Comment sécuriser votre routeur et votre réseau domestique

De nombreux utilisateurs d'ordinateurs ne s'en rendent pas compte, mais pour la plupart des gens, leur routeur Internet est l'appareil électronique le plus important de leur maison. Il relie la plupart de leurs autres appareils ensemble et au monde, il a donc une position privilégiée que les pirates peuvent exploiter.

Malheureusement, de nombreux routeurs grand public et des petites entreprises viennent avec des configurations par défaut non sécurisées, ont non documenté comptes de porte dérobée, exposer les services existants et avoir un firmware qui est criblé de défauts de base. Certains de ces problèmes ne peuvent pas être résolus par les utilisateurs, mais de nombreuses actions peuvent être prises pour au moins protéger ces périphériques contre les attaques automatisées à grande échelle.

Ne laissez pas votre routeur être un fruit à portée de main pour les pirates

[pour en savoir plus: Les meilleurs routeurs sans fil]..

actions de base

• Évitez d'utiliser des routeurs fournis par les FAI Ces routeurs sont généralement moins sûrs que ceux vendus par les fabricants aux consommateurs. Ils ont souvent des informations d'identification de support à distance codés en dur que les utilisateurs ne peuvent pas changer et des correctifs pour leurs versions de firmware personnalisés en retard sur les correctifs pour les mêmes défauts libérés par les fabricants de routeur.
• Changer le mot de passe admin par défaut. De nombreux routeurs viennent avec les mots de passe administrateur par défaut et les attaquants essaient constamment de pénétrer dans les appareils en utilisant ces informations d'identification connues publiquement. Après vous être connecté à l'interface de gestion du routeur pour la première fois via votre navigateur, l'adresse IP par défaut du routeur se trouve sur l'autocollant du bas ou dans le guide de configuration. Assurez-vous que la première chose à faire est de changer le mot de passe
• L'interface de gestion basée sur le Web du routeur ne doit pas être accessible depuis Internet Pour la plupart des utilisateurs, la gestion du routeur depuis l'extérieur du LAN (réseau local) n'est pas nécessaire. Si une gestion à distance est nécessaire, envisagez d'utiliser une solution VPN (réseau privé virtuel) pour établir d'abord un canal sécurisé vers le réseau local, puis accéder à l'interface du routeur.
• Même à l'intérieur du réseau local Les adresses peuvent gérer le routeur. Si cette option est disponible, il est préférable d'autoriser l'accès à partir d'une adresse IP unique ne faisant pas partie du pool d'adresses IP attribuées aux ordinateurs via DHCP (Dynamic Host Configuration Protocol). Par exemple, configurez le serveur DHCP du routeur pour attribuer des adresses IP de 192.168.0.1 à 192.168.0.50, puis configurez l'interface Web pour autoriser uniquement l'accès à partir de 192.168.0.53. L'ordinateur doit être configuré manuellement pour utiliser cette adresse uniquement lorsque vous avez besoin de se connecter au routeur.
• Activer l'accès HTTPS à l'interface du routeur, le cas échéant, et toujours vous déconnecter lorsque vous avez terminé. Utilisez le navigateur incognito ou en mode privé lorsque vous travaillez avec le routeur de sorte qu'aucun des cookies de session sont laissés laisser derrière et ne jamais le navigateur pour enregistrer le nom d'utilisateur et mot de passe du routeur.
• Changer l'adresse IP LAN du routeur si possible. la plupart du temps, les routeurs sera affecté la première adresse dans un netblock prédéfini, par exemple 192.168.0.1. Si cette option vous est proposée, remplacez-la par 192.168.0.99 ou par un autre élément facile à retenir qui ne fait pas partie du pool DHCP. Le réseau entier utilisé par le routeur peut également être changé en l'un de ceux réservés aux réseaux privés. Faire cela protégera contre les attaques qui tentent d'accéder à des routeurs falsification de requêtes cross-site (CSRF) par les navigateurs des utilisateurs en utilisant les adresses IP par défaut couramment affectés à ces appareils.
• Choisissez un mot de passe Wi-Fi complexe et un protocole de sécurité solide . WPA2 (Wi-Fi Protected Access II) devrait être l'option de choix, car les anciens WPA et WEP sont susceptibles d'être attaqués par force brute. Si le routeur offre l'option, créez un réseau sans fil invité, également protégé avec WPA2 et un mot de passe fort. Laissez les visiteurs ou les amis utiliser ce réseau d'invité isolé au lieu de votre principal. Ils peuvent ne pas avoir d'intentions malveillantes, mais leurs appareils peuvent être infectés ou infectés par des logiciels malveillants.
• Désactivez WPS (Wi-Fi Protected Setup). Cette fonctionnalité est rarement utilisée pour aider les utilisateurs à configurer facilement les réseaux Wi-Fi à l'aide d'un code PIN imprimé sur un autocollant. Cependant, une vulnérabilité sérieuse a été découverte dans de nombreuses implémentations de WPS il y a quelques années, ce qui permet aux pirates de pénétrer dans les réseaux. Comme il est difficile de déterminer quels modèles de routeur et quelles versions de micrologiciel sont vulnérables, il est préférable de désactiver cette fonctionnalité sur les routeurs qui le permettent. Au lieu de cela, vous pouvez vous connecter au routeur via une connexion câblée et accéder à son interface de gestion Web et, par exemple, configurer Wi-Fi avec WPA2 et un mot de passe personnalisé (pas besoin de WPS).
• Ceci est particulièrement vrai si vous n'avez pas activé ces services vous-même et que vous ne savez pas ce qu'ils font. Des services tels que Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) et HNAP (Protocole d'administration de réseau domestique) ne doivent pas être accessibles depuis Internet car ils peuvent présenter de sérieux risques de sécurité. Ils devraient également être désactivés sur le réseau local s'ils ne sont pas nécessaires. Les services en ligne comme Shields UP de Gibson Research Corporation (GRC), peuvent analyser l'adresse IP publique de votre routeur pour les ports ouverts. Shields Up peut également rechercher UPnP séparément Gardez le micrologiciel de votre routeur à jour.
• Certains routeurs permettent de vérifier les mises à jour du micrologiciel directement depuis l'interface alors que d'autres ont même une fonction de mise à jour automatique. Parfois, ces vérifications peuvent être interrompues en raison de changements apportés aux serveurs du fabricant au fil des ans. C'est une bonne idée de vérifier régulièrement le site Web de support du fabricant manuellement pour les mises à jour de firmware pour votre modèle de routeur. Des choses plus complexes

