Baixe o app para aproveitar ainda mais
Prévia do material em texto
TREINAMENTO MIKROTIK CERTIFICAÇÃO Produzido por: MKT Solutions www.mktsolutions.net.br www.lancore.com.br Instrutor: Guilherme Ramires TREINAMENTO MIKROTIK CERTIFICAÇÃO – MTCNA Solutions e Lancore Networks www.mktsolutions.net.br www.lancore.com.br Instrutor: Guilherme Ramires AGENDA • Treinamento diário das 09:00 • Coffe break as 10:30hs e as 16:00 • Almoço as 13:00hs – 1 hora de duração AGENDA Treinamento diário das 09:00hs às 18:00hs e as 16:00hs 1 hora de duração 2 Algumas regras importantes • Por ser um curso oficial, o mesmo não poderá ser filmado ou gravado • Procure deixar seu aparelho celular desligado ou em modo silencioso • Durante as explanações evite as conversas paralelas. Elas serão mais apropriadas nos laboratórios • Desabilite qualquer interface wireless ou dispositivo 3G em seu laptop Algumas regras importantes Por ser um curso oficial, o mesmo não poderá ser filmado Procure deixar seu aparelho celular desligado ou em modo Durante as explanações evite as conversas paralelas. Elas serão mais apropriadas nos laboratórios Desabilite qualquer interface wireless ou dispositivo 3G 3 Algumas regras importantes • Perguntas são sempre bem vindas. Muitas vezes a sua dúvida é a dúvida de todos. • O acesso a internet será disponibilizado para efeito didático dos laboratórios. Portanto evite o uso inapropriado. • O certificado de participação somente será concedido a quem obtiver presença igual ou superior a 75%. Algumas regras importantes Perguntas são sempre bem vindas. Muitas vezes a sua dúvida é a dúvida de todos. O acesso a internet será disponibilizado para efeito didático dos laboratórios. Portanto evite o uso O certificado de participação somente será concedido a quem obtiver presença igual ou superior a 75%. 4 Apresente-se a turma • Diga seu nome; • Sua empresa; • Seu conhecimento sobre o • Seu conhecimento com redes; • O que você espera do curso; • Lembre-se de seu número: XY se a turma Seu conhecimento sobre o RouterOS; Seu conhecimento com redes; O que você espera do curso; se de seu número: XY 5 Objetivos do curso • Prover um visão geral sobre o Mikrotik as RouterBoards. • Mostrar de um modo geral todas ferramentas que o Mikrotik RouterOS dispõe para prover boas soluções. Objetivos do curso Prover um visão geral sobre o Mikrotik RouterOS e Mostrar de um modo geral todas ferramentas que o dispõe para prover boas 6 Onde está a Mikrotik ?Onde está a Mikrotik ? 7 RouterBoards • São hardwares criados pela Mikrotik; • Atualmente existe uma grande variedade de RouterBoards. RouterBoards São hardwares criados pela Mikrotik; Atualmente existe uma grande variedade de 8 Mikrotik RouterOS • RouterOS é o sistema operacional das RouterBoards e que pode ser configurado como: – Um roteador dedicado – Controlador de banda – Firewall – Gerenciador de usuários – Dispositivo QoS personalizado – Qualquer dispositivo wirless 802.11a/b/g/n • Além das RouterBoards ele também pode ser instalado em PC’s. RouterOS é o sistema operacional das e que pode ser configurado como: 802.11a/b/g/n ele também pode ser instalado em 9 Instalação do • O Mikrotik RouterOS pode ser instalado a partir de: – CD ISO bootável – imagem – Via rede com utilitário Netinstall Instalação do RouterOS pode ser instalado a partir de: imagem Netinstall 10 Onde obter o Mikrotik • Para obter os últimos pacotes do Mikrotik basta acessar: http://www.mikrotik.com/download.html • Lá você poderá baixar as imagens “. • Os pacotes combinados • E os pacotes individuais Onde obter o Mikrotik RouterOS Para obter os últimos pacotes do Mikrotik RouterOS http://www.mikrotik.com/download.html Lá você poderá baixar as imagens “.iso” 11 Instalando pelo CD • Inicie o PC com o modo boot pelo CD Instalando pelo CD Inicie o PC com o modo boot pelo CD 12 Pacotes do RouterOS • System: Pacote principal contendo os serviços básiscos • PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc.. • DHCP: Cliente e Servidor DHCP • Advanced-tools: Ferramentas de diagnóstico, netwatch • Arlan: Suporte a uma antiga placa Aironet – antiga • Calea: Pacote para vigilância de conexões (Exigido somente nos EUA) • GPS: Suporte a GPS ( tempo e posição ) • HotSpot: Suporte a HotSpot • ISDN: Suporte as antigas conexões ISDN • LCD: Suporte a display LCD • NTP: Servidor de horário oficial mundial RouterOS básiscos e drivers. A rigor é o único que é obrigatório , L2TP, PPTP, etc.. netwatch e outros ultilitários antiga arlan : Pacote para vigilância de conexões (Exigido somente nos EUA) 13 Pacotes do RouterOS • Radiolan: Suporte a placa RadioLan • RouterBoard: Utilitário para RouterBoards • Routing: Suporte a roteamento dinâmico tipo RIP, OSPF, BGP • RSTP-BRIGE-TEST: Protocolo RSTP • Security: Suporte a ssh, IPSec e conexão segura do • Synchronous: suporte a placas síncronas Moxa, Cyclades PC300, etc... • Telephony: Pacote de suporte a telefônia – protocolo h.323 • UPS: Suporte as no-breaks APC • User-Manager: Serviço de autenticação User-Manager • Web-Proxy: Serviço Web-Proxy • Wireless: Suporte a placas Atheros e PrismII • Wireless-legacy: Suporte as placas antigas Atheros, RouterOS : Suporte a roteamento dinâmico tipo RIP, OSPF, BGP e conexão segura do winbox , Cyclades PC300, etc... protocolo h.323 Manager , PrismII e Aironet 14 Instalando pelo CD • Pode-se selecionar os pacotes desejados usando a barra de espaços ou “a” para todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja configurações pode-se mantê-las pressionando “y”. Instalando pelo CD se selecionar os pacotes desejados usando a barra de espaços ou “a” para todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja las pressionando “y”. 15 Instalação com • Pode ser instalado em PC que boota via rede(configurar na BIOS) • Pode ser baixado também em: http://www.mikrotik.com/download.html • O netinstall é um excelente recurso para reinstalar em routerboards quando o sistema foi danificado ou quando se perde a senha do equipamento. Instalação com Netinstall via rede(configurar http://www.mikrotik.com/download.html é um excelente recurso para reinstalar em quando o sistema foi danificado ou quando 16 Instalação com • Para se instalar em uma RouterBoard inicialmente temos que entrar via serial, com cabo null modem e os seguintes parâmetros: – Velocidade: 115.200 bps – Bits de dados: 8 – Bits de parada: 1 – Controle de fluxo: hardware Instalação com Netinstall RouterBoard, inicialmente temos que entrar via serial, com modem e os seguintes parâmetros: Controle de fluxo: hardware 17 Instalação com Netinstall • Atribuir um IP para o Net Booting na mesma faixa da placa de rede da máquina • Coloque na máquina os pacotes a serem instalados • Bootar e selecionar os pacotes a serem instalados Instalação com Netinstall 18 Primeiro acesso • O processo de instalação não configura IP no Mikrotik. Portanto o primeiro acesso pode ser feito das seguintes maneiras: – Direto no console (em pcs) – Via terminal – Via telnet de MAC, através de outro Mikrotik ou sistema que suporte telnet de MAC e esteja no mesmo barramento físico de rede – Via Winbox Primeiro acesso O processo de instalação não configura IP no Mikrotik. Portanto o primeiro acesso pode ser feito de MAC, através de outro Mikrotik ou sistema que suporte de MAC e esteja no mesmo 19 Console no Mikrotik • Através do consoledo Mikrotik é possível acessar todas configurações do sistema de forma hierárquica conforme os exemplos abaixo: Acessando o menu “interface” [admin@MikroTik] > interface [admin@MikroTik] interface > ethernet Para retornar ao nível anterior basta digitar .. [admin@MikroTik] interface ethernet> .. [admin@MikroTik] interface > Para voltar ao raiz digite / [admin@MikroTik] interface ethernet> / [admin@MikroTik] > Console no Mikrotik Através do console do Mikrotik é possível acessar todas configurações do sistema de forma hierárquica conforme os exemplos abaixo: Para retornar ao nível anterior basta digitar .. 