articles utiles

Les paramètres de sécurité les plus importants à modifier sur votre routeur

Votre routeur est la première ligne de défense contre les pirates informatiques tentant d’accéder à tous les appareils connectés à Internet de votre domicile. Malheureusement, la plupart des meilleurs routeurs Wi-Fi sont faciles à pirater. Vous devriez vous en préoccuper et vous assurer également que votre routeur est configuré correctement.

Nous avons déjà parlé des paramètres de base que vous devriez modifier sur votre routeur, et ces choses sont toujours valables.

Récapituler:

  • Changer le mot de passe administrateur par défaut et le nom d'utilisateur, si possible
  • Modifiez le SSID (ou le nom de votre réseau sans fil) pour que vos appareils n'acceptent pas toujours les connexions à des réseaux portant le même nom (par exemple, "linksys") et pour que vous ne donniez pas davantage d'indices aux hackers sur votre modèle de routeur (par exemple " linksys ")
  • Définissez le mode de sécurité sans fil sur WPA2 et choisissez un bon mot de passe long pour celui-ci.

J'espère que vous avez déjà apporté ces modifications de sécurité. Au-delà de ces éléments de base, vous pouvez toutefois prendre d'autres mesures pour verrouiller la sécurité de votre réseau en ces temps de plus en plus piratés.

Installez DD-WRT ou Tomato si votre routeur le prend en charge

En plus de surcharger votre routeur avec des fonctionnalités supplémentaires, les microprogrammes de routeur à source ouverte DD-WRT et Tomato sont probablement plus sécurisés que le microprogramme d'origine fourni avec votre routeur. DD-WRT et Tomato ont tendance à ne pas être aussi sensibles aux vulnérabilités trouvées dans de nombreux routeurs, telles que le problème toujours populaire de WPS (Wi-Fi Protected Setup). Ils sont également mis à jour plus régulièrement, offrent davantage d'options de sécurité (telles que la journalisation avancée ou le cryptage DNS avec DNSCrypt) et vous donnent davantage de contrôle sur votre matériel. Brian Krebs, expert en sécurité, a déclaré:

La plupart des micrologiciels de routeurs sont assez maladroits et nus, sinon ils incluent des "fonctionnalités" non documentées ou des limitations.

Normalement, lorsqu'il s'agit de mettre à niveau le micrologiciel d'un routeur, j'ai tendance à éloigner les utilisateurs du micrologiciel du fabricant de solutions de rechange à sources ouvertes, telles que DD-WRT ou Tomato. DD-WRT repose depuis longtemps sur le DD-WRT, car il contient toutes les options, sifflets et options que vous pourriez souhaiter dans un micrologiciel de routeur, mais il maintient généralement ces fonctions désactivées par défaut, à moins que vous ne les activiez.

Vérifiez les pages de périphériques pris en charge pour DD-WRT et Tomato pour voir si elles fonctionneront pour vous. Tomato est plus convivial, mais le DD-WRT regorge de paramètres.

Mettre à jour votre firmware régulièrement

Que vous utilisiez le micrologiciel standard ou tiers, il est important de garder votre micrologiciel à jour, car de nouvelles vulnérabilités sont découvertes à tout moment (comme le bogue Linksys qui donnait aux utilisateurs distants l'accès à la console d'administration sans avoir à connectez-vous ou la porte dérobée intégrée à quelques routeurs populaires).

Les étapes réelles de mise à jour du micrologiciel peuvent varier d’un routeur à l’autre, mais la plupart vous permettront de rechercher un nouveau micrologiciel à partir du panneau de commande du routeur. Dans votre navigateur, entrez l'adresse IP de votre routeur, connectez-vous, puis consultez la section Paramètres avancés ou Administration. Vous pouvez également consulter le site Web de support du fabricant de votre routeur pour savoir si un nouveau micrologiciel est disponible.

Certains routeurs offrent également la possibilité de mettre automatiquement à jour le micrologiciel le plus récent, mais vous préférerez peut-être vérifier ce que les mises à jour proposent et installer manuellement.

Désactiver l'administration à distance

Sur de nombreux routeurs, cette option est déjà désactivée par défaut, mais, au cas où, vérifiez que l'administration à distance (également appelée gestion à distance ou activer l'accès Web à partir d'un réseau étendu) est désactivée. L'administration à distance donne accès au panneau de commande de votre routeur depuis l'extérieur de votre réseau domestique. Vous pouvez ainsi voir pourquoi cela pose problème. Encore une fois, ce paramètre est probablement sous votre section avancée ou administration.

Désactiver UPnP

UPnP, ou Universal Plug and Play, est conçu pour faciliter la découverte des périphériques réseau par le routeur. Malheureusement, ce protocole est également criblé de failles de sécurité sérieuses, de bogues et de mauvaises implémentations de l'UPnP affectant des millions de périphériques connectés en ligne. Le plus gros problème est que l'UPnP ne dispose d'aucune sorte d'authentification (chaque périphérique et utilisateur est considéré comme digne de confiance). How-To Geek explique certains des problèmes liés à UPnP s'il est activé sur votre routeur, notamment la possibilité que des applications malveillantes redirigent le trafic vers différentes adresses IP en dehors du réseau local.

Le test UPnP de GRC peut vous indiquer si vos appareils ne sont pas sécurisés et exposés à l'internet public. Dans ce cas, vous devez les déconnecter. (Remarque: cliquez sur le ruban rouge en haut à droite de la page pour exécuter le test réel; la page sur laquelle vous accédez via ce lien n'est qu'un exemple.)

Pour désactiver le protocole UPnP sur votre routeur, accédez à la console de gestion et recherchez le paramètre UPnP (sur de nombreux routeurs, il se trouve dans la section Administration). Désactivez également l'option "Autoriser l'utilisateur à configurer UPnP", si disponible. N'oubliez pas que cela n'affecte pas votre capacité, par exemple, de diffuser des vidéos sur votre réseau avec UPnP; cela n'affecte que les éléments extérieurs à votre réseau. Cela signifie que vous devrez peut-être configurer manuellement la redirection de port pour que des éléments tels que BitTorrent fonctionnent de manière optimale.

Autres paramètres qui ne valent probablement pas la peine

Vous avez peut-être également entendu parler d'autres paramètres tels que l'activation du filtrage MAC ou le masquage du SSID de votre réseau, mais malgré tous les inconvénients, ils n'apportent pas beaucoup de sécurité.

Masquage SSID

À première vue, masquer le SSID de votre routeur semble être une bonne idée, mais pourrait en réalité être votre sécurité. Joshua Wright, expert en sécurité Wi-Fi, explique à Tech Republic:

Question: Joshua, merci de me faire savoir votre point de vue sur la désactivation de la diffusion du SSID de votre routeur.

Joshua Wright: C'est une mauvaise idée. Je sais que la spécification PCI exige que vous le fassiez, et je leur ai dit qu'ils doivent supprimer cette exigence de la spécification. Imaginez que vous êtes une base gouvernementale et que vous ne dites pas à vos agents où vous vous trouvez. Ils doivent se promener et continuer à demander "Êtes-vous la base du gouvernement?" à tous la rencontre. Finalement, un pirate informatique malin ou un méchant dira "Heck YEAH, je suis ta base, entre et partage tes secrets avec moi." C’est essentiellement ce qui se passe avec le masquage de SSID, où vous devez demander à chaque AP rencontré si son SSID souhaité est disponible, permettant ainsi à un attaquant de se faire passer pour votre SSID à l’aéroport, dans un café, dans l’avion, etc. ne cachez pas votre SSID, mais ne faites pas de votre SSID quelque chose comme "sexyhackertargethere" non plus.

Cacher votre routeur Le SSID empêchera vos voisins d’essayer de se charger librement sur votre réseau, mais il n’arrêtera pas les pirates informatiques capables et pourrait même agir comme une balise puissante leur disant: "Hé, je tente de me cacher." En outre, si vous essayez d'empêcher vos voisins de se charger librement, assurez-vous simplement que vous disposez d'un mot de passe sécurisé.

Filtrage MAC

De même, le filtrage MAC, qui limite l'accès réseau aux seuls périphériques autorisés, sonne bien et peut offrir une protection supplémentaire contre votre chargeur standard, mais les adresses MAC sont faciles à falsifier. L'utilisateur sysadmin1138 de Stack Exchange le résume comme suit:

Pour ceux qui souhaitent utiliser votre réseau, le cryptage (en particulier le cryptage non endommagé) apportera une sécurité considérablement améliorée. De nos jours, l'usurpation MAC est banale dans la plupart des adaptateurs. Une fois que vous avez mis le réseau à niveau, vous pouvez surveiller les paquets en vol et obtenir une liste des adresses MAC valides. Le SSID est également trivial à ce stade. En raison de la nature automatisée des jeux d'outils disponibles, le filtrage MAC et la dissimulation du SSID ne valent plus la peine d'être faits. À mon avis.

Cela dit, si vous ne craignez pas les tracas, activer le filtrage MAC ne fera pas mal. Sachez simplement que ce n'est pas la fonction de sécurité renforcée qui peut sembler l'être - et que c'est très fastidieux de se procurer un nouvel appareil ou d'avoir un ami. Venez visiter.

Adresses IP statiques

Enfin, vous pouvez envisager de modifier un paramètre supplémentaire: la désactivation de DHCP, qui attribue automatiquement les adresses réseau aux périphériques qui se connectent à votre routeur. Au lieu de cela, vous pouvez attribuer des adresses IP statiques à tous vos appareils. En théorie, si DHCP est désactivé, les adresses des ordinateurs inconnus ne seront pas attribuées.

Cependant, les adresses IP statiques et DHCP présentent des risques et des inconvénients, comme le montre cette discussion sur Stack Exchage; Les IP statiques peuvent être vulnérables aux attaques d'usurpation d'identité, tandis que les périphériques qui obtiennent leurs adresses IP via DHCP peuvent être soumis à des attaques d'interception provenant de serveurs DHCP non fiables. Il n'y a pas de consensus solide sur ce qui est le mieux pour la sécurité (bien que quelques membres de la communauté Microsoft disent que cela ne fait aucune différence).

Si vous disposez des paramètres de sécurité mentionnés dans les sections ci-dessus, reposez-vous un peu plus paisiblement en sachant que vous faites probablement de votre mieux pour sécuriser votre réseau domestique.