Measure Evaluation mars 2019 Objectifs de la formation • Mise en œuvre d’un hotspot • Comment implémenter des règles de firewalling pour la gestion de la bande passante internet • Mise en œuvre d’un hotspot Hotspot • Point d’accès donnant accès à un réseau wifi ou câblé • Permet l’accès aux utilisateurs de PC, tablette, smartphone de se connecter à internet • Les utilisateurs doivent s’authentifier via une page web (portail captif) avant d’accéder aux ressources du réseau Hotspot Caractéristiques: • Authentification basée sur le web • Système de Walled garden: pour autoriser l’accès à certains site sans authentification • Modification de la page de login • Changement automatique et transparente de l’IP (avant et après authentification) • Authentification locale ou distante (ex: serveur radius) • Journalisation locale eou distante de l’accès utilisateur Hotspot- mise en oeuvre L’interface doit être directement connectée aux clients Hotspot- mise en oeuvre L’interface doit être directement connectée aux clients Hotspot- mise en oeuvre
1. Sélectionnez l’interface 2. L’IP de l’interface est 3. Définir la plage d’IP
ajoutée automatiquement
4. Faut-il utiliser un 5. IP du serveur smtp 6. IP serveur DNS
certificat? Hotspot- mise en oeuvre
7. Domaine DNS pour le 8. Ajout du 1er user 9. Fin de la configuration
serveur hotspot Hotspot- personnalisation de la page • Login.html: page de connexion • Alogin.html: page après connexion • Status.html: page de statut • Logout.html: page de déconnexion • Redirect.html: page de redirection • Error.html: page d’erreur • Md5.js: javascript pour hasher le password (http-chap) Hotspot- personnalisation de la page • Login.html: page de connexion • Alogin.html: page après connexion • Status.html: page de statut • Logout.html: page de déconnexion • Redirect.html: page de redirection • Error.html: page d’erreur • Md5.js: javascript pour hasher le password (http-chap) Hotspot • Le portail captif est fourni lorsque l’utilisateur tente d’accéder à une page web • Entrez votre nom d’utilisateur et mot de passe • Pour se déconnecter http://measure.bf ou htttp://IP_routeur Hotspot - utilisateurs • Créer les différents profil • Ajouter les utilisateurs aux profils créés Hotspot – Hosts
Information concernant les clients (PC) connectés
Hotspot – Active
Information concernant les utilisateurs connectés
Hotspot – walled garden • Outil permettant d’accéder à des ressources spécifiques sans autorisation hotspot • Ces ressources peuvent être un serveur web local ou une page web externe (www.mikrotik.com) • Walled garden pour HTTP et HTTPS • Walled garden IP pour les autres ressources (telnet, ssh , winbox, etc…) Hotspot – walled garden
Autorise l’accès à google.com aux utilisateurs du 192.168.97.0/24
Hotspot – IP binding
• Bypasser des clients spécifiques via hotspot (VoIP phone,
imprimante, utilisateurs …) • Ip binding ouvre toutes les ressources du réseau Le firewall Le firewall est un outil dont le rôle principal est d'assurer la sécurité et de protéger les données sensibles du réseau. Il protège également le routeur et les clients des accès non autorisés. Il est composé de plusieurs éléments tels que filter rules, nat, mangle, address lists, layer 7 protocols. Cela peut être fait en créant les règles dans le menu firewall de IP Le firewall Mode de fonctionnement Le firewall Filter • Règles définies par l’utilisateur fonctionnant sur le principe de IF-Then • Ces règles sont définies par filtre appelés chaines • Il existe des filtres prédéfinis et des filtres crées par l’utilisateur Le firewall Filter - chains Les règles sont définies dans 3 chaines par défaut: • Input: traite les paquets qui entrent dans votre routeur. Tout paquet à destination du routeur est traité par la chaîne input. Ex: ssh, winbox, ping • Output: traite les paquets provenant du routeur avec adresse IP source l’adresse du routeur. Ex: ping à partir du routeur • Forward: traite les paquets qui transitent par le routeur. Le routeur n’est ni la sourc ni la destination. Ex: un client qui ouvre une page web Le firewall Filter - chains Le firewall Pour accéder à l’interface de configuration du firewall, cliquez sur « ip » « firewall » Le firewall • L’onglet Filter contient les règles qui bloquent ou autorisent le trafic. Les règles sont évaluées de façon séquentielle, si une règle remplie la condition, les règles en dessous ne sont pas vérifiées. • L’onglet NAT contient les règles de translation d’adresse source, de destination et de transfert de port • L’onglet Mangle: contient les règles qui sont utilisées pour marquer un paquet pour une utilisation ultérieure, telles que la prise d'une décision de routage différente Le firewall • L’onglet Address Lists: contient une liste d’adresse IP qui sera utilisée dans les règles de firewall dans filter ou NAT. • L’onglet Layer7 Protocols: contient la liste des différentes expressions régulières Layer7 utilisées pour bloquer ou autoriser tout service Layer7 avec une règle de pare-feu • L’onglet Mangle: contient les règles qui sont utilisées pour marquer un paquet pour une utilisation ultérieure, telles que la prise d'une décision de routage différente Le filtrage d’accès Bloquer une adresse MAC /ip firewall filter add chain=forward action=drop src-mac-address=74:EA:3A:F2:AF:90
NB: cette règle bloque l’accès uniquement aux resources externes
(internet) Bloquer une adresse MAC Bloquer une adresse IP /ip firewall filter add chain=input action=drop src-address=192.168.X.1
NB: cette règle bloque l’accès aux resource externes
Bloquer le P2P Limiter le trafic réseau peer-to-peer (P2P) est important pour les entreprises et les autres opérateurs de réseau pour plusieurs raisons, principalement la gestion des risques et la conservation de la bande passante.
Risques: • Téléchargement illicite • Exfiltration de données sensibles d’un réseau • Risque de virus • Contrefaction des droits d’auteur (film, logiciel, musique…)
Avantages possibles: réduction de la bande passante car certains éditeurs
utilisent les protocoles P2P pour distribuer les correctifs Bloquer le P2P
1. Créez une règle dans Layer7 protocols
2. Créez une règle dans Filter
Ces règles permettent d’identifier les utilisateurs qui font du P2P
Bloquer le P2P
Cette règle permet de bloquer le trafic P2P
Bloquer un site web Avec Mikrotik le blocage d’un site web peut se faire avec address lists, layer7 procols ou Mangle Bloquer un site web Address Lists Bloquer un site web Address Lists
Cette règle bloque facebook de 8h à 15h
Bloquer un site web Layer7 Protocols
Cette règle bloque facebook de 8h à 15h
Network Address Translation Le routeur peut changer l’adresse source ou de destination des paquets qui le traversent, Ce processus est appelé src-nat ou dst-nat Network Address Translation SRC-NAT Network Address Translation DST-NAT Network Address Translation Chaîne • Pour faire la NAT on utilise les chaînes srcnat et dstnat • Les règles de NAT fonctionnent sur le principe de IF-THEN Network Address Translation DST-NAT • Change l’adresse et le port de destination des paquets • Il peut être utilisé pour rediriger le trafic internet vers un serveur en local (serveur web, mail …) Network Address Translation DST-NAT Exemple Network Address Translation DST-NAT Exemple
Rendre le serveur web
accessible de l’extérieur Outil d’administration Torch L’outil torch permet de voir le trafic sur le réseau, l’utilisation des machines du réseau Menu Tools et Torch, on choisit l’interface