20 Console no Mikrotik • ? Mostra um help para o diretório em que se esteja • ? Após um comando incompleto mostra as opções disponíveis para o comando • Comandos podem ser completados com a tecla TAB • Havendo mais de uma opção para o já digitado, pressione TAB 2 vezes para mostrar as opções disponíveis Console no Mikrotik ? Mostra um help para o diretório em que se esteja ? Após um comando incompleto mostra as opções Comandos podem ser completados com a tecla TAB Havendo mais de uma opção para o já digitado, pressione TAB 2 vezes para mostrar as opções 21 Console no Mikrotik • Comando PRINT mostra informações de configuração: [admin@MikroTik] > interface ethernet> print Flags: X - disabled, R - running, S - slave # NAME MTU MAC-ADDRESS ARP 0 R ether1 1500 00:0C:42:34:F7:02 enabled [admin@MikroTik] > interface ethernet> print 0 R name="ether1" mtu=1500 l2mtu=1526 mac auto-negotiation=yes full-duplex=yes speed=100Mbps Console no Mikrotik Comando PRINT mostra informações de configuração: print ARP MASTER-PORT SWITCH ether1 1500 00:0C:42:34:F7:02 enabled print detail mac-address=00:0C:42:34:F7:02 arp=enabled duplex=yes speed=100Mbps 22 Console no Mikrotik • É possível monitorar o status das interfaces com o seguinte comando: [guilherme@MKT] > interface wireless monitor wlan1 status: running-ap band: 5ghz frequency: 5765MHz noise-floor: -112dBm overall-tx-ccq: 93% registered-clients: 8 authenticated-clients: 8 current-ack-timeout: 33 nstreme: no current-tx-powers: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18) Console no Mikrotik É possível monitorar o status das interfaces com o seguinte comando: interface wireless monitor wlan1 : 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18) 23 Console no Mikrotik • Comandos para manipular regras – add, set, remove: adiciona, muda e remove regras; – disabled: desabilita regra sem deletar; – move: move a regra cuja a ordem influência. • Comando Export – Exporta todas as configurações do diretoria acima; – Pode ser copiado e colado em um editor de textos; – Pode ser exportado para arquivo. • Comando Import – Importa um arquivo de configuração criado pelo comando export. Console no Mikrotik , set, remove: adiciona, muda e remove regras; disabled: desabilita regra sem deletar; move: move a regra cuja a ordem influência. Exporta todas as configurações do diretoria acima; Pode ser copiado e colado em um editor de textos; Importa um arquivo de configuração criado pelo comando export. 24 WINBOX • Winbox é o utilitário para administração do Mikrotik em modo gráfico. Funciona em Windows. Para funcionar no Linux é necessário a instalação do emulador Wine. A comunicação é feita pela porta TCP 8291 e caso você habilite a opção “Secure Mode” a comunicação será criptografada. • Para baixar o winbox acesse o link: http://www.mikrotik.com/download.html WINBOX é o utilitário para administração do Mikrotik em modo gráfico. Funciona em Windows. Para funcionar no Linux é necessário a instalação . A comunicação é feita pela porta TCP 8291 e caso você ” a comunicação será criptografada. http://www.mikrotik.com/download.html 25 Acessando pelo WINBOX • É possível acessar o Mikrotik inicialmente sem endereço IP, através do MAC da interface do dispositivo que está no mesmo barramento físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o MAC que aparecerá. Acessando pelo WINBOX • É possível acessar o Mikrotik inicialmente sem endereço IP, através do MAC da interface do dispositivo que está no mesmo barramento físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o MAC que aparecerá. 26 Configuração em Modo Seguro • O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione “CTRL+X”. Configuração em Modo Seguro O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione 27 Configuração em Modo Seguro • Se um usuário entra em modo seguro, quando já há um nesse modo, a seguinte mensagem será dada: “Hijacking Safe Mode from someone – unroll/release/ u – desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro d – deixa tudo como está r – mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte mensagem: “Safe Mode Released by another user” Configuração em Modo Seguro Se um usuário entra em modo seguro, quando já há um nesse modo, a seguinte mensagem será dada: /release/dont take it [u/r/d] desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte 28 Configuração em Modo Seguro • Todas configurações são desfeitas caso você perca comunicação com o roteador, o terminal seja fechado clicando no “x” ou pressionando CTRL+D. • Configurações realizadas em modo seguro não são sofrem marcações na lista de historico até serem confirmadas ou desfeitas. A que a ação não será desfeita. A flag “R” significa que a ação foi desfeita. • É possível visualizar o histórico de modificações através do menu: /system history print Obs.: O número máximo de registros em modo seguro é de 100. Configuração em Modo Seguro Todas configurações são desfeitas caso você perca comunicação com o roteador, o terminal seja fechado clicando no “x” ou pressionando Configurações realizadas em modo seguro não são sofrem marcações na até serem confirmadas ou desfeitas. A flag “U” significa “R” significa que a ação foi desfeita. É possível visualizar o histórico de modificações através do menu: Obs.: O número máximo de registros em modo seguro é de 100. 29 Manutenção do Mikrotik • Atualização • Gerenciando pacotes • Backup • Informações sobre licenciamento Manutenção do Mikrotik Informações sobre licenciamento 30 Atualizações • As atualizações podem ser feitas a partir de um conjunto de pacotes combinados ou individuais. • Os arquivo tem extensão .npk e para atualizar a versão basta fazer o upload para o diretório raiz e efetuar um reboot. • O upload pode ser feito por FTP ou copiando e colando pelo Winbox. Atualizações e para para o diretório raiz e efetuar pode ser feito por FTP ou 31 Pacotes • Adicionar novas funcionalidades podem ser feitas através de alguns pacotes que não fazem parte do conjunto padrão de pacotes combinado. • Esses arquivos também possuem extensão . para instalá-los basta fazer o Mikrotik e efetuar um reboot • Alguns pacotescomo “User “Multicast” são exemplos de pacotes adicionais que não fazem parte do pacote padrão. Pacotes Adicionar novas funcionalidades podem ser feitas através de alguns pacotes que não fazem parte do conjunto padrão de pacotes combinado. Esses arquivos também possuem extensão .npk e los basta fazer o upload para o reboot do sistema. User Manager” e ” são exemplos de pacotes adicionais que não fazem parte do pacote padrão. 32 Pacotes • Alguns pacotes podem ser habilitados e desabilitados conforme sua necessidade. Pacotes Alguns pacotes podem ser habilitados e desabilitados 33 Pacote desabilitado Pacote marcado para ser desabilitado Pacote marcado para ser habilitado Backup • Para efetuar o backup basta ir em Files e clicar no botão “Backup”. • Para restaurar o backup basta selecionar o arquivo e clicar em “Restore”. • Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup por partes use o comando “ Backup Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup por partes use o comando “export”. 34 LicenciamentoLicenciamento • A chave é gerada sobre um software-id fornecido pelo sistema. • A licença fica vinculada ao HD ou Flash e/ou placa mãe. • A formatação com outras ferramentas muda o software-id causa a perda da licença. 35 Dúvidas ???Dúvidas ??? 36 Nivelamento de conhecimentos TCP/IPNivelamento de conhecimentos TCP/IP 37 Modelo OSI (Open System Interconnection CAMADA 7 – Aplicação: Comunicação com os programas. SNMP e TELNET. CAMADA 6 – Apresentação: Camada de tradução. Compressão e criptografia CAMADA 5 – Sessão: Estabelecimento das sessões TCP. CAMADA 4 – Transporte: Controle de fluxo, ordenação dos pacotes e correção de erros CAMADA 3 – Rede: Associa endereço físico ao endereço CAMADA 2 – Enlace: Endereçamento físico. Detecta e corrige erros da camada 1 CAMADA 1 – Física: Bits de dados Modelo OSI Interconnection) 38 Aplicação: Comunicação com os programas. SNMP e TELNET. Apresentação: Camada de tradução. Compressão e criptografia Sessão: Estabelecimento das sessões TCP. Transporte: Controle de fluxo, ordenação dos pacotes e correção de erros Rede: Associa endereço físico ao endereço lógico Enlace: Endereçamento físico. Detecta e corrige erros da camada 1 Camada I – Camada Física • A camada física define as características técnicas dos dispositivos elétricos. • É nesse nível que são definidas as especificações de cabeamento estruturado, fibras ópticas, etc... No caso da wireless é a camada I que define as modulações, frequências e largura de banda das portadores. Camada Física A camada física define as características técnicas dos dispositivos elétricos. É nesse nível que são definidas as especificações de cabeamento estruturado, fibras ópticas, etc... No caso da wireless é a camada I que define as modulações, e largura de banda das portadores. 39 Camada II - • Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da camada I. • Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede. • Ethernets e PPP são exemplos de dispositivos que trabalham em camada II. Enlace Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede. Ethernets e PPP são exemplos de dispositivos que 40 Endereço MAC • É o único endereço físico de um dispositivo de rede • É usado para comunicação com a rede local • Exemplo de endereço MAC: 00:0C:42:00:00:00 Endereço MAC É o único endereço físico de um dispositivo de rede É usado para comunicação com a rede local Exemplo de endereço MAC: 00:0C:42:00:00:00 41 Camada III • Responsável pelo endereçamento lógico dos pacotes. • Transforma endereços lógicos(endereços endereços físicos de rede. • Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade. Camada III - Rede Responsável pelo endereçamento lógico dos Transforma endereços lógicos(endereços IPs) em endereços físicos de rede. Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade. 42 Endereço IP • É o endereço lógico de um dispositivo de rede • É usado para comunicação entre redes • Exemplo de endereço ip: 200.200.0.1 Endereço IP É o endereço lógico de um dispositivo de rede É usado para comunicação entre redes : 200.200.0.1 43 Sub Rede • É uma faixa de endereços IP que divide as redes em segmentos • Exemplo de sub rede: 255.255.255.0 ou /24 • O endereço de REDE é o primeiro IP da sub rede • O endereço de BROADCAST é o último IP da sub rede • Esses endereços são reservados e não podem ser usados End. IP/Máscara End. de Rede 192.168.1.0/23 192.168.0.0 192.168.1.1/24 192.168.1.0 192.168.1.1/25 192.168.1.0 192.168.1.1/26 192.168.1.0 Sub Rede É uma faixa de endereços IP que divide as redes em segmentos Exemplo de sub rede: 255.255.255.0 ou /24 O endereço de REDE é o primeiro IP da sub rede O endereço de BROADCAST é o último IP da sub rede Esses endereços são reservados e não podem ser usados 44 End. Broadcast 192.168.1.255 192.168.1.255 192.168.1.127 192.168.1.63 Endereçamento CIDREndereçamento CIDR 45 Protocolo ARP – Address • Utilizado para associar IP’s com endereços físicos. • Faz a intermediação entre a camada II e a camada III da seguinte forma: 1. O solicitante de ARP manda um pacote de broadcast com informação do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC de destino. 2. O host que tem o IP de destino responde fornecendo seu MAC. 3. Para minimizar o broadcast, o S.O mantém um tabela ARP constando o par (IP – MAC). Resolution Protocol com endereços físicos. Faz a intermediação entre a camada II e a camada III da O solicitante de ARP manda um pacote de broadcast com informação do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC de destino. O host que tem o IP de destino responde fornecendo seu MAC. Para minimizar o broadcast, o S.O mantém um tabela ARP 46 Camada IV - Transporte • Quando no lado do remetente é responsável por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede. • No lado do destinatário pega recebidos da camada de rede, remonta os dados originais e os envia para à camada superior. Estão na camada IV: TCP, UDP, RTP Transporte Quando no lado do remetente é responsável por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada No lado do destinatário pega pega os pacotes recebidos da camada de rede, remonta os dados originais e os envia para à camada superior. Estão na camada IV: TCP, UDP, RTP 47 Camada IV - Transporte Protocolo TCP: O TCP é um protocolo de transporte que executa importantes funções para garantir que os dados sejam entregues de forma confiável, ou seja, sem que os dados sejam corrompidos ou alterados. Protocolo UDP: O UDP é um protocolo não orientado a conexão e portanto é mais rápido que o TCP. Entretanto não garante a entrega dos dados. Transporte O TCP é um protocolo de transporte que executa importantes funções para garantir queos dados sejam entregues de forma confiável, ou seja, sem que os dados sejam corrompidos ou alterados. O UDP é um protocolo não orientado a conexão e portanto é mais rápido que o TCP. Entretanto não garante a entrega dos dados. 48 Características do protocolo TCP Garante a entrega de data gramas IP. Executa a segmentação e reagrupamento de grande blocos de dados enviados pelos programas e garante o seqüenciamento adequado e a entrega ordenada de dados segmentados. Verifica a integridade dos dados transmitidos usando cálculos de soma de verificação. Envia mensagens positivas dependendo do recebimento bem Ao usar confirmações seletivas, também são enviadas confirmações negativas para os dados que não foram recebidos. Oferece um método preferencial de transporte de programas que devem usar transmissão confiável de dados baseados em sessões, como banco de dados cliente/servidor por exemplo. Características do protocolo TCP Executa a segmentação e reagrupamento de grande blocos de dados enviados pelos programas e garante o seqüenciamento adequado e a entrega ordenada de Verifica a integridade dos dados transmitidos usando cálculos de soma de Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados. Ao usar confirmações seletivas, também são enviadas confirmações negativas Oferece um método preferencial de transporte de programas que devem usar transmissão confiável de dados baseados em sessões, como banco de dados 49 Diferenças básicas entre TCP e UDP TCP Serviço orientado por conexão. Serviço sem conexão. Garante a entrega através do uso de confirmação e entrega seqüenciada dos dados. Programas que usam TCP tem garantia de transporte confiável de dados. Mais lento, usa mais recursos e somente dá suporte a ponto a ponto. Diferenças básicas entre TCP e UDP 50 UDP Serviço sem conexão. Não é estabelecida conexão entre os hosts. Não garante ou não confirma entrega dos dados. Programas que usam UDP são responsáveis pela confiabilidade dos dados. Rápido, exige poucos recursos e oferece comunicação ponto a ponto e multiponto. Estado das conexões • É possível observar o estado das conexões no MikroTik no menu Connections. Estado das conexões É possível observar o estado das conexões no MikroTik no menu Connections. 51 Portas TCP Protocolo TCP FTP Porta 21 SSH Porta 22 O uso de portas, permite o funcionamento de vários serviços, ao mesmo tempo, no mesmo computador, trocando informações com um ou mais serviços/servidores. Portas abaixo de 1024 são registradas para serviços especiais. Portas TCP Protocolo Telnet Porta 23 WEB Porta 80 52 O uso de portas, permite o funcionamento de vários serviços, ao mesmo tempo, no mesmo computador, trocando informações com um Portas abaixo de 1024 são registradas para serviços especiais. Dúvidas ????Dúvidas ???? 53 DIAGRAMA INICIALDIAGRAMA INICIAL 54 Configuração do • Adicione os ips as interfaces Obs.: Atente para selecionar as interfaces corretas. Configuração do Router as interfaces Obs.: Atente para selecionar as interfaces corretas. 55 Configuração do • Adicione a rota padrão 1 2 3 4 Configuração do Router 56 Configuração do • Adicione o servidor DNS 2 1 4 Configuração do Router 57 3 Configuração do • Configuração da interface wireless Configuração do Router Configuração da interface wireless 58 Teste de conectividade • Pingar a partir da RouterBoard 192.168.X.254 • Pingar a partir da RouterBoard www.mikrotik.com; • Pingar a partir do notebook o seguinte 192.168.X.254 • Pingar a partir do notebook o seguinte endereço: www.mikrotik.com; • Analisar os resultados Teste de conectividade • Pingar a partir da RouterBoard o seguinte ip: 192.168.X.254 • Pingar a partir da RouterBoard o seguinte endereço: www.mikrotik.com; • Pingar a partir do notebook o seguinte ip: 192.168.X.254 • Pingar a partir do notebook o seguinte endereço: www.mikrotik.com; • Analisar os resultados 59 Corrigir o problema de conectividade • Diante do cenário apresentado quais soluções podemos apresentar? – Adicionar rotas estáticas; – Utilizar protocolos de roteamento dinâmico; – Utilizar NAT(Network Address Corrigir o problema de conectividade Diante do cenário apresentado quais soluções Utilizar protocolos de roteamento dinâmico; Address Translation). 60 Utilização do NAT • O mascaramento é a técnica que permite que vários hosts de uma rede compartilhem um mesmo endereço IP de saída do roteador. No Mikrotik o mascaramento é feito através do Firewall na funcionalidade do NAT. • Todo e qualquer pacote de dados de uma rede possui um endereço IP de origem e destino. Para mascarar o endereço, o NAT faz a troca do endereço IP de origem. Quando este pacote retorna ele é encaminhando ao host que o originou. Utilização do NAT O mascaramento é a técnica que permite que vários hosts de uma rede compartilhem um mesmo endereço IP de saída do roteador. No Mikrotik o mascaramento é feito através do Firewall na funcionalidade do NAT. Todo e qualquer pacote de dados de uma rede possui um endereço IP de origem e destino. Para mascarar o endereço, o NAT faz a troca do endereço IP de origem. Quando este pacote retorna ele é encaminhando ao 61 • Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1. 3 1 2 4 Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1. 62 Teste de conectividade • Efetuar os testes de ping a partir do notebook; • Analisar os resultados; • Efetuar os eventuais reparos. Após a confirmação de que tudo está funcionando, faça o backup da routerboard e armazene Ele será usado ao longo do curso. Teste de conectividade a partir do notebook; Efetuar os eventuais reparos. Após a confirmação de que tudo está funcionando, faça e armazene-o no notebook. Ele será usado ao longo do curso. 63 Gerenciando usuários • O acesso ao roteador pode ser controlado; • Pode-se criar usuários e/ou grupos diferentes; 1 2 Gerenciando usuários O acesso ao roteador pode ser controlado; se criar usuários e/ou grupos diferentes; 64 Gerenciamento de usuários • Adicione um novo usuário com seu nome e dê a ele acesso “Full” • Mude a permissão do usuário “ • Faça login com seu novo usuário. Gerenciamento de usuários • Adicione um novo usuário com seu nome e dê a ele acesso “Full” • Mude a permissão do usuário “admin” para “Read” • Faça login com seu novo usuário. 65 Atualizando a RouterBoard • Faça o download dos pacotes no seguinte endereço: ftp://172.31.254.2 • Faça o upload dos pacotes para sua • Reinicie a RouterBoard para que os pacotes novos sejam instalados • Confira se os novos pacotes foram instalados com sucesso. Atualizando a RouterBoard • Faça o download dos pacotes no seguinte endereço: ftp://172.31.254.2 • Faça o upload dos pacotes para sua RouterBoard • Reinicie a RouterBoard para que os pacotes novos sejam instalados • Confira se os novos pacotes foram instalados com sucesso. 66 Wireless no MikrotikWireless no Mikrotik 67 Configurações Físicas Padrão IEEE Frequência Tecnologia 802.11b 2.4 Ghz DSSS 802.11g 2.4 Ghz OFDM 802.11a 5 Ghz OFDM 802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM Configurações Físicas Velocidades 1, 2, 5.5 e 11 Mbps 6, 9, 12, 18, 24, 36, 48 e 54 Mbps 6, 9, 12, 18, 24, 36, 48 e 54 Mbps BQSP, QPSQ e QAM De 6.5Mbps até 600 Mbps 68 802.11b - DSSS 69 Canais não interferentes em 2.4 Ghz - 2.412 GHz2.437 GHz Canal 1 Canal 6 Canais não interferentes em DSSS 70 2.437 GHz 2.462 GHz Canal 11 Configurações Físicas • 2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser usado somente em processo de migração. Configurações Físicas – 2.4Ghz • 2.4Ghz-B: Modo 802.11b, que permite velocidades de 1 à 11 Mbps e utiliza espalhamento espectral. • 2.4Ghz-only-G: Modo 802.11g, que permite velocidades de 6 à 54 Mbps e utiliza OFDM. 71 Modo misto 802.11b e 802.11g recomendado para ser usado somente em processo de migração. Canais do espectro de 5Ghz • Em termos regulatórios a frequência Faixa baixa: 5150 a 5350 Mhz Faixa média: 5470 a 5725 Mhz Faixa alta: 5725 a 5850 Mhz Canais do espectro de 5Ghz frequência de 5Ghz é dividida em 3 faixas: 72 Aspectos legais do espectro de 5Ghz Faixa Baixa Freqüências 5150-5250 5250-5350 Largura 100 Mhz 100 Mhz Canais 4 canais 4 canais Detecção de radar obrigatória Aspectos legais do espectro de 5Ghz 73 Faixa Média Faixa Alta 5350 5470-5725 5725-5850 Mhz 255 Mhz 125 Mhz 4 canais 11 canais 5 canais Detecção de obrigatória Detecção de radar obrigatória Configurações Físicas O modo 5Ghz permite ainda as variações largura de banda que permite selecionar freqüências mais especificas, porém reduzindo a velocidade nominal. Permite ainda a seleção do modo turbo ou “a/n” dependendo do modelo do cartão. Configurações Físicas – 5 Ghz • 5Ghz: Modo 802.11a opera nas três faixas permitidas com velocidades que vão de 6Mbps a 54 Mbps. 74 as variações de uso em 10Mhz e 5Mhz de que permite selecionar freqüências mais especificas, porém reduzindo a velocidade nominal. Permite ainda a seleção do modo turbo ou “a/n” dependendo do Canalização em 802.11a Menor troughput Maior número de canais Menor vulnerabilidade a interferências Requer menor sensibilidade Aumenta o nível de potência de Canalização em 802.11a – Modos 5Mhz e 10Mhz Menor vulnerabilidade a interferências Aumenta o nível de potência de tx 75 Canalização em 802.11a Maior troughput Menor número de canais Maior vulnerabilidade a interferências Requer maior sensibilidade Diminui o nível de potência de tx Canalização em 802.11a – Modo Turbo Maior vulnerabilidade a interferências tx 76 Padrão 802.11n • INDICE: MIMO Velocidades do 802.11n Bonding do canal Agregação dos frames Configuração dos cartões Potência de TX em cartões N Bridge transparente para links N utilizando MPLS/VPLS Padrão 802.11n transparente para links N utilizando MPLS/VPLS 77 MIMO • MIMO: Multiple Input and Multiple • SDM: Spatial Division Multiplexing – Streams espaciais múltiplas através de múltiplas antenas. • Configurações de antenas múltiplas para receber e transmitir: 1x1, 1x2, 1x3; 2x2, 2x3; 3x3 MIMO Multiple Output Multiplexing espaciais múltiplas através de múltiplas antenas. Configurações de antenas múltiplas para receber e 78 802.11n - Velocidades nominaisVelocidades nominais 79 802.11n - Bonding dos canais 2 x 20Mhz Adiciona mais 20Mhz ao canal existente O canal é colocado abaixo ou acima da principal É compatível com os clientes “legados” de 20Mhz Conexão feito no canal principal Permite utilizar taxas maiores dos canais 2 x 20Mhz Adiciona mais 20Mhz ao canal existente O canal é colocado abaixo ou acima da frequência É compatível com os clientes “legados” de 20Mhz Conexão feito no canal principal Permite utilizar taxas maiores 80 802.11n – Agregação dos frames • Combina múltiplos frames de dados em um simples frame. O que diminui o overhead • Agregação de unidade de dados protocolo MAC (AMPDU) – Aggregated MAC Protocol Data – Usa Acknowledgement em bloco – Pode aumentar a latência. Por padrão habilitado somente para tráfego de melhor esforço • Agregação de unidade de dados de serviços MAC (AMSDU) – Enviando e recebendo AMSDU’s processamento, pois este é processado a nível de software. Agregação dos frames Combina múltiplos frames de dados em um simples frame. O Agregação de unidade de dados protocolo MAC (AMPDU) Data Units em bloco Pode aumentar a latência. Por padrão habilitado somente para Agregação de unidade de dados de serviços MAC (AMSDU) AMSDU’s causa aumento de processamento, pois este é processado a nível de software. 81 Configurando no Mikrotik • HT Tx Chains / HT Rx Chains: No caso dos cartões “n” a configuração da antena é ignorada. • HT AMSDU Limit: Máximo AMSDU que o dispositivo pode preparar. • HT AMSDU Threshold: Máximo tamanho de frame que é permitido incluir em AMSDU. Configurando no Mikrotik 82 Configurando no Mikrotik • HT Guard Interval: Intervalo de guarda. – Any: Longo ou curto, dependendo da velocidade de transmissão. – Longo: Intervalo longo. • HT Extension Channel: Define se será usado a extensão adicional de 20Mhz. – Below: Abaixo do canal principal – Above: Acima do canal principal • HT AMPDU Priorities: Prioridades do frame para qual o AMPDU deve ser negociado e utilizado. Configurando no Mikrotik 83 Configurando no Mikrotik • Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é dobrada. Configurando no Mikrotik Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é 84 Bridge transparente em enlaces “N” • WDS não suporta agregação de frames e portanto não provê a velocidade total da tecnologia “n” • EoIP incremente overhead • Para fazer bridge transparente com velocidades maiores com menos overhead em enlaces “n” devemos utilizar MPLS/VPLS. transparente em enlaces “N” WDS não suporta agregação de frames e portanto não provê a velocidade total da tecnologia “n” transparente com velocidades maiores com menos overhead em enlaces “n” devemos utilizar MPLS/VPLS. 85 Bridge transparente em enlaces “N” • Para se configurar a bridge transparente em enlaces “n”, devemos estabelecer um link AP <-> Station e configure uma rede ponto a ponto /30. – Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30( – Habilitar o LDP (Label Distribution Protocol – Adicionar a wlan1 a interface MPLS transparente em enlaces “N” transparente em enlaces “n”, devemos e configure uma rede ponto a Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station) Protocol) em ambos lados. 