treinamento mikrotik - mtcwe

8/17/2019 TREINAMENTO MIKROTIK - MTCWE

1/161

TREINAMENTO MIKROTIK

CERTIFICAÇÃO – MTCWE

Produzido por: Alive Solutions

www.guilhermeramires.comInstrutor: Guilherme Ramires


2/161

AGENDA

Treinamento diário das 09:00hs às 19:00hs

Coffe break as 16:00hs

Almoço as 13:00hs – 1 hora de duração

2


3/161

Algumas regras importantes

• Por ser um curso oficial, o mesmo não poderáser filmado ou gravado

• Procure deixar seu aparelho celular desligadoou em modo silencioso

• Durante as explanações evite as conversasparalelas. Elas serão mais apropriadas noslaboratórios

• Desabilite qualquer interface wireless oudispositivo 3G em seu laptop

3


4/161

Algumas regras importantes

• Perguntas são sempre bem vindas. Muitas

vezes a sua dúvida é a dúvida de todos.

• O acesso a internet será disponibilizado para

.evite o uso inapropriado.

• O certificado de participação somente seráconcedido a quem obtiver presença igual ousuperior a 75%.

4


5/161

Apresente-se a turma

• Diga seu nome;

• Sua empresa;• Seu conhecimento sobre o RouterOS;

• Seu conhecimento com redes;• O que você espera do curso;

• Lembre-se de seu número: XY

5


6/161

Objetivo do Curso• Proporcionar conhecimento e treinamento

prático para Mikrotik RouterOS comrecursos avançados sem fio para redes de

6

pequeno e m o por e.• Introduzir a rede sem fios 802.11n• Após a conclusão do curso, você será

capaz de planejar, implementar, ajustar edepurar problemas em redes wireless no

MikroTik RouterOS.


7/161

Tópicos• Visão geral dos padrões Wireless

• Ferramentas Wireless• Solução de problemas dos clientes

7

wreess• Opções Avançadas Wireless

– DFS e country regulation

– Data Rates e TX-power – Virtual AP


8/161

Tópicos (cont.)• Segurança na Wireless

– Access List e Connect List – Gerenciamento de Frame Protection – RADIUS MAC Authentication – Encr tion

8

• Wireless WDS e MESH• Bridges Wireless Transparentes

– WDS

– VPLS/MPLS• Protocolo Wireless Nstreme• 802.11n


9/161


10/161

Setup na RouterBoard• Modifique seu System Identity e Radio Name por

seu “XY – SEU_NOME”

• Verifique se seu Mikrotik RouterOS está com aversão 4.14 ou superior

10

• Modifique seu NTP client – use a.ntp.br paraprimário e b.ntp.br para secundário

• Cheque a conectividade com internet e faça um

backup da configuração


11/161

Padrões Wireless• 802.11b – 11Mbps, 2.4Ghz

• 802.11g – 54Mbps, 2.4Ghz• 802.11a – 54Mbps, 5Ghz

11

• 802.11n – 300Mbps, 2.4/5Ghz


12/161

Bandas Wireless• 2Ghz

– B, B/G, Only-G, G-Turbo, Only-N, B/G/N,5mhz, 10mhz

12

– A, A-Turbo, Only-N, A/N, 5mhz, 10mhz


13/161

Bandas Suportadas por chipset

• AR5213/AR5414 – A/B/G, G-Turbo, A-Turbo, 5Mhz, 10Mhz•

13

– A/B/G/N, 5Mhz*, 10Mhz*

*não suportado completamente


14/161


15/161

Scan List• Frequências padrão da lista de verificação serão

mostradas em negrito no campo de freqüência(Somente no Winbox)• Valores padrão do scan-list serão mostrados

' '

15

• Faixas de freqüência podem ser especificadas

por um traço. Ex.: 5500-5700• Frequências exatas são especificadas por

virgulas. Ex.: 5500,5520,5540• É possível mesclar também.

Ex.: Default,5520,5540,5600-5700


16/161

Ferramentas de Site Survey• Scan

• Frequency Usage• Spectral Scan/History

16

• Snooper• Align

• Sniffer


17/161

Scan

A -> Ativa

B -> BSS

P -> Protegida

R -> Mikrotik

• Escaneia o meio.

Obs.: Qualquer operação de site survey causaqueda das conexões estabelecidas.

17

N -> Nstreme


18/161

Uso de frequênciasMostra o uso das

frequências em todo oespectro para site

banda selecionada nomenu wireless.

18


19/161

Scan de spectro• Possível somente em Chipsets Atheros

802.11n• Alcance

19

– g z, g z, cana a ua ou a xa• Valores – média, pico médio, interferência, máximo,

mínimo• Exemplos classificavéis

– wifi, bluetooth, microondas, etc


20/161

Historico Spectral• Representa o espectrograma em lote

• Mostra níveis de potência impressos emdiferentes cores

20

• pç o e u o - execuç es e ca a n aconforme impresso – Cada linha é tocada da esquerda para a

direita, com freqüências mais elevadascorrespondendo aos valores mais elevadosno espectrograma


21/161

Historico Spectral

21


22/161

Spectral-scan

22


23/161

Spectral-scan• Monitora continuamente os dados espectrais

• Cada linha representa um bloco doespectrograma conforme abaixo: – Fre uência

23

– Valor numérico médio de rx – Características do gráfico de barras

• Valor médio da potência - ':'

• Pico médio sustentado - '.'• Máxima flutuação única- ':'

• Também é possível mostrar opções de

interferência


24/161

Alinhamento

• Ferramenta de alinhamento com sinal sonoro – Colocar o MAC do AP remoto no campo Filter MAC

Address e Audio Monitor.

