Sécuriser le réseau


Il est entendu que, déjà, les règles de sécurité de base sont appliquées  au matériel/logiciel utilisé dans le réseau local:
-Mises  à jour du système : Windows, Navigateurs, Java, Acrobat....
-Présence d'un antivirus et antispyware
...
-Présence de mots de passe...

Cet article s'intéresse uniquement à la sécurité spécifique d'un réseau privé.

ex : Avez-vous changé le mot de passe utilisateur de votre routeur Wifi ?
L'accès à l'utilitaire de configuration de votre routeur est sécurisé par un nom d'utilisateur et un mot de passe. Cette page est accessible en tapant l'adresse IP de votre routeur dans votre navigateur internet (par exemple : 192.168.1.1). La première étape de sécurisation de votre nouveau réseau Wi-Fi consiste donc à changer le mot de passe en vous rendant dans l'option qui permet de le changer.

L'on trouve facilement tous les mots de passe standards des routeurs... Voir cette page



Pourquoi sécuriser ?
pour éviter des intrusions / infiltrations ( pirates=hackers ou programmes malveillants) 
d'autant qu'un réseau sans fil WiFi est beaucoup plus sensible qu'un réseau filaire car les données circulent librement dans l'air.


Comment sécuriser ?
en utilisant un pare feu ou Firewall : outil  qui filtre les entrées (attaques externes)  et sorties (connexions illégitimes à destination de l’extérieur) sur une carte réseau à partir de règles prédéfinies et configurables
 



Comment fonctionne un pare feu ?
Un pare-feu accepte ou rejette les flux d’informations qui le traversent en fonction de règles définies par défaut ou par l’utilisateur :
- source et destination de l’information ;
- services (navigation internet, messagerie instantanée, courrier électronique…).

Le pare-feu peut conserver la trace de son activité : communications autorisées, rejetée, ignorée...

Où sécuriser ?
à la fois:
-au niveau de l'ordinateur personnel
-au niveau du routeur
mais cela est toujours réalisé par défaut ! heureusement.
( A noter il existe aussi des  pare-feu matériel, qui coûtent chers et sont destinés aux entreprises.)

Le pare-feu personnel
 

 
Dans le cas d’un pare-feu personnel, c’est un logiciel qui tourne sur le poste de l’internaute qui assure le filtrage
La plupart des pare-feu personnels peuvent filtrer les applications qui tentent de se connecter à l’internet ou qui attendent une connexion de l’extérieur. L’utilisateur est en général prévenu par un message d’alerte, via lequel il peut accepter ou refuser cette connexion au cas par cas ou définitivement. Ce mode d’utilisation est aussi appelé mode d’apprentissage.
Certains pare-feu personnels vérifient également que le logiciel qui tente de se connecter sur le réseau n’a pas été altéré par un cheval de Troie.

Une seule application de pare-feu est nécessaire sur votre PC (en plus du pare-feu qui est probablement intégré à votre routeur réseau). Avoir plusieurs applications de pare-feu sur votre ordinateur peut entraîner des conflits et des problèmes.

Le Pare-feu Windows est fourni avec Windows et est activé par défaut.

Comment utiliser le Pare-feu Windows


  1. Pour ouvrir le Pare-feu Windows, dans "Rechercher" , tapez Pare-feu dans la zone de recherche, puis appuyez ou cliquez sur Pare-feu Windows.








  2. Vérifier l'activation du pare feu. (Appuyez ou cliquez sur Activer ou désactiver le Pare-feu Windows.)


     


















  3. Pour autoriser une application  :
    -Appuyez ou cliquez sur Autoriser une application ou une fonctionnalité via le Pare-feu Windows.
    -Appuyez ou cliquez sur Modifier les paramètres Il peut vous être demandé de fournir un mot de passe d’administrateur ou de confirmer votre choix.
  4. Pour  ouvrir un port:
    -Appuyez ou cliquez sur Paramètres avancés Il peut vous être demandé de fournir un mot de passe d’administrateur ou de confirmer votre choix.
    -Dans le volet gauche de la boîte de dialogue Pare-feu Windows avec fonctions avancées de sécurité, appuyez ou cliquez sur Règles de trafic entrant, puis sur Nouvelle règle dans le volet droit. 
  5. Comment réagit le pare feu Windows face  à une alerte ?
    =>il suffit de valider  (ou non) la demande du pare feu
     

Le pare feu de la box-routeur

La plupart des "box" (Freebox, LiveBox, , Alice Box, Neuf Box, etc.) ont une fonction routeur/NAT/firewall. 

-Le rôle du NAT
Un des avantages de la fonction NAT des routeurs est de rendre invisible tous les postes du réseau local depuis Internet. En effet, depuis Internet il ne sera possible que de voir l'adresse IP publique du routeur ADSL / Box. Il sera donc quasiment impossible de lancer une attaque sur un poste en particulier du réseau local.

 C'est pour cette raison que l'on considère dans certains cas (réseau privé de particulier) que la fonction NAT du routeur ADSL fait fonction de pare-feu et donc tous les ordinateurs de votre réseau local seront protégés contre les connexions entrante. Le firewall de votre box ne contrôle absolument pas les connexions sortantes, c'est-à-dire qu'il ne contrôle pas quels logiciels sur votre ordinateur ont le droit d'aller sur internet. Seul un pare-feu personnel peut le faire. 


-Toutefois certaines  box-routeurs proposent des configurations pare feu à paramétrer :


- Mais alors, si une application d'un utilisateur distant (individu connecté à internet) doit communiquer spécifiquement avec mon ordinateur qui est "caché" derrière ma box-routeur, comment faire  puisque le pare feu va bloquer cette intrusion?

Donc, dans ce cas, il faudra  pratiquer une redirection de port  qui consiste à rediriger des paquets réseaux reçus sur un port donné d'un équipement réseau vers un autre ordinateur ou équipement réseau sur un port donné.

Il faut donc configurer la passerelle réseau (routeur) pour transmettre à une machine spécifique du réseau interne, tous les paquets reçus sur un port particulier.
Ex: Pour accéder de l'extérieur à une caméra IP ou  un Nas (port 80), il sera nécessaire de définir une règle de redirection de port sur la passerelle, redirigeant tous les paquets TCP reçus sur son port 80 vers la machine 192.168.1.4. Ainsi, de l'extérieur, pour accéder à mon application depuis internet, il me suffira de saisir l’adresse IP de ma box routeur  suivi du numéro de port WAN, ce qui donne l'adresse : http://61.24.115.37:80 pour accéder au Nas DiskStation



Interfaces de configuration de redirection de port  (varie selon le matériel utilisé)




 Comment sécuriser le réseau sans fil wifi

1-Changez le mot de passe administrateur de votre point d'accès sans fil

Après avoir effectué l'installation de votre réseau sans fils il faut absolument changer le mot de passe administrateur et le nom du réseau (SSID)

Les mots de passe d'administration par défaut des points d'accès WiFi (modem/routeur, box ADSL,..) sont connus de tous (www.routerpasswords.com).

Votre point d'accès est livré avec un nom de réseau sans fil. Vous devez le modifier. 



2-Cryptez les données qui circulent dans votre réseau sans fils
  • Cryptage WEP (Wired Equivalent Privacy)
Ce mode n'est plus conseillé du fait de son faible niveau de sécurité. Il est aux utilisateurs de passer au mode WPA ou WPA2.




    Cryptage : Sélectionnez un niveau de cryptage WEP : 40/64 bits (10 chiffres hexadécimaux) ou 104/128 bits (26 chiffres hexadécimaux).
    Phrase de passe : Le système génère des clés WEP en utilisant une phrase de passe que vous saisissez dans le champ approprié.
    Clé 1 à Clé 4 : Vous pouvez saisir les clés WEP manuellement. Chaque clé WEP peut comporter les lettres A à F et les chiffres 0 à 9.
    Elle doit comporter 10 caractères hexadécimaux pour un cryptage à 40/64 bits ou 26 caractères hexadécimaux pour un cryptage à 104/128 bits.




  • Cryptage WPA (Wi-Fi Protected Access)
Le WPA est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le WEP. WPA a été prévu comme une solution pour remplacer le WEP

    Cryptage : La valeur par défaut est TKIP ou AES.
    Clé pré-partagée : Saisissez une clé composée de 8 à 63 caractères.
    Renouvellement de clé : Renseignez une période de renouvellement de clé pour indiquer au périphérique la fréquence à laquelle il doit changer les clés de cryptage. La période par défaut est de 3 600 secondes.

3-Filtrage des adresses MAC


Sur un réseau informatique, le filtrage par adresse MAC permet de n'autoriser que certaines machines à se connecter : il faut au préalable renseigner dans le panneau d'administration de la box l'identifiant unique (adresse MAC) de chaque machine officiellement acceptée (vos ordinateurs, smartphones, consoles, etc.). Le filtrage MAC ne concerne ici que les connexions par le Wi-Fi

Ainsi l'accès à votre réseau wifi est  particulièrement sécurisé mais  la connexion wifi d'un invité sera plus lourd à gérer !


 A savoir :
Le filtrage MAC n'est pas une solution de sécurité aussi performante qu'auparavant, certains pirates parviennent à la contourner facilement : grâce à des logiciels spécialisés (appelés sniffers), ils peuvent "écouter" à distance les informations qui circulent sur un réseau Wi-Fi, jusqu'à repérer une ou plusieurs adresses MAC acceptées sur le réseau. Bien que cela soit illégal, les pirates peuvent ensuite modifier l'adresse MAC de leur ordinateur portable, et la faire correspondre avec une adresse acceptée sur le réseau visé.


Compléments Firewall :
Commentçamarche 
Sebsauvage