86 Bridge transparente em enlaces “N” • Configurar o túnel VPLS em ambos os lados • Crie uma bridge entre a interface VPLS e a ethernet conectada • Confira o status do LDP e do túnel VPLS transparente em enlaces “N” Configurar o túnel VPLS em ambos os lados entre a interface VPLS e a ethernet conectada 87 Bridges VPLS - Considerações • O túnel VPLS incrementa o pacote. Se este pacote excede o MPLS MTU da interface de fragmentado. • Se a interface ethernet suportar MPLS MTU de 1522 ou superior, a fragmentação pode ser evitada alterando o MTU da interface MPLS. • Uma lista completa sobre as MTU das pode ser encontrada em: http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards Considerações O túnel VPLS incrementa o pacote. Se este pacote excede o MPLS MTU da interface de saida, este será Se a interface ethernet suportar MPLS MTU de 1522 ou superior, a fragmentação pode ser evitada alterando o MTU da interface MPLS. Uma lista completa sobre as MTU das RouterBoards Maximum_Transmission_Unit_on_RouterBoards 88 Setup Outdoor para enlaces “n” • Recomendações segundo a Mikrotik: – Teste de canal separadamente antes de usá mesmo tempo. – Para operação em 2 canais, usar polarizações diferentes – Quandoutilizar antenas de polarização dupla, a isolação mínima recomendada da antena é de 25dB. Setup Outdoor para enlaces “n” Recomendações segundo a Mikrotik: Teste de canal separadamente antes de usá-los ao Para operação em 2 canais, usar polarizações Quando utilizar antenas de polarização dupla, a isolação mínima recomendada da antena é de 25dB. 89 Enlaces “n” Estabeleça um link “N” com seu vizinho Teste a performance com um e dois canais Crie uma bridge transparente usando VPLS Enlaces “n” Estabeleça um link “N” com seu vizinho Teste a performance com um e dois canais Crie uma bridge transparente usando VPLS 90 Configurações de camada física • default: Não altera a potência original do cartão • cards rates: Fixa mas respeita as variações das taxas para cada velocidade • all rates fixed: Fixa um valor para todas velocidades • manual: permite ajustar potências diferentes para cada velocidade Configurações de camada física - Potências : Não altera a potência original do cartão : Fixa mas respeita as variações das taxas para cada velocidade : Fixa um valor para todas velocidades : permite ajustar potências diferentes para cada velocidade 91 Configurações de camada física • Quando a opção “regulatory domain” está habilitada, somente as permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país, levando em conta o valor em dBi informado em “ • Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13 Configurações de camada física - Potências ” está habilitada, somente as frequências permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país, informado em “Antenna Gain”. Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13 92 Configurações da camada física • Em cartões que tem duas para antenas, é possível escolher: – antena a – antena b – rx-a/tx- – tx-a/rx- Configurações da camada física – Seleção de antena Em cartões que tem duas saidas para antenas, é possível escolher: antena a: utiliza antena “a”(main) para tx e rx antena b: utiliza antena “b”(aux) para tx e rx -b: recepção em “a” e transmissão em “b” -b: transmissão em “b” e recepção em “a” 93 Configurações da camada física • no radar escolhe o canal em que for encontrado o menor número de redes • radar detect 1 minuto para entrar em operação no canal escolhido se não for detectada a ocupação do canal • Obs.: O modo DFS é obrigatório no Brasil para as faixas de 5250 5350-5725 Configurações da camada física – DFS no radar detect: escaneia o meio e escolhe o canal em que for encontrado o menor número de redes detect: escaneia o meio e espera 1 minuto para entrar em operação no canal escolhido se não for detectada a ocupação do canal : O modo DFS é obrigatório no Brasil para as faixas de 5250-5250 e 5725 94 Configurações da camada física • Proprietary finalidade de dar compatibilidade com Centrino. • WMM Support – enabled: permite que o outro dispositivo use – required: requer que o outro dispositivo use – disabled: desabilita a função Configurações da camada física – Prop. Extensions e WMM Proprietary Extensions: Opção com a única finalidade de dar compatibilidade com chipsets Support: QoS no meio físico(802.11e) : permite que o outro dispositivo use wmm : requer que o outro dispositivo use wmm : desabilita a função wmm 95 Configurações da camada física Client tx rate / • Defaul AP TX Rate: Taxa máxima que o AP pode transmitir para cada um de seus clientes. Funciona para qualquer cliente. • Default Client TX Rate: Taxa máxima que o cliente pode transmitir para o AP. Só funciona para clientes Mikrotik. • Compression: Recurso de compressão em Hardware disponível em chipsets Atheros. Melhora o desempenho se o cliente possuir este recurso e não afeta clientes que não possuam o recurso. Porém este recurso é incompatível com criptografia. Configurações da camada física – AP e rate / Compression : Taxa máxima que o AP pode transmitir para cada um de seus clientes. : Taxa máxima que o cliente pode transmitir para o AP. Só funciona 96 : Recurso de compressão em Hardware disponível . Melhora o desempenho se o cliente possuir este recurso e não afeta clientes que não possuam o recurso. Porém este recurso é incompatível com criptografia. Configurações da camada física • A velocidade em uma rede wireless é definida pela modulação que os dispositivos conseguem trabalhar. Supported Rates: São as velocidades de dados entre o AP e os clientes. Basic Rates: São as velocidades que os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc...) Configurações da camada física – Data Rates A velocidade em uma rede wireless é dispositivos conseguem trabalhar. : São as velocidades de : São as velocidades que os independentemente do tráfego de dados 97 Configurações da camada física • O ACK timeout é o tempo que um dispositivo wireless espera pelo pacote Ack que deve ser transmitido para confirmar toda transmissão wireless. – Dynamic: O Mikrotik calcula dinamicamente o cliente mandando de tempos em tempos sucessivos pacotes com Ack timeouts diferentes e analisando as respostas. – indoors: Valor constante para redes indoors. – Pode-se também fixar valores manualmente. Dispositivo “A” Dados ACK Configurações da camada física – ACK O ACK timeout é o tempo que um dispositivo wireless que deve ser transmitido para confirmar toda transmissão wireless. : O Mikrotik calcula dinamicamente o Ack de cada cliente mandando de tempos em tempos sucessivos pacotes timeouts diferentes e analisando as respostas. : Valor constante para redes indoors. se também fixar valores manualmente. 98 Dispositivo “B” Configurações da camada física • Tabela de valores referenciais para ACK Timeout Obs.: Utilize a tabela somente para referência inicial. Configurações da camada física – ACK Tabela de valores referenciais para ACK Timeout 99Obs.: Utilize a tabela somente para referência inicial. Ferramentas de Site • Escaneia o meio. Obs.: Qualquer operação de site conexões estabelecidas. Ferramentas de Site Survey - Scan Obs.: Qualquer operação de site survey causa queda das 100 A -> Ativa B -> BSS P -> Protegida R -> Mikrotik N -> Nstreme Ferramentas de Site Survey • Mostra o uso das frequências em todo o espectro para site survey conforme a banda selecionada no menu wireless. Survey – Uso de frequências frequências em todo o espectro para site conforme a banda 101 Interface wireless - • Ferramenta de alinhamento com sinal sonoro – Colocar o MAC do AP remoto no campo Filter e Audio Monitor. Rx Quality: Potência em dBm do último pacote recebido Avg. Rx Quality: Potência média dos pacotes recebidos Last Rx: Tempo em segundos do último pacote recebido Tx Quality: Potência do último pacote transmitido Last TX: Tempo em segundos do último pacote transmitido Correct: Número de pacotes recebidos sem erro - Alinhamento Ferramenta de alinhamento com sinal sonoro Filter MAC Address do último pacote recebido : Potência média dos pacotes recebidos : Tempo em segundos do último pacote recebido : Potência do último pacote transmitido : Tempo em segundos do último pacote transmitido 102 Interface wireless Interface wireless - Sniffer • Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes. • Muitoútil para detectar ataques do tipo deauth e monkey jack. • Pode ser arquivado no próprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP. 103 Interface wireless • Com a ferramenta snooper é possível monitorar a carga de tráfego em cada canal por estação e por rede. • Scaneia as frequências definidas em scan Interface wireless - Snooper é possível monitorar a carga de tráfego em cada canal por estação e por rede. scan-list da interface 104 Interface wireless • Comportamento do protocolo ARP enable: Aceita e responde requisições ARP. disable: Não responde a requisições ARP. Clientes devem acessar através de tabelas estáticas. proxy-arp: Passa seu próprio MAC quando há uma requisição para algum host interno ao roteador. reply-only: Somente responde as requisições. Endereços vizinhos são resolvidos estaticamente. Interface wireless - Geral Comportamento do protocolo ARP : Não responde a requisições ARP. Clientes Endereços vizinhos são resolvidos estaticamente. 105 Interface wireless – Modo de operação • ap bridge: Modo de ponto de acesso. Repassa os wireless de forma transparente para a rede • bridge: O mesmo que o o modo “ap somente um cliente. • station: Modo cliente de um ap. Não pode ser colocado em bridge com outras interfaces. Modo de operação : Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada. ap bridge” porém aceitando : Modo cliente de um ap. Não pode ser colocado em 106 Interface wireless – Modo de operação • station pseudobridge: Estação que pode ser colocada em modo bridge, porém sempre passa ao AP seu próprio MAC. • station pseudobridge clone: Modo idêntico ao anterior, porém passa ao AP um MAC pré determinado anteriormente. • station wds: Modo estação que pode ser colocado em com a interface ethernet e que passa os transparente. É necessário que o AP esteja em modo wds. Modo de operação : Estação que pode ser colocada em modo , porém sempre passa ao AP seu próprio MAC. : Modo idêntico ao anterior, porém passa ao AP um MAC pré determinado anteriormente. : Modo estação que pode ser colocado em bridge com a interface ethernet e que passa os MACs de forma transparente. É necessário que o AP esteja em modo wds. 107 Interface wireless – Modo de operação • alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que são mandados a ela por outros dispositivos trabalhando no mesmo canal. • wds slave: Adéqua suas configurações conforme outro AP com mesmo SSID. • nstreme dual slave: Será visto no tópico especifico de Modo de operação : Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que são mandados a ela por outros dispositivos trabalhando no mesmo canal. : Adéqua suas configurações conforme outro AP com : Será visto no tópico especifico de nstreme. 108 Interface wireless Com as interfaces virtuais podemos montar várias redes dando perfis de serviço diferentes Name: Nome da rede virtual MTU: Unidade máxima de transferência(bytes) MAC: Endereço MAC do novo AP ARP: Modo de operação do protocolo ARP Obs.: As demais configurações são idênticas as de um AP. Interface wireless – AP Virtual Com as interfaces virtuais podemos montar várias redes dando perfis de serviço diferentes. Name: Nome da rede virtual MTU: Unidade máxima de transferência(bytes) MAC: Endereço MAC do novo AP ARP: Modo de operação do protocolo ARP Obs.: As demais configurações são idênticas as de um AP. 109 Camada Física Camada Física - Wireless • Como trabalha o CSMA? – Redes ethernet tradicionais utilizam o método CSMA/CD (Colision Detection). – Redes wireless 802.11 utilizam o método CSMA/CA (Colision Avoidance). 110 Protocolo Nstreme • Enable Nstreme: Habilita o nstreme. • Enable Polling: Habilita o mecanismo de • Disable CSMA: Desabilita o Carrier Sense • Framer Limit: Tamanho máximo do pacote em bytes. - Configuração : Habilita o mecanismo de polling. Recomendado. Sense. Recomendado. : Tamanho máximo do pacote em bytes. 111 Framer Policy Dynamic size: O Mikrotik determina. Best fit: Agrupa até o valor em “Frame Limit” sem fragmentar. Exact Size: Agrupa até o valor em “Frame Limit” fragmentando se necessário. Protocolo Nstreme Dual 1 – Colocar a interface em modo “nstreme dual slave”. 2 – Adicionar uma interface Nstreme Dual e definir quem será TX e quem será RX. Obs.: Utilize sempre canais distantes. Dual - Configuração 112 Protocolo Nstreme Dual 3 – Verifique o MAC escolhido pela interface Nstreme e informe no lado oposto. 4 – Criar uma bridge e adicionar as interfaces ethernet e a interface Nstreme Dual Práticas de RF recomendadas: Use antenas de qualidade, Polarizações diferentes, canais distantes e mantenha uma boa distância entre as antenas. Dual - Configuração 113 Use antenas de qualidade, Polarizações diferentes, canais distantes e mantenha uma boa distância entre as antenas. WDS & WDS MESHWDS & WDS MESH 114 WDS – WIRELESS DISTRIBUTION SYSTEM • WDS é a melhor forma garantir uma grande área de cobertura wireless utilizando vários mobilidade sem a necessidade de re Para tanto, todos os AP’s devem ter o mesmo SSID e mesmo canal. WIRELESS DISTRIBUTION SYSTEM WDS é a melhor forma garantir uma grande área de cobertura wireless utilizando vários APs e prover mobilidade sem a necessidade de re-conexão dos usuários. devem ter o mesmo SSID e mesmo 115 WDS e o protocolo STP • A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de forma semelhante porém o RSTP é mais rápido. • O RSTP inicialmente elege uma root bridge search” que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado. • Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No entanto é possível interferir no comportamento padrão, modificando custos, prioridades e etc... WDS e o protocolo STP A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o na rede é necessário habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de forma semelhante porém o RSTP é mais rápido. bridge e utiliza o algoritmo “breadth-first search” que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado. Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No entanto é possível interferir no comportamento padrão, modificando custos, 116 WDS e o protocolo STP Quanto menor a prioridade, maior a chance de ser eleita como Quando os custos são iguais é eleita a porta com prioridade mais baixa. O custo da porta permite um caminho ser eleito em lugar do outro. WDS e o protocolo STP Quanto menor a prioridade, maior a chance de ser eleita como bridge root. Quando os custos são iguais é eleita a porta com prioridade mais baixa. O custo da porta permite um caminho ser eleito em lugar do outro. 117 WDS e o protocolo STP • A Bridge usa o endereço MAC da porta ativa com menor número de porta. • A porta wireless está ativa somente quando existem hosts conectados a ela. • Para evitar que os MACs fiquem variando, é possível atribuir um MAC manualmente. WDS e o protocolo STP usa o endereço MAC da porta ativa com menor número de porta. A porta wireless está ativa somente quando existem hosts conectados a ela. fiquem variando,é possível atribuir um MAC 118 WDS / WDS MESH • WDS Mode • dynamic: As interfaces wds são adicionada dinamicamente quando um dispositivo wds encontra outro compatível. • static: As interfaces wds devem ser adicionadas manualmente apontando o MAC da outra ponta. • (mesh): WDS com um algoritmo proprietário para melhoria do link. Só possui compatibilidade com outros dispositivos Mikrotik. WDS / WDS MESH • WDS Default Bridge: A bridge padrão para as interfaces wds. • WDS Default Cost: Custo da porta bridge do link wds. • WDS Cost Range: Margem de custo que pode ser ajustada com base no troughtput do link. 119 : As interfaces wds são adicionada dinamicamente quando um dispositivo wds encontra outro compatível. : As interfaces wds devem ser adicionadas manualmente apontando o WDS com um algoritmo proprietário para melhoria do link. Só possui compatibilidade com outros dispositivos Mikrotik. WDS / MESH • Altere o modo de operação da wireless para: ap-bridge WDS: Selecione o modo wds dynamic-mesh. WDS Default Bridge: Selecione a bridge criada. Obs:. Certifique-se que todos estão no canal 5180 e SSID: wds-lab. WDS / MESH • Altere o modo de operação da wireless para: ap-bridge WDS: Selecione o modo wds dynamic-mesh. WDS Default Bridge: Selecione a bridge criada. Obs:. Certifique-se que todos estão no canal 5180 e SSID: wds-lab. 120 Interface Wireless – Controle de Acesso • A Access List é utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar. • A comunicação entre clientes da mesma interface, virtual ou real, também é controlada na Access Controle de Acesso é utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar. A comunicação entre clientes da mesma interface, virtual ou real, também é controlada na Access List. 121 Interface Wireless – Controle de Acesso • O processo de associação ocorre da seguinte forma: 1. Um cliente tenta se associar a uma interface 2. Seu MAC é procurado na access 3. Caso encontrado, a ação especifica será tomada: Authentication: Define se o cliente poderá se associar ou não; Fowarding: Define se os clientes poderão se comunicar. Controle de Acesso O processo de associação ocorre Um cliente tenta se associar a uma interface wlan; access list da interface wlan; Caso encontrado, a ação especifica será tomada: Authentication: Define se o cliente poderá se associar ou : Define se os clientes poderão se comunicar. 122 Interface Wireless MAC Address: Endereço MAC a ser liberado ou bloqueado. Interface: Interface real ou virtual onde será feito o controle de acesso. AP Tx Limit: Limite de tráfego enviado para o cliente. Client Tx Limit: Limite de tráfego enviado do cliente para o AP. Private Key: Chave wep criptografada. Private Pre Shared Key: Chave WPA. Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros Interface Wireless – Access List : Endereço MAC a ser liberado : Interface real ou virtual onde será : Limite de tráfego enviado para o : Limite de tráfego enviado do 123 : Chave usada para evitar ataques de . Somente compatível com outros Mikrotiks. Interface Wireless • A Connect List tem a finalidade de listar os APs que o Mikrotik configurado como cliente pode se conectar. MAC Address: MAC do AP a se conectar SSID: Nome da rede Area Prefix: String para conexão com AP de mesma área Security Profile: Definido nos perfis de segurança. Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP falso. Interface Wireless – Connect List tem a finalidade de listar que o Mikrotik configurado como : String para conexão com AP de mesma área : Definido nos perfis de segurança. : Essa é uma boa opção para evitar que o cliente se associe a um AP 124 Segurança de Acesso em redes sem fioSegurança de Acesso em redes sem fio 125 Falsa segurança • Nome da rede escondido: – Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes chamados “beacons”. Este comportamento pode ser modificado no Mikrotik habilitando a opção “Hide SSID”. • Pontos negativos: – SSID deve ser conhecido pelos clientes – Scanners passivos o descobrem facilmente pelos pacotes de “probe request clientes. Falsa segurança Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes ”. Este comportamento pode ser modificado no Mikrotik SSID”. SSID deve ser conhecido pelos clientes Scanners passivos o descobrem facilmente request” dos 126 Falsa segurança • Controle de MACs: – Descobrir MACs que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer. – Spoofar um MAC é bem simples. Tanto usando windows, linux ou Mikrotik. Falsa segurança que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o um MAC é bem simples. Tanto usando ou Mikrotik. 127 Falsa segurança • Criptografia WEP: – “Wired Equivalent Privacy” – Foi o sistema de criptografia inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia. – Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar a chave, como: Airodump Airreplay Aircrack • Hoje com essas ferramentas é bem simples quebrar a WEP. Falsa segurança Foi o sistema de criptografia inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia. Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar Hoje com essas ferramentas é bem simples quebrar a WEP. 128 Evolução dos padrões de segurançaEvolução dos padrões de segurança 129 Fundamentos de Segurança Privacidade As informações não podem ser legíveis para terceiros. Integridade As informações não podem ser alteradas quando em transito. Autenticação AP Cliente: O AP tem que garantir que o cliente é quem diz ser. Cliente AP: O cliente tem que se certificar que está conectando no AP correto. Um AP falso possibilita o chamado ataque do “homem do meio”. Fundamentos de Segurança As informações não podem ser legíveis para terceiros. As informações não podem ser alteradas quando em transito. AP Cliente: O AP tem que garantir que o cliente é quem diz Cliente AP: O cliente tem que se certificar que está conectando no AP correto. Um AP falso possibilita o chamado 130 Privacidade e Integridade Tanto a privacidade como a integridade são garantidos por técnicas de criptografia. O algoritmo de criptografia de dados em WPA é o RC4, porém implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza Para a integridade dos dados WPA usa TKIP(Algoritmo de Hashing “Michael”) e WPA2 usa CCMP( Chaining Message Authentication Privacidade e Integridade Tanto a privacidade como a integridade são garantidos O algoritmo de criptografia de dados em WPA é o RC4, porém implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se o AES. Para a integridade dos dados WPA usa TKIP(Algoritmo “Michael”) e WPA2 usa CCMP(Cipher Authentication Check – CBC – MAC) 131 ChaveWPA e WPA2 • A configuração da chave WPA/WAP2-PSK é muito simples no Mikrotik. • Configure o modo de chave dinâmico e a chave pré-combinada para cada tipo de autenticação. Obs.: As chaves são alfanuméricas de 8 até 64 caracteres. Chave WPA e WPA2 - PSK combinada Obs.: As chaves são alfanuméricas de 132 Segurança de WPA / WPA2 • Atualmente a única maneira conhecida para se quebrar a WPA-PSK é somente por ataque de dicionário. • Como a chave mestra PMK combina uma contra com o SSID, escolhendo palavras fortes torna o sucesso de força bruta praticamente impossível. • A maior fragilidade paras os WISP’s encontra em texto plano nos computadores dos clientes ou no próprio Mikrotik. Segurança de WPA / WPA2 Atualmente a única maneira conhecida para se quebrar a PSK é somente por ataque de dicionário. Como a chave mestra PMK combina uma contra-senha com o SSID, escolhendo palavras fortes torna o sucesso de força bruta praticamente impossível. WISP’s é que a chave se encontra em texto plano nos computadores dos clientes 133 Configurando EAP-TLS – Crie o perfil EAP-TLS e associe a interface Wireless cliente. – Sem Certificados 134 Segurança de EAP-TLS sem certificados • O resultado da negociação anônima resulta em uma chave PMK que é de conhecimento exclusivo das duas partes. Depois disso toda a comunicação é criptografada por AES(WPA2) e o RC4(WPA). • Seria um método muito seguro se não houvesse a possibilidade de um atacante colocar um Mikrotik com a mesma configuração e negociar a chave normalmente como se fosse um cliente. • Uma idéia para utilizar essa configuração de forma segura é criando um túnel criptografado entre os equipamentos depois de fechado o enlace. TLS sem certificados O resultado da negociação anônima resulta em uma chave PMK que é de conhecimento exclusivo das duas partes. Depois disso toda a comunicação é criptografada por AES(WPA2) e o RC4(WPA). Seria um método muito seguro se não houvesse a possibilidade de um atacante colocar um Mikrotik com a mesma configuração e negociar a chave normalmente Uma idéia para utilizar essa configuração de forma segura é criando um túnel criptografado PPtP ou L2TP entre os equipamentos depois de fechado o enlace. 135 Trabalhando com certificados • Certificado digital é um arquivo que identifica de forma inequívoca o seu proprietário. • Certificados são criados por instituições emissoras chamadas de CA (Certificate • Os certificados podem ser: – Assinados por uma instituição “acreditada” ( Thawte, etc...) – Certificados auto-assinados. Trabalhando com certificados Certificado digital é um arquivo que identifica de forma inequívoca o seu proprietário. Certificados são criados por instituições emissoras Certificate Authorities). Os certificados podem ser: Assinados por uma instituição “acreditada” (Verisign, assinados. 136 Passos para implementação de EAP com certificados auto Assinados 1. Crie a entidade certificadora(CA) 2. Crie as requisições de Certificados 3. Assinar as requisições na CA 4. Importar os certificados assinados para os 5. Se necessário, criar os certificados para máquinas windows Passos para implementação de EAP-TLS com certificados auto Assinados Crie a entidade certificadora(CA) Crie as requisições de Certificados Importar os certificados assinados para os Mikrotiks Se necessário, criar os certificados para máquinas 137 EAP-TLS sem Radius em ambos lados • O método EAP também pode ser usado com certificados. em ambos lados O método EAP-TLS também pode ser usado com certificados. 138 EAP-TLS sem Radius em ambos lados • Metodos TLS dont verify certificate: Requer um certificado, porém não verifica. no certificates: Certificados são negociados dinamicamente com o algoritmo de Diffie Hellman. verify certificate: Requer um certificado e verifica se foi assinado por uma CA. em ambos lados : Requer um certificado, porém não verifica. : Certificados são negociados dinamicamente com o certificado e verifica se foi assinado 139 WPAx com com radius 140 EAP-TLS com certificado • EAP-TLS (EAP – Transport Layer – O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse método para um Servidor – Prover maior nível de segurança e necessita de certificados em ambos lados(cliente e servidor). – O passo a passo completo para configurar um servidor pode ser encontrado em: http://under-linux.org/wiki/Tutoriais/Wireless/freeradius mikrotik TLS com certificado Layer Security) TLS tanto como cliente como AP e ainda repassa esse método para um Servidor Radius. Prover maior nível de segurança e necessita de certificados em ambos lados(cliente e servidor). O passo a passo completo para configurar um servidor Radius linux.org/wiki/Tutoriais/Wireless/freeradius- 141 EAP-TLS com Radius • A configuração da parte do cliente é bem simples. – Selecione o método EAP-TLS – Certifique-se que os certificados estão instalados e assinados pela CA. – Associe o novo perfil de segurança a interface wireless correspondente. em ambos lados A configuração da parte do TLS certificados estão instalados 142 EAP-TLS com Radius • No lado do AP selecione o método EAP “passthrough”. • Selecione o certificado correspondente. Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado. Caso a data do sistema não esteja correta, poderá causar falha no uso de certificados devido a data validade dos mesmos. em ambos lados ”. 143 Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado. Caso a data do sistema não esteja correta, poderá causar falha no uso de certificados devido a data validade dos mesmos. Segurança de EAP-TLS com • Sem dúvida este é o método mais seguro que podemos obter. Entretanto existe um ponto que podemos levantar como possível fragilidade: – Se um atacante tem acesso físico ao link entre o AP e o ele pode tentar um ataque de força bruta para descobrir a PMK. – Uma forma de proteger este trecho é usando um túnel L2TP. TLS com Radius Sem dúvida este é o método mais seguro que podemos obter. Entretanto existe um ponto que podemos levantar Se um atacante tem acesso físico ao link entre o AP e o Radius ele pode tentar um ataque de força bruta para descobrir a Uma forma de proteger este trecho é usando um túnel L2TP. 144 Ponto de fragilidade Resumo dos metodos implantação e seus problemas. WPA-PSK Chaves presentes nos clientes e acessíveis aos operadores. Método sem certificados Passível de invasão por equipamento que também opere nesse modo. Problemas com processador. Mikrotik com Mikrotik com EAP Método seguro porém inviável economicamente e de implantação praticamente impossível em redes existentes. metodos de implantação e seus problemas. Chaves presentes nos clientes e acessíveis aos operadores. Passível de invasão por equipamento que também opere Problemas com processador. Mikrotik com Mikrotik com EAP-TLS Método seguro porém inviável economicamente e de implantação praticamente impossível em redes existentes. 145 Resumo dos métodos de implantação e seus problemas. Mikrotik com Radius EAP-TLS e EAP-PEAP: Sujeito ao ataque do “homem do meio” e pouco disponível em equipamentos atuais. EPA-TLS Método seguro, porém também não disponível na maioria dos equipamentos. Em placas PCI é possível implementá-lo. Resumo dos métodos de implantação e seus problemas. Sujeito ao ataque do “homem do meio” e pouco disponível Método seguro, porém também não disponível na maioria dos equipamentos. Em placas PCI é possível146 Método alternativo com Mikrotik • A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access e é vinculada ao MAC Address do cliente, possibilitando que cada um tenha sua chave. Método alternativo com Mikrotik A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP do cliente, possibilitando que cada um tenha 147 Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visível a usuários do Mikrotik. Método alternativo com Mikrotik • Por outro lado, o Mikrotik permite que essas chaves sejam distribuídas por esse método muito interessante. • Para isso é necessário: – Criar um perfil WPA2 qualquer; – Habilitar a autenticação via MAC no AP; – Ter a mesma chave configurada tanto no cliente como no Radius. Método alternativo com Mikrotik Por outro lado, o Mikrotik permite que essas chaves sejam distribuídas por Radius, o que torna esse método muito interessante. Criar um perfil WPA2 qualquer; Habilitar a autenticação via MAC no AP; Ter a mesma chave configurada tanto no cliente como 148 Método alternativo com Mikrotik • Configurando o perfil: Método alternativo com Mikrotik 149 Configurando o Arquivo users: (/etc/freeradius) #Sintaxe: # MAC Cleartext-Password # Mikrotik-Wireless 000C42000001 Cleartext-Password Mikrotik-Wireless 000C42000002 Cleartext-Password Mikrotik-Wireless Configurando o Radius Password:=“MAC” Wireless-Psk = “Chave_Psk” Password:=“000C42000001” Wireless-Psk = “12341234” Password:=“000C43000002” Wireless-Psk = “2020202020ABC” 150 Corrigindo o dicionário de atributos VENDOR Mikrotik ATTRIBUTE Mikrotik-Recv-Limit 1 ATTRIBUTE Mikrotik-Xmit-Limit ATTRIBUTE Mikrotik-Group ATTRIBUTE Mikrotik-Wireless-Forward ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x ATTRIBUTE Mikrotik-Wireless-Enc-Algo ATTRIBUTE Mikrotik-Wireless-Enc-Key ATTRIBUTE Mikrotik-Rate-Limit ATTRIBUTE Mikrotik-Realm ATTRIBUTE Mikrotik-Host-IP ATTRIBUTE Mikrotik-Mark-Id ATTRIBUTE Mikrotik-Advertise-URL ATTRIBUTE Mikrotik-Advertise-Interval ATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14 ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords ATTRIBUTE Mikrotik-Wireless-Psk (/usr/share/freeradius/dictionary Corrigindo o dicionário de atributos 14988 integer 2 integer 3 string 4 integer 5 integer 6 integer 7 string 8 string 9 string 10 ipaddr 11 string 12 string 13 integer integer 15 integer 16 string 151 dictionary.mikrotik) Firewall no MikrotikFirewall no Mikrotik 152 Firewall • O firewall é normalmente usado como ferramenta de segurança para prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de entrada, de saída e passante. • Além da segurança é no firewall que serão desempenhadas diversas funções importantes como a classificação e marcação de pacotes para desenvolvimento de regras de QoS. • A classificação do tráfego feita no firewall pode ser baseada em vários classificadores como endereços MAC, endereços IP, tipos de endereços IP, portas, TOS, tamanho do pacotes, etc... Firewall O firewall é normalmente usado como ferramenta de segurança para prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de Além da segurança é no firewall que serão desempenhadas diversas funções importantes como a classificação e marcação de pacotes para A classificação do tráfego feita no firewall pode ser baseada em vários classificadores como endereços MAC, endereços IP, tipos de endereços IP, portas, TOS, tamanho do pacotes, etc... 153 Firewall - Opções Filter Rules: Regras para filtro de pacotes. NAT: Onde é feito a tradução de endereços e portas. Mangle: Marcação de pacotes, conexão e roteamento. Service Ports: Onde são localizados os NAT Connections: Onde são localizadas as conexões existentes. Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e que podem ser utilizadas em várias partes do firewall. Layer 7 Protocols: Filtros de camada 7. Opções : Regras para filtro de pacotes. : Onde é feito a tradução de endereços e portas. : Marcação de pacotes, conexão e roteamento. : Onde são localizados os NAT Helpers. : Onde são localizadas as conexões existentes. inseridos de forma dinâmica ou estática e que podem ser utilizadas em várias partes do firewall. 154 Firewall – Canais default • O Firewall opera por meio de regras. Uma regra é uma expressão lógica que diz ao roteador o que fazer com um tipo particular de pacote. • Regras são organizadas em canais( canais “default”. – INPUT: Responsável pelo tráfego que – OUTPUT: Responsável pelo tráfego que – FORWARD: Responsável pelo tráfego que Canais default O Firewall opera por meio de regras. Uma regra é uma expressão lógica que diz ao roteador o que fazer com um tipo particular de pacote. Regras são organizadas em canais(chain) e existem 3 : Responsável pelo tráfego que CHEGA no router; : Responsável pelo tráfego que SAI do router; : Responsável pelo tráfego que PASSA pelo router. 155 Firewall – Fluxo de pacotes • Para maiores informações acesse: http://wiki.mikrotik.com/wiki/Manual:Packet_Flow Interface de Entrada Filtro Forward Processo Local IN Filtro Input Decisão de Roteamento Fluxo de pacotes Packet_Flow 156 Interface de Saida Forward Processo Local OUT Filtro Output Decisão de Roteamento Firewall – Princípios gerais 1. As regras de firewall são sempre processadas por canal, na ordem que são listadas de cima pra baixo. 2. As regras de firewall funcionam como expressões lógicas condicionais, ou seja: “se <condição> então <ação>”. 3. Se um pacote não atende TODAS ele passa para a regra seguinte. Princípios gerais As regras de firewall são sempre processadas por canal, na ordem que são listadas de cima pra baixo. As regras de firewall funcionam como expressões lógicas condicionais, ou seja: “se <condição> então <ação>”. TODAS condições de uma regra, ele passa para a regra seguinte. 157 Firewall – Princípios gerais 4. Quando um pacote atende regra, uma ação é tomada com ele não importando as regras que estejam abaixo nesse canal, pois elas não serão processadas. 5. Algumas exceções ao critério acima devem ser consideradas como as ações de: “ “add to address list”. 6. Um pacote que não se enquadre em qualquer regra do canal, por padrão será aceito. Princípios gerais Quando um pacote atende TODAS as condições da regra, uma ação é tomada com ele não importando as regras que estejam abaixo nesse canal, pois elas Algumas exceções ao critério acima devem ser consideradas como as ações de: “passthrough”, log e Um pacote que não se enquadre em qualquer regra do canal, por padrão será aceito. 158 Firewall – Filters • As regras de filtro pode ser organizadas e mostradas da seguinte forma: – all: Mostra todas as regras. – dynamic: Regras criadas dinamicamente por serviços. – forward, input output: Regras referente a cada canal. – static: Regras criadas estaticamente pelos usuários. Filters Rules As regras de filtro pode ser organizadas e mostradas da seguinte forma: : Regras criadas dinamicamente por serviços. : Regras referente a cada canal. : Regras criadas estaticamente pelos usuários. 159 Firewall – Filters Algumas ações
Compartilhar