La sécurité parfaite n'existe pas. Avec suffisamment de connaissances, de ressources et de temps, tout système peut être compromis. Le mieux que vous puissiez faire est de rendre la tâche aussi difficile que possible pour un attaquant. Cela dit, vous pouvez prendre des mesures pour renforcer votre réseau contre la grande majorité des attaques.
Les configurations par défaut de ce que j'appelle des routeurs grand public offrent une sécurité assez basique. Pour être honnête, il ne faut pas grand chose pour les compromettre. Lorsque j'installe un nouveau routeur (ou réinitialise un existant), j'utilise rarement les «assistants de configuration». Je passe et configure tout exactement comme je le veux. À moins qu'il y ait une bonne raison, d'habitude je ne le laisse pas par défaut.
Je ne peux pas vous dire les paramètres exacts que vous devez modifier. La page d'administration de chaque routeur est différente. même routeur du même fabricant. En fonction du routeur spécifique, il est possible que certains paramètres ne puissent pas être modifiés. Pour bon nombre de ces paramètres, vous devrez accéder à la section de configuration avancée de la page d'administration.
Conseil : vous pouvez utiliser l'application Android RouterCheck pour tester la sécurité de votre routeur.
J'ai inclus des captures d'écran d'un Asus RT-AC66U. Il est dans l'état par défaut.
Mettez à jour votre firmware. La plupart des gens mettent à jour le micrologiciel lorsqu'ils installent le routeur pour la première fois, puis le laissent seuls. Des recherches récentes ont montré que 80% des 25 modèles de routeurs sans fil les plus vendus présentaient des vulnérabilités en matière de sécurité. Les fabricants concernés sont: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet, etc. La plupart des fabricants publient un micrologiciel mis à jour lorsque des vulnérabilités sont révélées. Définissez un rappel dans Outlook ou le système de messagerie que vous utilisez. Je recommande de vérifier les mises à jour tous les 3 mois. Je sais que cela sonne comme une évidence, mais n'installez que des micrologiciels à partir du site Web du fabricant.
En outre, désactivez la capacité du routeur à rechercher automatiquement les mises à jour. Je ne suis pas partisan de laisser les appareils «téléphoner à la maison». Vous n'avez aucun contrôle sur la date d'envoi. Par exemple, saviez-vous que plusieurs soi-disant «téléviseurs intelligents» renvoient des informations à leur fabricant? Ils envoient toutes vos habitudes de visionnage chaque fois que vous changez de chaîne. Si vous y connectez un lecteur USB, ils envoient une liste de tous les noms de fichiers du lecteur. Ces données ne sont pas cryptées et sont envoyées même si le paramètre de menu est défini sur NO.
Désactiver l'administration à distance. Je comprends que certaines personnes doivent pouvoir reconfigurer leur réseau à distance. Si vous devez le faire, activez au moins l’accès https et modifiez le port par défaut. Notez que cela inclut tout type de gestion "en nuage", telle que le compte Smart WiFi de Linksys et AiCloud d'Asus.
Utilisez un mot de passe fort pour l'administrateur du routeur. Assez dit. Les mots de passe par défaut des routeurs sont de notoriété publique et vous ne voulez pas que quiconque essaie simplement un passe par défaut et se connecte au routeur.
Activer HTTPS pour toutes les connexions administratives. Ceci est désactivé par défaut sur de nombreux routeurs.
Restreindre le trafic entrant. Je sais que c'est du bon sens, mais parfois, les gens ne comprennent pas les conséquences de certains paramètres. Si vous devez utiliser le transfert de port, soyez très sélectif. Si possible, utilisez un port non standard pour le service que vous configurez. Il existe également des paramètres pour filtrer le trafic Internet anonyme (oui) et pour la réponse ping (non).
Utilisez le cryptage WPA2 pour le WiFi. Ne jamais utiliser WEP. Il peut être cassé en quelques minutes avec un logiciel disponible gratuitement sur Internet. WPA n'est pas beaucoup mieux.
Désactivez WPS (WiFi Protected Setup) . Je comprends la commodité d’utiliser WPS, mais c’était une mauvaise idée de commencer.
Restreindre le trafic sortant. Comme mentionné ci-dessus, je n'aime normalement pas les appareils qui téléphonent chez eux. Si vous disposez de ces types de périphériques, envisagez de bloquer tout le trafic Internet provenant d'eux.
Désactivez les services réseau inutilisés, en particulier le protocole uPnP. Il existe une vulnérabilité largement connue lors de l’utilisation du service uPnP. Autres services probablement inutiles: Telnet, FTP, SMB (Samba / partage de fichiers), TFTP, IPv6
Déconnectez-vous de la page d'administration lorsque vous avez terminé . Fermer simplement la page Web sans se déconnecter peut laisser une session authentifiée ouverte dans le routeur.
Recherchez la vulnérabilité du port 32764 . À ma connaissance, certains routeurs produits par Linksys (Cisco), Netgear et Diamond sont concernés, mais il en existe peut-être d'autres. Un micrologiciel plus récent a été publié, mais il est possible que le système ne soit pas entièrement corrigé.
Vérifiez votre routeur à l'adresse: http://www.grc.com/x/portprobe=32764.
Activer la journalisation . Rechercher des activités suspectes dans vos journaux sur une base régulière. La plupart des routeurs ont la capacité de vous envoyer les journaux par courrier électronique à des intervalles définis. Assurez-vous également que l'horloge et le fuseau horaire sont correctement définis pour que vos journaux soient exacts.
Pour ceux qui sont vraiment conscients de la sécurité (ou peut-être simplement paranoïaques), voici quelques étapes supplémentaires à prendre en compte
Changer le nom d'utilisateur admin . Tout le monde sait que la valeur par défaut est généralement admin.
Configurez un réseau 'invité' . De nombreux routeurs récents sont capables de créer des réseaux d'invité sans fil distincts. Assurez-vous qu’il n’a accès qu’à Internet et pas à votre réseau local (intranet). Bien sûr, utilisez la même méthode de cryptage (WPA2-Personal) avec une phrase secrète différente.
Ne connectez pas de stockage USB à votre routeur . Cela active automatiquement de nombreux services sur votre routeur et peut exposer le contenu de ce lecteur à Internet.
Utilisez un autre fournisseur DNS . Il est probable que vous utilisiez les paramètres DNS fournis par votre fournisseur d'accès. Le DNS est devenu de plus en plus une cible pour les attaques. Certains fournisseurs DNS ont pris des mesures supplémentaires pour sécuriser leurs serveurs. En prime, un autre fournisseur DNS peut augmenter vos performances Internet.
Modifiez la plage d'adresses IP par défaut sur votre réseau LAN (intérieur) . Chaque routeur grand public que j'ai vu utilise 192.168.1.x ou 192.168.0.x, ce qui facilite la création de scripts pour une attaque automatisée.
Les gammes disponibles sont:
Tout 10.xxx
Toute 192.168.xx
172.16.xx à 172.31.xx
Changer l'adresse de réseau local par défaut du routeur . Si quelqu'un accède à votre réseau local, il sait que l'adresse IP du routeur est xxx1 ou xxx254; ne leur facilitez pas la tâche.
Désactiver ou restreindre DHCP . La désactivation de DHCP n’est généralement pas pratique, sauf si vous vous trouvez dans un environnement réseau très statique. Je préfère limiter DHCP à 10-20 adresses IP à partir de xxx101; Cela facilite le suivi de ce qui se passe sur votre réseau. Je préfère mettre mes périphériques «permanents» (ordinateurs de bureau, imprimantes, NAS, etc.) sur des adresses IP statiques. Ainsi, seuls les ordinateurs portables, les tablettes, les téléphones et les invités utilisent le protocole DHCP.
Désactiver l'accès administrateur depuis le sans fil . Cette fonctionnalité n'est pas disponible sur tous les routeurs domestiques.
Désactiver la diffusion SSID . Ce n’est pas difficile à surmonter pour un professionnel et peut rendre difficile l’autorisation des visiteurs sur votre réseau WiFi.
Utilisez le filtrage MAC . Comme ci-dessus; gênant pour les visiteurs.
Certains de ces éléments entrent dans la catégorie «Sécurité par obscurité» et de nombreux professionnels de l'informatique et de la sécurité se moquent d'eux, affirmant qu'il ne s'agit pas de mesures de sécurité. D'une certaine manière, ils ont absolument raison. Cependant, si vous pouvez prendre certaines mesures pour rendre plus difficile la compromission de votre réseau, je pense que cela vaut la peine d'être envisagé.
Une bonne sécurité ne consiste pas à «régler et à oublier». Nous avons tous entendu parler des nombreuses violations de la sécurité dans certaines des plus grandes entreprises. Pour moi, ce qui est vraiment irritant, c’est que lorsque vous êtes ici, ils ont été compromis pendant 3, 6, 12 mois ou plus avant la découverte.
Prenez le temps de parcourir vos journaux. Analysez votre réseau à la recherche de connexions et de périphériques inattendus.
Vous trouverez ci-dessous une référence faisant autorité:
- US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf
