Configurações básicas de uma Interface Wireless no Mikrotik RouterOS

Alguns Mikrotik RouterBoards vêm com uma interface Wireless. Também existe RBs que podem ser adaptadas para função. Nesse artigo, será utilizado como base um dispositivo da Mikrotik, o RB941-2ND-TC, que possui a função wireless.

A configuração da interface é bem simples, porém tem alguns detalhes que o Administrador deve ficar atento. Recomendo que, antes de realizar a configuração, estude um pouco sobre redes sem fio para entender o processo corretamente.

Leia mais: 5 Características Básicas que Você Deve Conhecer sobre Redes Sem Fio

Caso você já tenha conhecimento sobre redes sem fio, o artigo ajudará muito, pois vamos configurar na prática uma interface Wireless no Mikrotik RouterOS usando o Winbox.

Vamos em “Interfaces”. Depois de abrir a janela “Interface List”, procuramos pela interface do tipo Wireless e clicaremos duas vezes nela.

Com isso, abrirá uma janela para configuração da inteface, na aba “General”, coloque um nome qualquer para ela:

A seguir, abra a aba wireless, que é onde será possível visualizar as opções a serem configuradas, relacionadas à rede sem fio:

Nessa mesma aba, há a opção “mode”, como pode ser observado na imagem acima, você poderá configurar algumas opções, porém nesse artigo vamos configurar um “AP”, que significa Access Point, ou Ponto de Acesso.

As opções disponíveis nesse atributo dependem bastante do RouterBoard que se está utilizando. Algumas delas são:

• AP Bridge: realiza o trabalho de repetir o sinal que recebe para poder estender a rede de wireless. Nesse modo, os MAC’s dos hosts wireless serão repassados de forma transparente para a rede cabeada.
• Bridge: é semelhante ao AP Bridge, realiza as mesmas funções, porém, para apenas um cliente.
• Station: a station, ou estação, vai receber o sinal do AP, ou seja, ele é o cliente de um AP e não pode ser colocado em bridge com outras interfaces.
• Station Pseudobridge: a station pode ser colocada em modo bridge, sempre passando ao AP seu próprio MAC.
• Station Pseudobridge Clone: realiza a mesma função da station pseudobridge, porém, ele passa ao AP um MAC pré-determinado.
• Station WDS: quando o AP e a station estão nesse modo, o roteador é colocado em bridge com a interface Ethernet, passando os MAC’s de forma transparente.

Além dos modos de operação, também temos a opção de configurar diversos atributos, como o SSID, que atua como o identificador da rede, e também, tem a opção Country, onde podemos selecionar o país em que se está utilizando:

Cada país utiliza uma frequência aberta, e no caso do Brasil, é utilizado um modo chamado DFS, cujo uso é obrigatório nas faixas de frequência: 5.250-5.350 MHz e 5.470-5.725 MHz, sendo assim, você só poderá utilizar determinados canais que o Brasil disponibiliza para o usuário.

Um grande problema é a interferência que ocorre quando diversos provedores estão num mesmo canal. Para evitar essas interferências, geralmente, um provedor precisa mudar de canal para melhorar o sinal do enlace.

Para realizar essa melhora, pode-se utilizar a opção Scan List, que é onde você pode estipular uma faixa de canal que irá utilizar.

Lembrando que, as configurações de frequência e pais vão depender muito do cenário. Como nosso intuito aqui é só realizar uma configuração básica, vamos deixar na opção “no_country_set” e no campo Frequency como “Auto”.

Na aba Channel você irá configurar as bandas que vão depender bastante do padrão utilizado no seu RouterBoard e, novamente, o cenário em que você se encontra. No caso aqui vamos usar 20 MHz.

Também se pode escolher a banda que será utilizada, que depende dos padrões IEEE. É possível escolher um misto entre esses padrões, que é o recomendado, pois alguns dispositivos da rede podem possuir diversos padrões IEEE 802.11.

Leia Mais: Entenda os principais padrões IEEE 802.11

Ao final das opções, existem 3 opções para se marcar, a primeira é a Default Authenticate, que possibilita que qualquer um possa ter acesso, caso saiba a senha do roteador. Caso desmarque essa opção, será necessário informar qual dispositivo pode se conectar ao roteador na aba Access List.

A segunda opção dessas 3, é o Default Forward, que possibilita que todos os que estão utilizando o AP vão poder se comunicar entre si. Por último, tem o  Hide SSID, que esconde o SSID de quem vai se conectar ao roteador.

Ao se marcar a opção hide SSID, na aba wireless, os usuários não conseguem mais ver o SSID de seu AP, mas isso não é uma medida de segurança, é até importante que os usuários possam ver o SSID e também é bem fácil para um hacker descobri-lo.

Utilizar o Access List para escolher quem vai acessar seu roteador, por si só, não é uma boa medida para segurança, pois é muito simples descobrir o endereço MAC de algum usuário permitido na rede e cloná-lo para poder acessá-la.

Ao clicar em “aplicar” e depois em “Ok”, as configurações serão salvas e você já pode ativar sua interface selecionando ela e clicando no símbolo de confirmação.

Segurança Wireless Mikrotik RouterOS

Nesse momento, está tudo configurado devidamente, mas nenhum equipamento coseguirá conectar no roteador. Além disso, devemos deixar nossa rede sem fio segura.

O próximo passo é ir no menu “Wireless” e depois aba “Security Profiles”, onde é necessário criar o  Security Profile e realizar as configurações de segurança de seu AP.

Para criar um “Security Profile” clique no botão “+” :

Na janela “Security Profile”, coloque um nome para o perfil e depois as configurações de segurança:

No Mikrotik, existem 3 opções:

• WEP: Um dos primeiros protocolos a serem utilizados e já está muito ultrapassado ultimamente, sendo suscetível a muitas vulnerabilidades e falhas, não sendo recomendada sua utilização em hipótese alguma.
• WPA: é como um WEP melhorado, trabalhando com mecanismos de criação de chaves dinâmicas.
• WPA 2: versão mais nova do WPA e possui o sistema mais atual e seguro dos 3, implementado pela Wi-Fi Alliance em 2006. Ele utiliza o padrão de criptografia avançada AES. Porém, nem todo dispositivo é compatível com esse protocolo.

O WPA 2 inclui uma troca dinâmica de chaves, realizado pelo AES, uma criptografia bem forte e que trabalha com chaves mais longas, além de algoritmos mais seguros.

Levando tudo isso em consideração, nesse artigo, definimos uma chave WPA e WPA2, pois alguns dispositivos antigos podem não conseguir autenticar usando WPA2.

Por fim, foram abordadas nesse artigo as configurações básicas de uma interface Wireless no Mikrotik RouterOS e como proteger minimamente sua rede sem fio. Lembrando que algumas configurações podem mudar de acordo com a necessidade do cenário. Alem disso, devemos sempre analisar bem o que deve ser feito e escolher os equipamento certos para cada situação. O estudo dos padrões IEEE 802.11 e a segurança wireless são importantes para entender o funcionamento básico de uma rede sem fio e tomar as melhores decisões durante a implementação.