presentation vpn publidownload.multiotp.net/documentation/...et_mikrotik_mum_2016_en… ·...
TRANSCRIPT
![Page 1: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/1.jpg)
RouterOSen solution VPN
Philippe ROBERT
1MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 2: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/2.jpg)
OrateurPhilippe ROBERT – [email protected] . MTCRE . MTCTCE . MTCUME . MTCWE . MTCINE certifié comme formateur MikroTik depuis 2013(Microsoft – VMware – Citrix certifications)
ENGITECH S.A. , Genève – Suisseconsulting, formation et distribution des produits MikroTik,gestion serveurs, datacenter, réseau wifi, voip ….
2MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 3: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/3.jpg)
Projets• Support infra réseau:
ISP – WISP – VPN • Installations:
WIFI – VPN …
• LTE 3MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 4: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/4.jpg)
VPN ?2 principaux types:
Site à Site: GRE – IPIP – EOIP PPP: PPTP – L2TP – OPENVPN – SSTP – PPPoE
Sans oublier: MPLS , VPLS , IPSEC , CAPSMAN ….
RouterOS a vraiment de multiples possibilités4MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 5: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/5.jpg)
EOIPImplémentation Propriétaire de MikroTik
Contrairement à GRE peut être mis en Bridge
5MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Any IP network(LAN, WAN, Internet)
BridgeLocal network192.168.0.101/24 - 192.168.0.255/24Local network192.168.0.1/24 - 192.168.0.100/24
Bridge
![Page 6: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/6.jpg)
EOIPFiable et performant, existe aussi en IPv6
IPv6 est disponible aussi pour GRE et IPIP
Et la sécurité ?-> IPSEC
6MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 7: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/7.jpg)
IPSECDepuis la version 6.30
-> entrez la clef partagée - 1 clic et IPSEC est activé
Liaison chiffrée IPSEC en moins de 2min.RouterOS créé dynamiquement les règles IPSEC
Difficile de faire plus facile
7MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 9: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/9.jpg)
IPSEC – Règles dynamiques
9MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Créé par simpleAjout de la clefIPSEC
![Page 10: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/10.jpg)
IPSEC pour tousIdentique pour:
EOIPGREIPIP
Et aussi leurs versions IPv6
ainsi que pour L2TP / IPSEC10MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 11: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/11.jpg)
IPSEC - PerformanceRB2011= 20mb/s
CCR1036 = 1500mb/s (mtu 1500)Chiffrement Matériel:
RB1100AHX2RB850GX2
Tous les CCR…En v7: RB3011
11MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 12: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/12.jpg)
PPPPPtP: à utiliser uniquement pour sa compatibilité
SSTP: pratique pour la connection des clients Windows
L2TP: la seule implémentation actuelle de MikroTik sur UDP
OpenVPN: sécure et fiable, actuellement en TCP –> v7 proposera l’UDP
12MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 13: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/13.jpg)
LTE
13
Wireless AntennaLTE antenna
60mbs down30mbps upRemplacementde ligne ADSL
MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 14: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/14.jpg)
LTE
14
Utilisation de L2TP pour connexion à point central à haute vitesse:- Fournir des services (adresse IP public)- Limité effet de QOS du service providerUtilisation de RB953G Puissance CPU et connectivité -Modem LTE: HUAWEI 909SWIRELESS INSTRUMENTS D15G2
MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 15: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/15.jpg)
PPP – Vpn clients
15
La majorité des installations réalisées servent à connecter des utilisateurs distants à l’infrastructure réseau de leur entreprise
Gestion des utilisateurs: PPP Secrets -> propre à chaque routeur …MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 16: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/16.jpg)
RADIUSAuthentification centralisée, redondance et liaison avec d’autres bases utilisateurs (ex.: Active Directory)
Notamment: FreeRADIUS, TekRADIUS, …
16MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 17: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/17.jpg)
RADIUS CONFIG2 étapes:
Ajouter serveur radiusConfigurer PPP pour l’utilisation du radius
17MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 18: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/18.jpg)
Authentification…La majorité des solutions PPP
s’appuient sur une combinaisonUtilisateur / Mot de passe
Une combinaison unique … et toujours identiqueLe rêve des keylogger.
18MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 19: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/19.jpg)
Keylogger – logiciel ou matérielMalware mais aussi espions matériels
peuvent exister
19MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 20: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/20.jpg)
SécuritéAuthentification à 2 facteurs
Plusieurs exemples:
- Liste à biffer
20MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 21: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/21.jpg)
TOTPL’algorithme change le mot de passe toutes les 30s
21MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Utilisateur Serveur
0382
754812avantage: pas de resynchronisation manuelle
![Page 22: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/22.jpg)
Parade?
Solutions propriétaires
OU
difficiles à implémenter
22MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
![Page 23: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/23.jpg)
Réellement sécure ?
NSA BACKDOOR
23MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
SecurID
https://en.wikipedia.org/wiki/RSA_Security#Relationship_with_NSA
![Page 24: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/24.jpg)
Solution ?
24MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Je rêve d’une banque solution qui soit:- Sécure …. réellement- Facile à mettre en place- D’un coût abordable- Sans OGM ... Sans NSA - Et pourquoi pas une solution OpenSource ? …
![Page 25: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/25.jpg)
Rêve … Réalité!
25MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Partie serveur:<< multiOTP >> www.multiotp.netSolution OpenSource qui s’interface avec FreeRADIUS et TekRADIUS pour une authentification à 2 facteurs Partie cliente: Chaque Smartphone inclus un client TOTPAndroid: FreeOTP ; Windows: Authenticator …
![Page 26: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/26.jpg)
multiOTP
26MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Certifié OATH:une authentification forte universellehttps://openauthentication.org/oath-certified-products/
Interopérabilité des produits- Token matériel, logiciel multiplateforme
![Page 27: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/27.jpg)
Installation multiOTP
27MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Configuration minime si vous utilisez déjà FreeRADIUS ou TekRADIUSEt si ce n’est pas le cas:- Images VMware ou pour Raspberry PI disponible!déjà préconfigurées avec une interface web dédiée
En quelques minutes seulement vous avez amélioré la sécurité de vos accès distants
![Page 28: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/28.jpg)
Exemple FreeRADIUS
28MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
http://wiki.freeradius.org/guide/multiOTP-HOWTO# Exec module instance for multiOTP# Replace '/path/to' with the actual path to the multiotp.php fileexec multiotp {wait = yesinput_pairs = requestoutput_pairs = replyprogram = "/path/to/multiotp.php %{User-Name} %{User-Password} -request-nt-key -src=%{Packet-Src-IP-Address} -chap-challenge=%{CHAP-Challenge} -chap-password=%{CHAP-Password} -ms-chap-challenge=%{MS-CHAP-Challenge} -ms-chap-response=%{MS-CHAP-Response} -ms-chap2-response=%{MS-CHAP2-Response}"shell_escape = yes}
![Page 29: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/29.jpg)
Exemple TekRADIUS
29MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Dans le monde windows, multiOTP est fourni sous la forme d’un executable: «multiotp.exe»Utilisation dans des scripts sans aucun soucis
![Page 30: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/30.jpg)
Interface multiOTP
30MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Page web création utilisateur: Génération du QR codepour client Smartphone:
![Page 31: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/31.jpg)
Démo
31MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Création d’un utilisateur et connection vpn SSTP
![Page 32: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/32.jpg)
Coût Licences
32MUM Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]
Les licences P1 (45$) – P10 (95$) – PU (250$) n’ont pas de limitation sur le nombre de connection VPNLevel 0 1 3 4 (45$) 5 (95$) 6 (250$)EoIP - GRE 24h 1 illimité illimité illimité illimitéPPPoE 24h 1 200 200 500 illimitéPPTP – SSTPL2TP 24h 1 200 200 500 illimitéOVPN 24h 1 200 200 illimité illimité
![Page 33: Presentation VPN publidownload.multiotp.net/documentation/...et_MikroTik_MUM_2016_En… · (2,3,psopphqwdwlrq 3ursulpwdluh gh 0lnur7ln &rqwudluhphqw j *5( shxw rwuh plv hq %ulgjh](https://reader034.vdocuments.net/reader034/viewer/2022051920/600ce2ae898aad2bdc5132f2/html5/thumbnails/33.jpg)
Conclusion• MikroTik a réalisé une configuration aisée du chiffrement IPSEC pour de nombreux protocoles• Grâce à ses multiples possibilités, répond aux différents besoins • RouterOS lié à un serveur RADIUS permet une gestion centralisée et redondante des utilisateurs distants• En ajoutant multiOTP à cette configuration, on obtient un ensemble fiable, sécure, facile à mettre en place et à un coût défiant toute concurrence
Philippe ROBERT - [email protected] Paris 2016 ©Engitech S.A. - Philippe ROBERT - [email protected]