Rx Quality: Potência em dBm do último pacote recebido

Avg. Rx Quality: Potência média dos pacotes recebidos

Last Rx: Tempo em segundos do último pacote recebido

Tx Quality: Potência do último pacote transmitido

Last TX: Tempo em segundos do último pacote transmitido

Correct: Número de pacotes recebidos sem erro 24


25/161

Sniffer

Ferramenta parasniffar o ambientewireless captando e

decifrando pacotes.

Muito útil para

tipo deauth emonkey jack.

Pode ser arquivado

no próprio Mikrotikou passado porstreaming para outroservidor comprotocolo TZSP.

25


26/161

Snooper

Com a ferramenta snooper é possível monitorar a cargade tráfego em cada canal por estação e por rede.

Scaneia as frequências definidas em scan-list da interface

26


27/161

DFS

• no radar detect: escaneia o meioe escolhe o canal em que forencontrado o menor número deredes

• radar detect: escaneia o meio e

operação no canal escolhido senão for detectada a ocupação docanal

• Obs.: O modo DFS é obrigatóriono Brasil para as faixas de 5250-5350 e 5350-5725

27


28/161

DFS Lab• Setor 1 habilita modo AP em 5180Mhz

• Setor 2 e habilita modo AP em 5280Mhz• Habilite o DFS mode em “no radar detect”

28

• serve os sa os e requ nc a


29/161

Frequency Mode - Potências

default: Não altera a potência original do cartão

cards rates: Fixa mas respeita variações das taxas para cada velocidadeall rates fixed: Fixa um valor para todas velocidades

manual: permite ajustar potências diferentes para cada velocidade

29


30/161

Frequency Mode - Potências

Quando a opção “regulatory domain” está habilitada, somente as

frequências permitidas para o país selecionado em “Country”estarão disponíveis. Além disso o Mikrotik ajustará a potência dorádio para atender a regulamentação do país, levando em conta ovalor em dBi informado em “Antenna Gain”.

Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.1330


31/161

Analisando a tabela de registropara solucionar problemas na

31

conexão


32/161

Solução de problemas de

clientes wireless• ACK-timeout• CCQ•

32

• Frames x HW-frames• Data-rate flapping


33/161

Tabela Registration

33


34/161

CCQ – Client Connection Quality• Valor em porcentagem que mostra o quão

eficaz a largura de banda é usada emrelação à largura de banda máxima teóricadisponível

34

• Média ponderada de valores de Tmin/Trealcalculada para cada frame transmitido – Tmin é o tempo que seria necessário para

transmitir determinado frame na taxa maiselevada, sem re-transmissões – Treal é o tempo real tomado para transmitir o

frame


35/161

Frames x HW-frames• Retransmissões são quando a placa envia um

frame e você não recebe de volta oreconhecimento (ACK), então você envia oframe mais uma vez até você receber a

35

confirmação• Se o valor hw-frames é maior que o valor deframes, então isso significa que o enlace está

fazendo retransmissões• No caso do Nstreme você não pode compararos quadros com hw-frames


36/161

Usando as configuraçõesavançadas para solução de

problemas e ajustes finos aconexão sem fio

36


37/161

Opções Wireless Avançadas• Aba Advanced no menu Wireless

• HW-retries• HW-protection

37

– RTS/CTS – CTS to self

• Adaptive-noise-immunity

• Configuration Reset• WMM


38/161

Wireless Advanced

38


39/161

Advanced Wireless Tab• Area – string que descreve o AP, utilizado na

connect list de clientes que se conectamescolhendo o AP pela área de prefixo

• Ack-timeout – tempo limite de confirmação de" "

39

,• Periodic-calibration – para garantir o

desempenho do chipset em casos de excessode temperatura e mudanças ambientais


40/161

HW-retries• Número de tentativas de envio de framesaté que a transmissão seja considerada

falha• Data rate é diminuido a cada falha

40

,falhas seqüenciais ativa a pausa datransmissão on-fail-retry então o tempo e ocontador são reiniciados

• O frame será retransmitido até o sucessoou até que o cliente seja desconectado


41/161

HW-protection• Frame protection ajuda a conter o

problema do nó escondido• Proteção CTS/RTS

“ ”

41

• hw-protection-threshold – limite detamanho do frame em que a proteção

deve ser usada; 0 - utilizado para todos osframes


42/161

RTS/CTS based protection• Proteção baseada no RTS/CTS

– Quando o dispositivo está disposto a enviarframes, inicialmente envia RequestToSend ea uarda ClearToSend do destino

42

– Recebendo frames RTS ou CTS dedispositivos 802.11 é possível saber quandoiniciar uma transmissão e consequentemente

quando não se deve iniciar uma transmissão.

Proteção baseada em


43/161

Proteção baseada em

“CTS to self”• Proteção baseada em "CTS to self"

– Dispositivo dispostos a enviar frames enviamframe CTS "para si“. – Conforme o protocolo 802.11, dispositivos

43

que recebem este frame sabem que nãopodem transmitir. – A proteção "CTS to self" causa menos

overhead, porém é importante lembrar que aproteção só funcionará para os dispositivosque receberem o frame CTS do AP.


44/161

“CTS to self” ou RTS/CTS• Se houver duas ou mais estações

“escondidas” a proteção "CTS to self" nãoterá efeito, porque elas não serão capazes

44

estações – neste caso as estações devemutilizar a proteção RTS/CTS para que asoutras estação não transmitam quandoreceberem frames CTS enviados pelo AP.

• Você deve optar por utilizar somente um

tipo de proteção.


45/161

HW-fragmentation-threshold• É o tamanho máximo do fragmento em bytes,transmitido pela mídia sem fio

• Este recurso permite que pacotes sejamfragmentados antes da transmissão sobre omeio sem fio para aumentar a probabilidade de

45

• Somente fragmentos que não foramtransmitidos corretamente serão retransmitidos.

