mercredi 2 novembre 2011

Améliorer la sécurité de son réseau Wi-Fi

Modifier le mot de passe par défaut

Avec des mots de passe comme 1234 ou admin, la protection de la console de gestion des points d’accès et des routeurs n’est pas ce qu’il y a de plus sûre ! Mieux vaut donc définir son propre mot de passe pour éviter que n'importe qui puisse modifier votre configuration réseau.

Rappel : Les modifications sont effectuées avec la Livebox

  1. Dans votre navigateur Internet, saisissez l’adresse de l’interface de configuration de votre matériel Wifi, 192.168.1.1 par exemple puis appuyez sur Entrée.



  2. Dans la boite de dialogue de connexion qui s'ouvre, saisissez votre nom d'utilisateur et votre mot de passe puis validez par Entrée.

  3. L’interface de configuration de votre routeur s’ouvre alors. Cliquez sur le menu Contrôle d'accès puis sur le boutonChanger le mot de passe.

  4. Saisissez alors votre ancien mot de passe puis votre nouveau mot de passe dans les champs prévus à cet effet. Saisissez ce dernier une seconde fois pour le confirmer puis cliquez sur le bouton Appliquer.


    Modifier l’adresse IP du routeur

    Toujours pour plus de sécurité et pour brouiller les pistes, vous pouvez modifier l’adresse IP du routeur qui est généralement la même pour toutes les marques, à savoir 192.168.1.1.
    1. Toujours dans l’interface du routeur, cliquez sur le menuConfiguration avancée.



    2. Cliquez ensuite sur le menu Ligne ADSL puis sur Configurer.

    3. Sélectionnez l'interface eth0 d'adresse IP 192.168.1.1 puis cliquez sur le bouton Configurer l'interface.

    4. Saisissez alors la nouvelle adresse IP du routeur dans le champ Adresse IP.

    5. Cliquez enfin sur le bouton Appliquer.
    Choix de l'adresse IP
    Si vous choisissez une adresse IP en dehors du réseau 192.168.1.0 (192.168.1.1-192.168.1.255), 192.168.7.5 par exemple, sachez que le serveur DHCP de la Livebox ne sera pas capable de fournir automatiquement des adresses de ce nouveau réseau (192.168.7.0 ici) à vos ordinateurs. Vous devrez alors obligatoirement désactiver le serveur DHCP et renseigner manuellement les paramètres réseaux sur votre ordinateur.

    Désactiver le serveur DHCP

    Le serveur DHCP de votre routeur permet d'attribuer automatiquement à une machine qui se connecte une adresse IP, un masque de sous réseau, une passerelle et les adresses DNS…, c'est-à-dire tous les paramètres réseau nécessaires pour accéder au réseau.

    En désactivant le serveur DHCP, vous compliquerez la tâche des éventuels pirates. En effet, ces derniers devront connaître préalablement les informations de votre réseau puisqu'elles ne sont plus fournies automatiquement.
    1. Dans l'interface du routeur, revenez à l'interface Basique en cliquant sur le bouton Menu Basique puis cliquez sur le menu Paramétrage LAN & DHCP.

    2. Cliquez alors sur le bouton Arrêter puis sur Maintenant pour appliquer la modification. Cliquez ensuite sur le boutonSuivant.

    3. Vous devez désormais indiquer à vos ordinateurs les nouveaux paramètres réseau. Cliquez pour cela sur le boutonDémarrer, sur Paramètres puis sur Connexions réseau.
    4. Cliquez avec le bouton droit sur l'icône Connexion réseau sans fil puis sélectionnez la commande Propriétés.

    5. Dans la fenêtre qui s'ouvre, cliquez sur l'élément Protocole Internet (TCP/IP) puis cliquez sur le bouton Propriétés.

    6. Sélectionnez l'option Utiliser l'adresse IP suivante.
    7. Saisissez alors l'adresse IP à attribuer à votre ordinateur dans la zone de texte Adresse IP.

      Adresse IP de la LiveboxAdresses IP disponibles pour vos ordinateurs
      192.168.1.1De 192.168.1.2 jusqu'à 192.168.1.254
      192.168.2.1De 192.168.2.2 jusqu'à 192.168.2.254
      192.168.3.1De 192.168.3.2 jusqu'à 192.168.3.254
      192.168.7.60De 192.168.7.1 jusqu'à 192.168.7.59 puis de192.168.7.61 jusqu'à 192.168.7.254

      Cette adresse doit être unique et se trouver dans la plage d'adresses gérée par le routeur.

    8. Saisissez 255.255.255.0 dans la zone de texte Masque de sous-réseau.
    9. Dans la zone de texte Passerelle par défaut saisissez l'adresse IP de votre Livebox, c'est-à-dire celle que vous avez définie à l'étape précédente.

    10. Sélectionnez l'option Utiliser l'adresse de serveur DNS suivante.
    11. Dans la zone de texte Serveur DNS préféré, écrivez l'adresse que vous avez précédemment saisie pour la passerelle par défaut, c'est-à-dire l'adresse IP de votre routeur.

    12. Validez par OK.


    13. Modifier l’identifiant réseau

      Pour vous connecter à votre point d’accès, il est indispensable de connaître l’identifiant de réseau, appelé aussi SSID. Or par défaut, cet identifiant peut donner aux pirates des éléments d’information sur la marque ou le modèle de votre matériel. Mieux vaut donc le modifier par quelque chose d’un peu plus personnel.
      1. Dans l’interface du routeur, cliquez sur le menu Réseau sans fil.



        0
      2. Saisissez alors votre nouvel identifiant réseau dans la zone de texte SSID de la rubrique Paramétrage du réseau sans fil.

        0
      3. Appliquez alors les modifications en cliquant sur le bouton Appliquer.
      Attention à la déconnexion
      Si vous effectuez la configuration de votre routeur à l’aide d’une connexion sans fil, vous risquez d’être déconnecté après voir changé l’identifiant du réseau. Il en sera de même par la suite lorsque vous configurerez le chiffrement des données. Mieux vaut donc effectuer ces manipulations depuis un ordinateur relié par un câble au routeur. Si vous en n’avez pas, notez bien tous les paramètres que vous modifiez, notamment la clé WEP ou WPA pour pouvoir vous reconnecter au routeur sans fil.


      Désactiver le SSID Broadcast
      Si votre matériel le permet (ce n'est pas possible avec la Livebox), désactivez la fonctionnalité de broadcast qui diffuse un peu partout votre identifiant réseau. Fixez ainsi l’option SSID Broadcast à Désactivé.

    Filtrer les adresses MAC

    Chaque adaptateur réseau possède une adresse physique qui lui est propre, ce qu’on appelle l’adresse MAC. Cette adresse est représentée par 12 chiffres hexadécimaux groupés par paire et séparés par des tirets. Pour que seules vos machines puissent se connecter à votre réseau sans fil, vous pouvez définir une liste de droit d’accès (ACL) basées sur leurs adresses MAC.

    Avant de définir le filtrage MAC, vous devez trouver les adresses MAC des adaptateurs réseau des ordinateurs devant se connecter à votre routeur en Wi-Fi.
    1. Sous Windows, cliquez sur le bouton Démarrer, sur Exécuter, saisissez la commande cmd puis cliquez sur le bouton OK.
    2. Dans la fenêtre de commandes qui s'ouvre, saisissez la commandeipconfig /all puis validez par Entrée.

      0
    3. Votre configuration réseau est affichée avec pour chaque carte réseau, son Adresse physique, c'est-à-dire son adresse MAC. Notez l'adresse correspondant à la Carte Ethernet Connexion réseau sans fil.

      0
    4. Recommencez l'opération pour les autres ordinateurs qui doivent accéder en Wi-Fi à la Livebox.
    5. Dans l'interface de la Livebox, cliquez sur le menu Réseau sans fil.
    6. Sélectionnez l'option Adresse MAC Activé puis cliquez sur le bouton Editer la liste de filtre MAC.

      0
    7. Sélectionnez l'option Permettre seulement aux ordinateurs listés d'accéder au réseau sans fil.
    8. Saisissez l'adresse MAC de l'adaptateur Wi-Fi de votre ordinateur dans la zone de texte Adresse MAC. Cliquez sur le bouton Ajouter.

      0
    9. Recommencez l'opération pour tous les ordinateurs que vous souhaitez autoriser se connecter sans fil à la Livebox.
    10. Cliquez enfin sur le bouton Fermer puis enregistrez les modifications.


    11. Chiffrer les données transmises

      Seuls vos ordinateurs peuvent désormais se connecter à votre réseau sans fil. Mais qu’en est t’il des données transmises ? N’importe qui dans la zone de couverture de votre réseau Wi-Fi peut en effet intercepter les paquets qui transitent pour analyser et lire leur contenu. Pour vous protéger cela, une seule solution : chiffrer les échanges. Pour cela, le Wi-Fi intègre un mécanisme de chiffrement des données, il s’agit du WEP pour Wired equivalent privacy.

      Efficacité du WEP
      Avec un cryptage symétrique de 40 ou 128 bits, le WEP n’offre pas une protection de vos données à 100 %. En effet, la clé WEP ne changeant pas régulièrement, il suffit à un pirate d’écouter les transmissions échangées pour en déduire après un certains temps votre clé WEP. Pour augmenter l’efficacité du WEP, nous vous conseillons donc de changer régulièrement votre clé, une fois par semaine par exemple.

      Pour les entreprises nécessitant une confidentialité accrue, mieux vaut alors se tourner vers une authentification par un serveur radius ou LDAP ou bien encore passer par un VPN.

      En activant le cryptage des données WEP vous devez savoir que les performances de votre réseau seront alors réduites. Selon le matériel, le chiffrement et le déchiffrement des données peuvent entraîner de 10 à 30 % de pertes de performances. A vous alors de choisir entre vitesse et sécurité. Pour nous, c’est tout vu…

      Qu'en est t'il du WPA ?
      En attendant la mise en place de la norme 802.11i destinée à sécuriser fortement les réseaux sans fil, l'Alliance Wi-Fi a développé la norme WPA (Wi-Fi Protected Access) afin de combler les trous de sécurité du WEP. Le chiffrement est amélioré par rapport au WEP et il est possible de mettre en place une authentification des utilisateurs par EAP (Extensible Authentification Protocol). Cela est cependant réservé aux entreprises pouvant mettre en place un serveur d'authentification EAP.

      Un mode spécial de WPA (WPA-PSK : Pre Shared Key) existe toutefois afin de permettre à tout le monde de profiter de l'amélioration du chiffrement sans disposer de serveur d'authentification.

      Si votre matériel le permet, choisissez donc un chiffrement des données WPA.
      1. Dans l'interface de la Livebox, cliquez sur le menu Réseau sans fil.
      2. Dans la rubrique Paramétrage du réseau sans fil, déroulez la liste Sécurité puis sélectionnez l'option WPA.



        0
      3. Cliquez sur le bouton Configuration WPA.

        0
      4. Saisissez une phrase complexe de votre choix dans le champ Passphrase. Pour une sécurité accrue, veillez à mélanger des lettres et des chiffres et à ce que votre phrase fasse au moins 32 signes de longueur.
      5. Déroulez la liste Encryptage puis sélectionnez l'option TKIP. Si votre carte réseau le permet (référez-vous à sa documentation), préférez l'encryptage AES qui est beaucoup plus efficace.

        0
      6. Cliquez enfin sur le bouton Appliquer puis enregistrez les modifications.
      Définir une clé complexe
      Pour qu'une clé soit complexe, il faut qu'elle soit longue, qu'elle soit composée de caractères alpha numérique et également de caractères spéciaux si cela est possible.
      Pour vous aider à en choisir une nouvelle clé, vous pouvez utiliser un générateur automatique de mot de passe, comme celui intégré au logiciel KeePass.

      Pour un filtrage WEP, votre clé devra faire 26 caractères de long, tandis que pour un filtrage WPA, elle pourra avoir une longueur d'au moins 32 caractères. Cliquez ici pour savoir comment générer automatiquement une clé complexe.



      Configurer ses PC

      Il ne vous reste alors plus qu’à configurer vos machines pour qu’elles puissent se connecter à votre réseau Wi-Fi désormais sécurisé.
      1. Sous Windows XP, ouvrez la fenêtre de Connexion réseau qui est accessible par le Panneau de configuration.
      2. Cliquez avec le bouton droit de la souris sur votre connexion réseau sans fil puis cliquez sur la commande Propriétés. Cliquez ensuite sur l’onglet Configuration réseau sans fil.
      3. Cochez alors la case Utiliser Windows pour configurer mon réseau sans fil.

        0
      4. Cliquez ainsi sur le bouton Ajouter dans la rubrique Réseaux favoris.
      5. Saisissez dans la zone de texte Nom réseau (SSID), l’identifiant réseau que vous avez défini dans le routeur.

        0
      6. Déroulez ensuite la liste Authentification réseau puis sélectionnez l’option WPA-PSK.
      7. Vérifiez alors que l’option TKIP est bien sélectionnée dans la liste Cryptage des données. Si votre carte réseau le permet et que vous avez sélectionné le cryptage AES dans la Livebox, sélectionnez alors l'option AES.

        0
      8. Décochez ensuite la case La clé m’est fournie automatiquement puis saisissez la clé WPA ou WEP que vous avez définie sur le routeur. Saisissez-la une seconde fois dans la zone de texte Confirmez la clé réseau.

        0
      9. Validez enfin par OK. Votre connexion sans fil est de nouveau opérationnelle et est maintenant sécurisée.
    Source : PcAstuce