Sécuriser votre routeur sans fil et votre réseau WiFi
Une sécurité sans fil parfaite est une erreur : elle n’existe tout simplement pas.
Le mieux que vous puissiez espérer est une sécurité suffisamment bonne, ou du moins meilleure qu’une cible alternative.
Les chances d'intéresser un attaquant sont élevées, mais la possibilité que cet intérêt se transforme en action dépend presque entièrement de la difficulté pour l'attaquant de percer vos défenses.
Heureusement, vous pouvez faire beaucoup de choses avec votre routeur pour vous assurer qu'un attaquant ne considère pas votre réseau sans fil comme ce qu'on appelle un « fruit à portée de main », mûr pour la cueillette.
Et tout commence par le panneau de configuration de l’appareil.
Sécuriser votre routeur sans fil – utilisateur type
Bien que les principes généraux de sécurisation de tout routeur sans fil soient sensiblement les mêmes, les détails peuvent souvent varier selon les marques et les modèles. Je ne pourrai donc pas vous expliquer les modifications que vous pourriez devoir apporter, ni vous indiquer précisément les paramètres dont vous avez besoin. altérer.
Mais je peux vous orienter dans la bonne direction (si votre routeur dispose d’une page de configuration avancée, il est probable que vous devrez la visiter en lisant ce guide).
Identifiants de connexion
Tout d'abord, vous souhaiterez vous connecter à votre routeur. Vous avez probablement reçu le nom d'utilisateur et le mot de passe de l'appareil du fabricant, du détaillant ou de votre FAI, selon sa provenance. Ou cela peut être écrit au bas du routeur lui-même.
En fonction de vos informations de connexion, vous venez probablement de repérer le premier problème de sécurité : de nombreux routeurs sont livrés avec le même nom d'utilisateur par défaut (« admin » est courant) et le même mot de passe (« admin » et « mot de passe » sont souvent utilisés), alors recherchez Découvrez comment changer cela et faites-le le plus rapidement possible, en choisissant un nouveau nom d'utilisateur ainsi qu'un mot de passe complexe, difficile à deviner et composé de lettres, de chiffres et de symboles.
Micrologiciel
Mise à jour Windows disponible ? Fais-le.
La mise à jour de l'antivirus est prête à être téléchargée ? Fais-le.
De manière générale, chaque fois que vous avez la possibilité de mettre à jour quelque chose, faites-le !
Et il en va de même pour le firmware de votre routeur.
En règle générale, au moment où vous recevez votre routeur de votre FAI, de votre magasin local ou ailleurs, le logiciel avec lequel il a été initialement livré sera déjà obsolète. Et vulnérable, que ce soit un Routeur Belkin , haut de gamme Modèle Cisco ou toute autre marque.
Heureusement, la plupart des fabricants sont responsables et publient des mises à jour du firmware pour remédier aux vulnérabilités au fur et à mesure qu'elles sont découvertes. Ainsi, au lieu de simplement mettre à jour le firmware le jour où vous déballez votre routeur comme tout le monde, soyez différent et revenez régulièrement pour les mises à jour. disons tous les mois environ. Mais assurez-vous de télécharger uniquement les mises à jour du micrologiciel à partir du site officiel du fabricant : les fausses mises à jour hébergées sur des sites Web malveillants ne sont pas aussi rares qu’on pourrait le penser.
Chiffrement
Votre routeur vous offre probablement la possibilité d'utiliser plusieurs types de cryptage différents. Bien que vous n’ayez pas besoin de comprendre comment chacun d’eux fonctionne, vous devez réaliser qu’ils ne sont pas tous créés égaux.
Certains, comme le WEP, sont nuls. En fait, le WEP est tellement nul que ce n’est pas vraiment mieux que de ne pas avoir de cryptage du tout. Et WPA, eh bien, ce n’est qu’une amélioration.
WPA2 n’est pas si mauvais, alors assurez-vous que c’est ce que vous utilisez pour vos connexions WiFi.
Mises à jour automatiques
C'est là que vous devez faire preuve d'une certaine discrétion : souhaitez-vous que votre routeur vérifie automatiquement les mises à jour (normalement, comme mentionné ci-dessus, c'est une bonne chose) ou préférez-vous savoir quand votre appareil communique avec son fabricant ?
Il y a quelques années, laisser les mises à jour automatiques activées serait la bonne réponse, mais à l'ère de l'Internet des objets où les téléviseurs sont notre maison et partager les détails de visualisation , y compris les noms des fichiers sur les clés USB connectées, je n'en suis pas si sûr.
Vous devez décider ce qui vous convient le mieux.
Restreindre le reste du trafic sortant
Comme ci-dessus, si vous avez des appareils qui souhaitent téléphoner à la maison, vous devriez peut-être vous demander pourquoi, puis prendre une décision sur la restriction de cette capacité au cas par cas.
Restreindre le trafic entrant
J'espère que vous pouvez déjà imaginer pourquoi laisser tout le trafic entrant se sentir le bienvenu est une mauvaise idée. Si, pour une raison quelconque, vous devez en laisser entrer, soyez sélectif.
Bien sûr, certains services peuvent nécessiter une redirection de port (il me semble avoir dû rediriger plusieurs ports lors de la connexion de deux Xbox à mon réseau), mais vous souhaitez l'éviter si possible.
Si vous devez vraiment vous engager dans la redirection de port, essayez d'utiliser des ports inhabituels et essayez d'en apprendre un peu plus sur ce que vous faites avant de commencer.
Désactivez WPS (WiFi Protected Setup)
Une fonctionnalité intéressante qui offre une sécurité rapide et pratique en théorie, mais qui est sensible aux attaques par force brute en pratique.
Laissez-le éteint.
Désactiver les services inutilisés
Telnet ? L'éteindre.
SMB (partages de fichiers Samba) ? L'éteindre.
UPnP ? Ne réfléchissez pas, éteignez simplement cette chose.
À moins bien sûr que vous en ayez besoin, auquel cas il y a de fortes chances que vous compreniez déjà ce que vous faites ou que vous soyez bien préparé à le découvrir, bien avant de les activer.
Sauf pour UPnP qui reste toujours désactivé, compris ? (Si vous vous demandez pourquoi, ceci Vidéo d'Arron Finnon vous dira tout ce que vous devez savoir, mais faites attention aux jurons occasionnels).
Vérifiez le port 32764 pour la vulnérabilité
Vous savez que votre maison a une porte arrière ? Vous ne le laisseriez pas ouvert tout le temps, n’est-ce pas ?
Je ne pensais pas, et c'est pourquoi vous devez vérifier si le port 32764 est vulnérable car, si c'est le cas, la porte arrière de votre routeur est grande ouverte, un panneau de bienvenue au néon clignote au-dessus et personne ne le sait.
Alors que faire? Facile, allez sur BoucliersUP – ne vous inquiétez pas, ce n’est pas un site Trekkie – et suivez les instructions simples.
Activer la journalisation
La plupart des routeurs peuvent enregistrer à peu près tout à partir du moment où ils sont allumés pour la première fois, mais parfois cette capacité n'est pas activée par défaut.
Vérifiez cela et allumez-le si nécessaire.
Lisez vos journaux de temps en temps !
Maintenant, votre routeur enregistre tout ce dont vous aurez besoin pour vérifier ces journaux de temps en temps.
Vous rechercherez des activités suspectes, telles que des appareils inconnus se connectant à votre réseau, des connexions à des jours/heures où il ne devrait rien y avoir d’autre qui semble sortir de l’ordinaire.
Vous pouvez vérifier vos journaux manuellement via le panneau de commande du routeur ou vous pouvez généralement les recevoir par courrier électronique selon un calendrier que vous définissez.
Déconnectez-vous lorsque vous avez terminé
Vous avez modifié vos identifiants de connexion ? Excellent.
N'oubliez pas maintenant de vous déconnecter lorsque vous avez terminé, sinon vous laisserez une session authentifiée en cours d'exécution sur votre routeur et ce n'est pas une bonne chose.
Sécuriser votre routeur sans fil – utilisateur concerné
Une fois que vous aurez maîtrisé les bases de la sécurité du routeur, vous serez presque certainement plus en sécurité que la majorité de vos voisins – mais vous souhaiterez peut-être aller plus loin.
Et pourquoi pas, on ne peut jamais avoir trop de bonnes choses, n'est-ce pas ?
Être invité ou ne pas être invité, telle est la question
La plupart des routeurs modernes ont tendance à proposer des connexions 2G et 5G, sécurisées par un mot de passe, si possible de votre choix.
Beaucoup offrent également la possibilité de configurer des connexions supplémentaires pour les « invités » que vous pouvez choisir de laisser sans protection (mauvaise idée) ou de configurer comme bon vous semble.
Personnellement, je ne créerais jamais de réseau invité, mais si vous devez le faire, les mêmes règles s'appliquent : le cryptage WPA2 et un mot de passe long et complexe.
Et, quoi que vous fassiez, ne lui permettez pas d’accéder à votre propre réseau local, mais limitez-le plutôt à l’accès à Internet.
Tu ne connecteras pas de stockage USB
Certains routeurs disposent d'un port USB pour permettre un partage facile de disques externes sur votre réseau.
Cela semble bien en théorie, mais si vous ne savez pas ce que vous faites, cela pourrait être une décision catastrophique qui exposerait tout ce qui se trouve sur le disque à Internet.
En cas de doute, ne le branchez pas.
192.168.0.1 est pour les drageons
Vous avez un routeur ? Connaissez-vous son adresse IP ?
Il y a de fortes chances que ce soit quelque chose comme 192.168.0.1 ou 192.168.0.254.
Heureusement, hein ?
Non, les routeurs ont tous tendance à être dotés d’une plage d’adresses IP similaire et tout attaquant digne de ce nom le sait.
C’est pourquoi c’est une bonne idée de remplacer le vôtre par quelque chose d’atypique qui pourrait simplement contrecarrer un attaquant ayant accédé à votre réseau local.
Désolé, le SSID n'est pas à la maison pour le moment
Lorsque vous vous êtes connecté à votre routeur pour la première fois, avez-vous remarqué qu'il portait un nom unique ?
Autrefois, ces noms étaient plutôt utiles à un pirate informatique qui pouvait les utiliser – dans certains cas – pour déterminer le mot de passe de votre routeur.
Si vous utilisez un routeur moderne, vous pouvez probablement laisser le SSID seul, mais il peut être judicieux de le modifier sur un appareil plus ancien.
Ou vous pouvez simplement le changer de toute façon – j’ai vu beaucoup de « fourgons de surveillance GCHQ » à proximité de mon propre routeur, ce qui me fait toujours rire tout en inquiétant probablement un voisin ou deux. C’est quand même un peu enfantin, tu ne trouves pas ?
Le retour du MAC, et personne d'autre
Théoriquement valable, pratiquement sans valeur, le filtrage des adresses MAC vous permet de créer une « liste blanche » d’appareils autorisés à se connecter à votre routeur.
Cela ne fonctionne pas mais j’ai entendu dire que l’effet placebo est apprécié par certains utilisateurs, alors n’hésitez pas à jouer avec si vous avez du temps à tuer.
Emballer
Espérons que cet article vous ait donné quelques idées sur la façon dont vous pouvez sécuriser votre routeur et votre réseau sans fil tout en démystifiant quelques anciennes pratiques qui valent maintenant ou n'ont jamais valu votre temps.
Même si vous mettez en œuvre tous les bons points, votre réseau ne sera pas sécurisé à 100 %, mais tant que celui de quelqu’un d’autre est plus facile à pirater, cela suffira probablement, à moins que vous ne soyez spécifiquement ciblé.
Dans les deux cas, regardez au-delà de votre routeur, car il ne s’agit que d’une pièce du puzzle plus vaste que nous appelons la sécurité.
Si vous souhaitez protéger votre ordinateur, vous devez également penser à votre pare-feu, à votre logiciel antivirus, à vos choix de mots de passe, à vos VPN et bien plus encore.
En rapport: Meilleurs VPN pour les routeurs DD-WRT
Voir également:Comment utiliser le WiFi public en toute sécurité
' routeur sans fil » par Sean MacEntee sous licence CC PAR 2.0