Académique Documents
Professionnel Documents
Culture Documents
CERTIFICAO MTCNA
Produzido por: MKT Solutions
www.mktsolutions.net.br
Instrutor: Guilherme Ramires
AGENDA
Apresente-se
se a turma
Lembre-se
se de seu nmero: XY
5
Objetivos do curso
RouterBoards
Mikrotik RouterOS
Um roteador dedicado
Controlador de banda
Firewall
Gerenciador de usurios
Dispositivo QoS personalizado
Qualquer dispositivo wirless 802.11a/b/g/n
Instalao do RouterOS
O Mikrotik RouterOS pode ser instalado a partir de:
CD ISO bootvel imagem
Via rede com utilitrio Netinstall
10
Instalando pelo CD
Inicie o PC com o modo boot pelo CD
12
Pacotes do RouterOS
System: Pacote principal contendo os servios bsiscos e drivers. A rigor o nico que obrigatrio
Pacotes do RouterOS
Instalando pelo CD
Pode-se
se selecionar os pacotes desejados usando a barra de espaos ou a para
todos. Em seguida pressione i para instalar os pacotes selecionados. Caso haja
configuraes pode-se mant-las
las pressionando y.
15
16
Primeiro acesso
Console no Mikrotik
Atravs do console do Mikrotik possvel acessar todas
configuraes do sistema de forma hierrquica
conforme os exemplos abaixo:
Acessando o menu interface
[admin@MikroTik] > interface
[admin@MikroTik] interface > ethernet
Para retornar ao nvel anterior basta digitar ..
[admin@MikroTik] interface ethernet> ..
[admin@MikroTik] interface >
Para voltar ao raiz digite /
[admin@MikroTik] interface ethernet> /
[admin@MikroTik] >
20
Console no Mikrotik
? Mostra um help para o diretrio em que se esteja
? Aps um comando incompleto mostra as opes
disponveis para o comando
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opo para o j digitado,
pressione TAB 2 vezes para mostrar as opes
disponveis
21
Console no Mikrotik
Comando PRINT mostra informaes de configurao:
[admin@MikroTik] > interface ethernet> print
Flags: X - disabled, R - running, S - slave
# NAME
MTU MAC-ADDRESS
ARP
0 R ether1
1500 00:0C:42:34:F7:02 enabled
MASTER-PORT
SWITCH
22
Console no Mikrotik
Console no Mikrotik
Comandos para manipular regras
add,, set, remove: adiciona, muda e remove regras;
disabled: desabilita regra sem deletar;
move: move a regra cuja a ordem influncia.
Comando Export
Exporta todas as configuraes do diretoria acima;
Pode ser copiado e colado em um editor de textos;
Pode ser exportado para arquivo.
Comando Import
Importa um arquivo de configurao criado pelo comando export.
24
WINBOX
Winbox o utilitrio para administrao do Mikrotik em modo grfico.
Funciona em Windows. Para funcionar no Linux necessrio a instalao
do emulador Wine.. A comunicao feita pela porta TCP 8291 e caso voc
habilite a opo Secure Mode a comunicao ser criptografada.
Para baixar o winbox acesse o link:
http://www.mikrotik.com/download.html
25
26
27
29
Manuteno do Mikrotik
Atualizao
Gerenciando pacotes
Backup
Informaes sobre licenciamento
30
Atualizaes
As atualizaes podem ser feitas a
partir de um conjunto de pacotes
combinados ou individuais.
Os arquivo tem extenso .npk e para
atualizar a verso basta fazer o
upload para o diretrio raiz e efetuar
um reboot.
O upload pode ser feito por FTP ou
copiando e colando pelo Winbox.
31
Pacotes
Adicionar novas funcionalidades podem ser feitas
atravs de alguns pacotes que no fazem parte do
conjunto padro de pacotes combinado.
Esses arquivos tambm possuem extenso .npk
.
e
para instal-los
los basta fazer o upload para o
Mikrotik e efetuar um reboot do sistema.
Alguns pacotes como User
User Manager e
Multicast so exemplos de pacotes adicionais
que no fazem parte do pacote padro.
32
Pacotes
Alguns pacotes podem ser habilitados e desabilitados
conforme sua necessidade.
Pacote desabilitado
Pacote marcado para ser
desabilitado
Pacote marcado para ser
habilitado
33
Backup
Para efetuar o backup
basta ir em Files e clicar no
boto Backup.
Para restaurar o backup
basta selecionar o arquivo
e clicar em Restore.
Este tipo de backup pode causar problemas de MAC caso
seja restaurado em outro hardware. Para efetuar um
backup por partes use o comando export.
34
Licenciamento
A chave gerada sobre
um software-id fornecido
pelo sistema.
A licena fica vinculada ao
HD ou Flash e/ou placa
me.
A formatao com outras
ferramentas muda o
software-id causa a perda
da licena.
35
Dvidas ???
36
37
Modelo OSI
(Open System Interconnection)
Interconnection
CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET.
CAMADA 6 Apresentao: Camada de traduo. Compresso e criptografia
CAMADA 5 Sesso: Estabelecimento das sesses TCP.
CAMADA 4 Transporte: Controle de fluxo, ordenao dos pacotes e correo de erros
CAMADA 3 Rede: Associa endereo fsico ao endereo lgico
CAMADA 2 Enlace: Endereamento fsico. Detecta e corrige erros da camada 1
CAMADA 1 Fsica: Bits de dados
38
Camada II - Enlace
Camada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da
camada I.
Endereamento fsico se faz pelos endereos MAC
(Controle de Acesso ao Meio) que so nicos no mundo
e que so atribudos aos dispositivos de rede.
Ethernets e PPP so exemplos de dispositivos que
trabalham em camada II.
40
Endereo MAC
o nico endereo fsico de um dispositivo de rede
usado para comunicao com a rede local
Exemplo de endereo MAC: 00:0C:42:00:00:00
41
Endereo IP
o endereo lgico de um dispositivo de rede
usado para comunicao entre redes
Exemplo de endereo ip:: 200.200.0.1
43
Sub Rede
uma faixa de endereos IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereo de REDE o primeiro IP da sub rede
O endereo de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados
End. IP/Mscara
End. de Rede
End. Broadcast
192.168.0.1/24
192.168.0.0
192.168.0.255
192.168.0.1/25
192.168.0.0
192.168.0.127
192.168.0.1/26
192.168.0.0
192.168.0.63
192.168.0.200/26
192.168.0.192
192.168.0.255
44
Endereamento CIDR
45
Camada IV - Transporte
Quando no lado do remetente responsvel por
pegar os dados das camadas superiores e dividir em
pacotes para que sejam transmitidos para a camada
de rede.
No lado do destinatrio pega pega os pacotes
recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.
Esto na camada IV: TCP, UDP, RTP
47
Camada IV - Transporte
Protocolo TCP:
O
O TCP um protocolo de transporte que executa
importantes funes para garantir que os dados sejam
entregues de forma confivel, ou seja, sem que os
dados sejam corrompidos ou alterados.
Protocolo UDP:
O
O UDP um protocolo no orientado a conexo e
portanto mais rpido que o TCP. Entretanto no
garante a entrega dos dados.
48
Portas TCP
Protocolo
TCP
FTP
SSH
Telnet
WEB
Porta 21
Porta 22
Porta 23
Porta 80
50
UDP
52
Dvidas ????
53
DIAGRAMA INICIAL
54
Configurao do Router
Adicione os ips as interfaces
Configurao do Router
Adicione a rota padro
3
1
4
56
Configurao do Router
Adicione o servidor DNS
1
3
2
4
57
Configurao do Router
Configurao da interface wireless
58
Teste de conectividade
Pingar a partir da RouterBoard o seguinte ip:
192.168.X.254
Pingar a partir da RouterBoard o seguinte endereo:
www.mikrotik.com;
Pingar a partir do notebook o seguinte ip:
192.168.X.254
Pingar a partir do notebook o seguinte endereo:
www.mikrotik.com;
Analisar os resultados
59
Utilizao do NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhem um mesmo endereo
IP de sada do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui
um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca do endereo IP de origem.
Quando este pacote retorna ele encaminhando ao
host que o originou.
61
4
62
Teste de conectividade
Efetuar os testes de ping a partir do notebook;
Analisar os resultados;
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est funcionando, faa
o backup da routerboard e armazene-o
armazene no notebook.
Ele ser usado ao longo do curso.
63
Gerenciando usurios
O acesso ao roteador pode ser controlado;
Pode-se
se criar usurios e/ou grupos diferentes;
1
64
Gerenciamento de usurios
Adicione um novo usurio com seu nome e d a ele
acesso Full
Mude a permisso do usurio admin
para Read
Atualizando a RouterBoard
Faa o download dos pacotes no seguinte endereo:
ftp://172.31.255.2
Faa o upload dos pacotes para sua RouterBoard
Reinicie a RouterBoard para que os pacotes novos
sejam instalados
Confira se os novos pacotes foram instalados com
sucesso.
66
Wireless no Mikrotik
67
Configuraes Fsicas
Padro IEEE
Frequncia
Tecnologia
Velocidades
802.11b
2.4 Ghz
DSSS
1, 2, 5.5 e 11 Mbps
802.11g
2.4 Ghz
OFDM
802.11a
5 Ghz
OFDM
802.11n
68
802.11b - DSSS
69
Canais no interferentes em
2.4 Ghz - DSSS
Canal 1
2.412 GHz
Canal 6
2.437 GHz
Canal 11
2.462 GHz
70
Faixa Mdia
Faixa Alta
5150-5250
5250-5350
5350
5470-5725
5725-5850
Largura
100 Mhz
100 Mhz
255 Mhz
125 Mhz
Canais
4 canais
4 canais
11 canais
5 canais
Deteco de
radar
obrigatria
Deteco de
radar
obrigatria
73
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx
75
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
76
Padro 802.11n
INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
Bridge transparente para links N utilizando MPLS/VPLS
77
MIMO
MIMO: Multiple Input and Multiple Output
SDM: Spatial Division Multiplexing
Streams espaciais mltiplas atravs de mltiplas antenas.
79
Configurando no Mikrotik
HT Tx Chains / HT Rx Chains:
No caso dos cartes n a
configurao da antena ignorada.
HT AMSDU Limit: Mximo AMSDU
que o dispositivo pode preparar.
HT AMSDU Threshold: Mximo
tamanho de frame que permitido
incluir em AMSDU.
82
Configurando no Mikrotik
Configurando no Mikrotik
86
87
Enlaces n
Estabelea um link N com seu vizinho
Gain.
Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13
92
93
95
Dados
ACK
Dispositivo
B
99
Escaneia o meio.
Obs.: Qualquer operao de site survey causa queda das
conexes estabelecidas.
100
101
102
Framer Policy
112
Prticas de RF recomendadas:
Use antenas de qualidade, Polarizaes diferentes, canais distantes e
mantenha uma boa distncia entre as antenas.
113
114
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fiquem variando, possvel atribuir um MAC
manualmente.
118
WDS Mode
WDS / MESH
Altere o modo de operao
da wireless para: ap-bridge
WDS: Selecione o modo wds
dynamic-mesh.
WDS Default Bridge: Selecione
a bridge criada.
Obs:. Certifique-se que todos
esto no canal 5180 e SSID:
wds-lab.
120
123
125
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons.
. Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes
Scanners passivos o descobrem facilmente
pelos pacotes de probe request
request dos
clientes.
126
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
Spoofar um MAC bem simples. Tanto usando
windows, linux ou Mikrotik.
127
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar
a chave, como:
Airodump
Airreplay
Aircrack
129
Fundamentos de Segurana
Privacidade
As informaes no podem ser legveis para terceiros.
Integridade
As informaes no podem ser alteradas quando em transito.
Autenticao
AP
Cliente: O AP tem que garantir que o cliente quem diz
ser.
Cliente
AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
ataque do homem do meio.
130
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidos
por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA o RC4,
porm implementado de uma forma bem mais segura
que na WEP. E na WPA2 utiliza-se
utiliza o AES.
Para a integridade dos dados WPA usa TKIP(Algoritmo
de Hashing Michael) e WPA2 usa CCMP(Cipher
CCMP(
Chaining Message Authentication Check CBC MAC)
131
134
Segurana de EAP-TLS
TLS sem certificados
O resultado da negociao annima resulta em uma
chave PMK que de conhecimento exclusivo das duas
partes. Depois disso toda a comunicao
criptografada por AES(WPA2) e o RC4(WPA).
Seria um mtodo muito seguro se no houvesse a
possibilidade de um atacante colocar um Mikrotik com
a mesma configurao e negociar a chave normalmente
como se fosse um cliente.
Uma idia para utilizar essa configurao de forma
segura criando um tnel criptografado PPtP ou L2TP
entre os equipamentos depois de fechado o enlace.
135
138
140
EAP-TLS
TLS com certificado
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS
TLS tanto como cliente como AP e
ainda repassa esse mtodo para um Servidor Radius.
Prover maior nvel de segurana e necessita de certificados em
ambos lados(cliente e servidor).
O passo a passo completo para configurar um servidor Radius
pode ser encontrado em:
http://under-linux.org/wiki/Tutoriais/Wireless/freeradius
linux.org/wiki/Tutoriais/Wireless/freeradiusmikrotik
141
Segurana de EAP-TLS
TLS com Radius
Sem dvida este o mtodo mais seguro que podemos
obter. Entretanto existe um ponto que podemos levantar
como possvel fragilidade:
Ponto de fragilidade
EPA-TLS
Mtodo
Mtodo seguro, porm tambm no disponvel na
maioria dos equipamentos. Em placas PCI possvel
implement-lo.
146
147
149
Configurando o Radius
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC
#
Cleartext-Password
Password:=MAC
Mikrotik-Wireless
Wireless-Psk = Chave_Psk
000C42000001
Cleartext-Password
Password:=000C42000001
Mikrotik-Wireless
Wireless-Psk = 12341234
000C42000002
Cleartext-Password
Password:=000C43000002
Mikrotik-Wireless
Wireless-Psk = 2020202020ABC
150
Mikrotik
14988
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
Mikrotik-Recv-Limit
1
Mikrotik-Xmit-Limit
Mikrotik-Group
Mikrotik-Wireless-Forward
Mikrotik-Wireless-Skip-Dot1x
Mikrotik-Wireless-Enc-Algo
Mikrotik-Wireless-Enc-Key
Mikrotik-Rate-Limit
Mikrotik-Realm
Mikrotik-Host-IP
Mikrotik-Mark-Id
Mikrotik-Advertise-URL
Mikrotik-Advertise-Interval
Mikrotik-Recv-Limit-Gigawords 14
Mikrotik-Xmit-Limit-Gigawords
integer
2
3
4
5
6
7
8
9
10
11
12
13
integer
15
ATTRIBUTE
Mikrotik-Wireless-Psk
16
integer
string
integer
integer
integer
string
string
string
ipaddr
string
string
integer
integer
string
151
Firewall no Mikrotik
152
Firewall
O firewall normalmente usado como ferramenta de segurana para
prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de
entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas diversas
funes importantes como a classificao e marcao de pacotes para
desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em vrios
classificadores como endereos MAC, endereos IP, tipos de endereos IP,
portas, TOS, tamanho do pacotes, etc...
153
Firewall - Opes
154
Deciso de
Roteamento
Interface de
Saida
Processo Local IN
Processo Local
OUT
Filtro Input
Filtro Output
Deciso de
Roteamento
Filtro Forward
Para maiores informaes acesse:
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Packet_Flow
156
log e
add to address list.
6. Um pacote que no se enquadre em qualquer regra
do canal, por padro ser aceito.
158
160
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
163
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
RETURN
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
164
A address list contm uma lista de endereos IP que pode ser utilizada em
vrias partes do firewall.
Pode-se
se adicionar entradas de forma dinmica usando o filtro ou mangle
conforme abaixo:
Aes:
add dst to address list:: Adiciona o IP de destino lista.
add src to address list:: Adiciona o IP de origem lista.
knock
166
knock
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter
seu endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que
estejam na lista libera_winbox
168
Processo Local IN
Conntrack
Deciso de
Roteamento
Processo Local
OUT
Interface de
Saida
Conntrack
Filtro Input
Filtro Output
Deciso de
Roteamento
Filtro Forward
170
Firewall
Protegendo o Roteador e os Clientes
172
174
175
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a
IPs privados e uma boa prtica filtr-los.
filtr
178
180
183
184
184
Firewall - NAT
NAT Network Address Translation uma tcnica que permite que
vrios hosts em uma LAN usem um conjunto de endereos IPs para
comunicao interna e outro para comunicao externa.
DST
SRC NAT
Novo SRC
DST
DST
DST NAT
SRC
Novo DST
186
Firewall - NAT
As
As regras de NAT so organizadas em canais:
dstnat:: Processa o trfego enviado PARA o roteador e
ATRAVS do roteador, antes que ele seja dividido em
INPUT e/ou FORWARD.
srcnat:: Processa o trfego enviado A PARTIR do
roteador e ATRAVS do roteador, depois que ele sai
de OUTPUT e/ou FORWARD.
187
Interface de
Saida
Processo Local IN
Conntrack
dstnat
Deciso de
Roteamento
Filtro Input
Processo Local
OUT
Conntrack
srcnat
Filtro Output
Deciso de
Roteamento
Filtro Forward
188
Firewall - NAT
Source NAT: A ao mascarade troca o endereo IP de origem de uma
determinada rede pelo endereo IP da interface de sada. Portanto se temos,
por exemplo, a interface ether2 com endereo IP 185.185.185.185 e uma
rede local 192.168.0.0/16 por trs da ether1, podemos fazer o seguinte:
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional
direcional a um determinado
endereo IP. Dessa forma, um endereo IP de rede local pode ser
acessado atravs de um IP pblico e vice-versa.
vice
190
Firewall - NAT
Redirecionamento de portas:: O NAT nos possibilita redirecionar portas
para permitir acesso a servios que rodem na rede interna. Dessa forma
podemos dar acesso a servios de clientes sem utilizao de endereo IP
pblico.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.10 pela
porta 6380.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.20 pela
porta 6480.
191
Firewall - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso
bi-direcional
direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
192
Hosts atrs de uma rede nateada no possuem conectividade fim-afim verdadeira. Por isso alguns protocolos podem no funcionar
corretamente neste cenrio. Servios que requerem iniciao de
conexes TCP fora da rede, bem como protocolos stateless
como
UDP, podem no funcionar. Para resolver este problema, a
implementao de NAT no Mikrotik prev alguns NAT Helpers que
tm a funo de auxiliar nesses servios.
193
Firewall Mangle
O mangle no Mikrotik uma facilidade que permite a introduo de
marcas em pacotes IP ou em conexes, com base em um determinado
comportamento especifico.
As marcas introduzidas pelo mangle so utilizadas em processamento
futuro e delas fazem uso o controle de banda, QoS, NAT, etc... Elas
existem somente no roteador e portanto no so passadas para fora.
Com o mangle tambm possvel manipular o determinados campos
do cabealho IP como o ToS,
, TTL, etc...
