Upload
trandiep
View
229
Download
1
Embed Size (px)
Citation preview
Boas Práticas em Segurança e Qualidade com o MikroTik RouterOSPor Leonardo Rosa, BRAUSER, Brasil
Apresentação
Leonardo Rosa
Cursou Análise de Sistemas na Universidade Católica de Salvador e
Gestão em TI na Faculdade Área1, também em Salvador. Consultor em
Internetworking desde 2006, Instrutor Oficial da MkroTik desde 2012.
Tem experiência com FreeBSD, Linux, Cisco e MikroTik RouterOS.
Atualmente ministra treinamentos oficiais da MikroTik pela BRAUSER,
Redes Brasil e Lancore Networks.
Boas Práticas
Segurança
Firewall statefull
Reverse Path Filter (RPF)
Qualidade
FastTrack seletivo
Segurança
A Internet como ela é
A Internet funciona como funciona a sociedade.
Com ela temos vida digital, temos lixo eletrônico, temos crimes
cibernéticos, temos responsabilidades e políticas de boa vizinhança.
A Internet e as Coisas
Firewall statefull
Um Firewall statefull pode garantir maior controle e segurança à uma
rede desde que sejam usadas políticas restritivas como:
Todo novo tráfego deve vir de origem conhecida
Apenas tráfegos previstos podem vir de origem desconhecida
Menos exposição, mais proteção
Mais controle, menos exploração
FIREWALL STATEFULL
/ip firewall filter
add chain=forward connection-state=established,related
add chain=forward connection-state=new src-address-list=LAN
add chain=forward connection-state=new dst-address-list=FW-OFF
Lembrar de:
❖ Permitir LAN-LAN
❖ Negar o resto
Reverse Path Filter (RPF)
O Reverse Path Filter é recurso eficiente no controle de IP spoofing e
está disponível no RouterOS a partir da versão 6.
/ip settings set rp-filter=(strict | loose | no)
strict: valida na FIB a interface de origem
loose: valida na FIB em qualquer interface
no: recurso desativado
Qualidade
FastTrack seletivo
Pacotes em conexões fasttrack ignoram outras configurações de firewall,
connection tracking, simple queues, queue tree com parent=global, ip traffic-
flow, ip accounting, ipsec, hotspot universal client, atribuições vrf.
Então cabe ao administador garantir que o fasttrack não vai interferi em outras
configurações.
SETUP (fasttrack)
/ip firewall filter
add place-before=0 chain=forward connection-
state=established,related \ action=fasttrack-connection \
in-interface=!vlan-proxy out-interface=!vlan-proxy
add place-before=0 chain=forward \
connection-state=established,related
SETUP (fasttrack)
FASTTRACK (conferindo ativação do recurso)
/ip settings
FastTrack ON x OFF (/system resource)
FastTrack ON x OFF (/tool profile)
FastTrack ON x OFF
CPU(/system resource cpu)
FastTrack ON x OFF (/queue | tree)
Considerações
O tráfego que faz uso do FastTrack, não passa nem por filtros de firewall nem
por queues que façam uso da interface global (simple queue e queue tree).
Para usar o FastTrack em tráfegos específicos, é necessário marcar este
tráfego anteriormente.
Conclusão
O uso do FastTrack pode ser feito indiscriminadamente em roteadores
compatíveis que não façam uso de Queues, como na BORDA, onde geralmente
usa-se apenas firewall e protocolos de roteamento.
Leonardo Rosa
www.brauser.com.br
19 | 981-661-728 [] TIM
19 | 971-108-523 [] Vivo
Obrigado