Boas Prticas

em Segurana e Qualidade
com o MikroTik RouterOS
Por Leonardo Rosa, BRAUSER, Brasil
 Apresentao
Leonardo Rosa

Cursou Anlise de Sistemas na Universidade Catlica de Salvador e

Gesto em TI na Faculdade rea1, tambm em Salvador. Consultor em
Internetworking desde 2006, Instrutor Oficial da MkroTik desde 2012.
Tem experincia com FreeBSD, Linux, Cisco e MikroTik RouterOS.

Atualmente ministra treinamentos oficiais da MikroTik pela BRAUSER,

Redes Brasil e Lancore Networks.
Boas Prticas

Segurana
Firewall statefull

Reverse Path Filter (RPF)

Qualidade
FastTrack seletivo
Segurana
A Internet como ela
A Internet funciona como funciona a sociedade.

Com ela temos vida digital, temos lixo eletrnico, temos crimes
cibernticos, temos responsabilidades e polticas de boa vizinhana.
A Internet e as Coisas
Firewall statefull
Um Firewall statefull pode garantir maior controle e segurana uma
rede desde que sejam usadas polticas restritivas como:

Todo novo trfego deve vir de origem conhecida

Apenas trfegos previstos podem vir de origem desconhecida

Menos exposio, mais proteo

Mais controle, menos explorao

FIREWALL STATEFULL

/ip firewall filter

add chain=forward connection-state=established,related

add chain=forward connection-state=new src-address-list=LAN
add chain=forward connection-state=new dst-address-list=FW-OFF

Lembrar de:
Permitir LAN-LAN
Negar o resto
Reverse Path Filter (RPF)
O Reverse Path Filter recurso eficiente no controle de IP spoofing e
est disponvel no RouterOS a partir da verso 6.

/ip settings set rp-filter=(strict | loose | no)

strict: valida na FIB a interface de origem

loose: valida na FIB em qualquer interface
no: recurso desativado
Qualidade
FastTrack seletivo

Pacotes em conexes fasttrack ignoram outras configuraes de firewall,

connection tracking, simple queues, queue tree com parent=global, ip traffic-
flow, ip accounting, ipsec, hotspot universal client, atribuies vrf.

Ento cabe ao administador garantir que o fasttrack no vai interferi em outras

configuraes.
SETUP (fasttrack)

/ip firewall filter

add place-before=0 chain=forward connection-

state=established,related \ action=fasttrack-connection \
in-interface=!vlan-proxy out-interface=!vlan-proxy

add place-before=0 chain=forward \

connection-state=established,related
SETUP (fasttrack)
FASTTRACK (conferindo ativao do recurso)

/ip settings
FastTrack ON x OFF (/system resource)
FastTrack ON x OFF (/tool profile)
FastTrack
ON x OFF

CPU
(/system resource cpu)
FastTrack ON x OFF (/queue | tree)
Consideraes

O trfego que faz uso do FastTrack, no passa nem por filtros de firewall nem
por queues que faam uso da interface global (simple queue e queue tree).
Para usar o FastTrack em trfegos especficos, necessrio marcar este
trfego anteriormente.
Concluso

O uso do FastTrack pode ser feito indiscriminadamente em roteadores

compatveis que no faam uso de Queues, como na BORDA, onde geralmente
usa-se apenas firewall e protocolos de roteamento.
Obrigado

Leonardo Rosa
leonardo@brauser.com.br
www.brauser.com.br

19 | 981-661-728 [] TIM
19 | 971-108-523 [] Vivo