Sécurisez votre routeur sans fil

• Catégorie: Réseau

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Il n’existe pas de sécurité parfaite. Avec suffisamment de connaissances, de ressources et de temps, tout système peut être compromis. Le mieux que vous puissiez faire est de rendre la tâche aussi difficile que possible pour un attaquant. Cela dit, vous pouvez prendre des mesures pour renforcer votre réseau contre la grande majorité des attaques.

Les configurations par défaut de ce que j'appelle des routeurs grand public offrent une sécurité assez basique. Pour être honnête, il n'en faut pas beaucoup pour les compromettre. Lorsque j'installe un nouveau routeur (ou réinitialise un routeur existant), j'utilise rarement les «assistants de configuration». Je passe en revue et configure tout exactement comme je le souhaite. Sauf s'il y a une bonne raison, je ne le laisse généralement pas par défaut.

Je ne peux pas vous dire les paramètres exacts que vous devez modifier. La page d’administration de chaque routeur est différente; même routeur du même fabricant. Selon le routeur spécifique, il se peut que certains paramètres ne puissent pas être modifiés. Pour beaucoup de ces paramètres, vous devrez accéder à la section de configuration avancée de la page d'administration.

Pointe : vous pouvez utiliser le Application Android RouterCheck pour tester la sécurité de votre routeur .

J'ai inclus des captures d'écran d'un Asus RT-AC66U. Il est dans l'état par défaut.

Mettez à jour votre firmware. La plupart des gens mettent à jour le micrologiciel lors de la première installation du routeur, puis le laissent tranquille. Des recherches récentes ont montré que 80% des 25 modèles de routeurs sans fil les plus vendus présentent des failles de sécurité. Les fabricants concernés comprennent: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet et autres. La plupart des fabricants publient un micrologiciel mis à jour lorsque des vulnérabilités sont mises en évidence. Définissez un rappel dans Outlook ou dans le système de messagerie que vous utilisez. Je recommande de vérifier les mises à jour tous les 3 mois. Je sais que cela semble une évidence, mais n’installez que le micrologiciel du site Web du fabricant.

Désactivez également la capacité du routeur à rechercher automatiquement les mises à jour. Je ne suis pas fan de laisser les appareils «téléphoner à la maison». Vous n'avez aucun contrôle sur la date d'envoi. Par exemple, saviez-vous que plusieurs soi-disant «téléviseurs intelligents» renvoient des informations à leur fabricant? Ils envoient toutes vos habitudes de visionnage chaque fois que vous changez de chaîne. Si vous y branchez une clé USB, ils envoient une liste de chaque nom de fichier sur le lecteur. Ces données ne sont pas cryptées et sont envoyées même si le paramètre de menu est défini sur NON.

Désactivez l'administration à distance. Je comprends que certaines personnes doivent pouvoir reconfigurer leur réseau à distance. Si vous devez, au moins activer l'accès https et changer le port par défaut. Notez que cela inclut tout type de gestion basée sur le «cloud», comme le compte Smart WiFi de Linksys et l'AiCloud d'Asus.

Utilisez un mot de passe fort pour l'administrateur du routeur. Assez dit. Mots de passe par défaut pour les routeurs sont de notoriété publique et vous ne voulez pas que quiconque essaie simplement un laissez-passer par défaut et accède au routeur.

Activer HTTPS pour toutes les connexions admin. Ceci est désactivé par défaut sur de nombreux routeurs.

Restreindre le trafic entrant. Je sais que c'est du bon sens, mais parfois les gens ne comprennent pas les conséquences de certains paramètres. Si vous devez utiliser la redirection de port, soyez très sélectif. Si possible, utilisez un port non standard pour le service que vous configurez. Il existe également des paramètres de filtrage du trafic Internet anonyme (oui) et de réponse ping (non).

Utilisez le cryptage WPA2 pour le WiFi. N'utilisez jamais WEP. Il peut être brisé en quelques minutes avec un logiciel disponible gratuitement sur Internet. Le WPA n’est pas beaucoup mieux.

Désactivez WPS (WiFi Protected Setup) . Je comprends la commodité d'utiliser WPS, mais c'était une mauvaise idée de commencer.

Limitez le trafic sortant. Comme mentionné ci-dessus, je n'aime généralement pas les appareils qui téléphonent à la maison. Si vous possédez ces types d'appareils, pensez à bloquer tout le trafic Internet provenant d'eux.

Désactivez les services réseau inutilisés, en particulier uPnP. Il existe une vulnérabilité largement connue lors de l'utilisation du service uPnP. Autres services probablement inutiles: Telnet, FTP, SMB (Samba / partage de fichiers), TFTP, IPv6

Déconnectez-vous de la page d'administration lorsque vous avez terminé . Le simple fait de fermer la page Web sans vous déconnecter peut laisser une session authentifiée ouverte dans le routeur.

Rechercher la vulnérabilité du port 32764 . À ma connaissance, certains routeurs produits par Linksys (Cisco), Netgear et Diamond sont affectés, mais il peut y en avoir d'autres. Un micrologiciel plus récent a été publié, mais il se peut qu'il ne corrige pas complètement le système.

Vérifiez votre routeur sur: https://www.grc.com/x/portprobe=32764

Activer la journalisation . Recherchez régulièrement toute activité suspecte dans vos journaux. La plupart des routeurs ont la capacité de vous envoyer les journaux par courrier électronique à des intervalles définis. Assurez-vous également que l'horloge et le fuseau horaire sont correctement réglés afin que vos journaux soient précis.

Pour les personnes vraiment soucieuses de leur sécurité (ou peut-être simplement paranoïaques), voici des étapes supplémentaires à considérer

Changer le nom d'utilisateur de l'administrateur . Tout le monde sait que la valeur par défaut est généralement admin.

Configurer un réseau 'Invité' . De nombreux routeurs plus récents sont capables de créer des réseaux invités sans fil séparés. Assurez-vous qu'il n'a accès qu'à Internet et non à votre réseau local (intranet). Bien entendu, utilisez la même méthode de cryptage (WPA2-Personal) avec une phrase secrète différente.

Ne connectez pas de stockage USB à votre routeur . Cela active automatiquement de nombreux services sur votre routeur et peut exposer le contenu de ce lecteur à Internet.

Utilisez un autre fournisseur DNS . Il y a de fortes chances que vous utilisiez les paramètres DNS que votre FAI vous a fournis. Le DNS est de plus en plus une cible d'attaques. Certains fournisseurs DNS ont pris des mesures supplémentaires pour sécuriser leurs serveurs. En prime, un autre fournisseur DNS peut augmenter vos performances Internet.

Modifier la plage d'adresses IP par défaut sur votre réseau LAN (interne) . Tous les routeurs grand public que j'ai vus utilisent 192.168.1.x ou 192.168.0.x, ce qui facilite le script d'une attaque automatisée.
Les gammes disponibles sont:
Tout 10.x.x.x
Tout 192.168.x.x
172.16.x.x à 172.31.x.x

Modifier l’adresse LAN par défaut du routeur . Si quelqu'un accède à votre réseau local, il sait que l'adresse IP du routeur est x.x.x.1 ou x.x.x.254; ne leur facilite pas la tâche.

Désactiver ou restreindre DHCP . La désactivation de DHCP n’est généralement pas pratique, sauf si vous vous trouvez dans un environnement réseau très statique. Je préfère limiter DHCP à 10-20 adresses IP à partir de x.x.x.101; cela facilite le suivi de ce qui se passe sur votre réseau. Je préfère mettre mes appareils «permanents» (ordinateurs de bureau, imprimantes, NAS, etc.) sur des adresses IP statiques. De cette façon, seuls les ordinateurs portables, les tablettes, les téléphones et les invités utilisent DHCP.

Désactiver l'accès administrateur à partir du sans fil . Cette fonctionnalité n'est pas disponible sur tous les routeurs domestiques.

Désactiver la diffusion SSID . Ce n'est pas difficile à surmonter pour un professionnel et peut rendre pénible le fait d'autoriser des visiteurs sur votre réseau WiFi.

Utiliser le filtrage MAC . Comme ci-dessus; peu pratique pour les visiteurs.

Certains de ces éléments entrent dans la catégorie de la «sécurité par l'obscurité», et de nombreux professionnels de l'informatique et de la sécurité se moquent d'eux, affirmant qu'il ne s'agit pas de mesures de sécurité. D'une certaine manière, ils sont absolument corrects. Cependant, s'il y a des mesures que vous pouvez prendre pour rendre plus difficile la compromission de votre réseau, je pense que cela vaut la peine d'envisager.

Une bonne sécurité ne consiste pas à «régler et oublier». Nous avons tous entendu parler des nombreuses failles de sécurité dans certaines des plus grandes entreprises. Pour moi, la partie vraiment irritante est quand vous ici, ils ont été compromis pendant 3, 6, 12 mois ou plus avant qu'il ne soit découvert.

Prenez le temps de parcourir vos journaux. Analysez votre réseau à la recherche de périphériques et de connexions inattendus.

Voici une référence faisant autorité:

• US-CERT - https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf