Archives: 03/12/2019

Backups no MikroTik RouterOS.

Podemos claramente dizer que o RouterOS possui dois tipos de backup: o backup binário (.backup) e o backup de exportação de configurações (.rsc).

Você sabe quando utilizar cada um deles? Qual é o melhor? Qual o mais indicado?

O backup binário (.backup)

O backup binário é gerado através do menu “Files” e do botão “Backup”.

O arquivo .backup pode ganhar um nome, e por boa prática, uma senha.

# Caso o nome não seja preenchido, o arquivo terá o nome baseado na Identity do equipamento e na data em que o backup foi gerado #

Antes da versão 6.43, se não for especificada nenhuma senha para o backup, ele será criptografado com a senha do usuário que gerou o backup.

A partir da versão 6.43, os backups não são encriptados se não for especificado nenhuma senha, através do campo password. Por isso, é muito boa prática que seja definida uma senha para a encriptação dos backups.

Podemos gerar o arquivo de backup usando a CLI do RouterOS, da seguinte forma:

/system backup save name=backup-hAPac password=@back!up#

IMPORTANTE:

O arquivo de backup (.backup) é binário, e não pode ser editado. Além do mais, ele carrega informações físicas do equipamento, como por exemplo o MAC Address das interfaces.

Com isso, você só pode restaurar este backup no mesmo dispositivo no qual foi gerado. E não estamos falando do mesmo modelo de hardware, e sim o hardware que gerou o backup.

Restaurar o backup binário em uma outra RouterBOARD implicaria na duplicação de MAC Address, além de outros problemas.

Para restaurar as configurações à partir do backup binário, é muito simples. Basta selecionar o arquivo de backup a ser restaurado, preencher com a senha e clicar no botão “Restore” no mesmo menu “Files”.

Após o reboot, o equipamento voltará com a configuração do backup em questão.

O Backup export (.rsc)

O comando /export é utilizado para exportar de forma parcial ou total, as configurações presentes no equipamento.

Diferente do backup binário (.backup), ele é editável (Notepad, Notepad++, Atom, Sublime Text, entre outros possuem plugins de Syntax highlighting para o RouterOS), e não contém informações físicas sobre o dispositivo.

Pelo fato de ser editável, o backup de exportação é salvo em texto plano, e por isso, não contém as informações de usuários (/system users). Estas informações devem ser adicionadas novamente, após a restauração do backup.

É utilizado tanto para restaurar a configuração em um dispositivo, quanto mover a configuração para um outro dispositivo RouterOS, de modelo igual, parecido, ou completamente diferente.

Vejamos as variações de uso do comando /export :

Exporta e joga na tela do terminal, toda a configuração do dispositivo:

/export

Exporta a configuração, salvando-a em um arquivo (Files):

/export file=backup-hAPac

Exporta parte da configuração:

/ip firewall export
ou
/ip firewall export file=firewall

Após a versão 6rc1, todos os backups de exportação são por padrão, compactos (compact), ou seja, mostram apenas o que foi adicionado/alterado na configuração do RouterOS. Isso implica em backups menores e objetivos.

Na versão 5, o padrão do comando /export era o verbose que exportava toda a configuração do RouterOS, inclusive os valores padrões. Isso resultava em um monte de informação desnecessária.

# Arquivo de backup.rsc no editor de texto Sublime Text #

Para restaurar a configuração utilizando o arquivo de exportação (.rsc), há pelo menos duas formas:

Utilizando o comando /import mencionando o arquivo de backup:

/import file-name=backup.rsc

Ou ir copiando e colando as informações por partes, diretamente na CLI do RouterOS.

IMPORTANTE:

Para restaurar as configurações usando o comando /import é necessário:

– Equiparar a versão do equipamento com a versão do backup;
– Deixar o equipamento totalmente limpo de configuração, usando o comando:

/system reset-configuration no-defaults=yes

Isso irá garantir que não ocorra nenhum erro na importação, diante de alguma configuração existente ou padrão, e também devido a algum erro de sintaxe, devido a diferença da versão do RouterOS.

Recapitulando:

Backup binário (.backup):

– Deve conter uma senha, para que o mesmo seja encriptado (versão 6.43+);
– Anterior à versão 6.43, o backup é encriptado com a senha do usuário que gerou o mesmo;
– Deve ser restaurado apenas no mesmo equipamento em que foi gerado, pelo fato de conter informações físicas;
– Não pode ser editado.

Backup de exportação (.rsc):

– Utilizado para restaurar e/ou mover a configuração para o mesmo ou outro dispositivo;
– É salvo em texto plano, logo, editável, e não contém as informações de usuários (/system users);
– Pode exportar parte ou toda a configuração do dispositivo;
– Para a importação, necessita que o dispositivo esteja completamente sem nenhuma configuração (/system reset-configuration no-defaults=yes), e preferencialmente na mesma versão.

Dicas:

  • Utilizem ambos os tipos de backup;
  • Não guardem o arquivo de backup somente no dispositivo;
  • Utilizem senhas adequadas (fortes), para a encriptação do backup binário.

E se…

Houvesse um sistema de backups para o RouterOS, que pudesse armazenar os arquivos em nuvem, de forma fácil e segura?

E ainda…

Pudesse gerenciar configurações do RouterOS, como adição, alteração e remoção de usuários, serviços, e outras configuração, em poucos cliques?

Descubra em:

www.routermage.com

Até a próxima!


MikroTik lança Beta do RouterOS 7

Muito aguardada pelos usuários do RouterOS, a MikroTik lançou hoje, dia 6 de Setembro de 2019, a versão BETA número 1 do RouterOS 7.

A versão para testes foi anunciada no MUM (MikroTik User Meeting) Russia 2019. E está disponível para testes em mt.lv/v7.

Até o presente momento, só está disponível para arquiteturas ARM, e “estável” em RouterBOARDs hAP ac^2 e WAPGR LTE/4G/LTE-US.

LEMBRANDO QUE é uma versão para testes, e com isso, muitas funcionalidades estão desabilitadas e/ou não funcionais.

Há também, um tópico no fórum oficial da MikroTik, sobre o lançamento da versão 7 Beta: Fórum Oficial MikroTik

Em breve teremos mais detalhes sobre testes, updates, e demais informações relacionadas ao RouterOS 7 Beta.

Já conhece os nossos serviços?

www.tchesolutions.com.br

Até mais!


MikroTik lança correções para vulnerabilidades no protocolo IPv6

Publicado por tchesolutions em 05/04/2019

Na última semana, falamos aqui no Blog sobre possíveis vulnerabilidades que foram descobertas no RouterOS, referentes ao protocolo IPv6:

https://tchesolutions.com.br/site/mikrotik-trabalha-na-resolucao-de-vulnerabilidade-no-protocolo-ipv6/

No dia 4 de abril, as correções foram devidamente lançadas nos canais Long-term, Stable e Beta, conforme anúncio no Blog oficial da MikroTik:

https://blog.mikrotik.com/software/cve-2018-19298-cve-2018-19299-ipv6-resource-exhaustion.html

Portanto, é hora de atualizar os seus dispositivos, visto que a vulnerabilidade será exposta no dia 9 de Abril, conforme mencionamos no post anterior.

Até a próxima!


MikroTik trabalha na resolução de vulnerabilidade no protocolo IPv6

Em torno do dia 27 de Março de 2019, começou a se espalhar a informação de que uma nova vulnerabilidade foi descoberta no RouterOS. Dessa vez, o alvo é o protocolo IPv6.

Além disso, é dito que essa vulnerabilidade é conhecida há mais ou menos 1 ano, porém, sem ser exposta e documentada publicamente.

O prazo para que essa vulnerabilidade seja publicamente documentada através de uma CVE, é dia 9 de Abril de 2019, durante a apresentação do pesquisador Marek Isalski, no UKNOF-43 (https://indico.uknof.org.uk/event/46/).

O problema em questão afeta diretamente os recursos do hardware, de forma a esgota-los, causando a interrupção do serviço (Denial of Service). Ainda não há um detalhamento de como o processo ocorre, mas segundo o pesquisador Marek Isalski, simples (e poucos) pacotes IPv6 podem fazer com que o roteador seja reiniciado pelo Watchdog (https://wiki.mikrotik.com/wiki/Manual:System/Watchdog), diante da falta de memória RAM.

O que sabemos até agora?

  • Há uma vulnerabilidade que afeta o protocolo IPv6 em roteadores MikroTik;
  • Ela ainda não foi publicamente documentada, mas será, de acordo com a apresentação de Marek, no dia 9 de Abril, no UKNOF-43.
  • Essa vulnerabilidade é conhecida pela MikroTik, que está trabalhando para corrigir o quanto antes;
  • Segundo a própria MikroTik, o processo de correção não é tão simples, pois envolve questões relacionadas ao Kernel utilizado no RouterOS;
  • Ainda assim, a MikroTik informou em seu fórum oficial, que uma correção será liberada antes do prazo (9 de Abril de 2019);
  • Algumas correções já estão sendo liberadas na versão 6.45 beta (https://mikrotik.com/download/changelogs/testing-release-tree);