La segmentation réseau peut être utilisée pour isoler les périphériques à risque. VLAN (réseaux locaux virtuels) à l'intérieur d'un réseau privé plus important. Ces réseaux virtuels peuvent être utilisés pour isoler les dispositifs Internet-of-things, que les chercheurs ont montré à plusieurs reprises sont pleins de vulnérabilités. De nombreux appareils IoT peuvent être contrôlés via des applications de smartphones via des services de cloud externes, aussi longtemps qu'ils disposent d'un accès Internet, ces appareils n'ont pas besoin de communiquer directement avec les smartphones sur le réseau local après la configuration initiale. Les périphériques IoT exposent souvent des protocoles administratifs non protégés au réseau local, de sorte qu'un attaquant pourrait facilement pénétrer dans un tel périphérique à partir d'un ordinateur infecté par un logiciel malveillant, si les deux sont sur le même réseau. Réseau Fi.

• De nombreux routeurs permettent de restreindre les appareils autorisés sur le réseau Wi-Fi en fonction de leur adresse MAC - un identifiant unique de leur carte réseau physique. L'activation de cette fonctionnalité peut empêcher les attaquants de se connecter à un réseau Wi-Fi même s'ils ont volé son mot de passe. L'inconvénient est que les périphériques légitimes en liste blanche peuvent rapidement devenir une charge administrative sur les réseaux plus importants. Le transfert de port doit être associé au filtrage IP
• Les services exécutés sur un ordinateur derrière un routeur ne sont pas accessibles depuis Internet. les règles sont définies sur le routeur. De nombreux logiciels tentent d'ouvrir automatiquement les ports du routeur via UPnP, ce qui n'est pas toujours sûr. Si UPnP est désactivé, des règles peuvent être ajoutées manuellement et certains routeurs offrent la possibilité de spécifier l'adresse IP source ou le réseau qui peut se connecter sur un port spécifique pour atteindre un certain service dans le réseau. Par exemple, si vous souhaitez accéder à un serveur FTP sur votre ordinateur personnel, vous pouvez créer une règle de transfert de port pour le port 21 (FTP) dans votre routeur, mais autoriser uniquement les connexions du réseau IP de votre entreprise. peut être plus sécurisé que le firmware d'usine. Il existe plusieurs projets de microprogrammes Linux gérés par la communauté pour un large éventail de routeurs domestiques. OpenWRT, DD-WRT et Asuswrt-Merlin (pour les routeurs Asus uniquement) sont parmi les plus populaires. Ceux-ci offrent généralement des fonctionnalités et des personnalisations plus avancées que les micrologiciels d'usine et leurs responsables sont plus rapides à corriger les défauts lorsqu'ils sont identifiés que les fournisseurs de routeurs. Étant donné que ces progiciels de micrologiciel sont destinés aux passionnés, le nombre d'appareils qui les utilisent est beaucoup plus faible que celui de ceux qui exécutent le micrologiciel fourni par le fournisseur. Cela rend les attaques généralisées contre le firmware personnalisé moins probable. Cependant, il est très important de garder à l'esprit que le chargement d'un firmware personnalisé sur un routeur nécessite une bonne quantité de connaissances techniques, annulera probablement sa garantie et, s'il n'est pas fait correctement, rendra l'appareil inutilisable. Vous avez été prévenu!