![Page 1: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/1.jpg)
Boas Práticas em Segurança e Qualidade com o MikroTik RouterOSPor Leonardo Rosa, BRAUSER, Brasil
![Page 2: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/2.jpg)
Apresentação
Leonardo Rosa
Cursou Análise de Sistemas na Universidade Católica de Salvador e
Gestão em TI na Faculdade Área1, também em Salvador. Consultor em
Internetworking desde 2006, Instrutor Oficial da MkroTik desde 2012.
Tem experiência com FreeBSD, Linux, Cisco e MikroTik RouterOS.
Atualmente ministra treinamentos oficiais da MikroTik pela BRAUSER,
Redes Brasil e Lancore Networks.
![Page 3: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/3.jpg)
Boas Práticas
Segurança
Firewall statefull
Reverse Path Filter (RPF)
Qualidade
FastTrack seletivo
![Page 4: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/4.jpg)
Segurança
![Page 5: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/5.jpg)
A Internet como ela é
A Internet funciona como funciona a sociedade.
Com ela temos vida digital, temos lixo eletrônico, temos crimes
cibernéticos, temos responsabilidades e políticas de boa vizinhança.
![Page 6: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/6.jpg)
A Internet e as Coisas
![Page 7: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/7.jpg)
Firewall statefull
Um Firewall statefull pode garantir maior controle e segurança à uma
rede desde que sejam usadas políticas restritivas como:
Todo novo tráfego deve vir de origem conhecida
Apenas tráfegos previstos podem vir de origem desconhecida
Menos exposição, mais proteção
Mais controle, menos exploração
![Page 8: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/8.jpg)
FIREWALL STATEFULL
/ip firewall filter
add chain=forward connection-state=established,related
add chain=forward connection-state=new src-address-list=LAN
add chain=forward connection-state=new dst-address-list=FW-OFF
Lembrar de:
❖ Permitir LAN-LAN
❖ Negar o resto
![Page 9: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/9.jpg)
Reverse Path Filter (RPF)
O Reverse Path Filter é recurso eficiente no controle de IP spoofing e
está disponível no RouterOS a partir da versão 6.
/ip settings set rp-filter=(strict | loose | no)
strict: valida na FIB a interface de origem
loose: valida na FIB em qualquer interface
no: recurso desativado
![Page 10: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/10.jpg)
Qualidade
![Page 11: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/11.jpg)
FastTrack seletivo
Pacotes em conexões fasttrack ignoram outras configurações de firewall,
connection tracking, simple queues, queue tree com parent=global, ip traffic-
flow, ip accounting, ipsec, hotspot universal client, atribuições vrf.
Então cabe ao administador garantir que o fasttrack não vai interferi em outras
configurações.
![Page 12: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/12.jpg)
SETUP (fasttrack)
/ip firewall filter
add place-before=0 chain=forward connection-
state=established,related \ action=fasttrack-connection \
in-interface=!vlan-proxy out-interface=!vlan-proxy
add place-before=0 chain=forward \
connection-state=established,related
![Page 13: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/13.jpg)
SETUP (fasttrack)
![Page 14: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/14.jpg)
FASTTRACK (conferindo ativação do recurso)
/ip settings
![Page 15: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/15.jpg)
FastTrack ON x OFF (/system resource)
![Page 16: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/16.jpg)
FastTrack ON x OFF (/tool profile)
![Page 17: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/17.jpg)
FastTrack ON x OFF
CPU(/system resource cpu)
![Page 18: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/18.jpg)
FastTrack ON x OFF (/queue | tree)
![Page 19: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/19.jpg)
Considerações
O tráfego que faz uso do FastTrack, não passa nem por filtros de firewall nem
por queues que façam uso da interface global (simple queue e queue tree).
Para usar o FastTrack em tráfegos específicos, é necessário marcar este
tráfego anteriormente.
![Page 20: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/20.jpg)
Conclusão
O uso do FastTrack pode ser feito indiscriminadamente em roteadores
compatíveis que não façam uso de Queues, como na BORDA, onde geralmente
usa-se apenas firewall e protocolos de roteamento.
![Page 21: Boas Práticas em Segurança e Qualidade com o MikroTik ...usetelecom.com.br/site/downloads/forum/mikrotik-boas-praticas... · Boas Práticas em Segurança e Qualidade com o MikroTik](https://reader033.vdocuments.site/reader033/viewer/2022051309/5b7988ba7f8b9a534c8d813f/html5/thumbnails/21.jpg)
Leonardo Rosa
www.brauser.com.br
19 | 981-661-728 [] TIM
19 | 971-108-523 [] Vivo
Obrigado