• Envio de pacote fragmentado é menos eficiente

que a transmissão de pacotes nãofragmentados devido à sobrecarga de protocoloe uso de recursos em ambos lados -transmissão e recepção


46/161

Adaptive-noise-immunity• Ajusta vários parâmetros do receptor

dinamicamente para minimizar interferências e

ruídos sobre a qualidade do sinal• Recurso proprietário presente em Chipsets

Atheros 5212 ou superiores

46

• Utiliza mais CPU• São 3 opções: – None – desabilitado – Client-mode – é utilizado somente no modo station ou

station-wds – Ap-and-client-mode – Habilitado em qualquer modo

(ponto-a-ponto ou ponto-multi-ponto).


47/161

Wireless Configuration reset• Algumas vezes

quando fazemosdiversas alteraçõesavançadas é

47

cenário padrão.• Para isso use o botão

“Reset Configuration”

para zerar todasconfigurações docartão.


48/161

Wireless MultiMedia (WMM)• São 4 filas de transmissões com

prioridades:• 1,2 – background

48

, –

• 4,5 – video• 6,7 – voice

• Prioridades podem ser setadas por:• Bridge ou IP firewall• Ingress (VLAN ou WMM)

• DSCP

WMM P E t i


49/161

WMM e Prop. Extensions

• WMM Support: QoS no meiofísico(802.11e)

– enabled: permite que o outro dispositivouse wmm

–

use wmm

– disabled: desabilita a função wmm

• Proprietary Extensions: Opção coma única finalidade de darcompatibilidade com chipsets

Centrino. 49

Data Rates


50/161

Data Rates

• A velocidade em uma redewireless é definida pelamodulação que os dispositivosconseguem trabalhar.

Supported Rates: São asvelocidades de dados entre o APe os clientes.

Basic Rates: São as velocidadesque os dispositivos secomunicam independentementedo tráfego de dados (beacons,

sincronismos, etc...) 50

Opções de mudança nos


51/161

Opções de mudança nos

Data rates• Baixar o maior supported data rates em clientes

com problema de sinal, diminui o número de

flaps• Baixar o maior supported data rates no AP, caso

a maioria dos clientes estejam com problemas

51

pra conectar em velocidades superiores, diminuia capacidade da célula porém aumenta suaestabilidade.

• Não é recomendado desabilitar todos os data

rates baixos, deixando somentes os altos, poispode ocorrer diversas desconexões.• Observe que tanto o AP como o Cliente devem

suportar os mesmos Basic rates para que o linkwireless seja estabelecido.


52/161

Data rates• Configure o AP para permitir data rates de

até 24Mbps e teste o máximo throughput

52

• on gure o para perm t r somente54Mbps e teste o máximo throughput e aestabilidade da conexão.


53/161

Virtual AP• Usado para criar um novo AP com base

nas informações físicas do cartão wireless• Funciona em cartões Atheros AR5212 esu eriores

53

• Limitado a 128 APs por cartão.• Usa diferentes endereços MAC• Pode ter seu próprio SSID, security profile,

Access/Connect-list, extenções WDS , etc.


54/161

Exemplo de AP Virtual

54


55/161

Virtual AP Lab• Trabalho em grupo• Conectem 2 routers por cable ethernet• Configurações do primeiro router:

– Crie duas interfaces VLAN na ethernet – Crie 2 hotspots – um em cada VLAN – Em um Hotspot altere a cor do fundo da tela de login

• Adicionem a linha background-color: #A9F5A9; no corpo do arquivo login.html

55

– Crie duas interfaces VLAN na ethernet com os mesmos VLAN ID doprimeiro router – Crie 2 APs Virtual com diferentes SSID – Coloque em bridge a primeira VLAN com o primeiro AP Virtual – Coloque em bridge a segunda VLAN com o segundo AP Virtual

• Conecte em cada AP virtual e verifique a página de login• Em seguida resetem as configurações e troquem as tarefas


56/161

Gerenciamento de Acesso• default-forwarding (no AP) – Define se osclientes conectados ao mesmo cartão podem ter

conectividade direta.• default-authentication – No caso do AP define

56

u u u

somente os que estiverem na access list. Nocaso da station o que estiver na connect list.

• Sempre que houver uma access list ouconnect list, prevalece o que estiver nessaslistas.


57/161

Access/Connect Lists• Access List é o filtro de autenticação do AP

• Connect List é o filtro de autenticação do cliente• As entradas nesta lista são ordenadas, assimcomo no firewall, cada re uisi ão de autentica ão

57

terá que passar desde a primeira entrada até aque atenda suas necessidades.

• Pode existir várias entradas para o mesmo

endereço MAC e uma única entrada para osdemais endereços MAC.

• Cada registro pode ser especificado para cada

cartão ou para qualquer cartão do roteador.


58/161

Access List• Podemos especificar uma política de

autenticação para uma range de nível de sinal.• Exemplo: permitir somente conexões de clientes com

bom nível de sinal

58

autenticação para um determinado período.• Exemplo: permitir somente conexões no horáriocomercial

• Podemos especificar uma política deautenticação conforme o perfil de segurança:• Exemplo: permitir que “aquele” cliente se conecte ao

AP somente com a senha escolhida para ele.

Wireless Access List


59/161

Wireless Access List

59


60/161

Wireless Connect List• Permite ou nega conexão ao AP baseado em:

• SSID

• MAC address do AP

• Prefixo de Area do AP

60

• Range de níve de sinal

• Security Profile

• É possível priorizar conexão a um AP em relação

ao outro somente trocando a ordem de entradana lista.

