Upload
brawler-marques
View
292
Download
0
Embed Size (px)
Citation preview
Projetando e operando Redes com Segurana e Desempenho com Mikrotik RouterOS
Eng. Wardner Maia MD Brasil Mikrotik Brasil1
Agenda Apresentao do Mikrotik / MD Brasil / MikrotikBrasil Principais Topologias de Redes para provimento de acesso utilizadas por pequenos/mdios operadores Problemas de Segurana Limitaes de Performance Recursos para prover Segurana com Mikrotik RouterOS Solues para aumento de Performance e QoS com Mikrotik Aliando Segurana, Performance e alta disponibilidade2
O que o Mikrotik RouterOS ?Um poderoso sistema operacional carrier class que pode ser instalado em um PC comum ou placa SBC (Single Board Computer), podendo desempenhar as funes de: Ponto de Acesso Wireless modo 802.11 e proprietrio Rdio para enlaces ponto a ponto de longa distancia Bridge com recursos de filtros Poderoso Firewall Controlador de Banda e QoS Concentrador de tneis e VPNs (PPPoE, PPtP, IPSeC, L2TP, etc) Roteador de Borda com protocolos RIP, OSPF e BGP Servidor Dial-in e Dial-out Hotspot e gerenciador de usurios WEB Proxy Recursos de Bonding, VRRP, etc, etc.3
Mikrotik RouterOS uma pequena histria de grande sucesso 1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia) 1995: Solues para WISPs em vrios pases 1996: Publicado na Internet o paper Wireless Internet Access in Latvia 1996: Incorporada e Fundada a empresa MikroTikls 2002: Desenvolvimento de Hardware prprio Equipe de 70 desenvolvedores baseados em Riga - Latvia Atualmente: O RouterOS da Mikrotik tende a ser um padro de fato para provedores de servio internet podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.4
MikrotikBrasilConsultoria, Treinamentos Integrao de Equipamentos
5
MikrotikBrasil - OEM Sales Program (incio de 2006)
6
MikrotikBrasil South America Distributors (janeiro de 2007)
7
MikrotikBrasil - Training Partners in Americas (Julho / 2007)
8
Mikrotik &Wireless
9
Configuraes Fsicas / BandaResumo dos padres IEEE empregados e suas caractersticas: Padro IEEE 802.11b Freqncia 2.4 Ghz Tecnologia DSSS Velocidades 1, 2, 5.5 e 11mbps
802.11g 802.11a
2.4 Ghz 5 Ghz
OFDM OFDM
6, 9, 12, 18, 24, 36 48 e 54 mbps 6, 9, 12, 18, 24, 36 48 e 54 mbps
OBS: Tecnologia n j disponvel na V410
Canalizao em 802.11aModo Turbo
Maior troughputMenor nmero de canais
Maior vulnerabilidade a interfernciasRequerida sensibilidade maior Diminui nvel de potencia de Tx11
Canalizao em 802.11aModos 10 e 5 Mhz
Menor troughputMaior nmero de canais
Menor vulnerabilidade a interfernciasRequerida menor sensibilidade Aumenta nvel de potencia de Tx12
Recorte de tela efetuado: 8/6/2008, 9:06 PM
Configuraes da camada Fsica Como trabalha o CSMA Carrier Sense Multiple AccessEstao AdeferCRS
Redes Ethernet Tradicionais Mtodo CSMA/CD
Estao B
CRS
defer
Estao C
CRS
CRS
(Collision Detection)
COLISO
Estao A
Redes Wireless 802.11Estao BEstao CCRSbackoff
CRSbackoff defer backoff (rest)
Mtodo CSMA/CACRS
CRS
(Collision Avoidance)13
Recorte de tela efetuado: 8/6/2008, 9:06 PM
Configuraes da camada Fsica NstremeEnable Nstreme: Habilita o Nstreme.(As opes abaixo dessa s fazem sentido
estando esta habilitada.) Enable Polling: Habilita o mecanismo de Polling. RecomendadoDisable CSMA: Desabilita o Carrier Sense. Recomendado
Framer Policy: Poltica em que sero agrupados os pacotes:dynamic size: O Mikrotik determina best fit: agrupa at o valor definido em Framer Limit sem fragmentar
exact size: agrupa at o valor definido em Framer Limit fragmentando se necessrio Framer Limit: Tamanho mximo do pacote em Bytes.14
Recorte de tela efetuado: 8/6/2008, 9:06 PM
Configuraes da camada Fsica Prop. Extensions e WMM supportWMM support: QoS no meio fsico (802.11e) enabled: permite que o outro dispositivo use wmm required: requer que o outro dispositio use wmm
15
Discusso das topologias de redes utilizadas por pequenos/mdios operadores e seus problemas
16
To Bridge, or not to Bridge ?
17
Topologias usuais de redes IP, Bridging, Switching e Firewalls de camada II (Filtros de Bridge)
18
Tpica Rede em Bridge
Gateway dos clientes o Gateway da bordaSomente um domnio de Broadcast
Rede Roteada
Gateway dos clientes distribuido e prximo aos clientes
Domnios de broadcast segregados Mesmo nas redes roteadas podem haver segmentos em camada 2
Rede Roteada com Concentrador PPPoE Bridge over Routing
Uso de protocolo de roteamento dinamico, porm com Tneis transparentes at o concentrador.
Redes em BridgeRedes IP em Bridge: Redes com IP fixo
DHCPRedes em Bridge Hotspot Mistas com Bridge sobre roteamento
Redes Inteiramente em camada 2 com PPPoE22
Bridging x SwitchingBridging x SwitchingAPLICAO
Bridging e Switching ocorrem na camada II, porm em nveis distintos. O processo de Switching normalmente mais rpido (wire speed) A partir da v4.0 o Mikrotik RouterOS suporta switching para vrios equipamentos,
APRESENTAOSESSO
TRANSPORTE REDEENLACE
Bridge Switch
FSICA
23
Switching O switch mantm uma tabela com os MACs conectados a ela, relacionando-os com a porta que foram aprendidos. Quando um MAC no existe na tabela, ele procurado em todas as portas, comportando-se a switch como um HUB. O espao (Host table ou CAM table) limitado e quando preenchido totalmente faz com que a switch comporte-se como um HUB !
(RB450G)
(RB750)
24 (RB450)
Principais caractersticas das redes em Bridge Redes com o mesmo domnio de broadcast. Alto Trfego intil/indesejado Clientes se enxergam na camada II (enlace) Clientes com recursos compartilhados podem ser facilmente invadidos Fcil propagao de vrus, aumentando ainda mais os problemas de trfego. Rede com srios problemas de performance !25
Redes IP em Bridge (sem isolao na camada II) Com DHCP, sujeita a DHCP falso Fcilmente sniffvel usurios no tem privacidade. Usurios sujeitos a ataques de spoof de ARP. Ataque do homem-do-meio muito fcil de ser feito. Rede pode ser invadida por simples spoof de MAC e ou MAC +IP Rede com srios problemas de segurana !26
Atacando a camada 2 Envenenamento de ARP (ARP Poisoning ou ARP Spoof)
Protocolo ARPB
192.168.1.2A 192.168.1.1 C
192.168.1.3
D
192.168.1.4
A pergunta para todos: Quem tem o IP 192.168.1.3 ? C responde para A: O IP 192.168.1.3 est no MAC XX:XX:XX:XX:XX:XX A registra em sua tabela arp o par: 192.168.1.3, MAC XX:XX:XX:XX:XX:XX28
Envenenamento de ARPEnvenenamento de ARP Atacante emite para um alvo especfico ( ou em broadcast), mensagens de ARP gratuitas anunciando que o seu MAC o de quem quer spoofar (normalmente o gateway) Atacado tem suas tabelas ARP envenenadas e passam a mandar os pacotes para o Atacante Atacante manda para o gateway mensagens de ARP gratuitas anunciando seu MAC com o IP do Atacado
MAC
Atacado fala com o Gateway atravs do Atacante Homem do meio29
Envenenamento de ARPZ
BA 192.168.1.1 D
192.168.1.2
C
192.168.1.3 192.168.1.4
Z fala para A: O IP 192.168.1.3 est no MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ Z fala para C: O IP 192.168.1.1 est no MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ A passa a falar com C (e vice versa) atravs de Z (Homem do meio)30
Envenenamento de ARP Defesas
Bridging A Bridge mantm uma tabela com os MACs conectados a ela, relacionando-os com a porta que foram aprendidos. Esses MACs so repassados para outras bridges ligadas no mesmo segmento de rede. O nmero de entradas no tem propriamente um limite mas depende do hardware pois consome recursos de memria que so finitos.
Nas bridges possvel inspecionar os frames ethernet em camada 2 podendo a eles serem aplicados filtros, marcaes, etc
32
Filtros de camada 2
33
Defesas para Arp-Spoof1) Mudana no comportamento do protocolo ARP
ARP disabled todos hosts tem que ter entradas estticas.
ARP Reply-Only Somente o concentrador tem entradas estticas. Inconvenientes: prtica Arp esttico em todos os hosts muito difcil implementar na Reply-Only no protege o lado do cliente.
34
Defesas para Arp-Spoof2) Segregao do trfego (isolao de clientes) Em uma rede tpica voltada para provimento de acesso desejvel que os clientes na camada 2 somente enxerguem o gateway. Vamos chamar de segregao do trfego s medidas que tem de ser tomadas para isolar todo tipo de trfego entre clientes. No caso de uma rede Wireless, com essas medidas tem que ser feitas em 2 nveis:
Na Interface (Wireless) Em todas as portas da bridge.(Wireless e Wired)
35
Segregando o trfego na camada 2 (1 Interface Wireless)Cliente 1
Cliente 2
Default forward desabilitado nas placas e nos access lists36
Segregao de trfego na camada II (2 interfaces em bridge)12
3
4
Bridge1 2
31 3 2 4
4 3, 43, 4
12
1 2
3, 4 3, 4 2 Regras
37
Wlan1, 2, 3 e 4
Segregando o trfego na camada II 4 Interfaces em Bridge
12 Regras ?
ether1
4 Regras
1 Regra !
Obrigado Edson 38
/interface bridge filter add chain=forward in-interface=!ether2 out-interface=!ether2 action=drop
Segregando o trfego na camada II Vrios equipamentos em Bridge
/interface bridge filter add chain=forward in-interface=ether1 out-interface=ether2 action=accept add chain=forward in-interface=ether2 out-interface=ether1 action=accept add chain=forward in-interface=!ether2 out-interface=!ether2 action=drop
Defesas para Arp-SpoofEm redes onde existam outros equipamentos que no suportem a segregao de trfego, a nica medida que pode ser feita so filtros para controlar o protocolo ARP pelo menos nos trechos em que o trfego passa pelo Mikrotik RouterOS. Exemplos:1- Aceita requisies de ARP de qualquer host
2- Aceita respostas de ARP oriundas do Gateway
40
Defesas para Arp-SpoofEm redes onde existam outros equipamentos que no suportem a segregao de trfego, o que pode ser feito combinar o ARP reply-only com alguns filtros e para evitar o envenenamento dos clientes pelo menos nos trechos em que o trfego passa pelo Mikrotik RouterOS.
1 Gateway em reply-only (tabelas estticas)
2 - Aceita requisies de ARP de qualquer host
41
Defesas para Arp-Spoof
3 Descarta qualquer resposta que no seja oriunda do Gateway
42
Protegendo o ARP (medidas complementares)Pode-se ainda eliminara pacotes de ARP esprios descartando ARP no ethernet e pacotes no IPV4
PPPoE soluo? Usurios no autenticam o Servidor sujeitos ao ataque do Homem-do-meio. Ataque de negao de servio com PPPoE falso Ataques de negao de servio por mltiplas requisies Filtros de Bridge que deixam s passar PPPoE discovery e PPPoE session evitam trfego indesejado mas ataques MACs spoofados no do direito a navegao mas prejudicam usurios PPPoE no soluo quando no se tem criptografia e nem isolao entre clientes !44
Hotspot soluo? Usurios no autenticam o Servidor sujeitos ao ataque do Homem-do-meio. Ataque de negao de servio com Hotspot falso MACs spoofados do a navegao de primeira se o Hotspot estiver usando DHCP MACs spoofados + IP descobeto do a navegao mesmo sem utilizar DHCP
Hotspot no soluo quando no se tem criptografia e nem isolao entre clientes !
45
Atacando a camada 2 Atacando clientes e provedores de PPPoE e Hotspot
Atacando Provedores e Clientes de Hotspot e PPPoE So ataques simples de camada 1 e 2 que consistem em colocar um AP com mesmo SSID e Banda de operao e executando o mesmo servio (PPPoE ou Hotspot) Dependendo da potencia do sinal e localizao relativa do atacante em relao aos clientes no necessrio maiores medidas. Pode ser necessrio fazer um ataque de DoS no provedor inicialmente.
