MTCNA – Parte 1 – Introdução

RouterOS Identity (Nome do Router)

Uma configuração muito importante de um roteador é seu nome para facilitar sua identificação, no RouterOS essa informação é chamada de Identity, ela pode ser acessada por System > Identity

A informação a ser fornecida aqui, é uma informação que auxilia a identificação fácil de uma estrutura de rede, é uma questão bem particular e que cada pessoa, o que vale seguir é uma boa regra de nomenclatura que facilite a identificação do equipamento.

Logins do RouterOS

Uma questão muito importante e que precisa de uma atenção, são os logins do sistema, deixar um usuário sem senha, ou com senha fraca, é uma grande falha de segurança. Outra falha de segurança é manter o usuário admin padrão do sistema ativo. Eu recomendo criar um novo usuário com acesso total ao sistema, com nome diferente de admin, criar uma senha forte para esse usuário, logar com ele, e remover por completo o antigo usuário admin do sistema, isso irá garantir que sua configuração está mais segura.

Para manipular os acessos podemos fazer por interface do WinBox ou pela linha de comando, pela interface do WinBox vamos em “System > Users”.

Na primeira aba “Users” temos a lista de todos os usuários cadastrados dentro do RouterOS, por padrão é criado apenas o usuário admin, mas podemos criar quantos usuários forem necessários. Existem alguns recursos avançados, os quais não serão abordados nesse momento, como a opção AAA, que seria utilizar algum servidor de autenticação externa, por exemplo um servidor RADIUS.

Na aba “Groups” podemos gerenciar os grupos, por padrão o RouterOS vem com os 3 grupos criados Full, Read e Write, porém podem ser criados quantos grupos forem necessários. 

Dentro do grupo, podemos criar várias configurações com permissões específicas, por exemplo podemos liberar só funções necessárias para certos grupos de usuários, liberar acesso só via um tipo de acesso, por exemplo só acesso Winbox ou só SSH.

Temos a opção de criar uma Skin, uma Skin é uma forma de moldar a interface WebFig para um certo grupo de menus, alterar o nome dos menus. Ou seja, é uma forma de limitar os acessos aos menus dos usuários e/ou personalizar a exeperencia do usuário pela WebFig, por exemplo, queremos criar um acesso muito específico de apenas visualização só das interfaces Ethernet, para isso precisamos criar um grupo com as liberações, e criar uma Skin liberado somente acesso ao que queremos.

Criando uma Skin para WebFig

Para criar uma Skin, de momento, só pode ser realizado pelo WebFig, para isso acessamos o WebFig com um usuário com permissão de administrador, e localizamos a opção “Design Skin”

Quando acessamos a opção para criar uma Skin, percebemos que toda a interface do WebFig fica diferente, verificamos que todas as opções ficam com uma caixa de marcar antes do nome, e todos os nomes ficam como campos editáveis.

Com isso, podemos personalizar completamente a interface do RouterOS para adequar a qualquer necessidade que tivermos, como por exemplo, limitar acesso a somente a um grupo de menus e trocar os nomes para algo mais amigável, por exemplo vamos criar uma Skin com o nome “Limitado” alterar o nome “Interfaces” no menu lateral para “Rede cabeada” e deixar só essa interface liberada na Skin.

Para isso colocamos o nome em “Name” e depois clicamos em “Save”, com isso criamos a Skin com nome Limitado, agora selecionamos ela na lista de Skin e começamos a editar.

Ficará algo parecido com a imagem acima, agora para aplicar essa Skin a um grupo, voltamos para o menu “System > User” na aba “Groups” criamos um grupo, vou criar um grupo com o nome “Limitado” apenas com permissão de leitura e acesso web, com a Skin recém criada. 

E na aba “User” vou criar um usuário com nome “teste” e senha 123 vinculado ao grupo Limitado.

Quando for acessado a interface do WebFig com esse usuário, teremos a experiência personalizada conforme nossa configuração.

Replicando as Skins

As Skins ficam salvas dentro do armazenamento interno do RouterOS dentro de uma pasta com nome “Skins”, em um arquivo com extensão .json, para replicar uma skin cadastrada, podemos simplesmente baixar esse arquivo onde criamos a skin e replicar para os outros RouterOS que precisamos replicar a mesma.

Serviços do RouterOS

Outra questão que deve ser observada, e também é muito importante, é relativo aos serviços habilitados dentro do RouterOS, é recomendado que somente deixe habilitado os serviços que serão utilizados, o RouterOS conta com os serviços api, api-ssl, ftp, ssh, telnet, winbox, www e www-ssl, e é extremamente importante deixar somente ativo o que será utilizado, para acessar a aba de serviços, acessar o menu IP > Services

Uma forma básica de segurança relativo aos serviços, é configurar o Available From, realizando um clique duplo em cima do serviço, isso fará com que o serviço só responda a um IP ou determinada faixa de ip, se fornecido um bloco de ip, por exemplo 192.168.88.0/24, mas eu particularmente gosto de controlar esse tipo de acesso via Firewall, que é mais flexivel. Outra forma de aumentar um pouco a segurança é trocando a porta do serviço, isso é possível no mesmo menu que fornecemos um IP para acesso.

Nas minhas configurações, eu costumo deixar as portas padrões, desativar serviços que não utilizo, e controlar o acesso a essas portas via Firewall, os serviços costumo deixar somente esses habilitados, mas essa é uma opção minha e não uma regra.

Backups

O RouterOS possui 2 formas de realizar backup, uma delas é o export e outra é o backup. O backup pelo export só é possível realizar pela linha de comando, quanto o comando backup é possível realizar tanto da Interface quanto da linha de comando. Vou falar um pouco sobre cada um dos modos de backup.

Comando backup

O primeiro modo de backup que vou ensinar é o comando backup, esse é modo mais fácil de fazer um backup, basicamente é só executar e o backup está pronto. Esse backup pode ser executado pela interface do WinBox pelo menu File e depois clicando em backup, também é possível acessar ele pela linha de comando pelo comando /system backup save

A extensão do arquivo desse backup é .backup

Esse sistema de backup faz o backup completo do RouterOS, incluindo as configurações de usuário e senhas, e mesmo que não seja marcado a informação Don’t Encrypt, o backup não é editável, porém ele também faz o backup de configuração como MAC, o que torna esse backup exclusivo para o RouterOS que o executou, não podendo ser executado em outros sistema. (Na verdade é possível executar, porém a chance de dar erro e conflito na rede e muito grande, o que não torna viável)

Backup pelo WinBox

Pela interface do usuário temos 4 opções, são elas:
Name: ela é opcional, se deixar a mesmo em branco será criado um backup com o nome (Identity) do seu RouterOS seguido da data atual.
Password: Define uma senha para o seu arquivo de backup, é opcional e se deixar em branco será utilizado a senha do usuário logado.
Encryption: Define a forma de criptografia do backup.
Don’t Encrypt: Define se você quer criptografar o backup ou não, marcando ela as opções Encryption e Password ficam indisponíveis.

Ao clicar em Backup, seu backup será gerado e salvo no seu armazenamento interno.
Obs: Dependendo do modelo de sua RouterBOARD, o backup pode ser salvo na RAM e ficar de forma volátil dentro do sistema, sumindo ao reiniciar, para isso é preciso mover ele para a memória interna ou baixar para o computador.

Backup pela linha de comando

O backup pode ser executado pela linha de comando pelo comando /system backup save, seu princípio é exatamente igual ao pelo WinBox e possui os mesmo argumentos e segue as mesmas regras.

https://wiki.mikrotik.com/wiki/Manual:System/Backup

Comando export

O backup pelo comando export só pode ser executado pela linha de comando, esse backup tem uma vantagem sobre o backup anterior, pode ser executado somente em um determinado nível da configuração, não sendo necessário exportar a configuração inteira.

