Boas Práticas em Segurança e Qualidade com o MikroTik RouterOSPor Leonardo Rosa, BRAUSER, Brasil

Apresentação

Leonardo Rosa

Cursou Análise de Sistemas na Universidade Católica de Salvador e

Gestão em TI na Faculdade Área1, também em Salvador. Consultor em

Internetworking desde 2006, Instrutor Oficial da MkroTik desde 2012.

Tem experiência com FreeBSD, Linux, Cisco e MikroTik RouterOS.

Atualmente ministra treinamentos oficiais da MikroTik pela BRAUSER,

Redes Brasil e Lancore Networks.

Boas Práticas

Segurança

Firewall statefull

Reverse Path Filter (RPF)

Qualidade

FastTrack seletivo

Segurança

A Internet como ela é

A Internet funciona como funciona a sociedade.

Com ela temos vida digital, temos lixo eletrônico, temos crimes

cibernéticos, temos responsabilidades e políticas de boa vizinhança.

A Internet e as Coisas

Firewall statefull

Um Firewall statefull pode garantir maior controle e segurança à uma

rede desde que sejam usadas políticas restritivas como:

Todo novo tráfego deve vir de origem conhecida

Apenas tráfegos previstos podem vir de origem desconhecida

Menos exposição, mais proteção

Mais controle, menos exploração

FIREWALL STATEFULL

/ip firewall filter

add chain=forward connection-state=established,related

add chain=forward connection-state=new src-address-list=LAN

add chain=forward connection-state=new dst-address-list=FW-OFF

Lembrar de:

❖ Permitir LAN-LAN

❖ Negar o resto

Reverse Path Filter (RPF)

O Reverse Path Filter é recurso eficiente no controle de IP spoofing e

está disponível no RouterOS a partir da versão 6.

/ip settings set rp-filter=(strict | loose | no)

strict: valida na FIB a interface de origem

loose: valida na FIB em qualquer interface

no: recurso desativado

Qualidade

FastTrack seletivo

Pacotes em conexões fasttrack ignoram outras configurações de firewall,

connection tracking, simple queues, queue tree com parent=global, ip traffic-

flow, ip accounting, ipsec, hotspot universal client, atribuições vrf.

Então cabe ao administador garantir que o fasttrack não vai interferi em outras

configurações.

SETUP (fasttrack)

/ip firewall filter

add place-before=0 chain=forward connection-

state=established,related \ action=fasttrack-connection \

in-interface=!vlan-proxy out-interface=!vlan-proxy

add place-before=0 chain=forward \

connection-state=established,related

SETUP (fasttrack)

FASTTRACK (conferindo ativação do recurso)

/ip settings

FastTrack ON x OFF (/system resource)

FastTrack ON x OFF (/tool profile)

FastTrack ON x OFF

CPU(/system resource cpu)

FastTrack ON x OFF (/queue | tree)

Considerações

O tráfego que faz uso do FastTrack, não passa nem por filtros de firewall nem

por queues que façam uso da interface global (simple queue e queue tree).

Para usar o FastTrack em tráfegos específicos, é necessário marcar este

tráfego anteriormente.

Conclusão

O uso do FastTrack pode ser feito indiscriminadamente em roteadores

compatíveis que não façam uso de Queues, como na BORDA, onde geralmente

usa-se apenas firewall e protocolos de roteamento.

Leonardo Rosa

leonardo@brauser.com.br

www.brauser.com.br

19 | 981-661-728 [] TIM

19 | 971-108-523 [] Vivo

Obrigado