194
Firewall Mangle
As regras de mangle so organizadas em canais e
obedecem as mesma regras gerais das regras de filtro
quanto a sintaxe.
Tambm possvel criar canais pelo prprio usurio.
Existem 5 canais padro:
195
Mangle
Prerouting
Processo Local IN
Processo Local
OUT
Mangle Input
Mangle Output
Deciso de
Roteamento
Deciso de
Roteamento
Interface de
Saida
Mangle
Postrouting
Mangle
Forward
196
Firewall Mangle
As
As opes de marcaes incluem:
mark-connection:: Marca apenas o primeiro pacote.
mark-packet:: Marca todos os pacotes.
mark-routing:: Marca pacotes para poltica de roteamento.
Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo
tempo. Porm no pode conter 2 marcas iguais.
197
Firewall Mangle
Marcando conexes:
Use mark-connection para identificar uma ou um grupo
de conexes com uma marca especifica de conexo.
Marcas de conexo so armazenadas na contrack.
S pode haver uma marca de conexo para cada conexo.
O uso da contrack facilita na associao de cada pacote a
uma conexo especfica.
198
Firewall Mangle
Marcando rotas:
As marcas de roteamento so aproveitadas para
determinar polticas de roteamento.
A utilizao dessas marcas ser abordada no tpico
do roteamento.
199
Firewall Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo continuo
de pacotes.
Marcas de pacotes so utilizadas para controle de
trfego e estabelecimento de polticas de QoS.
200
Firewall Mangle
Marcando pacotes:
Indiretamente:: Usando a facilidade da connection
tracking,, com base em marcas de conexo previamente
criadas. Esta a forma mais rpida e eficiente.
Diretamente:: Sem o uso da connection tracking no
necessrio marcas de conexes anteriores e o roteador ir
comparar cada pacote com determinadas condies.
201
Firewall Estrutura
202
203
Firewall - Mangle
Um bom exemplo da utilizao do mangle
marcando pacotes de conexes P2P.
204
Firewall - Mangle
205
Firewall - Mangle
possvel disponibilizar um modelo simples de QoS
utilizando o mangle. Para isso precisamos marcar os
seguintes fluxos:
Dvidas ???
207
208
Limite de banda:: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda de
1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm
chamado de Taxa ou Velocidade de Transferncia ou (throughput),
(
que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, voc conseguir uma Taxa de Transferncia de aproximadamente entre 25kbps a
30,7kbps
209
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o
uso da largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
tecnologias "voz sobre ip" (VoIP),
), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores,
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
210
Qualidade de Servio
Qualidade de Servio
Os mecanismos para prover QoS no Mikrotik so:
Limitar banda para certos IPs,
IPs subredes, protocolos,
servios e outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
212
Qualidade de Servio
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc):: Disciplina de enfileiramento. um
algoritmo que mantm e controla uma fila de pacotes. Ela
especifica a ordem dos pacotes que saem, podendo inclusive
reorden-los,
los, e determina quais pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados
garantida. a garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de
dados que ser fornecida. Ou seja, limite a partir do qual os
pacotes sero descartados.
Priority:: a ordem de importncia que o trfego processado.
Pode-se
se determinar qual tipo de trfego ser processado
primeiro.
213
Filas - Queues
Tipos de filas
Antes de enviar os pacotes por uma interface, eles so processados por uma
disciplina de filas(queue types).
). Por padro as disciplinas de filas so
colocadas sob queue interface para cada interface fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro da
interface, definida em queue interface, no ser mantida. Isso significa que
quando um pacote no encontra qualquer filtro, ele enviado atravs da
interface com prioridade mxima.
215
Tipos de filas
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
Schedulers:: (Re) ordenam pacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadram na disciplina. As disciplinas schedulers
216
Controle de trfego
217
Controle de trfego
O controle de trfego implementado atravs de
dois mecanismos:
Pacotes so policiados na entrada:
entrada
Pacotes indesejveis so descartados.
218
Controle de trfego
O controle de trfego implementado internamente por 4
tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
Classes:
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pacotes e atribu-los
atribu
as classes.
Policers:
Utilizados para evitar que o trfego associado a cada filtro
ultrapasse limites pr-definidos.
219
220
221
src-address
dst-address
src-port
dst-port
223
PCQ: Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico enfileiramento de baixo nvel que pode fazer
limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm
cria sub-filas considerando o parmetro pcq-classifier.
pcq
Cada sub-fila tem uma taxa de
transmisso estabelecida em rate e o tamanho mximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configurado em total limit. No exemplo abaixo
vemos o uso do PCQ com pacotes classificados pelo endereo de origem.
224
PCQ:: Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero organizados em sub-filas
sub
diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-fila
fila com o parmetro Rate. Neste ponto o mais
importante decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo o trfego da interface pblica ser agrupado pelo endereo de origem.
O que no interessante. Mas se for empregado na interface pblica todo o trfego dos
clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar o upload
dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o
classificador ser o dst. Address e configurado na interface local.
225
QoS - HTB
QoS - HTB
Exemplo de HTB
227
QoS - HTB
Exemplo de HTB
228
QoS - HTB
Termos do HTB:
Filter:: Um processo que classifica pacotes. Os filtros so responsveis pela
classificao dos pacotes para que eles sejam colocados nas correspondentes
qdisc.. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente
nas qdiscs,, sem atravessar a rvore HTB. Se um pacote no est classificado
em nenhuma das qdiscs,, enviado a interface diretamente, por isso nenhuma
regra HTB aplicada aos pacotes.
Level:: Posio de uma classe na hierarquia.
Class:: Algoritmo de limitao no fluxo de trfego para uma determinada taxa.
Ela no guarda quaisquer pacotes. Uma classe pode conter uma ou mais subsub
classes(inner class)) ou apenas uma e um qdisc(leaf classe).
229
QoS - HTB
Estados das classes HTB:
Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que est
consumindo:
Verde:: de 0% a 50% da banda disponvel est em
uso.
Amarelo:: de 51% a 75% da banda disponvel est
em uso.
Vermelho:: de 76% a 100% da banda disponvel
est em uso. Neste ponto comeam os descartes
de pacotes que se ultrapassam o max-limit.
230
QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
Interfaces:
Global-in:: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas Global--in recebem todo trfego entrante no
roteador, antes da filtragem de pacotes.
Global-out:: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas Global-out recebem todo trfego que sai do roteador.
Global-total:: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma politca de filas Global-total, a
limitao feita em ambas direes. Por exemplo se configurarmos um totalmax-limit de 300kbps, teremos um total de download+upload
download+
de 300kbps,
podendo haver assimetria.
Interface X:: Representa uma interface particular. Somente o trfego que
configurado para sair atravs desta interface passar atravs da fila HTB.
231
Mangle
Prerouting
Global-in
Processo Local IN
Processo Local
OUT
Mangle Input
Mangle Output
Deciso de
Roteamento
Deciso de
Roteamento
Interface de
Saida
Global-out
Mangle
Prerouting
Mangle
Forward
232
Filas simples
233
234
max-limite=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Utilizao do PCQ
PCQ utilizado para equalizar cada usurio ou
conexo em particular.
Para utilizar o PCQ, um novo tipo de fila deve ser
adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes
parmetros:
pcq-classifier
pcq-rate
236
Utilizao do PCQ
Caso 1: Com o rate configurado como zero, as
subqueues no so limitadas, ou seja, elas podero
usar a largura mxima de banda disponvel em maxlimit.
Caso 2:: Se configurarmos um rate para a PCQ as
Caso 1
Caso 2
subqueues sero limitadas nesse rate, at o total de
max-limit.
237
Utilizao do PCQ
238
Utilizao do PCQ
239
Arvores de Fila
Trabalhar com rvores de fila uma maneira mais elaborada de administrar o trfego.
Com elas possvel construir sob medida uma hierarquia de classes, onde poderemos
configurar as garantias e prioridades de cada fluxo em relao outros, determinando
assim uma poltica de QoS para cada fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especifica. Os filtros so apenas
marcas que o firewall faz no fluxo de pacotes na opo mangle. Os filtros enxergam os
pacotes na ordem em que eles chegam no roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em uma interface
separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego global-in
e/ou global-out,, limitao por cliente na interface de sada. Se configurado filas
simples e rvores de filas no mesmo roteador, as filas simples recebero o trfego
primeiro e em seguida o classficaro.
240
Arvores de Fila
241
Arvores de Fila
QUEUE
MARCA
LIMITLIMIT-AT
MAX-LIMIT
PRIORITY
Q1
C1
10M
30M
Q2
C2
1M
30M
Q3
C3
1M
30M
Q4
C4
1M
30M
Q5
C5
1M
30M
242
Arvores de Fila
243
Arvores de Fila
Dvidas???
245
Tneis e VPN
246
VPN
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte
da rede corporativa remota recebendo IPs desta e
perfis de segurana definidos.
248
A base da formao das VPNs o tunelamento entre
Tunelamento
A definio de tunelamento a capacidade de criar
tneis entre dois hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de
tunelamento, podendo ser tanto servidor como
cliente desses protocolos:
249
250
252
PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da rede
ethernet no ser ponto a ponto, o cabealho PPPoE inclui informaes sobre o
remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a mais.
Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE
estabelece sesso e realiza autenticao com o provedor de acesso a internet.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado desde que o
cliente suporte este mtodo.
253
254
2.
256
258
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes.
At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de
clientes MS Windows. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o concentrador
suportar.
261
Segurana no PPPoE
262
PPTP e L2TP
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacote de
dados. A porta UDP 1701 utilizada para o estabelecimento do link e o trfego
em si utiliza qualquer porta UDP disponvel, o que significa que o L2TP pode ser
usado com a maioria dos Firewalls e Routers,
Routers funcionando tambm atravs de
NAT.
265
e habilite o servidor PPTP conforme as figuras.
Configure os servidores
PPTP e L2TP.
Atente para utilizar o perfil
correto.
Configure nos hosts locais
um cliente PPTP e realize
conexo com um servidor
da outra rede.
Tneis IPIP
Tneis IPIP
Supondo que temos que unir as redes que esto
por trs dos roteadores 10.0.0.1 e 22.63.11.6.
Para tanto basta criemos as interfaces IPIP em
ambos, da seguinte forma:
269
Tneis IPIP
Agora precisamos atribuir os IPs as interfaces
criadas.
270
Tneis EoIP
Quando habilitada a funo de Bridge dos roteadores que esto interligados atravs de
um tnel EoIP,, todo o trfego passado de uma lado para o outro de forma
transparente mesmo roteado pela internet e por vrios protocolos.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.
271
Tneis EoIP
Tneis EoIP
273
Dvidas ????
274
HotSpot no Mikrotik
275
HotSpot
O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a
uma rede qualquer, com ou sem fio, atravs de autenticao baseada em nome
de usurio e senha.
HotSpot
Setup do HotSpot:
1.
2.
3.
4.
277
HotSpot
5.
6.
7.
8.
Setup do HotSpot(cont.):
Indique o endereo IP do seu
servidor smtp, caso queira.
D o endereo IP dos
servidores DNS que iro
resolver os nomes para os
usurios do hotspot.
D o nome do DNS que ir
responder aos clientes ao invs
do IP.
Adicione um usurio padro.
278
HotSpot
279
281
Login by:
MAC:: Usa o MAC dos clientes primeiro como nome do usurio.
Se existir na tabela de usurios local ou em um Radius,
Radius o cliente
liberado sem usurio/senha.
HTTP CHAP: Usa o mtodo criptografado.
HTTP PAP: Usa autenticao em texto plano.
Cookie: Usa HTTP cookies para autenticar sem pedir
credenciais. Se o cliente no tiver mais o cookie ou se tiver
expirado ele de usar outro mtodo.
HTTPS:: Usa tnel SSL criptografado. Para que este mtodo
funcione, um certificado vlido deve ser importado para o
roteador.
Trial:: No requer autenticao por um determinado tempo.
283
Idle Timeout/Keepalive:
Timeout/
Mesma explicao
anterior, no entanto agora somente para este
perfil de usurios.
Status Autorefresh:
Autorefresh Tempo de refresh da pgina
de Status do HotSpot.
Shared Users: Nmero mximo de clientes com
o mesmo username.
284
Tranparent Proxy:
Proxy Se deve usar proxy transparente.
286
HotSpot Usurios
289
HotSpot Usurios
HotSpot Usurios
291
HotSpot Active
292
HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que aceita
qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta facilidade
denominada DAT na AP 2500 e eezee no StarOS.
StarOS
possivel tambm fazer tradues NAT estticas com base no IP original, ou IP da rede ou
MAC do cliente. possvel tambm permitir certos endereos contornarem a
autenticao do hotspot. Ou seja, sem ter que logar na rede inicialmente. Tambm
possvel fazer bloqueio de endereos.
293
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address:
Address Endereo IP do cliente.
To Address: Endereo IP o qual o original
deve ser traduzido.
Server
Server: Servidor hotspot o qual a regra
ser aplicada.
Type:
Type Tipo do Binding
Regular: faz traduo regular 1:1
Bypassed: faz traduo mas dispensa o
cliente de logar no hotspot.
Blocked: a traduo no ser feita e todos os
pacotes sero bloqueados.
294
HotSpot Ports
295
Para implementar o walled garden para requisies http, existe um web proxy
embarcado no Mikrotik, de forma que todas requisies de usurios no autorizados
passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik no tem a funo de cache, pelo menos
por hora. Notar tambm que esse proxy faz parte do pacote system e no requer o
pacote web-proxy.
296
297
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado
coringas. Tambm possvel utilizar expresses regulares devendo essas ser
iniciadas com (:)
298
299
HotSpot Cookies
300
Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm
disso possvel criar conjuntos completamente diferentes das
pginas do hotspot para vrios perfis de usurios especificando
diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:
redirect.html redireciona o usurio a uma pgina especifica.
login.html pgina de login que pede usurio e senha ao cliente. Esta pgina
tem os seguintes parmetros:
Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que ser
aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com sucesso.
301
302
Dvidas ????
303
Roteamento
304
Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer
uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos IP e
portas.
As marcas dos pacotes devem ser adicionadas no Firewall, no mdulo
Mangle com mark-routing.
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindodirigindo
os para um determinado gateway.
possvel utilizar poltica de roteamento quando se utiliza NAT.
