Il n’y a pas une telle chose comme une sécurité parfaite. Étant donné assez de connaissances, de ressources et de temps tout système peut être compromise. Le meilleur que vous pouvez faire est de le rendre aussi difficile pour un attaquant que possible. Cela dit, il ya des étapes que vous pouvez prendre pour renforcer votre réseau contre la grande majorité des attaques.
Les configurations par défaut pour ce que j’appelle de consommation routeurs offrent assez de sécurité de base. Pour être honnête, il ne prend pas beaucoup de compromis. Lorsque j’installe un nouveau routeur (ou réinitialiser un existant), j’utilise rarement les ” assistants de configuration’. Je traverse et tout configurer, exactement comment je le veux. Sauf s’il y a une bonne raison, j’ai l’habitude de ne pas le laisser en tant que par défaut.
Je ne peux pas vous dire exactement les paramètres que vous devez modifier. Chaque routeur de l’admin de la page est différent; même routeur provenant du même fabricant. Selon le routeur, il peut y avoir des paramètres que vous ne pouvez pas changer. Pour beaucoup de ces paramètres, vous aurez besoin pour accéder à la configuration avancée de la section de la page admin.
J’ai inclus des captures d’écran de l’Asus RT-AC66U. Il est dans l’état par défaut.
Mise à jour de votre firmware. La plupart des gens mettre à jour le firmware, quand ils ont d’abord installer le routeur, puis le laisser seul. La recherche récente a montré que 80% des 25 meilleures ventes routeur sans fil modèles ont des failles de sécurité. Affecte les fabricants comprennent: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet, et d’autres. La plupart des fabricants version mise à jour du micrologiciel lorsque les vulnérabilités sont mis en lumière. Définir un rappel dans Outlook ou tout ce système de messagerie que vous utilisez. Je vous recommandons de vérifier les mises à jour tous les 3 mois. Je sais que cela sonne comme une évidence, mais seulement installer le firmware depuis le site du constructeur.
Aussi, désactiver le routeur de la capacité de rechercher automatiquement les mises à jour. Je ne suis pas un fan de laisser les appareils de téléphone à la maison”. Vous n’avez aucun contrôle sur ce qui date d’envoi. Par exemple, saviez-vous que plusieurs soi-disant “Smart tv” envoyer des informations à leur fabricant? Ils envoient toutes vos habitudes d’écoute à chaque fois que vous changez de canal. Si vous branchez une clé USB sur eux, ils envoient une liste de chaque fichier sur le disque. Ces données ne sont pas cryptées et est envoyé même si le menu est réglé sur NON.
Désactiver l’administration à distance. Je comprends que certaines personnes doivent être en mesure de reconfigurer leur réseau à distance. Si vous devez, à tout le moins permettre l’accès https et changer le port par défaut. A noter que cela inclut tout type de “nuages” de gestion, tels que le Linksys Smart WiFi de Compte et d’Asus AiCloud.
Utiliser un mot de passe pour le routeur admin. J’en ai assez dit.
Activer HTTPS pour tous les admin connexions. Ce paramètre est désactivé par défaut sur de nombreux routeurs.
Limiter le trafic entrant. Je sais que c’est le bon sens, mais parfois les gens ne comprennent pas les conséquences de certains paramètres. Si vous devez utiliser la redirection de port, être très sélectif. Si possible, utilisez un port non standard pour le service que vous êtes en cours de configuration. Il y a aussi des paramètres de filtrage anonyme du trafic internet (oui), et pour la réponse au ping (no).
Utiliser un cryptage WPA2 pour le WiFi. Ne jamais utiliser le WEP. Il peut être divisé en quelques minutes avec le logiciel librement disponible sur internet. Le WPA n’est pas beaucoup mieux.
Désactiver le WPS (WiFi Protected Setup). Je comprends la commodité de l’aide de WPS, mais c’était une mauvaise idée de commencer.
Restreindre le trafic sortant. Comme mentionné ci-dessus, normalement, je n’aime pas les appareils qui téléphone à la maison. Si vous avez ces types de dispositifs, envisagez de bloquer tout le trafic internet à partir d’eux.
Désactiver inutilisés des services de réseau, en particulier de l’uPnP. Il est largement connu de la vulnérabilité lors de l’utilisation de service uPnP. D’autres services probablement inutile: Telnet, FTP, SMB (Samba/partage de fichiers), TFTP, IPv6
Journal de l’admin de la page lorsque vous avez terminé. Seulement la fermeture de la page web sans se déconnecter pouvez laisser une session authentifiée ouvrir dans le routeur.