• A Connect list em redes WDS, quando você quer

priorizar conexão com um determinado AP


61/161

Access/Connect List• APs: Pessoas do Setor1 alterem o modo

da wireless para “AP Bridge”• Clientes: Pessoas do Setor2 vão conectar

61

• Garanta que você esteja conectado ao AP

correto

• Em seguida o Setor1 permitirá somenteconexões do seu parceiro equivalente.

• Em seguida apaguem as entradas e

invertam os papéis.

Segurança de Acesso em redes


62/161

g ç

sem fio

62

Segurança na Wireless


63/161


• Autenticações

– PSK – EAP

63

• ncr p aç es – AES

– TKIP

– WEP• Segurança por EAP RADIUS

Falsa segurança


64/161

g ç

• Nome da rede escondido: – Pontos de acesso sem fio por

padrão fazem o broadcast de seu

SSID nos pacotes chamados“beacons”. Este comportamentopode ser modificado no Mikrotik

“ ”.

• Pontos negativos: – SSID deve ser conhecido pelos

clientes

– Scanners passivos o descobremfacilmente pelos pacotes de“probe request” dos clientes.

64

Falsa segurança


65/161

g ç

• Controle de MACs:

–

Descobrir MACs que trafegam no ar émuito simples com ferramentasr ri in l iv Mikr ik m

sniffer.

– Spoofar um MAC é bem simples. Tanto

usando windows, linux ou Mikrotik.

65

Falsa segurança


66/161

g ç

• Criptografia WEP: – “Wired Equivalent Privacy” – Foi o sistema de

criptografia inicialmente especificado no padrão802.11 e está baseado no compartilhamento de umsegredo entre o ponto de acesso e os clientes,usando um algoritmo RC4 para a criptografia.

– r as rag a es a oram reve a as ao ongo

do tempo e publicadas na internet, existindo váriasferramentas para quebrar a chave, como:AirodumpAirreplay

Aircrack• Hoje com essas ferramentas é bem simples

quebrar a WEP.

66

WEP (obsoleto)


67/161

WEP (obsoleto)

67

Fundamentos de Segurança


68/161

g ç

PrivacidadeAs informações não podem ser legíveis para

terceiros.

Integridade

em transito.

AutenticaçãoAP Cliente: O AP tem que garantir que o cliente

é quem diz ser.Cliente AP: O cliente tem que se certificar que

está conectando no AP correto. Um AP falsopossibilita o chamado ataque do “homem do meio”.

68

Privacidade e Integridade


69/161

Tanto a privacidade como a integridade sãogarantidos por técnicas de criptografia.

O algoritmo de criptografia de dados em WPA éo RC4, porém implementado de uma forma bem

-.

AES.

Para a integridade dos dados WPA usaTKIP(Algoritmo de Hashing “Michael”) e WPA2 usaCCM(Cipher Chaining Message AuthenticationCheck – CBC – MAC)

69

TKIP


70/161

TKIP

• Temporal Key Integrity Protocol é oprotocolo de segurança usado em redeswireless do tipo IEEE 802.11

•

70

baseadas no algoritmo RC4• Ao contrário da WEP a TKIP fornece

• Mistura de chave por pacote,• Mensagem de verificação de integridade,

• Mecanismo de re-criação de chave

AES-CCM


71/161

AES CCM

• AES - Advanced Encryption Standard é

um codificador em bloco que funciona comum tamanho de bloco fixo de 128 bits e

71

,

Unicast Cipher


72/161

Unicast Cipher

• Tanto no AP como na Station pelo menos

um tipo de criptografia deve ser escolhidapara que seja estabelecida conexão entre

72

.

Group Cipher


73/161

Group Cipher

• Para o AP

– Se um AP estiver utilizando grupos decriptografia (AES e TKIP), o método maisse uro será escolhido – AES

73

• Para a Station – Se uma Station usa ambos grupos de

criptografia ela irá conectar em qualquer AP

que suporte qualquer método.

Chave WPA e WPA2 - PSK


74/161

• A configuração da chaveWPA/WAP2-PSK é muitosimples no Mikrotik.

• Configure o modo de chavedinâmico e a chave pré-

combinada para cada tipode autenticação.

Obs.: As chaves sãoalfanuméricas de 8 até 64caracteres.

74

Segurança de WPA / WPA2


75/161

• Atualmente a única maneira conhecida para sequebrar a WPA-PSK é somente por ataque de

dicionário.

• Como a chave mestra PMK combina umacontra-senha com o SSID, escolhendopalavras fortes torna o sucesso de força brutapraticamente impossível.

• A maior fragilidade paras os WISP’s é que achave se encontra em texto plano noscomputadores dos clientes ou no próprioMikrotik.

75

Configurando EAP-TLS – Sem


76/161

CertificadosCrie o perfil EAP-TLS e associe ainterface ireless cliente!

76

Segurança de EAP-TLS semcertificados


77/161

ce t cados• O resultado da negociação anônima resulta em

uma chave PMK que é de conhecimentoexclusivo das duas partes. Depois disso toda a

comunicação é criptografada por AES(WPA2) e oRC4(WPA).

a possibilidade de um atacante colocar umMikrotik com a mesma configuração e negociar achave normalmente como se fosse um cliente.

• Uma idéia para utilizar essa configuração deforma segura é criando um túnel criptografadoPPtP ou L2TP entre os equipamentos depois defechado o enlace.

77

Trabalhando com certificados


78/161

• Certificado digital é um arquivo queidentifica de forma inequívoca o seu

proprietário.• Certificados são criados or institui ões

emissoras chamadas de CA (CertificateAuthorities).

• Os certificados podem ser:

– Assinados por uma instituição “acreditada”(Verisign, Thawte, etc...) – Certificados auto-assinados.