305
Polticas de Roteamento
Uma aplicao tpica de polticas de roteamento trabalhar com dois um
mais links direcionando o trfego para ambos. Por exemplo direcionando
trfego p2p por um link e trfego web por outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro pacote,
mas to somente aps a conexo estabelecida, o que impede o
funcionamento de programas p2p em casos de NAT de origem.
A estrtegia nesse caso colocar como gateway default um link menos
nobre, marcar o trfego nobre (http
http, dns, pop, etc.) e desvia-lo pelo link
nobre. Todas outras aplicaes, incluindo o p2p iro pelo link menos
nobre.
306
Polticas de Roteamento
Exemplo de poltica de
roteamento.
O roteador nesse caso ter 2
gateways com ECMP e checkcheck
gateway.. Dessa forma o trfego
ser balanceado e ir garantir o
failover da seguinte forma:
307
192.168.20.0/24
308
309
Denominador
Contador
312
313
314
315
316
Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 3
gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1
317
Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma
operao para as demais interfaces.
318
Roteamento Dinmico
O Mikrotik suporta os seguintes protocolos:
RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
319
O protocolo Open Shortest Path First,, um protocolo do tipo link state. Ele usa o
algoritmo de Dijkstra para calcular o caminho mais curto para todos os destinos.
Para que isso acontea, todos os roteadores tem de ser configurados de uma
maneira coordenada e devem ter o mesmo MTU para todas as redes anunciadas
pelo protocolo OSPF.
321
322
OSPF - Opes
Router ID:
ID Geralmente o IP do roteador. Caso
no seja especificado o roteador usar o maior
IP que exista na interface.
323
OSPF - Opes
324
OSPF - reas
O protocolo OSPF permite que vrios roteadores sejam agrupados entre si. Cada
grupo formado chamado de rea e cada rea roda uma cpia do algoritmo
bsico, e cada rea tem sua prpria base de dados do estado de seus roteadores.
A diviso em reas importante pois como a estrutura de uma rea s visvel
para os participantes desta, o trfego sensvelmente reduzido. Isso tambm
previne o recalculo das distncias por reas que no participam da rea que
promoveu alguma mudana de estado.
aconselhavel utilizar no entre 50 e 60 roteadores em cada rea.
325
OSPF - Redes
Aqui definimos as redes OSPF com os seguintes
parmetros:
Network: Endereo IP/Mascara, associado. Permite
definir uma ou mais interfaces associadas a uma rea.
Somente redes conectadas diretamente podem ser
adicionadas aqui.
Area: rea do OSPF associada.
326
OSPF
327
Dvidas ????
328
Web Proxy
O web proxy uma tima ferramenta para fazer
cache de objetos da internet e com isso
economizar banda.
Tambm possvel utilizar o web proxy como filtro
de contedo sem a necessidade de fazer cache.
Como o web proxy escuta todos ips do router,
muito importante assegurar que somente clientes
da rede local iro acess-lo.
lo.
A boa prtica recomenda o uso de 20GB de cache
para cada 1GB de memria RAM. Portanto com
329
Src. Address:
Address Endero IP do servidor proxy caso
voc possua vrios ips no mesmo roteador.
Port: Porta onde o servidor ir escuta.
Parent Proxy: Servidor proxy pai usado em um
sistema de hierarquia de proxy.
Parent Proxy Port: Porta o parent proxy escuta.
Cache Administrator:
Administrator Identificao do
administrador do proxy.
Max Cache Size: Tamanho mximo do cache em
KiBytes.
Cache On Disk: Indica se o cache ser em Disco ou
em RAM.
330
332
Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos
clientes.
333
335
336
337
338
339
340
Exerccio final
Abra um New Terminal
Digite: /system reset-configuration
configuration
341
Dvidas ????
342
343
No Linux:
Instalar o wine e a partir da proceder como no windows.
O espao em disco consumido pela The Dude considervel, entre outras coisas,
devido aos grficos e logs a serem armazenados. Assim, no caso de instalao em
Routerboards aconselhvel o uso daquelas que possuam armazenamento
adicional como:
The Dude
- Comeando
348
The Dude
- Comeando
O auto discovery permite que o servidor The Dude localize os dispositivos de seu
segmento de rede, atravs de provas de ping, arp, snmp, etc... E por servios
tambm.
Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por
seus vizinhos (neighbours).
Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.
349
The Dude
Adicionando
dispositivos
OS.
350
The Dude
Adicionando
dispositivos
351
The Dude
Adicionando
dispositivos
352
The Dude
Adicionando
dispositivos
353
The Dude
Adicionando
dispositivos
354
The Dude
Criando links
The Dude
Notificaes
Nela
voc pode informar o tipo de notificao que deseja receber.
356
The Dude
Servios indesejveis
Com o The Dude podemos monitorar servios que no desejamos que estejam
ativos.
357
The Dude
grficos
358
The Dude
Efetuando Backups
359
Dvidas ????
360
Laboratrio Final
Abram um terminal
Executem: /system reset-configuration nodefaults=yes
361
OBRIGADO!