MikroTik RouterOS

Présenté par SOME Pinguéné Ferdinand

Measure Evaluation mars 2019
 Objectifs de la formation
• Mise en œuvre d’un hotspot
• Comment implémenter des règles de firewalling pour la gestion de la
bande passante internet
• Mise en œuvre d’un hotspot
 Hotspot
• Point d’accès donnant accès à un réseau wifi ou câblé
• Permet l’accès aux utilisateurs de PC, tablette, smartphone de se connecter
à internet
• Les utilisateurs doivent s’authentifier via une page web (portail captif) avant
d’accéder aux ressources du réseau
 Hotspot
Caractéristiques:
• Authentification basée sur le web
• Système de Walled garden: pour autoriser l’accès à
certains site sans authentification
• Modification de la page de login
• Changement automatique et transparente de l’IP
(avant et après authentification)
• Authentification locale ou distante (ex: serveur
radius)
• Journalisation locale eou distante de l’accès
utilisateur
 Hotspot- mise en oeuvre
L’interface doit être directement connectée aux clients
 Hotspot- mise en oeuvre
L’interface doit être directement connectée aux clients
 Hotspot- mise en oeuvre

1. Sélectionnez l’interface 2. L’IP de l’interface est 3. Définir la plage d’IP

ajoutée automatiquement

4. Faut-il utiliser un 5. IP du serveur smtp 6. IP serveur DNS

certificat?
 Hotspot- mise en oeuvre

7. Domaine DNS pour le 8. Ajout du 1er user 9. Fin de la configuration

serveur hotspot
 Hotspot- personnalisation de la page
• Login.html: page de connexion
• Alogin.html: page après connexion
• Status.html: page de statut
• Logout.html: page de déconnexion
• Redirect.html: page de redirection
• Error.html: page d’erreur
• Md5.js: javascript pour hasher le password
(http-chap)
 Hotspot- personnalisation de la page
• Login.html: page de connexion
• Alogin.html: page après connexion
• Status.html: page de statut
• Logout.html: page de déconnexion
• Redirect.html: page de redirection
• Error.html: page d’erreur
• Md5.js: javascript pour hasher le password
(http-chap)
 Hotspot
• Le portail captif est fourni lorsque
l’utilisateur tente d’accéder à une page
web
• Entrez votre nom d’utilisateur et mot de
passe
• Pour se déconnecter http://measure.bf ou
htttp://IP_routeur
 Hotspot - utilisateurs
• Créer les différents profil
• Ajouter les utilisateurs aux profils créés
Hotspot – Hosts

Information concernant les clients (PC) connectés

Hotspot – Active

Information concernant les utilisateurs connectés

 Hotspot – walled garden
• Outil permettant d’accéder à des ressources spécifiques sans autorisation hotspot
• Ces ressources peuvent être un serveur web local ou une page web externe
(www.mikrotik.com)
• Walled garden pour HTTP et HTTPS
• Walled garden IP pour les autres ressources (telnet, ssh , winbox, etc…)
Hotspot – walled garden

Autorise l’accès à google.com aux utilisateurs du 192.168.97.0/24

Hotspot – IP binding

• Bypasser des clients spécifiques via hotspot (VoIP phone,

imprimante, utilisateurs …)
• Ip binding ouvre toutes les ressources du réseau
 Le firewall
Le firewall est un outil dont le rôle principal est d'assurer la sécurité et
de protéger les données sensibles du réseau. Il protège également le
routeur et les clients des accès non autorisés. Il est composé de
plusieurs éléments tels que filter rules, nat, mangle, address lists, layer 7
protocols.
Cela peut être fait en créant les règles dans le menu firewall de IP
 Le firewall
Mode de fonctionnement
 Le firewall Filter
• Règles définies par l’utilisateur fonctionnant sur le principe de IF-Then
• Ces règles sont définies par filtre appelés chaines
• Il existe des filtres prédéfinis et des filtres crées par l’utilisateur
 Le firewall Filter - chains
Les règles sont définies dans 3 chaines par défaut:
• Input: traite les paquets qui entrent dans votre routeur. Tout paquet à
destination du routeur est traité par la chaîne input. Ex: ssh, winbox,
ping
• Output: traite les paquets provenant du routeur avec adresse IP source
l’adresse du routeur. Ex: ping à partir du routeur
• Forward: traite les paquets qui transitent par le routeur. Le routeur
n’est ni la sourc ni la destination. Ex: un client qui ouvre une page web
Le firewall Filter - chains
 Le firewall
Pour accéder à l’interface de configuration du firewall,
cliquez sur « ip » « firewall »
 Le firewall
• L’onglet Filter contient les règles qui bloquent ou autorisent le
trafic. Les règles sont évaluées de façon séquentielle, si une règle
remplie la condition, les règles en dessous ne sont pas vérifiées.
• L’onglet NAT contient les règles de translation d’adresse source,
de destination et de transfert de port
• L’onglet Mangle: contient les règles qui sont utilisées pour
marquer un paquet pour une utilisation ultérieure, telles que la
prise d'une décision de routage différente
 Le firewall
• L’onglet Address Lists: contient une liste d’adresse IP qui sera
utilisée dans les règles de firewall dans filter ou NAT.
• L’onglet Layer7 Protocols: contient la liste des différentes
expressions régulières Layer7 utilisées pour bloquer ou autoriser
tout service Layer7 avec une règle de pare-feu
• L’onglet Mangle: contient les règles qui sont utilisées pour
marquer un paquet pour une utilisation ultérieure, telles que la
prise d'une décision de routage différente
Le filtrage d’accès
 Bloquer une adresse MAC
/ip firewall filter
add chain=forward action=drop src-mac-address=74:EA:3A:F2:AF:90

NB: cette règle bloque l’accès uniquement aux resources externes

(internet)
Bloquer une adresse MAC
 Bloquer une adresse IP
/ip firewall filter
add chain=input action=drop src-address=192.168.X.1

NB: cette règle bloque l’accès au routeur

/ip firewall filter

add chain=forward action=drop src-address=192.168.X.1

NB: cette règle bloque l’accès aux resource externes

 Bloquer le P2P
Limiter le trafic réseau peer-to-peer (P2P) est important pour les entreprises et
les autres opérateurs de réseau pour plusieurs raisons, principalement la gestion
des risques et la conservation de la bande passante.

Risques:
• Téléchargement illicite
• Exfiltration de données sensibles d’un réseau
• Risque de virus
• Contrefaction des droits d’auteur (film, logiciel, musique…)

Avantages possibles: réduction de la bande passante car certains éditeurs

utilisent les protocoles P2P pour distribuer les correctifs
 Bloquer le P2P

1. Créez une règle dans Layer7 protocols

2. Créez une règle dans Filter

Ces règles permettent d’identifier les utilisateurs qui font du P2P

 Bloquer le P2P

Cette règle permet de bloquer le trafic P2P

 Bloquer un site web
Avec Mikrotik le blocage d’un site web peut se faire avec
address lists, layer7 procols ou Mangle
Bloquer un site web
Address Lists
 Bloquer un site web
Address Lists

Cette règle bloque facebook de 8h à 15h

 Bloquer un site web
Layer7 Protocols

Cette règle bloque facebook de 8h à 15h

Network Address Translation
Le routeur peut changer l’adresse source ou de destination des paquets qui le
traversent,
Ce processus est appelé src-nat ou dst-nat
Network Address Translation
SRC-NAT
Network Address Translation
DST-NAT
Network Address Translation
Chaîne
• Pour faire la NAT on utilise les chaînes srcnat et dstnat
• Les règles de NAT fonctionnent sur le principe de IF-THEN
Network Address Translation
DST-NAT
• Change l’adresse et le port de destination des paquets
• Il peut être utilisé pour rediriger le trafic internet vers un
serveur en local (serveur web, mail …)
Network Address Translation
DST-NAT Exemple
Network Address Translation
DST-NAT Exemple

Rendre le serveur web

accessible de l’extérieur
Outil d’administration
Torch
L’outil torch permet de voir le trafic sur le réseau, l’utilisation des machines
du réseau
Menu Tools et Torch, on choisit l’interface