Obtenez un accès complet à toutes nos leçons dès maintenant. Start $1 Trial

Déploiement de la sécurité MikroTik RouterOS

Après les deux premiers chapitres, nous avons maintenant une idée claire de la sécurité et des menaces auxquelles nous pouvons être confrontés. Dans ce chapitre, nous devrons déterminer quel est le meilleur déploiement du routeur MikroTik Firewall dans notre réseau, et où nous devrions déployer le dispositif MikroTik RouterOS qui agit comme un dispositif de sécurité pour nous protéger contre les différentes menaces de sécurité.

 

MikroTik en tant que Routeur Pare-feu Global

 

Au cas où vous ne le sauriez pas, MikroTik RouterOS dispose d’un module pare-feu très décent, ce qui signifie que nous pouvons configurer le routeur pour qu’il devienne une appliance pare-feu protégeant notre réseau contre les différentes menaces de cybersécurité.

Bien sûr, dans ce livre, je parlerai et expliquerai toutes les différentes règles de pare-feu que nous pouvons créer sur le routeur MikroTik RouterOS pour être en mesure d’arrêter les attaques, mais avant cela, nous devons savoir où nous devons placer le routeur MikroTik RouterOS dans notre réseau pour que cette protection fonctionne.

 

La première possibilité est d’utiliser le routeur MikroTik comme routeur Global Firewall :

Vous vous demandez peut-être maintenant ce que ce routeur MikroTik va faire. Ma réponse est : tout 😊.

Ce routeur fournira l’internet en interne, fera éventuellement des VLANs pour chaque département, fera du routage, éventuellement du QOS en utilisant la file d’attente, et surtout sera un dispositif de pare-feu protégeant le réseau sur les 3 différents départements qui sont :

  • Centre de données
  • Bureau
  • Invité

Si nous examinons les avantages et les inconvénients d’une telle installation, nous pouvons conclure ce qui suit :

 

Avantages :

  • Topologie très simple
  • Très facile à gérer puisqu’il s’agit d’un seul appareil qui fait tout.
  • Solution plus économique car il suffit d’acheter un seul appareil MikroTik pour effectuer toutes ces tâches.

Inconvénients :

  • Point de défaillance unique. Ainsi, si ce routeur tombe en panne, c’est tout le réseau qui est touché.
  • Comme le routeur MikroTik fait tout comme le routage, la commutation, la mise en file d’attente, le pare-feu, etc., le routeur consommera beaucoup de ses ressources (CPU et mémoire), ce qui l’empêchera de servir un grand nombre de dispositifs internes de manière efficace.

 

La question qui se pose alors est la suivante : est-ce la meilleure solution pour protéger notre réseau ? La réponse n’est pas vraiment, mais cela dépend encore une fois de la taille de votre réseau et de votre budget. Si vous avez un grand réseau à protéger et que vous disposez d’un budget plus important, nous vous conseillons de vous reporter à la conception d’un pare-feu réseau présentée dans le point suivant.

 

MikroTik en tant que Routeur Firewall Spécifique

 

Dans le point précédent, nous avons vu que le fait d’avoir un routeur MikroTik en tant que Global Router Firewall a quelques inconvénients importants et je vous les ai expliqués clairement. Pour combler cette lacune, j’aimerais vous présenter le deuxième modèle, qui consiste à utiliser le routeur MikroTik comme un routeur pare-feu spécifique :

Vous pouvez voir que nous déployons maintenant pour chaque département un routeur pare-feu MikroTik, qui soulage le routeur MikroTik principal, lequel est également doté d’un pare-feu interne afin d’être protégé. Cette conception est idéale si (encore une fois) vous disposez du budget nécessaire pour avoir plusieurs routeurs MikroTik faisant office de routeur pare-feu que vous pouvez déployer pour chaque département.

 

Voyons quels sont les avantages et les inconvénients de cette conception :

 

Avantages :

  • Il y aura moins de consommation de ressources sur chacun des routeurs car la charge sera répartie entre eux.
  • Chaque routeur de pare-feu dans chaque département se concentrera sur un pare-feu de sécurité spécifique pour chaque réseau. En d’autres termes, le routeur MikroTik Firewall du centre de données peut avoir des règles de pare-feu différentes de celles du routeur MikroTik Firewall du bureau.
  • Vous disposez de plusieurs couches de défense car vous avez installé plus d’un routeur MikroTik Firewall ; votre réseau est donc mieux protégé.

 

Inconvénients :

  • Comme nous disposons d’un routeur Firewall MikroTik sur chaque segment de réseau, il se peut que nous ayons besoin d’un traitement de pare-feu différent pour chaque département, ce qui oblige l’ingénieur en sécurité à effectuer un travail beaucoup plus important pour concevoir les règles de pare-feu pour chaque segment de réseau, en fonction des besoins de chaque département.
  • L’ingénieur en sécurité doit configurer le pare-feu différemment sur chaque routeur.
  • Il peut arriver que vous deviez configurer deux règles de pare-feu sur deux autres routeurs.

