RouterOS

en solution VPN
Philippe ROBERT

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

Orateur
Philippe ROBERT p.robert@engitech.ch

MCTNA . MTCRE . MTCTCE . MTCUME . MTCWE . MTCINE

certifi comme formateur MikroTik depuis 2013
(Microsoft VMware Citrix certifications)

ENGITECH S.A. , Genve Suisse

consulting, formation et distribution des produits MikroTik,

gestion serveurs, datacenter, rseau wifi, voip .

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

Projets
Support infra rseau:
ISP WISP VPN
Installations:

WIFI VPN

LTE
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

VPN ?

2 principaux types:
Site Site: GRE IPIP EOIP
PPP: PPTP L2TP OPENVPN SSTP PPPoE
Sans oublier: MPLS , VPLS , IPSEC , CAPSMAN .

RouterOS a vraiment de multiples possibilits

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

EOIP

Implmentation Propritaire de MikroTik

Contrairement GRE peut tre mis en Bridge
Any IP network

(LAN, WAN, Internet)

Bridge
Local network
192.168.0.1/24 - 192.168.0.100/24

Bridge
Local network
192.168.0.101/24 - 192.168.0.255/24

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

EOIP
Fiable et performant, existe aussi en IPv6
IPv6 est disponible aussi pour GRE et IPIP
Et la scurit ?
-> IPSEC

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

IPSEC
Depuis la version 6.30
-> entrez la clef partage - 1 clic et IPSEC est
activ
Liaison chiffre IPSEC en moins de 2min.
RouterOS cr dynamiquement les rgles IPSEC
Difficile de faire plus facile
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

IPSEC - CONFIG

Clef partage

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

IPSEC Rgles dynamiques

Cr par simple
Ajout de la clef
IPSEC

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

IPSEC pour tous

Identique pour:

EOIP
GRE
IPIP
Et aussi leurs versions IPv6

ainsi que pour L2TP / IPSEC

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

10

IPSEC - Performance

RB2011= 20mb/s
CCR1036 = 1500mb/s (mtu 1500)
Chiffrement Matriel:
RB1100AHX2
RB850GX2
Tous les CCR
En v7: RB3011
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

11

PPP

PPtP: utiliser uniquement pour sa compatibilit

SSTP: pratique pour la connection des clients Windows
L2TP: la seule implmentation actuelle de MikroTik sur
UDP

OpenVPN: scure et fiable, actuellement en TCP

> v7 proposera lUDP
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

12

LTE
Wireless Antenna
LTE antenna
60mbs down
30mbps up

Remplacement
de ligne ADSL

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

13

LTE

Utilisation de L2TP pour connexion point central

haute vitesse:
- Fournir des services (adresse IP public)
- Limit effet de QOS du service provider
Utilisation de RB953G
Puissance CPU et connectivit -

Modem LTE:
HUAWEI 909S
WIRELESS INSTRUMENTS D15G2
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

14

PPP Vpn clients

La majorit des installations ralises servent

connecter des utilisateurs distants linfrastructure
rseau de leur entreprise

Gestion des utilisateurs:

PPP Secrets -> propre chaque routeur
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

15

RADIUS

Authentification centralise, redondance et liaison

avec dautres bases utilisateurs (ex.: Active Directory)
Notamment: FreeRADIUS, TekRADIUS,

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

16

RADIUS CONFIG
2 tapes:

Ajouter serveur radius

Configurer PPP pour

lutilisation du radius

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

17

Authentification

La majorit des solutions PPP

sappuient sur une combinaison
Utilisateur / Mot de passe

Une combinaison unique et toujours identique

Le rve des keylogger.

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

18

Keylogger logiciel ou matriel

Malware mais aussi espions matriels
peuvent exister

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

19

Scurit

Authentification 2 facteurs
Plusieurs exemples:
- Liste biffer

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

20

TOTP

Lalgorithme change le mot de passe toutes les 30s

Serveur

Utilisateur

0382

754812

avantage:
pas de resynchronisation manuelle
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

21

Parade?
Solutions propritaires
OU
difficiles implmenter

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

22

Rellement scure ?
SecurID

NSA BACKDOOR

https://en.wikipedia.org/wiki/RSA_Security#Relationship_with_NSA

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

23

Solution ?
Je rve dune banque solution qui soit:
-

Scure . rellement
Facile mettre en place
Dun cot abordable
Sans OGM ... Sans NSA
Et pourquoi pas une solution OpenSource ?

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

24

Rve Ralit!
Partie serveur:
<< multiOTP >> www.multiotp.net
Solution OpenSource qui sinterface avec FreeRADIUS et
TekRADIUS pour une authentification 2 facteurs
Partie cliente:
Chaque Smartphone inclus un client TOTP
Android: FreeOTP ; Windows: Authenticator
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

25

multiOTP

Certifi OATH:
une authentification forte universelle
https://openauthentication.org/oath-certified-products/

Interoprabilit des produits

- Token matriel, logiciel multiplateforme

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

26

Installation multiOTP

Configuration minime si vous utilisez dj FreeRADIUS ou

TekRADIUS
Et si ce nest pas le cas:
- Images VMware ou pour Raspberry PI disponible!
dj prconfigures avec une interface web ddie
En quelques minutes seulement vous avez amlior la
scurit de vos accs distants
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

27

Exemple FreeRADIUS

http://wiki.freeradius.org/guide/multiOTP-HOWTO

# Exec module instance for multiOTP

# Replace '/path/to' with the actual path to the multiotp.php file
exec multiotp {
wait = yes
input_pairs = request
output_pairs = reply
program = "/path/to/multiotp.php %{User-Name} %{User-Password} request-nt-key -src=%{Packet-Src-IP-Address} -chap-challenge=%{CHAPChallenge} -chap-password=%{CHAP-Password} -ms-chap-challenge=%{MSCHAP-Challenge} -ms-chap-response=%{MS-CHAP-Response} -ms-chap2response=%{MS-CHAP2-Response}"
shell_escape = yes
}
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

28

Exemple TekRADIUS

Dans le monde windows, multiOTP est fourni sous la

forme dun executable: multiotp.exe
Utilisation dans des scripts sans aucun soucis

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

29

Interface multiOTP
Page web cration utilisateur:
Gnration du QR code
pour client Smartphone:

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

30

Dmo
Cration dun utilisateur et connection vpn SSTP

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

31

Cot Licences

Les licences P1 (45$) P10 (95$) PU (250$) nont pas de

limitation sur le nombre de connection VPN

Level

4
(45$)

200

200

200

200

5
(95$)

6
(250$)

500

illimit

EoIP - GRE

24h

1 illimit illimit illimit illimit

PPTP SSTP
L2TP

24h

PPPoE
OVPN

24h
24h

200

200

500

illimit

illimit illimit

MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

32

Conclusion

MikroTik a ralis une configuration aise du

chiffrement IPSEC pour de nombreux protocoles
Grce ses multiples possibilits, rpond aux
diffrents besoins
RouterOS li un serveur RADIUS permet une gestion
centralise et redondante des utilisateurs distants
En ajoutant multiOTP cette configuration, on
obtient un ensemble fiable, scure, facile mettre en
place et un cot dfiant toute concurrence
Philippe ROBERT - p.robert@engitech.ch
MUM Paris 2016 Engitech S.A. - Philippe ROBERT - p.robert@engitech.ch

33