, a largura da banda ou apenas banda (também chamada de débito) usualmente se refere à bitrate de uma rede de transferência de dados, ou seja, a quantidade em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de frequências é justificada pelo fato de que o limite de transferência de dados de um meio está ligado à largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56 kbps), na chamada conexão discada. Limite de banda: O limite de banda é o limite máximo de transferência de dados, onde também é designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56 kilobits (7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de 1Mbps, você conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também chamado de Taxa ou Velocidade de Transferência ou (throughput), que varia aproximadamente entre 10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps, você conseguirá taxas de transferencia de no máximo 5,6 a 6,7 kbps aproximadamente, enquanto numa banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a 30,7kbps 10 - QoS 222 Traffic Shaping • Traffic shaping é um termo da língua inglesa, utilizado para definir a prática de priorização do tráfego de dados, através do condicionamento do débito de redes, a fim de otimizar o uso da largura de banda disponível. • O termo passou a ser mais conhecido e utilizado após a popularização do uso de tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da internet. O uso desta tecnologia permite que a comunicação entre localidades distintas tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns. • No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas utilizam programas de gestão de dados que acompanham e analisam a utilização e priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP, assim prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente adotada para outros tipos de serviços, conhecidos por demandar grande utilização da largura de banda, como os de transferência de arquivos, por exemplo, P2P e FTP. • Os programas de traffic shaping podem ainda fazer logs dos hábitos de utilizadores, capturar informações sobre IPs acedidos, ativar gravações automáticas a partir de determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador, bloqueando redes peer-to-peer (P2P) ou FTP. 10 - QoS 223 Qualidade de Serviço • No campo das telecomunicações e redes de computadores, o termo Qualidade de Serviço (QoS) pode tender para duas interpretações relacionadas, mas distintas. • Em redes de comutação de circuitos, refere-se à probabilidade de sucesso em estabelecer uma ligação a um destino. Em redes de comutação de pacotes refere-se à garantia de largura de banda ou, como em muitos casos, é utilizada informalmente para referir a probabilidade de um pacote circular entre dois pontos de rede. • Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurança substancial. É simples e eficaz, mas na prática é assumido como dispendioso, e tende a ser ineficaz se o valor de pico aumentar além do previsto: reservar recursos gasta tempo. O segundo método é o de obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetário associado! 10 - QoS 224 Qualidade de Serviço Os mecanismos para prover QoS no MikroTik são: – Limitar banda para certos IP’s, subredes, protocolos, serviços e outros parâmetros. – Limitar tráfego P2P. – Priorizar certos fluxos de dados em relação a outros. – Utilizar burst’s para melhorar o desempenho web. – Compartilhar banda disponível entre usuários de forma ponderada dependendo da carga do canal. – Utilização de WMM – Wireless Multimídia. – MPLS – Multi Protocol Layer Switch 10 - QoS 225 Qualidade de Serviço Os principais termos utilizados em QoS são: – Queuing discipline(qdisc): Disciplina de enfileiramento. É um algoritmo que mantém e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem, podendo inclusive reordená-los, e determina quais pacotes serão descartados. – Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. É a garantia de banda fornecida a um circuito ou link. – Max Limit ou MIR(Maximal Information Rate): Taxa máxima de dados que será fornecida. Ou seja, limite a partir do qual os pacotes serão descartados. – Priority: É a ordem de importância que o tráfego é processado. Pode-se determinar qual tipo de tráfego será processado primeiro. 