 

MikroTik en tant que Système de Prévention des Intrusions (IPS)

 

Nous pouvons également utiliser le routeur MikroTik comme système de prévention des intrusions (IPS).

J’ai déjà expliqué dans le chapitre précédent ce qu’est un IPS. Pour rappel, un IPS est un dispositif capable de détecter un trafic ou un comportement anormal sur le réseau et de prendre des mesures pour l’arrêter. Cette action est normalement basée sur un type de base de données que le routeur connaît ou sur des limitations de trafic que nous créerons dans nos règles de filtrage.

Par exemple, supposons que nous ayons configuré le routeur MikroTik avec une règle de pare-feu qui, s’il reçoit plus de 10 paquets ICMP (tels que ping) par seconde, considère qu’il s’agit d’un type d’attaque et supprime directement l’IP source émettrice de ce flot de ping. Dans ce cas, lorsque le routeur MikroTik détecte plus de 10 paquets ICMP par seconde, il interrompt automatiquement le trafic provenant de cette source.

 

Pour faire du routeur MikroTik un dispositif IPS, il est toujours recommandé de le placer aussi près que possible de la connexion internet afin qu’il puisse bloquer le trafic anormal avant qu’il n’entre dans notre réseau.

Voyons quels sont les avantages et les inconvénients de ce modèle.

 

Avantages :

  • Comme le dispositif IPS MikroTik se charge d’éliminer le trafic anormal, le deuxième routeur, qui est connecté aux trois départements différents, n’a pas besoin de règles de filtrage de pare-feu, car il dépend de l’IPS qui se trouve derrière lui.

Inconvénients :

  • Le dispositif MikroTik IPS doit être doté de ressources importantes car il doit analyser tout le trafic entrant. Vous devez donc investir en achetant un dispositif MikroTik plus coûteux, doté d’un processeur à plusieurs cœurs et d’une mémoire importante.

 

MikroTik avec Système de Détection d’intrusion (IDS) comme déclencheur

 

Il s’agit de la dernière conception dont nous allons parler dans ce chapitre. Dans cette conception, le routeur pare-feu MikroTik servira de déclencheur pour créer des règles de pare-feu dès que le dispositif IDS détectera un trafic anormal.

Mais qu’est-ce qu’un système IDS ? Il s’agit d’un système capable de détecter un trafic ou un comportement anormal, mais qui ne prend aucune mesure. Ce qu’il fait, c’est qu’il envoie cette information à un routeur pare-feu, de sorte qu’une règle de pare-feu est créée automatiquement pour arrêter cette attaque. Dans notre cas, le routeur pare-feu MikroTik reçoit le déclencheur du dispositif IDS (principalement via l’API) et crée automatiquement la règle de filtrage pour bloquer cette attaque.

Voyons cela à l’aide d’une illustration :

 

Vous pouvez voir que l’IDS surveille passivement le trafic et, lorsqu’il détecte un type d’attaque, il transmet cette information au routeur pare-feu MikroTik via l’API qui, à son tour, crée automatiquement une règle de filtrage pour bloquer l’attaque.

 

Voyons quels sont les avantages et les inconvénients de cette conception :

 

Avantages :

  • Toutes les règles de pare-feu sont établies automatiquement par API à partir du serveur IDS, de sorte qu’il n’est pas nécessaire, en tant qu’ingénieur en sécurité, de déployer manuellement les règles de filtrage de sécurité.

 

Inconvénients :

  • Nécessité d’un dispositif supplémentaire pour déclencher le mauvais trafic.
  • Nécessité d’un dispositif puissant pour mettre en miroir l’ensemble du trafic entrant/sortant des réseaux.
  • Nécessité d’un script spécial pour envoyer des informations au routeur.
  • C’est une solution coûteuse.

 

C’est tout ce que je voulais expliquer dans ce chapitre, je vous promets que d’ici le prochain chapitre et jusqu’à la fin du livre nous ne ferons rien d’autre que des LABS.

 

A bientôt dans le chapitre suivant 😊

Course Content

3 Commentaires

  2. Anthony FAYAT
    Anthony FAYAT sur avril 2, 2025 à 3:38 pm

    Je pense avoir compris. Il faut un ids en amont, genre Suricata et le connecter ?

  3. Maher
    Maher sur avril 3, 2025 à 10:59 am

    Exactement ! Il te faut un système IDS comme Suricata ou Snort, qui peut analyser le trafic, détecter les menaces ou comportements suspects, puis déclencher une action sur le routeur MikroTik (via API, script ou en utilisant les logs) pour créer automatiquement des règles de filtrage et bloquer l’adresse IP source ou la menace.

    En résumé :
    L’IDS détecte → Envoie une alerte → MikroTik reçoit → MikroTik bloque

Soumettre un commentaire

About