Se você estiver no nível raiz do sistema e executar o comando export, ele irá exportar todas as configurações, mas se você estiver dentro do menu IP, por exemplo, será somente exportado as configurações de IP. A extensão do arquivo desse backup é .rsc

Esse estilo de backup exporta em texto plano as configurações, somente exportando as configurações que foram marcadas, não exporta usuário e não exporta informações exclusivas do RouterOS que o gerou, tornando esse backup utilizável em outros RouterOS. Como é exportado em texto plano, o backup é editável e personalizável.

Para realizar esse backup, basta executar o comando export seguido do parâmetro file para salvar em um arquivo o export, caso não seja informado ele irá imprimir no terminal o export. Abaixo irei mostrar um exemplo do export na raiz do sistema, e outro apenas dos endereços de IP.

https://wiki.mikrotik.com/wiki/Manual:Configuration_Management

Diferença entre os 2 backups

Como mencionado anteriormente, cada sistema de backup possui suas características, abaixo vou anexar uma tabela que ilustra as características de cada um, os pontos em comum e as diferenças entre eles.

DEScriçãoExportBackup
Pemite Edição (Texto Plano)SimNão
Podemos definir nomeSimSim
Protege com senhaNãoSim
Salva configurações como Usuário e senha(System > Users)NãoSim
Salva senhas de profiles PPP, Hotspot e WirelessSimSim
Pode ser importado no mesmo RouterOSSimSim
Pode ser importado noutro RouterOSSimNão
Permite exportar partes da configuraçãoSimNão
Salva dados do The Dude e User-managerNãoNão
Extensão do Arquivo.rsc.backup

Em alguns lugares, há quem fale que o export não pode ser utilizado para para importação no mesmo RouterOS, porém como ele não exporta configurações como usuários do sistema, mas exporta todos as outras configurações, não vejo motivo para que ele não possa ser utilizado no mesmo RouterOS.

Editando um arquivo do Export

Como o arquivo export é um arquivo de texto plano, é possível editar o mesmo com qualquer editor de texto e fazer as alterações necessárias, para isso, precisamos baixar ele para o computador para pode realizar as edições, para baixar podemos utilizar o WinBox no men files ou ainda baixar ele por FTP ou SFTP.

Esse arquivo contem os mesmos comando que executamos via linha de comando, então personalizar e editar um backup é igual a executar os comandos via linha de comando, no exemplo abaixo, estou com um backup aberto de um export de um RouterOS com poucas configurações, e para editar, nada mais é que utilizar os mesmos comando que seriam executados via linha de comando.

Script de Backup aberto no Notepad++

Restaurando o backup

Para restaurar os backups, é muito simples, primeiramente eu recomendo resetar completamente o RouterOS, para não deixar nenhuma configuração anterior, e posteriormente restaurar o backup.

Importando backup por comando backup

Para realizar esse processo, podemos fazer tanto por linha de comando quanto por interface do WinBox, para isso vamos em File > Restore, selecionamos nosso arquivo de Backup, se tiver senha informamos a mesma e depois clicamos em Restore, o RouterOS irá reiniciar automaticamente após esse processo.

Também podemos restaurar o backup pela linha de comando, executando o comando /system backup load

Para esse comando temos 2 atibutos, que não name e password, que equivalem ao mesmo dados do processo via WinBox. E também após restaurar as configurações, o RouterOS irá reiniciar.

Importando backup por comando export

Importa o script realizado pelo export é bem simples, assim como o export, o import só pode ser executado pela linha de comando, e ele possui 3 atributos, que são from-line, verbose, file-name.

  • from-line: começa a importação da linha informada.
  • verbose: mostra os comandos a medida que são executado.
  • file-name: nome do arquivo de backup.

Desses 3 atributos, o único que é obrigatório é o file-name.

Outra forma de importar um backup do estilo export, é copiar todo o conteúdo do texto do arquivo, abrir um terminal e colar todo o texto no terminal, como esse arquivo é texto plano funciona perfeitamente importar nesse meio.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *