www.certificate.

ec

MikroTik Certified Wireless Engineer
(MTCWE)

2 www.certificate.ec

Entrenador

Ing. Tel. Aníbal Enríquez Moncayo
Entrenador Mikrotik Y Ubiquiti

ww.certificate.ec 3

ww.ec 4 .certificate.

ec 5 .certificate.ww.

11n • Al finalizar este curso usted estará en la capacidad de planificar.certificate. mediado y gran tamaño • Introducción a redes 802. implementar. Objetivos del Curso: • Proporcionar el entrenamiento teórico y practico sobre RouterOS MikroTik en configuraciones Inalámbricas Avanzadas para empresas de pequeño.ec . 6 www. ajustar y depurar configuraciones de redes inalámbricas con RouterOS MikroTik.

certificate.ec . Temas de Información General • Visión general de estándares inalámbricos • Herramientas inalámbricas • Solución de problemas de clientes inalámbricos • Configuración inalámbrica avanzada – DFS y regulación por países – Data rate y TX power – Virtual AP 7 www.

11n 8 www. Temas de Información General • Medidas de Seguridad Inalambrica – Access List y Connect List – Management Frame Protection – RADIUS MAC Authentication – Encriptación • Wireless WDS y MESH • Wireless Transparent Bridge – WDS – VPLS / MPLS Transparent Bridge • Wireless Nstreme Protocol • 802.ec .certificate.

Presentación:
• Por favor presentemos ante la clase
– NOMBRE
– COMPAÑÍA
– CONOCIMIENTOS PREVIOS DE ROUTEROS
– CONOCIMIENTOS PREVIOS SOBRE REDES
– CUAL ES TU ESPECTATIVAS DEL CURSO
• POR FAVOR RECUERDE EL NUMERO CON EL QUE
VA A TRABAJAR DURANTE TODO ESTE CURSO
• MI NUMERO ES _____
9 www.certificate.ec

Configuración de laboratorio Inicial
• Crear una red Ethernet 192.168.XY.0/24 entre su
portátil (1) y el router (254)
• Conectar al Router al AP SSID “MTCWE”
• Asignar la dirección 10.1.1.XX a la WLAN 1
• Configura el DW y DNS 10.1.1.254
• Obtener acceso al internet desde su portátil a
través de su router local
• Crea un nuevo usuario a su router y elimine el
usario “admin”

10 www.certificate.ec

Configuración de laboratorio Inicial

11 www.certificate.ec

Configuración de laboratorio Inicial • Configure en System Identity en su router y en Radio Name “Su número_Su nombre” Ejemplo: “0_Manuel” • Actualice su router a la ultima versión de MikroTik RouterOS disponible en www.com • Configure el NTP cliente.org como servidor NTP • Cree un backup de esta configuración y guarde un respaldo en su computadora (esta será la configuración por defecto) 12 www.ec . Utilice pool.mikrotik.ntp.com • Actualice su versión de “winbox” a la ultima versión disponible en www.certificate.mikrotik.

ec .certificate. Revisión de configuraciones • Todos deben estar en la lista de registro principal del AP 13 www.

11b – 11Mbps.ec . 2.11n – 300Mbps. 5Ghz • 802.11a – 54Mbps.certificate. Wireless Standards • 802.4Ghz • 802. 2.11g – 54Mbps.4/5Ghz 14 www. 2.4Ghz • 802.

Only-N. 5mhz.certificate.ec . Only-G. B/G. Only-N. 10mhz 15 www. A-Turbo. A/N. 5mhz. G-Turbo. 10mhz • 5Ghz – A. B/G/N. Bandas Wireless • 2Ghz – B.

ec . 5Mhz*. Bandas Soportadas por Chipsets • AR5213/AR5414 – A/B/G. A-Turbo. G-Turbo. 5Mhz. 10Mhz* • *not fully supported 16 www. 10Mhz • AR5416/AR9160/AR9220 – A/B/G/N.certificate.

certificate. Frecuencias Soportadas • A/B/G Atheros chipset cards usually support such frequencies – 2Ghz band: 2192-2539Mhz – 5Ghz band: 4920-6100Mhz • N Atheros chipset cards usually support such frequencies – 2Ghz band: 2192-2539Mhz – 5Ghz band: 4800-6075Mhz 17 www.ec .

se muestran con negrita en el campo de frecuencias (únicamente en WinBox) • Valores por defecto en el Scan List por país son mostrados como “default” • Rango de frecuencias se especifica por un guión medio  5500-5700 • Frecuencas exactas se especifica con una coma  5500.ec .5540 • Opciones mixtas también son posible  5520. Lista de Scan • Frecuencias por defecto del Scan List.5600-5700 18 www.certificate.5540.5520.

Herramientas Wireless para encontrar la mejor banda/frecuencia www.certificate.ec 19 .

certificate. Herramientas Wireless • Scan • Frequency Usage • Spectral Scan/History • Snooper • Align • Sniffer 20 www.ec .

11 21 www.ec . Scan y Frequency Usage • Ambas herramientas utilizan el Scan-List • La interface es deshabilitada durante el uso de estas herramientas • Scan muestra todos los AP basados en 802.certificate.11 • Frequency usage muestra el trafico de cada 802.

ec . min • Classify-samples – wifi.11n chipset wireless cards • Rango – 2ghz. Spectral Scan/History • Herramienta unicamente usada con Atheros Merlin 802. range • Valores – avg. bluetooth.certificate. etc 22 www. avg-peak. microwave-oven. max. interference. 5ghz. current-channel.

certificate.Espectral • Se dibuja el espectrograma • Diferentes valores de potencia es mostrado de diferentes colores • Opción Audible: cada línea nos dara diferentes solidos en el routerboard – Cada línea se desplaza de izquierda a derecha.ec . Historia . con frecuencias más altas que corresponden a una mayor valores en el espectrograma 23 www.

Espectral 24 www.ec . Historia .certificate.

ec . 25 www.certificate. Frecuencia Valor numérico de potencia media Barra de caracteres gráfico  Valor de potencia media “:”  Muestra Opciones de Interferencia.Espectral • Seguimiento continuo de los datos espectrales • Cada línea nos muetra un cubo del espectrograma. Escaneo .

Escaneo .Espectral 26 www.ec .certificate.

Herramienta Wireless Snooper 27 www.certificate.ec .

certificate.ec . Herramienta Alignment 28 www.

certificate.ec . Wireless Sniffer 29 www.

ec .certificate. 30 www.4 GHz • Utilizando las Herramiente Wireless compruebe la frecuencia menos ocupada. Laboratorio de Herramientas Wireless • Activar su router como AP en una frecuencia de 2.

Uso del DFS para Selección Automática de Frecuencia 31 www.ec .certificate.

ec . DFS • Dynamic Frequency Selection (DFS) • “no radar detect” en el arranque el AP escanea la lista de canales del “scan-list” y elige la frecuencia que es la menor cantidad con otras redes detectado • “radar detect” Añade la capacidad de detectar el radar en el arranque durante 60 segundos y evitar los cambios de frecuencia.certificate. • Según la mayoría de las regulaciones del país DFS se debe establecer en "radar detectar" 32 www.

certificate.ec . Laboratorio DFS • Habilitar la AP en 5180 Mhz de frecuencia • Activar el modo de DFS para "no radar detect" • Deshabilite la interfaz inalámbrica del AP por unos segundos y habilite de nuevo • Observe los saltos de frecuencia 33 www.

Restringe el uso únicamente a los canales permitidos con potencias de transmisión permitidas • “manual txpower” - .Ignora las restricciones de transmisión de potencia pero aplica las limitaciones de frecuencias • “superchannel” .ec .Ignora todas las restricciones 34 www.certificate. Regulación Wireless por País • Frequency mode “regulatory domain” .

certificate.ec . Analizando la tabla de registro para solución de problemas de la conexiones inalámbrica 35 www.

HW-frames • Data-rate jumping 36 www.ec .certificate. Solución de problemas del cliente Wireless • ACK-timeout • CCQ • TX/RX Signal Strength • Frames vs.

ec . Tabla de Registración 37 www.certificate.

certificate. CCQ – Client Connection Quality • Valor en porcentaje que muestra el grado de eficacia se utiliza el ancho de banda con respecto al ancho de banda máximo teórico disponible • Promedio ponderado de los valores Tmin / Treal calculado para cada trama transmitida – Tmin es el tiempo que se necesitaría para transmitir una trama dada a la tasa más alta sin reintentos – Treal es tiempo que se tardó en transmitir marco en la vida real 38 www.ec .

certificate.ec . usted envía el frame una vez más hasta que regrese el reconocimiento • Si el valor hw-frame es más grande que el valor de frame entonces significa que el enlace inalámbrico está haciendo retransmisiones • En caso de Nstreme usted no puede comparar los frames con hw-frames 39 www. Frames vs. HW-frames • Retransmisión inalámbrica es cuando la tarjeta envía una frame (trama) y no recibe de vuelta el acuse de recibo (ACK).

ec . Uso de la configuración avanzada para la solución de problemas y puesta a punto de la conexión inalámbrica 40 www.certificate.

certificate.ec . Wireless Advanced Settings • Advanced Wireless Tab settings • HW-retries • HW-protection – RTS/CTS – CTS to self • Adaptive-noise-immunity • Configuration Reset • WMM 41 www.

certificate.ec . Advanced Wireless Tab 42 www.

ec .tiempo de espera de acuse de recibo en us. “dinamic" por defecto • Periodic-calibration – para asegurar el rendimiento del chipset sobre temperatura y cambios ambientales • Hide-ssid .cadena descrita por el AP.ocultar SSID 43 www. usada en los clientes del Connect-list para la elección del AP por el area-prefix • Ack-timeout .certificate. Advanced Wireless Tab • Área .

ya sea hasta que sea exitoso o hasta que el cliente se desconecte – Disconected-timeout realizado 44 www.certificate.ec . 3 fallas consecutivas activan on-fail-retry-time (tiempo de reintento en falla) la transmisión se para y se resetea el contador • El frame esta siendo retrasmitido. Reintentos-HW • Número de intentos de envió de frames hasta que la transmisión se considere fallida • Date rate es decrementado en caso de fallo • Pero si esta en un tasa mas baja.

HW-protection • Protección Frame ayuda a combatir el problema de "nodo oculto“ • CTS/RTS protección • “CTS to self” protección • hw-protection-threshold umbral de tamaño de la trama en el que se debe usar protección 0 usado para todas las tramas 45 www.ec .certificate.

certificate.ec . no inician la transmisión a sí mismos 46 www. por tanto. Protección Basada en RTS/CTS • Protección Basada en RTS/CTS – Dispositivos dispuestos a enviar frame y primero enviar RequestToSend frame (trama de Requerimiento para envio) y esperar por ClearToSend frame (trama Limpio para enviar) desde el destino previsto • Para "ver" RTS o CTS frame en dispositivos compatibles 802.11 saben que alguien está a punto de transmitir y.

ec .certificate. pero debe tenerse en cuenta que esto sólo protege contra los dispositivos que reciben trama CTS 47 www.11 con la recepción de este frame no sabe transmitir • Proteccion basada en "CTS to self“ tiene menos sobrecarga.Protection Basada en “CTS to self” • Protección basada en"CTS to self“ – Dispositivos dispuestos a enviar frame envia trama CTS a si mismo • Al igual que en el protocolo RTS / CTS cada dispositvo compatible 802.

ec .en este caso las estaciones deben utilizar RTS / CTS para que otras estaciones sepan la no transmisión al ver CTS transmitido por AP • Use únicamente una protección 48 www. no sirve de nada para que utilicen protección "CTS to self". “CTS to self” o RTS/CTS • Si hay 2 estaciones "ocultas". porque no van a poder recibir CTS enviado por otra estación .certificate.

ec .certificate.transmisora ​y la parte receptora 49 www. Umbral de fragmentación HW • Tamaño máximo del fragmento en bytes cuando transmite a través de un medio inalámbrico • La fragmentación permite que los paquetes sean fragmentados antes de ser transmitidos en un medio inalámbrico para aumentar la probabilidad de una transmisión con éxito • Únicamente fragmentos que no son transmitidos de forma correcta son retransmitidos • La transmisión de paquete fragmentado es menos eficiente que la transmisión del paquete no fragmentado debido a la sobrecarga del protocolo y un mayor uso de recursos en ambos .

Adaptive-noise-immunity (Inmunidad adaptable al ruido) • Ajusta diversos parámetros del receptor dinámicamente para minimizar el efecto de interferencia y ruido en la calidad de la señal • Funciona en Atheros 5212 o más reciente chipset Atheros • Utiliza la potencia de la CPU • 3 opciones None – deshabilitado  Client-mode – sólo se activará si la estación o estaciones-wds utilizan Ap-and-client-mode – se habilitará en cualquier modo 50 www.certificate.ec .

Wireless Configuration reset Reseteo de configuraciones Wireless • A veces. después de reconfigurar la configuración avanzada es posible que desee volver a la configuración predeterminada • Utilizando la opción "Reset Configuration" - restablece los valores por defecto de las tarjetas inalámbricas 51 www.ec .certificate.

Wireless MultiMedia (WMM) • 4 colas que transmiten con prioridad: 1.certificate.2 – background (suelo.ec . piso) 0.7 – voice (voz) • Prioridades establecidas por Bridge o IP Firewall Ingreso de (VLAN o WMM)? DSCP 52 www.5 – video (video) 6.3 – best effort (mejor esfuerzo) 4.

Modificando data rates y tx-power para establecer conexiones Wireless 53 www.ec .certificate.

Los rates básicos y soportados • Rates soportados – data rate del cliente • Rates básicos – data rate de gestión de enlaces • Si el router no puede enviar o recibir datos a rate básico el enlace se cae 54 www.certificate.ec .

Data rate (cambiando opciones) • Baje los máximos "data-rate" soportados en el cliente que tienen problemas de estabilidad • Baje los máximos "data-rate" soportados en el AP si la mayoría de los clientes tienen problemas cuando se ejecutan en el “data-rate” nmas alto • No se recomienda desactivar “data-rate” bajos y dejar sólo “data-rate” altos activados.ec . esto podría producir desconexión de enlaces mas a menudo • Tenga en cuenta que el AP y el cliente debe soportar los mismos “data-rate” básicos para establecer la conexión inalámbrica 55 www.certificate.

TX power • Diferente TX-power para cada data-rate. Mayor data rate.ec .certificate. ya que utiliza mayor tx- power en data-rate mas bajos 56 www. menor potencia • Desactivar data-rate altos podría mejorar la señal.

utiliza valores de tx-power desde las tarjetas eeeprom • Card-rates – usa tx-power.certificate. como argumento toma el valor de TX-power • All-rates-fixed – usa un valor de TX-power para todos los rates • Manual-table – usa el TX-power que es definido en /interface wireless manual-tx-power-table 57 www. que para los diferentes rates se calcula acorde a los algoritmos de transmisión potencia de las tarjetas.ec . Modo TX-power • Default .

certificate. Laboratorio de Data Rates • Configure un AP para permitir data rates de hasta 24 Mbps de velocidad de datos y probar el máximo rendimiento • Configure un AP para permitir sólo un data rates de 54 Mbps y comprobar el máximo máximo y revisar qué tan estable es la conexión 58 www.ec .

ec . Uso de la función de AP virtual para crear múltiples puntos de acceso 59 www.certificate.

ec .certificate. Virtual AP • Se usa para crear un nuevo AP (virtual) sobre una misma tarjeta inalámbrica física • Trabaja sobre AR5212 y nuevas versions de Atheros Chipset cards • Hasta 128 AP virtual por tarjeta inalámbrica • Utiliza diferentes direcciones MAC y puede ser cambiadas • Puede tener diferentes SSID. opciones de WDS 60 www. perfil de seguridad. Access / Connect-lista.

Virtual AP Setup

61 www.certificate.ec

Laboratorio de Virtual AP
• Trabajar en parejas
• Conecte ambos router usando un cable Ethernet
• Primer router
– Cree 2 interfaces VLANs en la Ethernet
– Cree 2 Hotspots uno en cada VLAN
– Para un Hotspot cambie el color de fondo de la paguina Login
• add background-color: #A9F5A9; in the body line in the login.html page
• Segundo router
– Cree 2 interfaces VLANs en la Ethernet con el VLAN ID del primer router
– Cree 2 Virtual AP con diferentes SSID
– Bridge de la primera VLAN con el primer Virtual AP
– Cree un segundo bridge con la segunda VLAN y el Segundo Virtual AP
• Conectese a cada Virtual AP y revise si las paguinas de login del Hotspot
son diferentes
• Resetee las Configuraciones.

62 www.certificate.ec

Gestión de acceso de clientes al
AP usando Access-List y Connect-
List

63 www.certificate.ec

misma funcionalidad se puede lograr con la nueva connect list y características de access list 64 www. Administración de Acceso • default-forwarding (en AP) – define si los clientes inalámbricos pueden comunicarse directamente entre sí (listas de acceso puede sustituir este valor para clientes individuales) • default-authentication – política de autenticación predeterminada que se aplica a todos los clientes que no se mencionan en AP's access list o client's connect list • Ambas opciones son obsoletas .certificate.ec .

certificate.cada solicitud de autenticación tendrá que pasar desde la primera entrada hasta que llegue a ser autenticada • Puede haber varias entradas para la misma dirección MAC y una entrada para todas las direcciones MAC • Las entradas pueden ser por interfaz inalámbrica específica o global para el router 65 www.ec . Wireless Access/Connect Lists • Access List es un filtro de autenticación de AP • Connect List es un filtro de autenticación de Clientes • Las listas de entrada son ordenadas al igual que en el firewall .

certificate.ec . Wireless Access List • Es posible especificar política de autenticación para niveles de potencia de la señal específica – Ejemplo: permite a los clientes conectarse con un buen nivel de señal o no conectar o conectar a todos • Es posible especificar política de autenticación para períodos de tiempo específicos – Ejemplo: permite a los clientes conectarse sólo los fines de semana • Es posible especificar la política de autenticación para las claves de seguridad específicas: – Ejemplo: permiten a los clientes sólo con clave de seguridad específica para conectarse al AP. 66 www.

Wireless Access List 67 www.certificate.ec .

ec .certificate.cuando un AP se conecta a otro AP 68 www. Wireless Connect List • Usado para permitir/denegar aceeso basado en: – SSID – MAC address of the AP – Area Prefix of the AP – Signal Strength Range – Security Profile • Es posible dar prioridad a un AP sobre otro AP cambiando el orden de las entradas • Connect list .se utiliza también para enlaces WDS.

ec .certificate. Wireless Connect List 69 www.

ec . defaultauthentication habilitado • En AP´s Asegurar que sólo los clientes de su grupo y con intensidad de la señal entre -70…120 sean capaces de conectarse (Avanzado) Pruebe ajustes de la hora 70 www. Laboratorio de Access/Connect List • Trabaje con otro grupo para tener 2 AP’s y 2 clientes por grupo • Dejar default-forwarding.certificate.

Laboratorio de Access/Connect List • En CLIENTES: – Asegúrese de que su cliente se conectará sólo a sus AP´s – Trate de priorizar un AP sobre otro • Cuando los AP´s tienen el mismo SSID • Cuando los AP´s tienen diferente SSID • Borre todas las Acces List y Connect List reglas.ec .certificate.  Cambie de Lugar y repitan el Laboratorio 71 www.

ec . Centralizado Access List Gestión – RADIUS 72 www.certificate.

ec .certificate.wikipedia.org/wiki/Protocolo_AAA 73 www. RADIUS Autenticación por MAC • Opción para centralización remota de RADIUS MAC antenticación y contabilización • Posibilidad de uso de la función de radius- incoming para desconectar específica dirección MAC del AP • MAC mode – usuario o usuario y contraseña • MAC Caching Time – el tiempo que una atenticación RADIUS espera por una MAC address para ser considerada valida para ser almacenada • http://es.

certificate. RADIUS Autenticación por MAC 74 www.ec .

certificate. Configuración de RADIUS Cliente • Crear un cliente RADIUS en el menú 'Radius‘ • Especifique el servicio. la dirección IP del servidor RADIUS y Secret • Use “Status section” para monitorear el estado de la conexión 75 www.ec .

certificate.ec . La seguridad inalámbrica para proteger la conexión inalámbrica 76 www.

Seguridad Wireless • Authentication – PSK Authentication – EAP Authentication • Encryption – AES – TKIP – WEP • EAP RADIUS Security 77 www.ec .certificate.

Principales Seguridades • Autenticación .certificate.asegura que la información no se cambia por otra fuente y es exactamente lo mismo que fue enviado 78 www.ec .asegura la aceptación de las transmisiones sólo de una fuente confirmada • Data encryption (cifrado de datos) – Confidencialidad .asegura que la información es accesible sólo para aquellos autorizados a tener acceso – Integridad .

certificate.ec .79 www.

PSK Autenticación • Pre-Shared Key es un mecanismo de autenticación que utiliza un secreto que fue compartido previamente entre las dos partes • La mayoría de las seguridades inalámbricas usan este tipo • Múltiples tipos de autenticación para un perfil • Clave PSK opcional para cada dirección MAC (utilizando la lista de acceso) 80 www.ec .certificate.

certificate.a métodos EAP) • Existen sobre los 40 diferentes metodos EAP • RouterOS soporta el método EAP-TLS y también es capaz de pasar todos los métodos en el servidor RADIUS 81 www.k. EAP Autenticación • Extensible Authentication Protocol proporciona una negociación del mecanismo de autenticación deseada (a.ec .

82 www.certificate.ec .

Advanced Encryption Standard es un cifrado de bloques que funciona con un tamaño fijo de bloque de 128 bits y un tamaño de clave de 128. 192 o 256 bits • CTR .ec . AES-CCM • AES-CCM – AES con CTR con CBC-MAC • AES .certificate.Contador genera el siguiente bloque del flujo de clave mediante la encriptación de los valores sucesivos de un "contador" 83 www.

• MAC .ec . cada bloque de texto cifrado depende de todos los bloques de texto claro procesados ​hasta ese punto.certificate.Message Authentication Code permite detectar cualquier cambio en el contenido del mensaje 84 www. De esta manera. AES-CCM • CBC .Cipher Block Chaining cada bloque de texto plano es XOR con el bloque de texto cifrado anterior antes de ser encriptado.

certificate. – Verificación de la integridad del mensaje. TKIP • Temporal Key Integrity Protocol es un protocolo de seguridad que se utiliza en las redes wireless IEEE 802.11 • TKIP es la evolución de WEP basado en RC4 de cifrado de flujo • A diferencia de WEP proporciona: – Mezcla de claves por paquete. – Mecanismos de cambio de claves 85 www.ec .

WEP (obsoleto) • Wired Equivalent Privacy es una de las primeros y simples tipos de seguridad • No tiene método de autenticación • No recomendado.ec .certificate. ya que es vulnerable a las herramientas de hacking inalámbrico 86 www.

certificate. WEP (obsoleto) 87 www.ec .

CCM.ec . Pre-Shared Key (PSK) • Para hacer PSK – Use modo “Dynamic Keys” – Habilitar tipo de autenticación WPAx-PSK – Especifique Unicast y Grupo cifrados (AES.certificate. TKIP) – Especificar WPAx-Pre-Shared Key • Las claves generadas sobre la asociación de PSK se utilizan en sistemas de cifrado como clave de entrada 88 www.

Pre-Shared Key (PSK) 89 www.certificate.ec .

certificate.ec . Unicast Cipher (Cifrado) • En el AP y en la estación por lo menos un sistema de cifrado de unidifusión debe coincidir para hacer la conexión inalámbrica entre 2 dispositivos 90 www.

significa que se conectará al AP que soporte cualquiera de estos sistemas de cifrado 91 www.ec . Group Cipher (Grupo de Cifrado) • Para el AP – Si del grupo de cifrado del AP puede ser AES y TKIP lo mas recomendable es AES por ser mas fuerte – Se aconseja elegir sólo un grupo de cifrado en el AP • Para la Estación – Si en la estación se utilizan ambos sistemas de cifrado de grupo.certificate.

EAP RADIUS Security • Para hacer que la autenticación de transferencia EAP – Habilitar tipo de autenticación WPAx-EAP – Habilitar autenticación MAC – Establecer Método EAP para passthrough – Habilitar cliente RADIUS • Para realizar la autenticación EAP-TLS – Habilitar tipo de autenticación WPAx-EAP – Configure la opción TLS si va a usar el certificado – Importar certificado y descifrar 92 www.ec .certificate.

ec .certificate. EAP RADIUS Security 93 www.

Wireless Security Lab • Realizar un enlace wireless con sus compañeros usando WPA-PSK: – Crear un perfil de seguridad y utilizar la misma pre-shared key para establecer una conexión inalámbrica con el router del compañero. • El el AP adicionar una lista de acceso de entrada con las MAC address de los compañeros y especificar diferentes PSK key. preguntar a los compañeros para conectarse nuevamente.ec .certificate. 94 www.

Protección a los clientes inalámbricos de deauthentication y ataques de clonación de MAC 95 www.ec .certificate.

Management Frame Protection • RouterOS implementa un algoritmo de gestión propio de protección de frame basado en un secreto compartido • Dispositivos inalámbricos RouterOS son capaces de comprobar la fuente de gestión del frame y confirmar que ese frame en particular no es malicioso • Permite soportar ataques desautentificación y disociación basado en dispositivos inalámbricos RouterOS 96 www.ec .certificate.

Configuración de Management
Protection
• Configuración en security-profile
– Deshabilitado: management protection esta deshabilitado
– Permitir: usar management protection si es soportado por la
parte remota
• Para AP- permitirá conectarse a ambos: no management protection y
management protection clientes
• Para Clientes- Se conectará a ambos: no management protection y
management protection Aps
– Requerido: establecer asociasion únicamente con dispositivos
remotos que soporten management protection
• Para AP- aceptar únicamente clientes que soporten management
protection
• Para Clientes- conectar únicamente a APs que soportan management
protection

97 www.certificate.ec

Management Protection key
• Configurar con parámetros en securityprofile
management-protectionkey
• Cuando interfaz está en modo AP, clave por
defecto “management protection" pueden ser
anulados por clave especificada en "access-
list" o atributos de RADIUS.

98 www.certificate.ec

Management Protection Lab
• Trabajar en grupos de 3 personas
• Una persona crea un AP
• Los otros dos se conectan a ese AP
• Uno de los 2 clientes clona la dirección MAC del otro
cliente
• Revisar conectividad de los 2 clientes hacia el AP
• Establecer un requerimiento de management
protection y especificar una clave en el AP y el cliente
original
• Compruebe la conexión del cliente - original y (o)
clonado

99 www.certificate.ec

certificate. Wireless WDS y MESH 100 www.ec .

ec . Wireless WDS y MESH • WDS – Dynamic WDS Interface – Static WDS Interface • RSTP Bridge • HWMP+ MESH – Reactive mode – Proactive mode – Portals 101 www.certificate.

como si los puntos de acceso fueron los puertos en un switch Ethernet cableado • APs deben usar la misma banda. WDS – Wireless Distribution System • WDS permite crear una cobertura personalizada inalámbrica usando múltiples puntos de acceso lo que es imposible hacerlo sólo con un AP • WDS permite que los paquetes pasan de un AP a otro.ec .certificate. el mismo SSID y operar en la misma frecuencia con el fin de conectar el uno al otro 102 www.

103 www. Wireless Distribution System • Un AP en modo (bridge/ap-bridge mode) puede tener enlaces WDS con: – Otro AP en modo bridge/ap-bridge – Otro AP en modo wds-slave (frequencia de adaptación) – Client en modo station-wds • Se tiene que deshabilitar el parametro DFS (Dynamic Frecuency Selection) si se tiene mas de un AP en modo bridge/ap-bridge en su red WDS • Implementación de WDS podría ser diferente para cada fabricante. esto significa que no todos los modos WDS de varios fabricantes puedan ser compatibles.certificate.ec .

ec . pero con soporte HWMP+ (no compatible con modos static de otros fabricantes) 104 www. pero con soporte HWMP+ (no compatible con modos dinámicos de otros fabricantes) – Static mesh – es el mismo funcionamiento que el modo static.interfaces de WDS se crean de forma automática tan pronto como se encuentre otro dispositivo compatible con WDS – Static – interfaces WDS tienen que ser creadas manualmente – Dynamic mesh – es el mismo funcionamiento que el modo dynamic.certificate. Configuración WDS • Existen 4 diferentes modos de operación WDS – Dynamic .

Configuración WDS • WDS Default Cost – costo por defecto en el puerto bridge del enlace WDS • WDS Cost Range – margen del costo que puede ser ajustado en fución del rendimiento del enlace • WDS Ignore SSID – si desea crear enlaces WDS con cualquier otro AP en esta frecuencia 105 www.certificate.ec .

Dynamic WDS Interface
• Se crea ‘on the fly' y aparece en el menú de
WDS como una interfaz dinámica (flag 'D')
• Cuando un enlace con una interface dinámica
WDS se cae, direcciones IP conectados se
deslicen fuera de la interfaz WDS y la interfaz
se deslicen del bridge
• Specifíque parametros “wds-default-bridge” y
agregue direcciones IP al bridge

106 www.certificate.ec

Static WDS Interface
• Require la dirección MAC destino y
parametros de interface master para ser
configurados manualmente
• Interfaces de WDS estáticas nunca
desaparecen, a menos que se deshabiliten o
se eliminen
• WDS-default-bridge se debe cambiar a “none”

107 www.certificate.ec

Static WDS Interface

108 www.certificate.ec

Point-to-point WDS link 109 www.certificate.ec .

Single Band Mesh 110 www.ec .certificate.

ec . Dual Band Mesh 111 www.certificate.

y con interfaces donde se conectarán los clientes • Para prevenir posibles loops poder habilitar enlaces redundantes es necesario el uso de (Rapid) Spanning Tree Protocol ((R)STP) • RSTP trabaja mas rápido cuando existe un cambio de topología que STP.certificate.ec . WDS Mesh y Bridge • WDS Mesh no es possible sin bridging • Para crear un WDS mesh todas las interface WDS de cada router tienen que estar bridged juntas. pero ambos tienen la misma funcionalidad virtual 112 www.

ec .certificate. (Rapid) Spanning Tree Protocol • (R)STP elimina la posibilidad de que la misma dirección MAC pueda ser vista en multiples puertos de un bridge. mediante la desactivación de puertos secundarios a esa dirección MAC – Primero (R)STP eligirá un root bridge basado en bridge ID mas pequeño – Entonces (R)STP usará breadth-first search algorithm teniendo el root bridge como punto de partida • Si el algoritmo llega a la dirección MAC por la primera vez - deja el enlace activo • Si el algoritmo llega a la dirección MAC por segunda vez - que desactiva el enlace 113 www.

certificate.ec . (R)STP in Action 114 www.

certificate. (R)STP Topology 115 www.ec .

ec . (R)STP Bridge Port Roles • Disabled port – para puertos de bucles • Root port – una ruta hacia el root bridge • Alternative port – backup root port (únicamente en RSTP) • Designated port – puerto de paso (reenvío) • Backup port – backup designated port (únicamente en RSTP) 116 www.certificate.

Admin MAC Address • MAC address para un interface bridge es tomada de uno de los puertos del bridge • Si los puertos cambian - dirección MAC del bridge también podría cambiar • Admin MAC option permite usar una dirección MAC estática para el bridge 117 www.ec .certificate.

certificate.ec . Configuración RSTP • Router con la prioridad más baja en la red va a ser elegido como Root Bridge 118 www.

certificate.función que se utiliza para MPLS Do not forward packet to the same label ports 119 www.si los costos son los mismos que se utiliza para elegir puerto designado • Horizon .permite elegir una ruta sobre otra • Priority . Configuración de puertos RSTP • Cost .ec .

indica si este puerto está conectado a otro(s) bridge – Point-to-point . Configuración de puertos RSTP • Existen 3 opciones que nos permiten optimizar el rendimiento de RSTP – Edge Port .ec .indica si este puerto está conectado sólo a un dispositivo de red (WDS.certificate. Wireless in bridge mode) – External-fdb – permitir utilizar tablas de registro en lugar de base de datos de reenvío (sólo AP) 120 www.