O ataque pode ser feito para vrios objetivos, como simples negao de servio, descoberta de senhas de Hotspot e PPPoE, homem do meio, envenenamento de cache, etc. Para descoberta de senhas pode-se utilizar um Radius em modo Promscuo47
Atacando Provedores e Clientes de Hotspot e PPPoE
48
Radius configurado para capturar usurios e senhasmaia@maia-laptop:/etc/freeradius/radiusd.conf # Log authentication requests to the log file # allowed values: { no, yes } log_auth = yes # Log passwords with the authentication requests # allowed values: { no, yes } log_auth_badpass = yes log_auth_goodpass = yes 49
Ataques a Hotspot e PPPoE Contramedidas Somente criptografia bem implementada pode evitar esses ataques. tolice pensar que uma rede Wireless est segura quando no usa criptografia. A implementao de criptografia em uma rede pode ser feita de inmeras maneiras, mais ou menos eficientes. A maneira mais segura seria com Certificados Digitais instalados em todos equipamentos (EAP-TLS) mas no entanto na prtica limitada pela ponta cliente que nem sempre tem o suporte adequado
O Mikrotik tem uma soluo intermediria muito interessante que a distribuio de chaves PSK individuais por cliente com as chaves distribuidas por Radius. Para detalhes dessa implementao ver http://mum.mikrotik.com Brazil 200850
Proteo definitiva da camada de enlace tolice pensar que uma rede Wireless est segura quando no usa criptografia A implementao de criptografia em uma rede pode ser feita de inmeras maneiras, mais ou menos eficientes. A maneira mais segura que seria com Certificados digitais Instalados em todos equipamentos limitada pela ponta cliente que nem sempre tem o suporte adequado O Mikrotik tem uma soluo intermediria muito interessante que a distribuio de chaves PSK individuais por cliente
51
Mtodo alternativo Mikrotik O Mikrotik na verso V3 oferece a possibilidade de distribuir uma chave WPA2 por cliente . Essa chave configurada no Access List do AP e vinculada ao MAC address do cliente, possibilitando que cada cliente tenha sua chave.
Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a usurios do Mikrotik !52
Proteo definitiva da camada de enlaceUma chave PSK por cliente, distribuida por Radius.
53
Proteo e controle da camada IIIUma vez devidamente protegida a camada de enlace, necessrio proteger a camada de rede. Regras de firewall negando conexes entre os clientes internos Regras protegendo trfego insano Protegendo ataques diversos. Reconhecendo e controlando o trfego.
54
Firewall do Mikrotik Firewall Stateful Connection Tracking Canais definidos pelo usurio para otimizao e administrao do Firewall Filtro de pacotes por IP de origem, destino, protocolo, portas, flags, contedos, etc Recursos para detectar e evitar Ping Flood, Port Scan, DoS attack e dDoS attack NAT de origem, NAT de destino, NAT 1:1 Permite balanceamento de carga por conexo Amplos recursos de marcao de pacotes, reconhecimento de conexes, P2P, L7 para uso em QoS e outras aplicaes Adress Lists para armazenamento esttico ou dinamico de grupos de endereos etc, etc55
Medidas de segurana complementares sempre bom lembrar que existem medidas complementares e nem por isso de menor importancia que devem ser tomadas: Senhas de SSH, WEB, Telnet, etc de transceptores Servios que podem rodar nativamente nesses equipamentos O uso regular do NESSUS ou outra ferramenta de auditoria pode revelar muitas vulnerabilidades interessantes.
56
Disponibilidade de redes em BridgeO Mikrotik pode garantir a redundancia de enlaces em uma rede em Bridge Utilizando: STP / RSTP ou Protocolo proprietrio HWMP+
57
Rede redundante com Spanning Tree ou HWMP
58
Disponibilidade de redes Roteadas
Protocolos de roteamento dinamico podem ser usados no s para a distribuio de rotas, como para prover redundancia.
MME OSPF
59
Roteamento Dinmico O Mikrotik suporta roteamento dinmico com os protocolos:
- RIP Verso 1 e 2- BGP Border Gateway Protocol
- OSPF Open Shortest Path First
OSPFNa verso atual routing-test tambem suportado oOSPF-V3 para IPV6
BGP
60
Rede redundante com OSPF
61
OSPF
62
Tnel IPIP estabelecido entre
Cenrio MME
192.168.100.XY e 172.16.255.1
63
Tneis & VPNs
Tneis e VPNs
O Mikrotik d suporte a: Tneis IPIP
Tneis EoIP (proprietrio Mikrotik) Pode ser Servidor ou cliente dePPP, PPtP, L2TP, PPPoE
Podem ser criados tneiscriptografados com IPSEC65
BCP bridging (PPP tunnel bridging)O Mikrotik RouterOS suporta o BCP (Bridge Control Protocol) para interfaces PPP, PPTP, L2TP e PPPoE. O BCP permite uma bridge para os pacotes que trafegam atravs de um tnel PPP. Aps estabelecido o BCP, ele independente do tnel PPP, no fica relacionado a qualquer endereo IP da interface.O BCP necessita de suporte em ambos os lados (servidor e cliente PPP) para funcionar adequadamente. Com BCP possvel aumentar o MTU para at 65535 bytes !66
Controle de Banda & QoS
67
Tipos de Filas
68
Bursts
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.
