TP2 : Sécurité des technologies Mikrotik :

cas du routeur RB 951Ui -2HnD

Membres du Groupe :

 Tchinda Tchoffo Timothée Joël

 Ekoka Ekamé Bristol Aaron Morgan
 Dzoyem Tsoméné Mégane

Sous l’encadrement de : Bandjoun le

Mr Fotsing Ndé Blaise 18/04/2023
 Introduction
MikroTik est une entreprise spécialisée dans les équipements de
réseau, offrant une gamme de produits allant des routeurs aux
commutateurs et aux points d'accès Wi-Fi. Les produits MikroTik sont
populaires auprès des entreprises, des fournisseurs d'accès à Internet,
des gouvernements et des particuliers qui cherchent des solutions de
réseau fiables et abordables.
Cependant, comme tout système informatique connecté à Internet, les
produits MikroTik sont exposés à des menaces de sécurité. Les
attaques de type déni de service, les attaques par force brute, les
failles de sécurité et autres vulnérabilités peuvent compromettre la
sécurité des réseaux qui utilisent des produits MikroTik.
 Analyse des menaces
 Attaques par déni de service  Attaques de type "man in the
(DDoS) : Les attaques DDoS middle" (MITM) : Les
visent à saturer les ressources attaques MITM consistent à
 Vulnérabilités logicielles :
d'un serveur, d'un routeur ou intercepter le trafic réseau
Comme tout logiciel, les
d'un autre équipement de entre deux machines et à
produits MikroTik peuvent
réseau, afin de rendre les modifier ou à espionner les
contenir des vulnérabilités
services inaccessibles aux données qui transitent. Les
qui peuvent être exploitées
utilisateurs légitimes. Les produits MikroTik peuvent
par des attaquants pour
produits MikroTik peuvent être vulnérables aux
prendre le contrôle de
être utilisés comme attaques MITM si les
l'équipement ou accéder à
amplificateurs pour les utilisateurs ne chiffrent pas le
des données sensibles.
attaques DDoS, ce qui les trafic réseau et ne vérifient
rend vulnérables à ce type pas l'authenticité des
d'attaque. certificats.
 Analyse des menaces
 Attaques par force brute : Les
attaques par force brute visent à
trouver des mots de passe faibles
ou des clés de chiffrement en
essayant de nombreuses
combinaisons différentes. Les
produits MikroTik sont
vulnérables aux attaques par
force brute si les utilisateurs ne
suivent pas les meilleures
pratiques de sécurité, comme
l'utilisation de mots de passe
forts et la désactivation de
l'accès à distance non sécurisé.
 Insuffisance de la gestion des
accès : Les produits MikroTik
sont vulnérables à des
attaques si les utilisateurs ne
gèrent pas correctement les
accès aux équipements de
réseau. Par exemple, les
utilisateurs doivent s'assurer
que seuls les employés
autorisés ont accès aux
équipements, et que les
droits d'accès sont limités aux
fonctionnalités nécessaires
pour leur travail.
 Analyse des vulnérabilités
 Vulnérabilités de gestion des
accès : Les produits MikroTik
peuvent être vulnérables à des
attaques si les utilisateurs ne
gèrent pas correctement les
accès aux équipements de
réseau. Les vulnérabilités
courantes comprennent
l'utilisation de mots de passe
faibles, l'activation d'accès à
distance non sécurisé,
l'utilisation de l'authentification
par défaut fournie par le
fabricant, et la mise à
disposition de privilèges
d'administration excessifs.
 Vulnérabilités
 Vulnérabilités liées aux
protocoles réseau : Les
produits MikroTik
prennent en charge
plusieurs protocoles de
réseau, tels que TCP/IP,
ICMP, UDP, DNS, etc. Les
vulnérabilités courantes
liées aux protocoles de
réseau incluent l'injection
de paquets malveillants,
le déni de service, le
spoofing d'adresses IP,
etc.
liées aux
interfaces d'administration : Les
produits MikroTik fournissent
plusieurs interfaces
d'administration, notamment
l'interface Web, l'interface en
ligne de commande (CLI) et
l'interface API. Les
vulnérabilités courantes liées
aux interfaces d'administration
comprennent l'injection de code
malveillant, l'authentification
insuffisante, la désactivation de
fonctions de sécurité telles que
la vérification de l'intégrité des
paquets, etc.
 Analyse des vulnérabilités
 Vulnérabilités de configuration  Vulnérabilités de gestion des
: Les produits MikroTik sont mises à jour : Les produits
configurables pour répondre MikroTik reçoivent
aux besoins spécifiques des régulièrement des mises à jour
utilisateurs. Les vulnérabilités de sécurité pour corriger les
courantes liées à la vulnérabilités connues. Les
configuration comprennent vulnérabilités courantes liées à
l'activation de fonctionnalités la gestion des mises à jour
de sécurité désactivées par comprennent le manque de
défaut, la configuration suivi des mises à jour de
incorrecte de la politique de sécurité, l'application
sécurité, l'activation de incorrecte des correctifs, la
protocoles de réseau non désactivation des mises à jour
sécurisés, etc. automatiques, etc.
 Analyse des fonctionnalités de sécurité
 Pare-feu : Les produits
MikroTik intègrent un pare-
feu puissant qui permet aux
utilisateurs de définir des
règles de filtrage pour
bloquer le trafic malveillant
et limiter l'accès à certains
services. Les utilisateurs
peuvent également
configurer le pare-feu pour
surveiller le trafic réseau et
détecter les activités
suspectes.
 VPN : Les produits MikroTik
prennent en charge les
protocoles VPN tels que
OpenVPN, IPSec, L2TP,
PPTP, etc. Les utilisateurs
peuvent configurer un VPN
pour établir une connexion
sécurisée entre deux sites
distants ou pour permettre
l'accès à distance aux
ressources de l'entreprise.
 Authentification : Les
produits MikroTik prennent
en charge plusieurs
méthodes d'authentification,
notamment le protocole
RADIUS, le serveur LDAP, la
base de données locale,
etc. Les utilisateurs peuvent
configurer l'authentification
pour garantir que seuls les
utilisateurs autorisés
peuvent accéder aux
équipements de réseau et
aux ressources du réseau.
 Analyse des fonctionnalités de sécurité
 Chiffrement : Les produits
MikroTik prennent en charge
plusieurs algorithmes de
chiffrement, notamment AES, DES,
3DES, etc. Les utilisateurs peuvent
configurer le chiffrement pour
protéger les données sensibles
transitant sur le réseau.
 Gestion des certificats : Les
produits MikroTik permettent aux
utilisateurs de configurer et de
gérer des certificats numériques
pour sécuriser les communications
réseau, notamment pour les
connexions VPN et SSL.
 Détection et prévention  Journalisation et audit : Les
d'intrusion : Les produits produits MikroTik intègrent
MikroTik intègrent un un système de journalisation
système de détection et et d'audit qui permet aux
prévention d'intrusion utilisateurs de suivre les
(IDS/IPS) qui permet aux activités réseau et de
utilisateurs de surveiller le détecter les incidents de
trafic réseau pour détecter sécurité. Les utilisateurs
les activités malveillantes et peuvent configurer la
les attaques connues. Les journalisation pour
utilisateurs peuvent enregistrer les événements
également configurer de sécurité pertinents et
l'IDS/IPS pour bloquer analyser les journaux pour
automatiquement les détecter les anomalies.
attaques détectées.
 Évaluation de la conformité aux normes de sécurité
 Norme ISO 27001 : La  Norme PCI DSS : La norme PCI
norme ISO 27001 est DSS est une norme de sécurité
un cadre international des données de paiement. Elle
de sécurité de définit les exigences pour la
l'information. Elle protection des données de
définit les exigences paiement des consommateurs.
pour la mise en place,
la mise en œuvre, la
maintenance et
 Norme HIPAA : La norme
l'amélioration continue
HIPAA est une norme de
d'un système de gestion
sécurité de l'information pour
de la sécurité de
les données médicales. Elle
l'information (SMSI).
définit les exigences pour la
protection des données de
santé des patients.
 Norme FIPS : La norme FIPS est
un ensemble de normes de
sécurité informatique définies
par le gouvernement
américain. Elle définit les
exigences pour la protection
des informations sensibles.
 Norme CIS : La norme CIS est
un ensemble de bonnes
pratiques en matière de
sécurité informatique. Elle
définit les exigences pour la
mise en place de
configurations sécurisées pour
les systèmes informatiques.
 Cas pratique TP2
Gestion des utilisateurs

Pour gérer l'accès des utilisateurs à votre routeur Mikrotik, vous pouvez
suivre les étapes suivantes :
 Créez un compte utilisateur : Connectez-vous à votre routeur
Mikrotik et allez dans le menu "System" > "Users". Cliquez sur le
bouton "Add" pour créer un nouvel utilisateur. Saisissez un nom
d'utilisateur et un mot de passe pour le nouvel utilisateur.
 Définissez les autorisations : Après avoir créé le compte utilisateur,
vous pouvez définir les autorisations pour l'utilisateur en accédant à
l'onglet "Groups" dans la même fenêtre. Vous pouvez créer un
nouveau groupe ou ajouter l'utilisateur à un groupe existant. Ensuite,
vous pouvez définir les autorisations pour le groupe, telles que la
lecture ou l'écriture de certains paramètres du routeur.
 Gestion des utilisateurs
 Configurez l'authentification : Pour configurer l'authentification, allez dans le menu
"IP" > "Hotspot". Activez le service hotspot en cliquant sur "Hotspot Setup" et en
suivant les instructions pour définir les paramètres de votre hotspot. Vous pouvez
définir des règles d'accès pour les utilisateurs, telles que la durée de validité de la
connexion et les limites de bande passante.
 Ajoutez des utilisateurs à l'authentification : Allez dans l'onglet "Users" dans la
fenêtre hotspot pour ajouter des utilisateurs à l'authentification. Vous pouvez créer
un utilisateur individuel ou importer une liste d'utilisateurs à partir d'un fichier CSV.
Pour chaque utilisateur, vous pouvez définir un nom d'utilisateur, un mot de passe et
les autorisations d'accès.
 Une fois que vous avez configuré l'authentification, les utilisateurs doivent saisir leur
nom d'utilisateur et leur mot de passe pour accéder au réseau. Vous pouvez
également surveiller les connexions des utilisateurs et leur activité en accédant à
l'onglet "Active" dans la fenêtre hotspot.
 Configuration de la QoS
 Créer une file d'attente (queue) :
 Dans l'interface du routeur, allez dans l'onglet "Queue" et cliquez sur
"Add". Sélectionnez "pcq-upload-default" dans le champ "Type" pour
spécifier le type de file d'attente que vous souhaitez créer. Dans le
champ "Name", donnez un nom significatif à votre file d'attente, par
exemple "QoS-video". Vous pouvez également configurer d'autres
paramètres, tels que la vitesse maximale de la file d'attente et la
priorité.
 Créer une règle pour le trafic vidéo :
 Dans l'interface du routeur, allez dans l'onglet "Firewall" et cliquez sur
"Add". Dans la fenêtre qui s'ouvre, configurez les paramètres suivants :
• Action : "accept«
• Chain : "forward«
• Protocol : "udp«
• Dst. Port : "9000-9999" (ou tout autre port utilisé pour les appels
vidéo)
• In. Interface : "ether1" (ou l'interface à laquelle les appels vidéo sont
 Configuration de la QoS
 Appliquer la file d'attente à la règle de trafic vidéo :
 Dans l'onglet "Queue", cliquez sur la file d'attente que vous avez créée à
l'étape 1 ("QoS-video" dans cet exemple) pour l'éditer. Dans la fenêtre qui
s'ouvre, allez dans l'onglet "Advanced" et ajoutez une nouvelle règle en cliquant
sur "Add new rule". Configurez les paramètres suivants :
 Target Address List : "dst-address" (pour appliquer la file d'attente au trafic en
direction de l'adresse IP de destination)
 Address List : "192.168.1.0/24" (ou tout autre plage d'adresses IP utilisée pour
les appels vidéo)
 Packet Mark : "QoS-video" (pour marquer le trafic vidéo avec un marqueur
spécifique qui sera utilisé pour l'appliquer à la file d'attente)
 Vérifier la configuration de la QoS :
 Dans l'onglet "Queue", vous pouvez vérifier que la file d'attente "QoS-video"
est active et qu'elle traite bien le trafic vidéo en fonction des paramètres que
vous avez configurés.
Configuration de la QoS
 Configuration d’un VPN
 Connectez-vous à l'interface graphique du routeur
Mikrotik en utilisant un navigateur Web et en
accédant à l'adresse IP de votre routeur.
 Cliquez sur l'onglet "IP" dans la barre de
navigation latérale, puis sur l'onglet "IPsec".
 Cliquez sur le bouton "Proposals" pour configurer
les paramètres de proposition IPsec. Dans cet
onglet, vous pouvez spécifier les algorithmes de
chiffrement, les modes de chiffrement et les
méthodes d'authentification pour votre connexion
VPN.
 Cliquez sur l'onglet "Peers" pour ajouter un nouveau
peer. Dans cette section, vous pouvez spécifier les
paramètres pour votre connexion VPN, y compris
l'adresse IP distante, les algorithmes de chiffrement,
la méthode d'authentification, les pré-partagés et
d'autres paramètres de configuration.
 Configuration d’un VPN
 Cliquez sur l'onglet "Policies" pour configurer les
politiques de sécurité pour votre connexion VPN. Dans
cette section, vous pouvez spécifier les adresses IP
source et de destination pour lesquelles vous souhaitez
appliquer votre politique de sécurité.
 Cliquez sur le bouton "Interface" dans la barre de
navigation latérale, puis sur l'onglet "VPN". Dans cette
section, vous pouvez créer une nouvelle interface VPN et
spécifier les paramètres pour votre connexion VPN.
 Dans la section "General", spécifiez un nom pour votre
interface VPN et sélectionnez le type de VPN que vous
souhaitez configurer, comme "IPsec".
 Dans la section "IPsec", sélectionnez le peer VPN que
vous avez créé dans l'étape 4, ainsi que la politique de
sécurité que vous avez créée dans l'étape 5.
 Cliquez sur le bouton "Apply" pour enregistrer votre
configuration VPN.
 Conclusion

Les technologies MikroTik sont considérées comme sûres et

fiables en termes de sécurité, grâce à un large éventail de
fonctionnalités de sécurité, des correctifs réguliers et une
conformité à plusieurs normes de sécurité de l'information.
Cependant, la sécurité dépend également des pratiques de
l'utilisateur, telles que la configuration appropriée et les
politiques de sécurité solides. Les utilisateurs peuvent être
assurés que les produits MikroTik offrent une sécurité adéquate
pour répondre à leurs besoins de sécurité informatique.