Tag routeros

tchesolutions
03/05/2022

3 práticas seguras para equipamentos MikroTik que você precisa implementar

Você sabia que o Brasil é um dos países que lidera a lista de equipamentos MikroTik comprometidos por alguma falha de segurança? Muito se deve apenas a falta práticas seguras nos equipamentos.

Imagem: blog.netlab.360.com

Juntamente com a Rússia, o Brasil possui muitos equipamentos MikroTik com algum tipo de vulnerabilidade a ser explorada. Isso ocorre por má configuração e falta de aplicação de boas práticas como controle de acesso e atualização do RouterOS. Com isso, separamos 3 dicas de segurança que são indispensáveis para você aplicar em seus dispositivos.

Usuário admin

Esqueça o usuário admin. Este é o usuário padrão dos equipamentos MikroTik, quando fazemos o primeiro acesso e ele não possui nenhuma senha.

* As versões mais recentes do RouterOS
já sugerem a troca de senha do usuário admin
após o primeiro acesso.

Portanto,  a primeira coisa que devemos fazer ao configurar um roteador MikroTik é trocar a senha de admin. Mas para deixar essa prática mais segura, recomendamos a remoção do usuário admin e adição de um usuário novo com uma senha forte*

* Combine letras maiúsculas, minúsculas, números e caracteres especiais.

Para adicionar um novo usuário:

/user
add name=”joaozinho30” group=”full” password=”S3nhA!suP3r&secR3t4”

Para remover o usuário admin:

/user remove admin

IP Services

O controle de acesso ao dispositivo MikroTik é essencial para garantir que o equipamento esteja acessível apenas por endereços IP confiáveis. 

Muitos profissionais deixam seus roteadores abertos e não contam com regras de firewall capazes de proteger o acesso indevido.

Em IP > Services, é possível controlar o acesso aos vários meios de acesso ao seu roteador MikroTik:

É extremamente recomendável desativar os serviços não utilizados e limitar o acesso dos serviços essenciais.

* Trocar a porta de acesso não é sinônimo de segurança, uma vez que um simples
port scan pode informar a nova porta de acesso.

Para seguir acessando o seu dispositivo remotamente, é recomendado o uso de VPN. Veja o nosso artigo sobre como configurar um servidor de VPN no RouterOS.

Atualização

Manter o dispositivo atualizado é uma boa prática pois evita que falhas de segurança já corrigidas sejam exploradas.

    Caso você ainda não esteja seguro para utilizar a versão 7 do RouterOS, utilize a versão 6 long-term. Versões mais antigas possuem falhas de segurança que podem comprometê-lo gravemente.

Para atualizar, basta usar o menu System > Packages e o botão “Check for Updates”

Ao clicar em “Download&Install” o roteador é reiniciado após o download do pacote. Se optar por apenas baixar o pacote usando o botão “Download”, basta reiniciar o roteador (System > Reboot) para que a atualização seja realizada.

Não esqueça de atualizar também o routerboot do roteador, em “System > RouterBOARD” e em seguida, “Upgrade”. Um novo reboot será necessário para efetivar o novo bootloader.

Você pode optar por baixar os pacotes de atualização diretamente do site da MikroTik e fazer o upload para o seu roteador, caso tenha problemas ao usar o botão “Check for Updates”.

Comentários desativados em 3 práticas seguras para equipamentos MikroTik que você precisa implementar InMikroTik Redes Segurança
Fernando Garcia
30/03/2022

Bem vindo aos 100 Gbps com MikroTik

No mercado de Telecom desde 1996, a MikroTik sempre teve como missão entregar soluções de rede a baixo custo, viabilizando o crescimento de milhares de negócios mundo afora, principalmente provedores de Internet.

Desde o surgimento do sistema operacional que podia ser instalado em um PC o catálogo tem evoluído muito e agora a MikroTik dá mais um importante passo em direção ao futuro com a chegada do primeiro equipamento com interfaces de 100Gbps. Trata-se da CCR2216-1G-12XS-2XQ.