78

Passos para implementação deEAP-TLS com certificados auto


79/161

Assinados

1. Crie a entidade certificadora(CA)

2. Crie as requisições de Certificados

3. Assinar as requisições na CA

4. Importar os certificados assinados para os

Mikrotiks

5. Se necessário, criar os certificados paramáquinas windows

79

EAP-TLS sem Radius emambos lados


80/161

• O método EAP-

TLS tambémpode ser usado

80

EAP-TLS sem Radius emambos lados


81/161

• Métodos TLS

dont verify certificate: Requer umcertificado, porém não verifica.

negociados dinamicamente com oalgoritmo de Diffie Hellman.

verify certificate: Requer um

certificado e verifica se foiassinado por uma CA.

81

WPAx com radius


82/161

82

EAP-TLS com certificado


83/161

• EAP-TLS (EAP – Transport Layer Security)

– O Mikrotik suporta EAP-TLS tanto como cliente comoAP e ainda repassa esse método para um ServidorRadius.

– Prover maior nível de segurança e necessita decertificados em ambos lados(cliente e servidor).

– O passo a passo completo para configurar um servidorRadius pode ser encontrado em:http://under-linux.org/wiki/Tutoriais/Wireless/freeradius-mikrotik

83

EAP-TLS com Radius emambos lados


84/161

• A configuração da partedo cliente é bem

simples. – Selecione o método

-

– Certifique-se que oscertificados estãoinstalados e assinadospela CA.

– Associe o novo perfil desegurança a interfacewireless correspondente.

84


85/161

Segurança de EAP-TLS comRadius


86/161

• Sem dúvida este é o método mais seguro quepodemos obter. Entretanto existe um ponto quepodemos levantar como possível fragilidade:

– Se um atacante tem acesso físico ao link entre oAP e o Radius ele pode tentar um ataque de forçabruta para descobrir a PMK.

– Uma forma de proteger este trecho é usando um

túnel L2TP. 86

Ponto de fragilidade

Resumo dos métodos de


87/161

implantação e seus problemas.WPA-PSKChaves presentes nos clientes e acessíveis aos

operadores.

Método sem certificados

opere nesse modo.Problemas com processador.

Mikrotik com Mikrotik com EAP-TLS

Método seguro porém inviável economicamente e deimplantação praticamente impossível em redesexistentes.

87

Resumo dos métodos de


88/161

implantação e seus problemas.Mikrotik com Radius

EAP-TLS e EAP-PEAP:Sujeito ao ataque do “homem do meio” e poucodisponível em equipamentos atuais.

EPA-TLS

Método seguro, porém também não

disponível na maioria dos equipamentos.Em placas PCI é possível implementá-lo.

88

Método alternativo com Mikrotik


89/161

• A partir da versão 3 o Mikrotik oferece a possibilidade dedistribuir uma chave WPA2 PSK por cliente. Essa chave éconfigurada na Access List do AP e é vinculada ao MAC

Address do cliente, possibilitando que cada um tenha suachave.

89

"#s!$ Cadastrando as PS na access list,

voltamos ao pro#lema da c)ave ser

vis.vel a 's'(rios do Mikrotik!



90/161

• Por outro lado, o Mikrotik permite queessas chaves sejam distribuídas por

Radius, o que torna esse método muitointeressante.

• Para isso é necessário: – Criar um perfil no modo NONE; – Habilitar a autenticação via MAC no AP; – Ter a mesma chave configurada tanto no

cliente como no Radius.

90

RADIUS MAC Authentication


91/161

91



92/161

92

RADIUS MAC Authentication


93/161

• Opção de autenticação remota através de umservidor RADIUS

• É possível utilizar este recurso para autenticar edesautenticar um cliente em um determinado AP

93

• MAC mode – username ou username andpassword

• MAC Caching Time – quanto tempo a resposta

de autenticação RADIUS para autenticação deendereços MAC, se considerados válidos para ocache

Configurando o cliente RADIUS


94/161

• Crie um clienteRADIUS no menu

‘Radius’• Especifique o serviço,

94

servidor RADIUS esenha• A aba Status mostra

os andamento dasrequisições.

Configurando o Radius


95/161

Arquivo users: (/etc/freeradius)

#Sintaxe:# MAC Cleartext-Password:=“MAC”

# Mikrotik-Wireless-Psk = “Chave_Psk” _

000C42000001 Cleartext-Password:=“000C42000001”

Mikrotik-Wireless-Psk = “12341234”

000C42000002 Cleartext-Password:=“000C43000002”Mikrotik-Wireless-Psk = “2020202020ABC”

95

Corrigindo o dicionário de atributos/0'sr0s)are0freeradi's0dictionar1!mikrotik2


96/161

VENDOR Mikrotik 14988

ATTRIBUTE Mikrotik-Recv-Limit 1 integer

ATTRIBUTE Mikrotik-Xmit-Limit 2 integer

ATTRIBUTE Mikrotik-Group 3 stringATTRIBUTE Mikrotik-Wireless-Forward 4 integer

ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x 5 integer

- - -

ATTRIBUTE Mikrotik-Wireless-Enc-Key 7 string

ATTRIBUTE Mikrotik-Rate-Limit 8 stringATTRIBUTE Mikrotik-Realm 9 string

ATTRIBUTE Mikrotik-Host-IP 10 ipaddr

ATTRIBUTE Mikrotik-Mark-Id 11 string

ATTRIBUTE Mikrotik-Advertise-URL 12 string

ATTRIBUTE Mikrotik-Advertise-Interval 13 integerATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14 integer

ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords 15 integer

ATTRIBUTE Mikrotik-Wireless-Psk 16 string

96



97/161

• Estabeleça um link entre você e seuparceiro:• Escolham e combinem entre si um perfil de

97

.

• Utilizem a access list para testar o métodowpa-psk com senhas individuais.