Os parametros que controlam o Burst so: burst-limit: limite mximo que alcanar burst-time: tempo que durar o burst burst-threshold: patamar onde comea a limitar max-limit: MIR69
Recorte de tela efetuado: 8/20/2008, 11:19 AM
Type of Servide (Ipv4) / Traffic Class (IPV6)
70
Recorte de tela efetuado: 8/20/2008, 11:19 AM
ToS e DSCP
71
Recorte de tela efetuado: 8/20/2008, 11:19 AM
Wireless Multimidia (WMM) 802.11e
72
Limitao de Banda e QoS
PCQ disciplina de filas quepermite a equalizao de fluxos de forma simples e eficiente
512k
ou128k 64k64k
256k 512k 512k 256k
64k
Com HTB possvel implementarrvores de Filas e priorizar fluxos
por portas ou servios73
MPLS Multi Protocol Label Switching
Aplicando vrios recursos para uma rede de performanceRoteamento + Roteamento dinamico + Tuneis + VPNs + QoS
MPLS Multiprotocol Label SwitchingJ ouviu falar ou j usou MPLS ?
MPLS Multiprotocol Label SwitchingPorque se preocupar com MPLS agora ?
MPLS Multi Protocol Label SwitchingMPLS, ou MultiProtocol Label Switching, uma tecnologia de encaminhamento de pacotes baseada em rtulos (labels) que funciona, basicamente, com a adio de um rtulo nos pacotes de trfego (O MPLS indiferente ao tipo de dados transportado, pode ser trfego IP ou outro qualquer) entrada do backbone (chamados de roteadores de borda) e, a partir da, todo o roteamento pelo backbone passa a ser feito com base neste rtulo.Cabealho MPLS L2
MPLS
L3
LABEL
EXP
S77
TTL
Eficincia do encaminhamento de pacotes a maior vantagem do MPLS.
MPLS Multi Protocol Label Switching
MPLS permite a criao de Redes Virtuais Privadas garantindo um isolamento completo do trfego com a criao de tabelas de "labels" (usadas para roteamento) exclusivas de cada VPN.
Alm disso possvel realizar QoS (Quality of Service) com a priorizao de aplicaes crticas, dando um tratamento diferenciado para o trfego entre os diferentes pontos da VPN. QoS cria as condies necessrias para o melhor uso dos recursos da rede, permitindo tambm o trfego de voz e vdeo.
78
Bridging sobre Roteamento
Sem MPLS, Tuneis EoIP unem de forma transparente, redes distintas separadas por vrios saltos de roteamento.
79
MPLS VPLS
80
MPLS Multi Protocol Label Switching Limite de Roteamento IP
Aps dois fluxos de trfego IP para o mesmo destino serem mesclados, impossvel divid-los e encaminh-los por diferentes caminhosLink sobrecarregado do Roteador C para Roteador E
40 Mbps de trfego de A para F 40 Mbps de trfego de B para F
MPLS Multi Protocol Label Switching Engenharia de Trfego Com tneis TE podemos alternar a carga por links menos utilizados.
Tnel TE1 50 Mbps Tnel TE2 50 Mbps
82
MPLS Multi Protocol Label SwitchingOtimizao de Banda Tneis separados para VoIP e dados em geralTneis de backup atravs de um terceiro Link.
Tnel VoIP Tnel de Dados Backup Tnel VoIP Backup Tnel de Dados
83
ISP-Safe Um sistema open source para auxiliar na administrao de segurana em provedores
84
ISP-SafeUm sistema Open Source de iniciativa da MD Brasil
85
Case MD BrasilPontos de acesso:Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto
100% clientes com WPA2 atribuda por Radius
86
Case MD Brasil Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente Em seguida pedida autenticao Hotspot para cada cliente. A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio
OBS destaque para o uptime !
87
Case MD BrasilHotspot + Web Proxy rodam localmente em todos pontos de acesso com mais
concentrao de clientes. Web-Proxys dos pontos de acesso armazenam objetos pequenos Web-Proxy central (no Mikrotik) armazena objetos grandes.
88
Programa de Certificao Mikrotik / MDBrasil
MTCNA Mikrotik Certified Network Associate
MTCWE Mikrotik Certified Wireless EngineerMTCRE Mikrotik Certified Routing Engineer
MTTCE Mikrotik Certified Traffic Control EngineerMTCUME MIkrotic Certified User Management Engineer89
Obrigado !Wardner Maia [email protected]
90