CCR2216-1G-12XS-2XQ

Segundo o próprio fabricante esse modelo é a evolução perfeita para a CCR 1072, o qual apresentou uma performance muito superior em testes de bancada, passando um tráfego agregado de mais de 200 Gbps.

Teste divulgado pelo fabricante

A nova CCR conta com 2 interfaces QSFP28 com capacidade para 100Gbps cada, também possui 12 interfaces SFP28 para 25 Gbps e ainda uma porta Gigabit Ethernet.

Diferentemente da CCR 2116 que roda apenas a versão 7 do RouterOS, a nova CCR 2216 vem de fábrica com a versão 6 instalada, podendo ser realizado upgrade pelo usuário.

O preço sugerido pelo fabricante é de $2795,00 (dólares).

Confira o vídeo da MikroTik sobre o produto. (em inglês)

Detalhes
Código do produtoCCR2216-1G-12XS-2XQ
ArquiteturaARM 64 bits
CPUAL73400
contagem de núcleos da CPU16
Frequência nominal da CPU2000MHz
Licença do RouterOS6
Sistema operacionalRoteador OS 7
Tamanho da RAM16 GB
Tamanho do armazenamento128 MB
Tipo de armazenamentoNAND
MTBFAproximadamente 200.000 horas a 25C
Temperatura ambiente testada-20°C a 60°C
Preço sugerido$ 2.795,00
Número de entradas CA2
Faixa de entrada CA100-240
Consumo máximo de energia128 W
Consumo máximo de energia sem acessórios80 W
Tipo de resfriamento4
10/100/1000 portas Ethernet1
Número de portas 25G SFP2812
Número de portas 100G QSFP282
Porta serial do consoleRJ45
Número de slots M.22
Monitor de temperatura da CPUsim
Monitor de temperatura PCBsim
Monitor de tensãosim
CertificaçãoCE, EAC, ROHS
IP20

Mais detalhes na página do produto.

Confira mais novidades sobre o mundo de telecom no Blog da Tchê!

Comentários desativados em Bem vindo aos 100 Gbps com MikroTik InMikroTik Redes
tchesolutions
19/04/2020

5 comandos úteis usando a CLI do RouterOS.

Uma das grandes facilidades do RouterOS é o nosso querido Winbox, não há como negar. Têm aqueles que não gostam (famosos haters), e preferem a clássica linha de comando, que é a ferramenta principal dos demais fabricantes, como Cisco, Huawei, Juniper, etc e tal.

O fato é que mais dia, menos dia vamos usar a CLI do RouterOS pois ela nos oferece coisas bem legais, que agilizam algumas operações.

Por isso, separamos 5 comandos que utilizamos com frequência em nosso dia a dia, mas que muitas pessoas não conhecem.

Ctrl + X

Esse eu acho que quase todo mundo conhece, mas quem nunca utilizou, o Ctrl + X habilita o modo seguro usando o terminal do RouterOS.

Eu particularmente prefiro utilizar o modo seguro (ou Safe Mode) diretamente pelo terminal, pois acho mais fácil de “soltar” o modo seguro antes fazer logout do router.

Para sair do modo seguro, basta pressionar novamente Ctrl + X. Se preferir descartar as alterações, basta pressionar Ctrl + D.

/log print follow-only

Os logs são muito interessantes para identificarmos algum problema ou mesmo para verificarmos se está tudo correndo bem em nosso router.

Para acompanha-los usando a CLI, basta adicionar o parâmetro follow-only ao comando /log print, que a visualização irá ficar bem mais fácil.

A propósito, vocês já viram a funcionalidade de filtragem de logs usando o Winbox? Está disponível desde a versão 3.22

/interface monitor-traffic

Para analisar a quantidade de tráfego em uma ou mais interfaces, é lógico que preferimos o Winbox. Porém, é possível analisar o tráfego de uma ou mais interfaces usando a CLI, e é beeeeem legal!

Podemos mencionar mais de uma interface, separando-as por vírgula, ou usar o atributo aggregate, para contabilizar o tráfego de todas as interfaces do router.

/system resource monitor

Poder identificar a utilização de recursos de um router é muito importante, pois o uso de CPU ou RAM é determinante para a performance do equipamento. Utilizando o Winbox, os mostradores ficam na barra superior.

Se estivermos utilizando a CLI, podemos facilmente verificar os recursos de CPU e RAM usando o comando /system resource monitor

/ip route print where

O comando /ip route print mostra a tabela de roteamento do router, mas em determinadas situações precisamos filtrar os resultados, pois a tabela de roteamento pode estar com uma quantidade muito grande rotas.

Dos diversos atributos que podemos utilizar, separamos alguns que mais utilizamos:

  • /ip route print where dst-address=8.8.0.0/24 – Mostra as rotas com o destino exato 8.8.0.0/24
  • /ip route print where dst-address in 8.8.0.0/16 – Mostra as rotas compreendidas por 8.8.0.0/16
  • /ip route print where received-from=nome-do-peer – Mostra as rotas aprendidas pelo peer BGP especificado.
  • /ip route print where static – Mostra as rotas estáticas da tabela de roteamento.
  • /ip route print where ospf – Mostra as rotas oriundas do protocolo OSPF.

Até a próxima!

Comentários desativados em 5 comandos úteis usando a CLI do RouterOS. InMikroTik Redes
Pietro Scherer
14/01/2020

A topologia rede realmente importa?

Em Novembro de 2019, juntamente com meu amigo e colega Anderson Matozinhos, realizamos uma apresentação no MUM Brazil 19 onde mostramos a importância de planejar uma topologia de rede, e como escolher o melhor equipamento para determinada aplicação.

Uma rede com equipamentos mal dispostos e não dimensionados da forma correta traz dor de cabeça tanto para o provedor de Internet, quanto para a empresa de consultoria, que precisa desfazer aquela bagunça toda.

Escolha o equipamento adequado!

Exemplificando os equipamentos da MikroTik, temos diversas maneiras de escolher o melhor equipamento para determinada função.

Lista de equipamentos MikroTik – https://mikrotik.com/products

Todo e qualquer equipamento produzido pela MikroTik estará listado em seu site.

Ao clicar em algum equipamento da lista, todas as informações estarão disponíveis.

Diagrama de bloco

Cada dispositivo dispõe de seu diagrama de bloco para download, e tem a finalidade de mostrar como estão montados os componentes internos do equipamento.

Muito útil para auxiliar no planejamento da escolha de algum equipamento.

Diagram de bloco da CRS305-1G-4S+

A MikroTik produz diversos tipos de equipamentos, que vão desde roteadores para residências e pequenos escritórios (SOHO), até chegar em switches e roteadores de alta capacidade a nível de operadoras.

Planeje e defina uma topologia de rede

Após escolher o equipamento ideal para determinada aplicação, não é só tirar da caixa e ligar. Porém, muitas vezes é isso o que acontece.

Tira da caixa, liga na rede (em qualquer lugar, mais precisamente onde tem alguma interface livre), e diz o seguinte para o técnico/consultor:

Pronto! Chegou um equipamento novo, está na rede, faça funcionar!

Modelo de rede em camadas

Não é receita de bolo, mas experimente estruturar a sua rede em camadas, para que estas estejam bem definidas e para que possibilitem o fácil entendimento da rede. Isso resultará em uma fácil administração e grande possibilidade de expansão.

“Rede bem estruturada não dá problema!”

Consultor desconhecido

Na apresentação, falamos sobre as estruturas de Core, Distribuição e Acesso, onde ficam explícitas as funções de cada dispositivo na rede.

Veja a apresentação completa

Fale com quem entende!

Precisa de ajuda para reestruturar a sua rede? Fala com a gente (https://tchesolutions.com.br). Queremos ajuda-lo melhorar ainda mais a sua rede!

Até a próxima!

Comentários desativados em A topologia rede realmente importa? InMikroTik Redes
tchesolutions
03/12/2019

Backups no MikroTik RouterOS.

Podemos claramente dizer que o RouterOS possui dois tipos de backup: o backup binário (.backup) e o backup de exportação de configurações (.rsc).

Você sabe quando utilizar cada um deles? Qual é o melhor? Qual o mais indicado?

O backup binário (.backup)

O backup binário é gerado através do menu “Files” e do botão “Backup”.

O arquivo .backup pode ganhar um nome, e por boa prática, uma senha.

# Caso o nome não seja preenchido, o arquivo terá o nome baseado na Identity do equipamento e na data em que o backup foi gerado #

Antes da versão 6.43, se não for especificada nenhuma senha para o backup, ele será criptografado com a senha do usuário que gerou o backup.

A partir da versão 6.43, os backups não são encriptados se não for especificado nenhuma senha, através do campo password. Por isso, é muito boa prática que seja definida uma senha para a encriptação dos backups.

Podemos gerar o arquivo de backup usando a CLI do RouterOS, da seguinte forma:

/system backup save name=backup-hAPac password=@back!up#

IMPORTANTE:

O arquivo de backup (.backup) é binário, e não pode ser editado. Além do mais, ele carrega informações físicas do equipamento, como por exemplo o MAC Address das interfaces.

Com isso, você só pode restaurar este backup no mesmo dispositivo no qual foi gerado. E não estamos falando do mesmo modelo de hardware, e sim o hardware que gerou o backup.

Restaurar o backup binário em uma outra RouterBOARD implicaria na duplicação de MAC Address, além de outros problemas.

Para restaurar as configurações à partir do backup binário, é muito simples. Basta selecionar o arquivo de backup a ser restaurado, preencher com a senha e clicar no botão “Restore” no mesmo menu “Files”.

Após o reboot, o equipamento voltará com a configuração do backup em questão.

O Backup export (.rsc)

O comando /export é utilizado para exportar de forma parcial ou total, as configurações presentes no equipamento.

Diferente do backup binário (.backup), ele é editável (Notepad, Notepad++, Atom, Sublime Text, entre outros possuem plugins de Syntax highlighting para o RouterOS), e não contém informações físicas sobre o dispositivo.

Pelo fato de ser editável, o backup de exportação é salvo em texto plano, e por isso, não contém as informações de usuários (/system users). Estas informações devem ser adicionadas novamente, após a restauração do backup.

É utilizado tanto para restaurar a configuração em um dispositivo, quanto mover a configuração para um outro dispositivo RouterOS, de modelo igual, parecido, ou completamente diferente.

Vejamos as variações de uso do comando /export :

Exporta e joga na tela do terminal, toda a configuração do dispositivo:

/export

Exporta a configuração, salvando-a em um arquivo (Files):

/export file=backup-hAPac

Exporta parte da configuração:

/ip firewall export
ou
/ip firewall export file=firewall

Após a versão 6rc1, todos os backups de exportação são por padrão, compactos (compact), ou seja, mostram apenas o que foi adicionado/alterado na configuração do RouterOS. Isso implica em backups menores e objetivos.

Na versão 5, o padrão do comando /export era o verbose que exportava toda a configuração do RouterOS, inclusive os valores padrões. Isso resultava em um monte de informação desnecessária.

# Arquivo de backup.rsc no editor de texto Sublime Text #

Para restaurar a configuração utilizando o arquivo de exportação (.rsc), há pelo menos duas formas:

Utilizando o comando /import mencionando o arquivo de backup:

/import file-name=backup.rsc

Ou ir copiando e colando as informações por partes, diretamente na CLI do RouterOS.

IMPORTANTE:

Para restaurar as configurações usando o comando /import é necessário:

– Equiparar a versão do equipamento com a versão do backup;
– Deixar o equipamento totalmente limpo de configuração, usando o comando:

/system reset-configuration no-defaults=yes

Isso irá garantir que não ocorra nenhum erro na importação, diante de alguma configuração existente ou padrão, e também devido a algum erro de sintaxe, devido a diferença da versão do RouterOS.

Recapitulando:

Backup binário (.backup):

– Deve conter uma senha, para que o mesmo seja encriptado (versão 6.43+);
– Anterior à versão 6.43, o backup é encriptado com a senha do usuário que gerou o mesmo;
– Deve ser restaurado apenas no mesmo equipamento em que foi gerado, pelo fato de conter informações físicas;
– Não pode ser editado.

Backup de exportação (.rsc):

– Utilizado para restaurar e/ou mover a configuração para o mesmo ou outro dispositivo;
– É salvo em texto plano, logo, editável, e não contém as informações de usuários (/system users);
– Pode exportar parte ou toda a configuração do dispositivo;
– Para a importação, necessita que o dispositivo esteja completamente sem nenhuma configuração (/system reset-configuration no-defaults=yes), e preferencialmente na mesma versão.

Dicas:

  • Utilizem ambos os tipos de backup;
  • Não guardem o arquivo de backup somente no dispositivo;
  • Utilizem senhas adequadas (fortes), para a encriptação do backup binário.

E se…

Houvesse um sistema de backups para o RouterOS, que pudesse armazenar os arquivos em nuvem, de forma fácil e segura?

E ainda…

Pudesse gerenciar configurações do RouterOS, como adição, alteração e remoção de usuários, serviços, e outras configuração, em poucos cliques?

Descubra em:

www.routermage.com

Até a próxima!

Comentários desativados em Backups no MikroTik RouterOS. InMikroTik Redes Segurança
tchesolutions
05/04/2019

MikroTik lança correções para vulnerabilidades no protocolo IPv6

Publicado por tchesolutions em 05/04/2019

Na última semana, falamos aqui no Blog sobre possíveis vulnerabilidades que foram descobertas no RouterOS, referentes ao protocolo IPv6:

https://tchesolutions.com.br/site/mikrotik-trabalha-na-resolucao-de-vulnerabilidade-no-protocolo-ipv6/

No dia 4 de abril, as correções foram devidamente lançadas nos canais Long-term, Stable e Beta, conforme anúncio no Blog oficial da MikroTik:

https://blog.mikrotik.com/software/cve-2018-19298-cve-2018-19299-ipv6-resource-exhaustion.html

Portanto, é hora de atualizar os seus dispositivos, visto que a vulnerabilidade será exposta no dia 9 de Abril, conforme mencionamos no post anterior.

Até a próxima!

Comentários desativados em MikroTik lança correções para vulnerabilidades no protocolo IPv6 InMikroTik Redes Segurança
tchesolutions
08/03/2019

MikroTik trabalha na resolução de vulnerabilidade no protocolo IPv6

Em torno do dia 27 de Março de 2019, começou a se espalhar a informação de que uma nova vulnerabilidade foi descoberta no RouterOS. Dessa vez, o alvo é o protocolo IPv6.

Além disso, é dito que essa vulnerabilidade é conhecida há mais ou menos 1 ano, porém, sem ser exposta e documentada publicamente.

O prazo para que essa vulnerabilidade seja publicamente documentada através de uma CVE, é dia 9 de Abril de 2019, durante a apresentação do pesquisador Marek Isalski, no UKNOF-43 (https://indico.uknof.org.uk/event/46/).

O problema em questão afeta diretamente os recursos do hardware, de forma a esgota-los, causando a interrupção do serviço (Denial of Service). Ainda não há um detalhamento de como o processo ocorre, mas segundo o pesquisador Marek Isalski, simples (e poucos) pacotes IPv6 podem fazer com que o roteador seja reiniciado pelo Watchdog (https://wiki.mikrotik.com/wiki/Manual:System/Watchdog), diante da falta de memória RAM.

O que sabemos até agora?

  • Há uma vulnerabilidade que afeta o protocolo IPv6 em roteadores MikroTik;
  • Ela ainda não foi publicamente documentada, mas será, de acordo com a apresentação de Marek, no dia 9 de Abril, no UKNOF-43.
  • Essa vulnerabilidade é conhecida pela MikroTik, que está trabalhando para corrigir o quanto antes;
  • Segundo a própria MikroTik, o processo de correção não é tão simples, pois envolve questões relacionadas ao Kernel utilizado no RouterOS;
  • Ainda assim, a MikroTik informou em seu fórum oficial, que uma correção será liberada antes do prazo (9 de Abril de 2019);
  • Algumas correções já estão sendo liberadas na versão 6.45 beta (https://mikrotik.com/download/changelogs/testing-release-tree);

Diante de tudo isso…

  • Não criemos pânico! Como a vulnerabilidade ainda não foi publicamente exposta, aguardemos um pronunciamento oficial da MikroTik, que deve ocorrer tanto no fórum oficial (https://forum.mikrotik.com), quanto no blog (https://blog.mikrotik.com);
  • Não executem ações precipitadas. Há usuários solicitando revisão de regras de firewall IPv6, a criação de tais regras visando a proteção à essa vulnerabilidade, alguns desabilitando o pacote IPv6, e outros removendo todas as configurações IPv6 presente nos roteadores;
  • Nada disso é necessário ainda. Acreditamos que as correções serão disponibilizadas em breve, e com isso, faremos os testes e a devida atualização de nossos equipamentos;
  • Por último e muito importante: Não espalhem falsas notícias sobre o assunto. As modistas Fake News causam um impacto muito negativo, e se espalham muito mais rápido.

De onde saíram todas essas informações?

Do fórum oficial da MikroTik (https://forum.mikrotik.com/viewtopic.php?f=2&t=147048). Sugiro a leitura completa dos posts, e também dos links externos.

Ao longo dos próximos dias teremos mais informações sobre o assunto.

Até a próxima!

Comentários desativados em MikroTik trabalha na resolução de vulnerabilidade no protocolo IPv6 InMikroTik Redes Segurança
tchesolutions
07/01/2019

SNMP em Roteadores MikroTik

Introdução

O Simple Network Management Protocol já é bem conhecido da maioria dos Administradores de Rede. O SNMP é utilizado para coletar informações relevantes, tais como utilização de recursos, quantidade de tráfego, tempo de atividade, entre outros diversos parâmetros. Para facilitar, um sistema de monitoramento é utilizado para coletar as informações através de SNMP, a exemplo do Dude, PRTG e Zabbix. Estas informações nos auxiliam muito na resolução de algum problema e também no planejamento para a tomada de decisões.

O protocolo SNMP é aberto, definido nas RFCs 1157, 3414 e 3416, e suportado pelo integralmente no RouterOS. O protocolo utiliza as portas UDP 161 e 162. As configurações de SNMP se encontram através do menu IP > SNMP.

Configuração

A configuração do SNMP no RouterOS é muito simples. Basta habilitar o checkbox “Enabled”, e definir as opções de community e versão. A community padrão do protocolo SNMP é definida como “public”, e para não ativarmos nada que seja altamente conhecido, sugerimos que uma nova community seja criada. Podem caprichar na utilização de caracteres especiais, variar entre números, e letras maiúsculas e minúsculas.

A escolha da versão depende da implementação que o sistema de monitoramento estará utilizando. A versão 2 do SNMP é a mais utilizada, mas pode-se usar a versão 3, que contempla autenticação e encriptação.

Informações adicionais de contato e localização também podem ser preenchidas sem problema algum.

Segurança

É imprescindível que as consultas SNMP sejam restritas a um IP ou uma range, para evitar que qualquer dispositivo na Internet possa consultar informações e também utilizar o protocolo para um ataque de DDoS.

Através do campo “Addresses”, informamos quais IPs ou redes podem realizar consultas SNMP no dispositivo em questão.

A recomendação é que jamais o SNMP esteja habilitado sem restrição alguma (0.0.0.0/0), e com informações de fácil descoberta. Portanto, para começarmos a trabalhar com SNMP no RouterOS, lembrem-se:

  • Configure uma community diferente da padrão “public”;
  • Especifique IPs ou redes que possam realizar consultas SNMP.

Até a próxima!

Comentários desativados em SNMP em Roteadores MikroTik InMikroTik