Management Frame Protection


98/161

• RouterOS implementa uma chave degerenciamento de proteção de frame.

• Dispositivos wireless RouterOS podemverificar a veracidade da ori em do frame

98

e confirmar se este frame particular émalicioso ou não.

• Isso previne o atacante de lançar o típico

ataque de desautenticação.

Management Protection SettingsC fi d fil d


99/161

• Configurada no perfil de segurança – disabled - desabilita o recurso

– allowed - habilita o recurso caso o outro lado suporte• Para o AP – permite ambos metodos - com ou sem recurso• Para o cliente- conecta em APs com ou sem o método

99

– required - estabelece conexões com dispositivos

remotos somente se eles suportarem o método• Para o AP – aceita somente cliente que suportam o método• Para o client – conecta somente em APs que suportam o

método.


100/161

Wireless WDS and MESH

100

WDS and MESH


101/161

• Modos WDS:

– Dynamic WDS – Static WDS

101

• r ge

• HWMP+ MESH – Modo Reactive

– Modo Proactive – Portais

WDS – Wireless Distribution

System


102/161

System• WDS permite criar uma grande coberturawireless personalizada usando vários

APs. O que seria impossível fazer apenascom um AP

102

• WDS permite que os pacotes passem deum AP para outro, como se os APsfossem portas de um switch Ethernet

• Os APs devem usar mesma banda,mesmo SSID e operar no mesmo canal.

Wireless Distribution System


103/161

• O AP (modo bridge/ap-bridge) pode criar linksWDS com:

• Outro AP em modo bridge/ap-bridge• Outro AP em modo wds-slave

103

-

• Você deve desabilitar o DFS caso você tenhamais de um AP em modo bridge/ap-bridge esua rede WDS

• A implementação do WDS pode diferenciar defabricamente para fabricamente – portanto podeser que não haja compatibilidade WDS entrediferentes fabricantes.

Configuração do WDS


104/161

• Existem 4 modos de operação do WDS• Dynamic – as interfaces WDS são criadas

automaticamente conforme se conecta a outrodispositivo compatível

104

–

manualmente• Dynamic-mesh – o mesmo que o modo dinâmico,porém com suporte HWMP+ (proprietário Mikrotik enão compatível com outros fabricantes.)

• Static-mesh – mesmo que o modo estático, porémcom suporte HWMP+ (proprietário Mikrotik e nãocompatível com outros fabricantes.)

Configuração WDS• WDS Default Cost –


105/161

• WDS Default Cost –custo padrão das portasda bridge para linksWDS

• WDS Cost Range –

105

margem de custo

ajustável conforme othroughput• WDS Ignore SSID – se

deve se conectar aoutros AP WDS queestiverem no mesmocanal

Dynamic WDS


106/161

• Criada por demanda, irá adicionar ainterface WDS no menu interfaces com a

“flag” (D).• Quando um link WDS cai os endere os IP

106

a ele associado irão ficar inativos e asportas da bridge serão removidas.

• Especifique o parâmetro “wds-default-

bridge” e atribua o endereço IP a estainterface bridge para resolver esteproblema.

Static WDS Interface


107/161

• Exige que você especifique manualmenteo endereço MAC do destinatário e ainterface ao qual será feita a conexão.

107

,

não ser que você remova ou desabilite-as• O parâmetro WDS-default-bridge deve ser

alterado para “none”

Interface Static WDS


108/161

108

Link WDS Point-to-point


109/161

109

Single Band Mesh


110/161

110

Dual Band Mesh


111/161

111

WDS Mesh e Bridge• WDS Mesh não é possível sem uso de bridge


112/161

WDS Mesh não é possível sem uso de bridge

• Para criar o WDS mesh todas interfaces WDS do

roteador devem ser colocadas na mesma bridge,inclusive todas interfaces que os clientes estejam

112

• Para evitar possíveis loops na rede WDS énecessário o uso do (Rapid) Spanning TreeProtocol ((R)STP)

• RSTP funciona mais rápido com mudanças detopologia do que o STP, porém ambos temmesma funcionalidade.

(Rapid) Spanning Tree Protocol• (R)STP elimina a possibilidade do mesmo MAC


113/161

( ) paddress ser visto por múltiplas portas da mesma

bridge desabilitando portas secundárias paraeste MAC address•

113

na bridge ID

• Em seguida o (R)STP usa o algoritmo de breadth-first search tomando a root bridge com ponto departida

• Se o algoritmo encontra o MAC address pela primeira vez –tornará o link ativo

• Se o algoritmo encontra o MAC address pela segunda vez –tornará o link inativo

(R)STP em ação


114/161

114

Topologia (R)STP


115/161

115

Estado das porta na bridge

(R)STP• Disabled port para portas em loop


116/161

(R)STP• Disabled port – para portas em loop

• Root port – caminho para a root bridge• Alternative port – backup da root (só existe

116

no

• Designated port – porta ativa de passagem• Backup port – backup da designated port

(só existe no RSTP)

Admin MAC Address


117/161

• A Bridge usa o endereço MAC da porta ativa com menornúmero de porta.

• A porta wireless está ativa somente quando existem hosts

conectados a ela.

• Para evitar que os MACs fiquem variando, é possível atribuirum MAC manualmente.