Diante de tudo isso…

  • Não criemos pânico! Como a vulnerabilidade ainda não foi publicamente exposta, aguardemos um pronunciamento oficial da MikroTik, que deve ocorrer tanto no fórum oficial (https://forum.mikrotik.com), quanto no blog (https://blog.mikrotik.com);
  • Não executem ações precipitadas. Há usuários solicitando revisão de regras de firewall IPv6, a criação de tais regras visando a proteção à essa vulnerabilidade, alguns desabilitando o pacote IPv6, e outros removendo todas as configurações IPv6 presente nos roteadores;
  • Nada disso é necessário ainda. Acreditamos que as correções serão disponibilizadas em breve, e com isso, faremos os testes e a devida atualização de nossos equipamentos;
  • Por último e muito importante: Não espalhem falsas notícias sobre o assunto. As modistas Fake News causam um impacto muito negativo, e se espalham muito mais rápido.

De onde saíram todas essas informações?

Do fórum oficial da MikroTik (https://forum.mikrotik.com/viewtopic.php?f=2&t=147048). Sugiro a leitura completa dos posts, e também dos links externos.

Ao longo dos próximos dias teremos mais informações sobre o assunto.

Até a próxima!


Um pouco mais sobre a MikroTik.

Que a MikroTik é uma empresa fundada em 1996, e tem sua sede em Riga, capital da Letônia, muitos já estão carecas de saber.  

O fato é que existem coisas que muitos usuários (até mesmo usuários avançados) do RouterOS não exploram por falta de conhecimento ou até mesmo desleixo. 

Fórum de usuários MikroTik

A MikroTik mantém um fórum oficial capaz de acolher qualquer usuário, independente do seu nível de conhecimento. Lá é possível tirar dúvidas, gerar debates com outros usuários, e até mesmo acompanhar todas as novidades que a MikroTik vem a lançar em termos de hardware e software.

Fórum

A grande jogada do forum é a presença massiva de MikroTik Trainers de todos os cantos do mundo, e também de pessoas que trabalham na própria MikroTik. Por menor que seja a sua dúvida ela pode ser respondida por alguém do suporte, simples assim.

Encontre um consultor

Em um momento de aperto, em que precisa de auxilio para resolver algum problema grave na rede, ou até mesmo para um planejamento de expansão, como você escolhe um consultor?

Definitivamente a resposta não é: Vou ao Facebook e contrato o primeiro que me responder.

Muito menos: Contrato o serviço em um anúncio do Mercado Livre.

A própria MikroTik detém uma página (www.mikrotik.com/consultants/latinamerica/brazil) onde classifica oficialmente  consultores certificados para que você possa escolher o melhor profissional.

Para fazer parte da lista de consultores, o profissional precisa ter ao menos duas certificações MikroTik, com mais de 75% de aprovação no exame. 

Qual hardware comprar?

Não só fabricante do RouterOS (software) é a MikroTik. Em 2002, foi fabricada a primeira RouterBOARD. Nada menos do que um hardware que leva embarcado o RouterOS.

Atualmente, existem vários modelos que atendem desde usuários da última milha com roteadores WI-FI, até grandes provedores de Internet, com gigas e gigas de tráfego.

O site (https://mikrotik.com/products) lista todos os produtos disponíveis, suas características, e oferece a possibilidade de comparação entre os modelos. 

Mesmo assim não sabe qual hardware comprar? 

A melhor coisa a fazer é procurar um consultor oficial, para que ele analise a sua demanda, e indique o devido hardware para utilização.

Sim, o suporte deles é um suporte de verdade!

Muitas vezes em que fui contatar o suporte da MikroTik para tirar alguma dúvida, recebi o seguinte questionamento:

E eles respondem mesmo?

Mas claro! Por que não iriam responder?

Vale lembrar que o suporte não é um consultor for free e algumas regras devem ser respeitadas. Aí vão as principais:

– Confira a documentação e exemplos de configuração antes. A resposta para a sua dúvida pode estar lá.

– Certifique-se que esteja com a versão do RouterOS atualizada. 

– Ao contatar o suporte, dê o máximo possível de detalhes, para que haja completo entendimento por parte da MikroTik.

– Envie juntamente com seu problema/dúvida, o supout.rif do seu roteador.

Já foi no MUM?

O MUM é o MikroTik User Meeting, ou encontro de usuários de MikroTik. Ocorre em diversos países do mundo, todos os anos. No Brasil,  ocorre desde 2008, e a cada ano em uma cidade diferente.

Durante os dois dias de evento, é possível rodar o local fazendo networking  com outros profissionais, visitar expositores, assistir palestras, e até mesmo trocar uma ideia com os próprios funcionários da MikroTik.  