11s • HWMP+ trabaja únicamente con: – wds-mode=static-mesh – wds-mode=dynamic-mesh 121 www.ec .certificate.Layer-2 routing for Mesh networks • MikroTik ofrece alternativas para RSTP .HWMP+ • HWMP+ es un especifico protocol de ruteo de Layer 2 de MikroTik para redes Wireless Mesh • El protocolo HWMP+ es basado pero no es compatible con Hybrid Wireless Mesh Protocol (HWMP) de los estandares IEEE 802.

certificate. es muy similar a la configuración de un bridge • HWMP+ proporciona un enrutamiento óptimo basado en funciones de metricas de enlace — Para los enlaces Ethernet las métricas puende configurar estáticamente — Por enlaces WDS la métrica se actualiza dinámicamente en función de la fuerza de la señal inalámbrica y la velocidad de transferencia de datos seleccionado 122 www. HWMP+ • Para configurar HWMP+ use la configuración del menu “/interface mesh”.ec .

certificate. Reactive Mode Discover • Todos las trayectorias son descubiertos bajo demanda. por requerimiento de trayectoria por inundación (PREQ) mensage en la red 123 www.ec .

certificate.ec . Reactive Mode Discover • El nodo de destino o algún router que tiene una ruta hacia el destino le responderá con una respuesta de trayectoria (PREP) 124 www.

certificate.ec . por ejemplo. Proactive Mode • En proactive mode algunos routers se configuran como portals – router tienen interfaces a alguna otra red. punto de entrada o salida de una Network Mesh • Lo mas adecuado es cuando la mayor cantidad de trafico pasa entre nodos internos de la Network Mesh y pocos Portal Nodes 125 www.

certificate.ec . 126 www. Proactive Mode Announcement (Anuncio) • Los portales anunciarán su presencia por mensaje de Aviso inundaciones Root (RAAN) en la red.

Proactive Mode Response (Respuesta) • Los nodos internos responderán con un Path Registration (PREG) message • Resultado – árboles de enrutamiento con raíces en los routers de portal 127 www.certificate.ec .

el portal luego de descubrir la trayectoria enviará los datos. pedirá todos los datos a su portal más cercano . Los datos después fluirá a través del portal • Esto puede conducir a enrutamiento subóptimo.certificate. Portals (Portales) • Rutas a portales servirán como una especie de rutas por defecto • Si un router interno no sabe una ruta a un destino en particular. a menos que los datos se dirigan al propio portal o alguna red externa. 128 www. si es necesario.ec .

certificate.ec . la ruta existente se mantiene de todos modos (hasta que los tiempos de espera terminen) – Mejor para el modo proactivo y de las “mobile mesh networks” 129 www. Mesh configuration settings • Reoptimize paths – envía mensajes PREQ periódicos pidiendo direcciones MAC conocidas – Si no se recibe respuesta a una PREQ reoptimization.

ec .certificate. Laboratorio WDS/MESH • Configure su interface Wireless como AP con el mismo SSID del AP del professor • Habilitar el modo Estático WDS mesh • Crear un WDS link con el AP del professor • Configure el MESH – agregar WDS a el mesh port • Use MESH traceroute para revisar las trayectorias a sus compañeros • Crear WDS link con sus compañeros y adicionar el mesh port • Revisar nuevamente el MESH traceroute hacia sus compañeros 130 www.

Bridge Transparente Wireless 131 www.certificate.ec .

Wireless Transparent Bridge • Bridging (puente) de clientes Ethernet mediante WDS • Bridging (puente) utilizando AP-Station WDS • Modo Pseudobridge con y sin clonación de MAC • Bridging (puente ) de clientes Wireless usando WDS 132 www.certificate.ec .

Bridging de Clientes Ethernet 133 www.certificate.ec .

AP-Station WDS Link 134 www.ec .certificate.

ec .certificate. Station-WDS • Configure en modo station-wds • WDS-mode debe ser “disabled” en la tarjeta Wireless • Cliente Wireless en modo Station-WDS puede estar en un bridged 135 www.

y las direcciones MAC de los paquetes recibidos se restauran a partir de la tabla de traducción de direcciones • Una sola entrada en el address translation table para todos los “no-IP-packtes” si existe mas de un host en el bridge puede representar problemas (ejemplo: clients pppoe) • IPv6 no trabaja sobre Pseudobridge 136 www.ec .certificate. Pseudobridge mode • Usa “MAC-NAT” – MAC Address Translation para todo el trafico • Inspecciona paquetes y genera tablas de correspondencia entre Direcciones IP y Direcciones MAC (Tablas ARP) • Todos los paquetes se envían a AP con la dirección MAC utilizada por el pseudobridge.

si el valor es 00:00:00:00:00:00.ec .certificate. la estación volverá a conectarse al AP usando esa dirección 137 www. la estación inicialmente usará la dirección MAC de la interface Wireless • Tan pronto como paquete con la dirección MAC de otro dispositivo necesita ser transmitida. Pseudobridge Clone mode • station-bridge-clone-mac – usa esta Dirección MAC cuando se conecta al AP.

ec . Bridging de Clientes Wireless 138 www.certificate.

Laboratorio de Bridging Transparente • Crear un Bridge Traparente entre usted y un compañero • Pruebe estos métodos – WDS – Pseudobridge mode – Pseudobridge mode with MAC cloning • Compruebe la comunicación entre los PCs detrás de cada router 139 www.certificate.ec .

ec . Protocolo Wireless Nstreme 140 www.certificate.

ec . 141 www. MikroTik Nstreme • Nstreme es propietario de MikroTik's (incompatible con otros fabricantes) protocolo wireless creado para mejorar enlaces wireless point-to-point y point-to-multipoint.certificate.

etc.certificate. de secuencia. Protocolo Nstreme • Beneficios del Protocolo Nstream – Cliente Polling (consulta constate a los clientes) – Desactiva CSMA – No hay límites en el protocolo sobre la distancia de enlace – Overhead: Es el desperdicio de ancho de banda.ec .) – Protocolo con muy pequeño overhead por trama lo cual permite tener grandes data-rates – No hay degradación de la velocidad del enlace para largas distancias 142 www. causado por la información adicional (de control.

ec . incluso si se necesita fragmentación tiene major rendimiento – dynamic-size – elije el major tamaño de frame de forma dinámica 143 www. pero los paquete no se fragmentan – exact-size . Existen algunos métodos para hacer framing: – none – no combina paquetes – best-fit .similar que best-fit. hasta que se llega al límite. Protocolo Nstreme: Frames • framer-limit – máximo tamaño de frame • framer-policy – el método como combiner frames.pone tanto paquetes como sea posible en un frame.certificate.

ec .certificate. Laboratorio Nstreme • Realice un enlace punto a punto con su compañero • Habilite Nstream y revise el rendimiento del enlace con diferentes framer police 144 www.

ec .certificate. Protocolo Wireless Nstreme Dual 145 www.

uno de transmisión. Protocolo Nstreme Dual • Propietario de MikroTik (es decir. uno de recepción 146 www. incompatibles con otras marcas) protocolo inalámbrico que funciona con un par de tarjetas de red inalámbricas (tarjetas de chipset Atheros solamente) .certificate.ec .

certificate. Nstreme Dual Interface • Ajuste ambas tarjetas inalámbricas en modo "nstreme_dual_slave“ • Crear Nstreme dual interface • Remote MAC: Especifique la dirección MAC remota • Use framer policy solamente si es necesario 147 www.ec .

ec .11n 148 www. 802.certificate.

certificate.11n Data Rates • Channel bonding (unión de canales) • Frame Aggregation • Configuraciones de la Wireless card • TX-power para N cards • Bridge Transparente para enlaces N • Tuneles MPLS/VPLS 149 www.ec .11n • MIMO • 802. 802.

Características de 802.11n • Increamenta el data rates – sobre los 300Mbps • 20Mhz y 2x20Mhz canales soportados • Trabaja en 2.4 y 5ghz • Usa multiples antenas para recibir y transmitir • Frame aggregation 150 www.certificate.ec .

MIMO • MIMO – Multiple Input and Multiple Output • SDM – Spatial Division Multiplexing (Multiplexación por división espacial) • Multiple flujos espaciales a traves de multiples antenas • Configuración de multiples antenas para transmitir y recibir – 1x1. 2x3 – 3x3 151 www. 1x2. 1x3 – 2x2.certificate.ec .

certificate.11n Data Rates 152 www.ec . 802.

ec . N card Data Rates 153 www.certificate.

Channel bonding – 2x20Mhz • Añade un canal de 20Mhz adicional al canal existente • El canal se coloca debajo o encima de la frecuencia del canal principal • Compatible con clientes de 20Mhz .ec .certificate.Conexión realizada en el canal principal • Permite el uso de velocidades de datos más altas 154 www.

certificate. Frame Aggregation • Combinación de frames de datos en un solo frame (disminuyendo el overhead) • Aggregation of MAC Service Data Units (AMSDU) • Aggregation of MAC Protocol Data Units (AMPDU) – Usa reconocimiento de bloques – Puede aumentar la latencia.ec . de forma predeterminada habilitado sólo para el tráfico de mejor esfuerzo – Envío y recepción de AMSDUs también aumentará el uso de CPU 155 www.

certificate.ec . Configuración de Wireless card 156 www.

ec .certificate. Configuración de Wireless card • ht-rxchains/ht-txchains – usa una sola antena para transmitir y recibir – antenna-mode esta configuración es ignorada en tarjetas N • ht-amsdu-limit – máximo AMSDU que el dispositvo puede preparar • ht-amsdu-threshold – máximo tamaño de frame incluido el AMSDU 157 www.

certificate. Configuración de Wireless card • ht-guard-interval – permitir el interval de guarda pequeño • ht-extension-canal .si desea utilizar el canal de extensión 20MHz adicionales.ec .las prioridades del frame para cada AMPDU enviado pueda ser negociados y utilizados 158 www. por debajo o por encima de la frecuencia del canal principal • ht-ampdu-priorities .

TX-power for N cards • Cuando se utilizan dos chains al mismo tiempo la potencia de TX se incrementa en 3dB .véase la columna total tx-Power • Cuando se utilizan tres cadenas al mismo tiempo la potencia de TX-se incrementa en 5dB 159 www.ec .certificate.

ec . Bridging transparente de enlaces N • WDS no proporcionará la máxima velocidad porque WDS no soporta la agregación de frames • EOIP agrega overhead • Tuneles MPLS/VPLS son utilizados para velocidades mas rápidas y menos overhead 160 www.certificate.

Bridge VPLS/MPLS para enlaces N 161 www.ec .certificate.

ec . Bridge VPLS/MPLS para enlaces N 162 www.certificate.

certificate. Bridge VPLS/MPLS para enlaces N 163 www.ec .

Bridge VPLS y fragmentación • Túnel VPLS aumenta el tamaño del paquete • Si este exede el MPLS MTU de la interface de salida fragmentación es usada • Si en caso la interfaz ethernet soporta MPLS MTU 1526 o mayor la fragmentación se puede evitar mediante el aumento de la MPLS MTU 164 www.ec .certificate.

certificate.ec . el aislamiento (isolation) de la antena se recomienda que sea por lo menos 25dB 165 www. Configuración para exteriores • Pruebe cada canal por separado antes de utilizar ambas canales a la vez • Para operación con 2 canales se sugiere utilizar diferente polarización para cada canal • Cuando se utiliza antenas de polarización dual.

ec .11n • Establecer un enlace N con su compañero • Pon a prueba el rendimiento con uno y con dos canales • Crear un bridge transparente usando VPLS 166 www.certificate. Laboratorio 802.