117

Configuração das portas RSTP

• Cost – permite


118/161

Cost permitepriorizar um caminho

• Priority – caso o custoempate, a prioridade

118

caminho

• Horizon – recursoutilizado pelo MPLS• Não encaminha o

pacote para as portascom mesmo rótulo

Configuração de portas RSTP

• Existem 3 opções para otimizar o


119/161

• Existem 3 opções para otimizar odesempenho do protocolo RSTP:• Edge port – indica se esta porta está

119

• Point-to-point – indica que esta porta estaconectada a somente um dispositivo de rede(WDS, wireless em modo bridge)

• External-fdb – permite o uso da tabela deregistro, em vez da base de dados deencaminhamento (somente no AP)

Roteamento Layer-2 para redes

Mesh• MikroTik oferece uma alternativa ao RSTP - o


120/161

esMikroTik oferece uma alternativa ao RSTP oHWMP+

• HWMP+ é um protocolo Mikrotik de roteamentoem Layer-2 para rede wireless mesh

120

• O protocolo HWMP+ por ser proprietário não temcompatibilidade com outros dispositivos wirelessIEEE 802.11s

• HWMP+ funciona somente com:• wds-mode=static-mesh

• wds-mode=dynamic-mesh

HWMP+• Para configurar o HWMP+ você deve usar

/i f h fi


121/161

o menu “/interface mesh” – a configuração

é bem similar a da bridge.• HWMP+ provê um roteamento otimizado

121

• Para links Ethernet a métrica é configuradaestaticamente• Para links WDS a métrica é atualizada

dinamicamente dependendo do nível de sinale qualidade do link

Modo Reactive Discover

• Todos os caminhos


122/161

Todos os caminhossão descoberto por

demanda atravésde broadcasts de

122

mensagens Path

Request (PREQ) narede.

Modo Reactive Response

• O nó ou roteador de


123/161

O nó ou roteador dedestino irá

responder commensagem Path

123

Response (PREP)

Modo Proactive Announcement

• Os portais irão


124/161

Os portais irãoanunciar sua

presençaenviando

124

mensagens de

RootAnnouncement(RANN) para

toda rede.

Modo Proactive Response

• Os nós internos


125/161

irão responder com

mensagens dePath Registration

125

(PREG)

• Resultado –árvores deroteamento com

origem nosroteadores portais

Portais

• Rotas para os portais servirão como um tipo de


126/161

p p prota padrão

• Se um roteador interno não conhece o caminhopara um determinado destino, ele irá enviar todo

126

–descobrir o caminho pelo roteador, senecessário. Em seguida todo tráfego irá fluirpelo portal

• Isto leva a um roteamento pouco eficiente, a nãoser que o tráfego seja endereçado ao portal ououtra rede que esteja ligada diretamente aoportal.

Opções de configuração Mesh• Reoptimize paths – envia periodicamente mensagensPREQ solicitando endereços MAC conhecidos

S h t d PREQ f bid i h t l


127/161

– Se nenhuma resposta de PREQ for recebida, o caminho atualserá mantido (até que atinja o timeout)

– Melhor para o modo Proactive e para redes mesh moveis• hwmp-preq-destination-only – se ‘no’ for setado então os

127

pelos roteadores destinatários mas também por algum

roteador no caminho para o roteador de destino.• hwmp-preq-reply-and-forward – funcional somente

quando hwmp-preq-destination-only=no; Roteador nocaminho após a resposta passa adianta a mensagensPath Request para o destino (com flags que somente odestino poderá responder)

WDS/MESH Lab

• Configure seu cartão wireless no modo AP Bridge com oSSID SetorX substitua o “X” pelo n° do seu setor


128/161

SSID SetorX – substitua o “X” pelo n do seu setor• Habilite o modo Static WDS mesh• Crie um link WDS com o AP do servidor• –

128

• Use o MESH traceroute para checar as rotas para os

roteadores próximos

• Crie um link WDS link com seu vizinho e adicione sua

porta ao MESH• Verifique novamente o MESH traceroute para seuvizinho

Bridge Wireless Transparente

• Colocar em bridge clientes Ethernets


129/161

gusando WDS

• Utilizar AP Bridge e Station WDS

129

• o o seu o r ge com ou sem

Cloning• Colocar em bridge clientes Wireless

usando WDS

Colocando em bridge clientes

Ethernet


130/161

130

Link AP-Station WDS


131/161

131

Station-WDS

Selecione o modo


132/161

station-wds

WDS – a station

132

desabilitadoO modo Station-WDS pode ser

colocado em bridge

Modo Pseudobridge

• Usa um tipo de MAC-NAT – Traduz o MAC address paratodo o tráfego


133/161

todo o tráfego• Ele inspeciona os pacotes e cria uma tabela

correspondente com o IP e MAC addresses• Todos os acotes são enviados ao AP com o MAC

133

address usado pela pseudobridge, em seguida os MAC

addresses dos pacotes recebidos serão restaurados apartir da tabela de tradução• Existe somente uma entrada na tabela de tradução de

endereços para todos os pacotes não-IP - mais de um

host na rede bridge não pode usar protocolos não-IP(pppoe por exemplo)• IPv6 não funciona com Pseudobridge

Modo Pseudobridge Clone

• station-bridge-clone-mac – usa od MAC lhid t


134/161

endereço MAC escolhido para se conectar

ao AP• Caso escolha 00:00:00:00:00:00 a station

134

usará o MAC da interface wireless

• Assim que o pacote com o endereço MACde um outro dispositivo necessita sertransmitido, a estação irá reconectar aoAP usando esse endereço

Clientes Wireless em Bridge


135/161

135

Bridge Transparente

• Crie uma bridge entre você e seu vizinho


136/161

• Teste os 3 métodos – WDS

136

– o o seu o r ge

– Modo Pseudobridge clone• Cheque a comunicação entre os

notebooks atrás dos roteadores.

MikroTik Nstreme• Nstreme é um protocolo wireless

proprietário MikroTik (incompatível com


137/161

outros fabricantes) criado para melhorar odesempenho de links wireless ponto-a-

137

- .

Protocolo Nstreme

• Benefícios do protocolo Nstreme:


138/161

• Client polling• Disable CSMA

138

• A distância do link não afeta o protocolo

• Pequeno overhead por frame o quepermite atingir altos data rates

Protocolo Nstreme: Frames

• framer-limit – tamanho máximo do frame• framer-policy – método para combinar os


139/161

framer policy método para combinar os

frames. Existem 4 modos:• none – não combina pacotes

139

• est- t – preenc e o rame com a quant a emáxima de pacotes, até atingir o limite estabelecido,sem fragmentar

• exact-size - preenche o frame com a quantidademáxima de pacotes mesmo que seja necessário

fragmentar o último pacote• dynamic-size – seleciona o melhor tamanho de frame

dinamicamente.

Nstreme Lab

• Estabeleça um link com seu vizinho e testeo tro ghp t


140/161

o troughput

• Em seguida habilite o Nstreme e teste

140

de agrupamento de frames.

Nstreme Dual Protocol• Protocolo Wireless proprietário MikroTik (nãocompatível com outros fabricantes) que funciona com

pares de cartões (somente chipsets Atheros) – um


141/161

para transmitir e outro para receber

141

Interface Nstreme Dual• Coloque ambos

cartões em modo“nstreme dual slave”


142/161

nstreme_dual_slave

• Crie a interfaceNstreme dual

142

MAC address – O

MAC address dainterface nstreme dualda outra ponta

• Selecione uma políticade frame caso queira

802.11n

• MIMO• 802 11n Data Rates


143/161

• 802.11n Data Rates

• Channel bonding

143

•

• Configuração dos cartões Wireless• TX-power em cartões N• Bridges Transparente em links N usando

– MPLS/VPLS

Recursos do 802.11n

• Altos data rates – até 300MbpsS t i d 20Mh 2 20Mh


144/161

• Suporte para canais de 20Mhz e 2x20Mhz• Funciona em 2.4 e 5ghz

144

• Usa múltiplas antenas pra receber e

transmitir• Agregação de Frames

MIMO

• MIMO – Múltiplos Input e Múltiplos Output• SDM Spatial Division Multiplexing


145/161

• SDM – Spatial Division Multiplexing

• Múltiplas streams espaciais através de

145

• Configuração de múltiplas antenas parareceber e transmitir: – 1x1, 1x2, 1x3

– 2x2, 2x3 – 3x3

802.11n Data Rates


146/161

146

N card Data Rates


148/161

existente

• Adicionado acima ou abaixo do canal

148

• Compatível com clientes “legados” de20Mhz – conexão feita através do canalprincipal

• Permite utilizar altos data rates

Agregação de Frames

• Combinando múltiplos frames de dados em umúnico frame – o que diminui o overhead


149/161

• Aggregation of MAC Service DataUnits (AMSDU)

149

• ggregat on o rotoco ata n ts

(AMPDU) – Utiliza Reconhecimento em Bloco – Pode aumentar a latência, por padrão é habilitado

somente para tráfego de melhor esforço

– Envio e recebimento de AMSDUs incrementa o usode CPU

Configuração do cartão Wireless


150/161

150


• ht-rxchains/ht-txchains – qual conector docartão será usado para transmitir e receber


151/161

cartão será usado para transmitir e receber

• ht-amsdu-limit – máximo AMSDU que o

151

• ht-amsdu-threshold – máximo tamanho deframe permitido a ser inserido no AMSDU


• ht-guard-interval – permitir utilizar um intervalode guarda curto


152/161

• ht-extension-channel – permitir utilizar o canalde 20MHz adicional

152

• ht-ampdu-priorities – prioridades do frame para

cada AMPDU

TX-power para cartões N

• Quando se usa doiscanais ao mesmo


153/161

tempo o tx-power éincrementado em 3db

153

– veja a coluna total-

tx-power• Quando se usa trêscanais ao mesmo

tempo o tx-power éincrementado em 5db

Bridge transparente emenlaces N

• WDS não suporta agregação de framese portanto não provê a velocidade totalda tecnologia “n”


154/161

da tecnologia n

• EoIP incremente overhead

• Para fazer bridge transparente com

velocidades maiores com menosoverhead em enlaces “n” devemosutilizar MPLS/VPLS.

154


•

Para se configurar a bridge transparente em enlaces“n”, devemos estabelecer um link AP Station econfigure uma rede ponto a ponto /30.


155/161

–

Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)– Habilitar o LDP (Label Distribution Protocol) em ambos

.

– Adicionar a wlan1 a interface MPLS

155


•

Configurar o túnel VPLS em ambos os lados• Crie uma bridge entre a interface VPLS e a ethernet

conectada

• Confira o status do LDP e do túnel VPLS


156/161

156

Bridges VPLS - Considerações

• O túnel VPLS incrementa o pacote. Se estepacote excede o MPLS MTU da interface desaída, este será fragmentado.


157/161

• Se a interface ethernet suportar MPLS MTUde 1522 ou superior, a fragmentação podeser ev a a a eran o o a n er aceMPLS.

• Uma lista completa sobre as MTU dasRouterBoards pode ser encontrada em:

http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards

157

Setup Outdoor para enlaces “N”

• Recomendações segundo a Mikrotik:

– Teste de canal separadamente antes de


158/161

– Teste de canal separadamente antes deusá-los ao mesmo tempo.

– Para operação em 2 canais, usarpolarizações diferentes

– Quando utilizar antenas de polarizaçãodupla, a isolação mínima recomendada daantena é de 25dB.

158

Enlaces “n”

Estabeleça um link “N” com seu vizinho


159/161

Teste a performance com um e dois canais

Crie uma bridge transparente usando VPLS

159

Laboratório Final

• Abram um terminal


160/161

• Executem: /system reset-configuration no-e au ts=yes

160

OBRIGADO!


161/161

Guilherme Marques Ramires.

E-mail para contato: [email protected]

treinamento mikrotik - mtcwe

Documents