10 - QoS 226 Filas - Queues Para ordenar e controlar o fluxo de dados, é aplicada uma política de enfileiramento aos pacotes que estejam deixando o roteador. Ou seja: “As filas são aplicadas na interface onde o fluxo está saindo.” A limitação de banda é feita mediante o descarte de pacotes. No caso do protocolo TCP, os pacotes descartados serão reenviados, de forma que não há com que se preocupar com relação a perda de dados. O mesmo não vale para o UDP. 10 - QoS 227 Tipos de filas Antes de enviar os pacotes por uma interface, eles são processados por uma disciplina de filas(queue types). Por padrão as disciplinas de filas são colocadas sob “queue interface” para cada interface física. Uma vez adicionada uma fila para uma interface física, a fila padrão da interface, definida em queue interface, não será mantida. Isso significa que quando um pacote não encontra qualquer filtro, ele é enviado através da interface com prioridade máxima. 10 - QoS 228 Controle de tráfego O controle de tráfego é implementado através de dois mecanismos: – Pacotes são policiados na entrada: • Pacotes são policiados e marcados para tratamento futuro. – Pacotes são enfileirados na interface de saída: • Pacotes podem ser atrasados, descartados ou priorizados. 10 - QoS 229 Filas simples As principais propriedades configuráveis de uma fila simples são: – Limite por direção de IP de origem ou destino – Interface do cliente – Tipo de fila – Limit-at, max-limit, priority e burst para download e upload – Horário. 10 - QoS 230 Filas simples - Burst Bursts são usados para permitir altas taxas de transferência por um período curto de tempo. Os parâmetros que controlam o burst são: - burst-limit: Limite máximo que o burst alcançará. - burst-time: Tempo que durará o burst. - burst-threshold: Patamar para começar a limitar. - max-limit: MIR 10 - QoS 231 Como funciona o Burst max-limit=256kbps burst-time=8s burst-threshold=192kbps burst-limit=512kbps Inicialmente é dado ao cliente a banda burst-limit=512kbps. O algoritmo calcula a taxa média de consumo de banda durante o burst-time de 8 segundos. – Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold. – Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do threshold. – Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde acaba o burst. A partir deste momento a taxa máxima do cliente passa a ser o max-limit. 10 - QoS 232 Utilização do PCQ PCQ é utilizado para equalizar cada usuário ou conexão em particular. Para utilizar o PCQ, um novo tipo de fila deve ser adicionado com o argumento kind=pcq. Devem ainda ser escolhidos os seguintes parâmetros: – pcq-classifier – pcq-rate 10 - QoS 233 Utilização do PCQ • Caso 1: Com o rate configurado como zero, as subqueues não são limitadas, ou seja, elas poderão usar a largura máxima de banda disponível em max-limit. • Caso 2: Se configurarmos um rate para a PCQ as subqueues serão limitadas nesse rate, até o total de max-limit. 10 - QoS 234 Utilização do PCQ Nesse caso, com o rate da fila é 128k, não existe limit-at e tem um max-limit de 512k, os clientes receberão a banda da seguinte forma: 10 - QoS 235 Utilização do PCQ Nesse caso, com o rate da fila é 0, não existe limit-at e tem um maxlimit de 512k, os clientes receberão a banda da seguinte forma: 10 - QoS 236 Perguntas ? 10 - QoS 237 Reset a routerboar Entre no terminal e execute o comando abaixo: /system reset-configuration 10 - QoS 238 HotSpot no Mikrotik 3 - Hotspot 239 HotSpot Geralmente usado em área pública como hotéis, aeroportos, shoppings, universidades, etc... Acesso controlado a uma rede qualquer, com ou sem fio, Autenticação baseada em nome de usuário e senha. Com HotSpot, um usuário que tente navegação pela WEB é arremetido para uma página do HotSpot que pede suas credencias, normalmente usuário e senha. 3 - Hotspot 240 HotSpot 3 - Hotspot 241 HotSpot – Perfil de Usuários O User Profile serve para dar tratamento diferenciado a grupos de usuários, como suporte, comercial, diretoria, etc... Session Timeout: Tempo máximo permitido. Idle Timeout/Keepalive: Mesma explicação anterior, no entanto agora somente para este perfil de usuários. Status Autorefresh: Tempo de refresh da página de Status do HotSpot. Shared Users: Número máximo de clientes com o mesmo username. 3 - Hotspot 242 HotSpot – Perfil de Usuários Os perfis de usuário podem conter os limites de velocidade de forma completa. Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx burst-limit] [rxburstthreshold/tx-burst-threshold] [rx-burst-time/tx-bursttime][priority] [rx-limit-at/tx-limit-at] Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k 128k de upload / 256k de download 256k de upload burst / 512k de download burst 96k threshould de upload / 192k threshloud de download 8 segundos de burst 6 de prioridade 32k de garantia de upload / 64k de garantia de download 3 - Hotspot 243 HotSpot – Perfil de Usuários Incoming Filter: Nome do firewall chain aplicado aos pacotes que chegam do usuário deste perfil. Outgoing Filter: Nome do firewall chain aplicado aos pacotes vão para o usuário deste perfil. Incoming Packet Mark: Marca colocada automaticamente em pacotes oriundos de usuários deste perfil. Outgoing Packet Mark: Marca colocada automaticamente em pacotes que vão para usuários deste perfil. Open Status Page: Mostra a página de status. - http-login: para usuários que logam pela WEB. - always: para todos usuários inclusive por MAC. Tranparent Proxy: Se deve usar proxy transparente. 3 - Hotspot 244 HotSpot – Perfil de Usuários Com a opção Advertise é possível enviar de tempos em tempos “popups” para os usuários do HotSpot. Advertise URL: Lista de páginas que serão anunciadas. A lista é cíclica, ou seja, quando a última é mostrada, começa-se novamente pela primeira. Advertise Interval: Intervalo de tempo de exibição de popups. Depois da sequência terminada, usa sempre o intervalo. Advertise Timeout: Quanto tempo deve esperar para o anúncio ser mostrado, antes de bloquear o acesso a rede. - Pode ser configurado um tempo. - Nunca bloquear. - Bloquear imediatamente. 3 - Hotspot 245 HotSpot – Perfil de Usuários O MikroTik possui uma linguagem interna de scripts que podem ser adicionados para serem executados em alguma situação especifica. No HotSpot é possível criar scripts que executem comandos a medida que um usuário desse perfil conecta ou desconecta do HotSpot. Os parâmetros que controlam essa execução são: – On Login: Quando o cliente conecta ao HotSpot. – On Logout: Quando o cliente desconecta do HotSpot. Os scripts são adicionados no menu: /system script 3 - Hotspot 246 HotSpot – Usuários Server: all para todos hotspots ou para um específico. Name: Nome do usuário. Se o modo Trial estiver ativado o hotspot colocará automaticamente o nome “TMAC_ Address”. No caso de autenticação por MAC, o mesmo deve ser adicionado como username sem senha. Address: Endereço IP caso queira vincular esse usuário a um endereço fixo. MAC Address: Caso queira vincular esse usuário a um endereço MAC especifico. Profile: Perfil onde o usuário herda as propriedades. Routes: Rotas que serão adicionadas ao cliente quando se conectar. Sintaxe: “Endereço destino gateway métrica”. Várias rotas separadas por vírgula podem ser adicionadas. 3 - Hotspot 247 HotSpot – Usuários Limit Uptime: Limite máximo de tempo de conexão para o usuário. Limit Bytes In: Limite máximo de upload para o usuário. Limit Bytes Out: Limite máximo de download para o usuário. Limit Bytes Total: Limite máximo considerando o download + upload. Na aba das estatísticas é possível acompanhar a utilização desses limites. 3 - Hotspot 248 HotSpot – Liberações especiais Para liberar acesso a internet para um determinado host utilize sem necessidade de autenticação IP Binding. Para liberar acesso a um determinado site sem necessidade de autenticação utilize Walled Garden. Para liberar acesso a um determinado IP ou porta sem necessidade de autenticação utilize o Walled Garden IP List. 3 - Hotspot 249 HotSpot – IP Bindings O MikroTik por default tem habilitado o “universal client” que é uma facilidade que aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. É possível também fazer traduções NAT estáticas com base no IP original, ou IP da rede ou MAC do cliente. É possível também permitir certos endereços “contornarem” a autenticação do hotspot. Ou seja, sem ter que logar na rede inicialmente. Também é possível fazer bloqueio de endereços. 3 - Hotspot 250 HotSpot – IP Bindings MAC Address: mac original do cliente. Address: Endereço IP do cliente. To Address: Endereço IP o qual o original deve ser traduzido. Server: Servidor hotspot o qual a regra será aplicada. Type: Tipo do Binding. - Regular: faz tradução regular 1:1 - Bypassed: faz tradução mas dispensa o cliente de logar no hotspot. - Blocked: a tradução não será feita e todos os pacotes serão bloqueados. 3 - Hotspot 251 HotSpot –Walled Garden Configurando um “walled garden” é possível oferecer ao usuário o acesso a determinados serviços sem necessidade de autenticação. Por exemplo em um aeroporto poderia se disponibilizar informações sobre o tempo ou até mesmo disponibilizar os sites dos principais prestadores de serviço para que o cliente possa escolher qual plano quer comprar. Quando um usuário não logado no hotspot requisita um serviço do walled garden o gateway não intercepta e, no caso do http, redireciona a requisição para o destino ou um proxy. Para implementar o walled garden para requisições http, existe um web proxy embarcado no Mikrotik, de forma que todas requisições de usuários não autorizados passem de fato por esse proxy. Observar que o proxy embarcado no MikroTik não tem a função de cache, pelo menos por hora. Notar também que esse proxy faz parte do pacote system e não requer o pacote web-proxy. 3 - Hotspot 252 HotSpot –Walled Garden É importante salientar que o walled garden não se destina somente a serviço WEB, mas qualquer serviço que se queira configurar. Para tanto existem 2 menus distintos conforme do figuras ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para outros serviços e protocolos. 3 - Hotspot 253 HotSpot –Walled Garden Action: Permite ou nega. Server: Hotspot para o qual o walled garden vale. Src.Address: Endereço IP do usuário requisitante. Dst. Address: Endereço IP do web server. Method: Método http ou https. Dst. Host: Nome do domínio do servidor de destino. Dst. Port: Porta de destino do servidor. Path: Caminho da requisição. Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser usado coringas. Também é possível utilizar expressões regulares devendo essas ser iniciadas com (:) 3 - Hotspot 254 HotSpot –Walled Garden Action: Aceita, descarta ou rejeita o pacote. Server: Hotspot para o qual o walled garden vale. Src. Address: Endereço IP do usuário requisitante. Dst. Address: Endereço IP do web server. Protocol: Protocolo a ser escolhido na lista. Dst. Port: Porta TCP ou UDP que será requisitada. Dst. Host: Nome do domínio do servidor de destino. 3 - Hotspot 255 Perguntas ? 3 - Hotspot 256 Web Proxy 4 - Web proxy 257 Web Proxy Com o serviço de web proxy podemos fazer cache de “objetos” da internet e com isso economizar banda. Também é possível utilizar o web proxy como filtro de conteúdo sem a necessidade de fazer cache. 4 - Web proxy 258 Web Proxy – Como usar Basicamente podemos usar o proxy de duas maneiras – Não transparente: É necessário configurar o endereço e porta do proxy nos computadores – Transparente: Não é necessário alterar nenhum configuração nos computadores(não tratar conexões HTTPS). 4 - Web proxy 259 Habilitando nosso Web Proxy 4 - Web proxy 260 Web Proxy – Não transparente Precisamos configurar manualmente o endereço e porta do servidor de Proxy em nosso navegador. 4 - Web proxy 261 Web Proxy – Redirecionamento 4 - Web proxy 262 Web Proxy - Access A lista de acesso permite controlar conteúdo que será permitido ou negado. As regras adicionadas nesta lista são processadas de forma semelhante que as regras do firewall. Neste caso as regras irão processar as conexões e caso alguma conexão receba um “match” ela não será mais processada pelas demais regras. 4 - Web proxy 263 Web Proxy - Access Src. Address: Endereço ip de origem. Dst. Address: Endereço ip de destino. Dst. Port: Porta ou lista de portas destino. Local Port: Porta correspondente do proxy. Dst. Host: Endereço IP ou nome de destino. Path: Nome da página dentro do servidor. Method: Método HTTP usado nas requisições. Action: Permite ou nega a regra. Redirect To: URL ao qual o usuário será redirecionado caso a regra seja de negação. Hits: Quantidade de vezes que a regra sofreu “macth”. 4 - Web proxy 264 Web Proxy – Criando regras Crie algumas regras de acesso que permitam e neguem acesso a alguns sites. Dica: Para bloquear sites que contêm uma palavra especifica utilize : antes da palavra. 4 - Web proxy 265 Web Proxy – Dst. Host e Path Dst. Host = Nome DNS ou IP utilizado para acessar um determinado site (de vermelho). Path = Caminho de uma página ou documento dentro de um determinado site (de verde). Exemplos: http://wiki.mikrotik.com/wiki/Manual:IP/Proxy http://www.mikrotik.com/thedude 4 - Web proxy 266 Web Proxy – Segurança Quando habilitamos um servidor de Proxy, ele pode ser usado por qualquer usuário, estando este na sua rede interna ou externa. Precisamos garantir que somente os clientes da rede local terão acesso ao Proxy. /ip firewall filter add action=drop chain=input in-interface=interface-wan 4 - Web proxy 267 Web Proxy – Regras de Firewall Desviando o fluxo web para o proxy – /ip firewall nat add chain=dstnat protocol=tcp dstport=80 action=redirect to-ports=8080 Protegendo o proxy contra acessos externos não autorizados – /ip firewall filter add chain=input protocol=tcp dstport=8080 ininterface= wan action=drop 4 - Web proxy 268 Perguntas ? 4 - Web proxy 269