O MUM Brazil 2018 foi em São Paulo, e já estamos ao aguardo do anúncio do MUM Brazil 2019

Até a próxima!


Cuidado! com o DNS recursivo no RouterOS.

Esse post começa com uma recomendação:

Não ativem o DNS recursivo no RouterOS…

… se você não precisa, ou nem sabe para que serve =).

Como eu ativo o DNS recursivo no meu roteador MikroTik? Veja só:

Marcou a checkbox, ativou o DNS recursivo.

Entretanto, ativar o DNS recursivo não implica em nenhum problema desde que você necessite utilizar. Aliás, o DNS no RouterOS atua como cache, e melhora consideravelmente a experiência para o usuário, pois agiliza as consultas a nomes de domínios.

Porém, antes de sair clicando na checkbox, é preciso estabelecer quem pode, ou quem não pode consultar o DNS do nosso roteador MikroTik. Isso tudo pois quando o “Allow Remote Requests” está habilitado, o roteador acaba respondendo consultas de DNS para qualquer IP, o que pode demandar o uso excessivo de tráfego.

Mais além, o DNS do roteador pode ser utilizado em um ataque de DDoS, onde possui um fator de amplificação de até 54 vezes.

Para controlar as respostas ao DNS do nosso roteador MikroTik, vamos usar o firewall.

Antes de adicionar as regras no firewall, vamos definir nossas interfaces de WAN, através do menu Interface > Interface List:

Após definir quais interfaces farão parte da lista WAN, vamos usar a tabela Raw do Firewall. A tabela Raw foi introduzida na versão 6.36 do RouterOS, e atua antes da connection tracking, resultando em uma melhor performance no filtro de pacotes.

Para as regras, é preciso definir a chain de prerouting, o protocolo UDP e a porta de destino 53, além de mencionar a lista de interfaces que criamos anteriormente, através do campo “In. Interface List”. A action da nossa regra será drop. Vamos duplicar a regra criada, alterando o protocolo para TCP.

Não esqueçam de comentar as regras criadas, pois documentação de rede nunca é demais.

Com essas regras, iremos descartar silenciosamente os pacotes com destino à porta 53 UDP e TCP, que vierem de qualquer interface da minha lista “WAN”. Em outras palavras, não vamos permitir a consulta de DNS recursivo, à nenhum endereço IP de fora da rede.

Essas regras são essenciais para a utilização do DNS cache do RouterOS.

Até a próxima!


SNMP em Roteadores MikroTik

Introdução

O Simple Network Management Protocol já é bem conhecido da maioria dos Administradores de Rede. O SNMP é utilizado para coletar informações relevantes, tais como utilização de recursos, quantidade de tráfego, tempo de atividade, entre outros diversos parâmetros. Para facilitar, um sistema de monitoramento é utilizado para coletar as informações através de SNMP, a exemplo do Dude, PRTG e Zabbix. Estas informações nos auxiliam muito na resolução de algum problema e também no planejamento para a tomada de decisões.

O protocolo SNMP é aberto, definido nas RFCs 1157, 3414 e 3416, e suportado pelo integralmente no RouterOS. O protocolo utiliza as portas UDP 161 e 162. As configurações de SNMP se encontram através do menu IP > SNMP.

Configuração

A configuração do SNMP no RouterOS é muito simples. Basta habilitar o checkbox “Enabled”, e definir as opções de community e versão. A community padrão do protocolo SNMP é definida como “public”, e para não ativarmos nada que seja altamente conhecido, sugerimos que uma nova community seja criada. Podem caprichar na utilização de caracteres especiais, variar entre números, e letras maiúsculas e minúsculas.

A escolha da versão depende da implementação que o sistema de monitoramento estará utilizando. A versão 2 do SNMP é a mais utilizada, mas pode-se usar a versão 3, que contempla autenticação e encriptação.

Informações adicionais de contato e localização também podem ser preenchidas sem problema algum.

Segurança

É imprescindível que as consultas SNMP sejam restritas a um IP ou uma range, para evitar que qualquer dispositivo na Internet possa consultar informações e também utilizar o protocolo para um ataque de DDoS.

Através do campo “Addresses”, informamos quais IPs ou redes podem realizar consultas SNMP no dispositivo em questão.

A recomendação é que jamais o SNMP esteja habilitado sem restrição alguma (0.0.0.0/0), e com informações de fácil descoberta. Portanto, para começarmos a trabalhar com SNMP no RouterOS, lembrem-se:

  • Configure uma community diferente da padrão “public”;
  • Especifique IPs ou redes que possam realizar consultas SNMP.

Até a próxima!