Vérifier le port 32764 vulnérabilité. À ma connaissance, certains routeurs produit par Linksys (Cisco), Netgear, et le Diamant sont touchés, mais il peut y en avoir d’autres. Nouvelle version du firmware a été libéré, mais peut-être pas à patcher le système.
Vérifiez que votre routeur: https://www.grc.com/x/portprobe=32764
Activer la journalisation. Recherchez une activité suspecte dans vos journaux sur une base régulière. La plupart des routeurs ont la capacité de l’emailing, les journaux à vous à des intervalles définis. Aussi assurez-vous que l’horloge et l’heure de la zone sont définies correctement de sorte que vos journaux sont exactes.
Pour la vraiment soucieux de la sécurité (ou peut-être juste paranoïaque), des étapes supplémentaires sont à envisager
Changer le nom d’utilisateur admin. Tout le monde connaît la valeur par défaut est généralement admin.
Mettre en place un “Invité” du réseau. Beaucoup de nouveaux routeurs sont capables de créer de séparer les réseaux sans fil pour les invités. S’assurer qu’il n’a accès qu’à l’internet, et pas de votre réseau local (intranet). Bien sûr, utiliser la même méthode de cryptage WPA2 (Personnels) avec un autre mot de passe.
Ne pas connecter le stockage USB de votre routeur. Automatiquement, cela permet à de nombreux services sur votre routeur et peut exposer le contenu de ce lecteur à internet.
Utiliser un autre fournisseur de DNS. Les Chances sont que vous êtes en utilisant tous les paramètres DNS de votre FAI vous a donné. DNS est de plus en plus la cible d’attaques. Il y a des fournisseurs de DNS qui ont pris des mesures supplémentaires pour sécuriser leurs serveurs. Comme un bonus supplémentaire, un autre fournisseur de DNS peut augmenter les performances d’internet.
Modifier la valeur par défaut plage d’adresses IP sur votre réseau local (à l’intérieur) du réseau. Tous les consommateurs-routeur de classe que j’ai vu utilise 192.168.1.x ou 192.168.0.x le rendant plus simple pour créer un script automatisé attaque.
Gammes disponibles sont:
10.x.x.x
Tout 192.168.x.x
172.16.x.x à 172.31.x.x
Changer le routeur par défaut de l’adresse du réseau local. Si quelqu’un d’accéder à votre réseau local, ils connaissent l’adresse IP du routeur est soit x.x.x.1 ou x.x.x.254; ne pas le rendre facile pour eux.
Désactiver ou limiter DHCP. Désactiver le DHCP n’est pas possible, sauf si vous êtes dans un très statique de réseau environnement. Je préfère limiter le DHCP de 10 à 20 adresses IP commençant à x.x.x.101, ce qui rend plus facile de garder une trace de ce qui se passe sur votre réseau. Je préfère mettre mon “permanent” des appareils (ordinateurs, imprimantes, NAS, etc.) sur des adresses IP statiques. De cette façon, seulement les ordinateurs portables, les tablettes, les téléphones, et les clients à l’aide de DHCP.
Désactiver l’accès admin sans fil. Cette fonctionnalité n’est pas disponible sur tous les routeurs.
Désactiver la diffusion du SSID. Ce n’est pas difficile pour un professionnel de le surmonter et peut être une douleur pour permettre aux visiteurs sur votre réseau WiFi.
Utilisez le filtrage MAC. Même que ci-dessus; pratique pour les visiteurs.
Certains de ces éléments entrent dans la catégorie de la “Sécurité par l’Obscurité”, et il sont nombreux et les professionnels de la sécurité qui se moquent d’eux, en disant qu’ils ne sont pas des mesures de sécurité. Dans un sens, ils sont tout à fait corrects. Cependant, si il ya des étapes que vous pouvez prendre pour rendre plus difficile pour compromettre votre réseau, je pense qu’il est utile d’examiner.
Une bonne sécurité n’est pas “régler et oublier”. Nous avons tous entendu parler des nombreuses failles de sécurité à certaines des plus grandes entreprises. Pour moi, le vraiment énervant, c’est quand vous ici, ils avaient été compromis pour 3, 6, 12 mois ou plus avant que l’on découvre.
Prenez le temps de regarder à travers vos journaux. Scanner votre réseau à la recherche pour les périphériques et les connexions. Si vous voulez un moyen rapide et facile de voir ce qui est sur votre réseau, la Fing est une application très pratique, disponible pour IOS, Android, Windows, Mac,etc. http://www.overlooksoft.com/fing
Ci-dessous, quelques références officielles:
- ANE – https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_BestPracticesForKeepingYourHomeNetworkSecure.pdf
- L’US-CERT – https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf