[DD-WRT] Sécurisez votre réseau, installez un WiFi invité

Vous trouverez ici quelques contributions sur des sujets variés mais qui n'ont aucun rapport avec le monde de l'aérien
Règles du forum
Courtoisie envers les membres et respect envers les sociétés sont les maitre mots de ces forums. Tout manquement sera sanctionné par un rappel à l'ordre, voir une exclusion temporaire ou définitive des forums !
Avatar de l’utilisateur
FTP
Messages : 1028
Inscription : 06 mars 2004 14h41
Contact :

[DD-WRT] Sécurisez votre réseau, installez un WiFi invité

Message par FTP »

Le titre de ce tuto peut sembler bizarre à première vue... et pourtant.
Quel rapport entre la création d'un WiFi invité et la sécurisation de son réseau local personnel ?

Et bien c'est simple.
Toute introduction sur son réseau d'un objet connecté inconnu, dont on ne maîtrise pas le niveau de sécurisation ou tout simplement qui n'a pas de raison fondamentale de s'y trouver représente un risque supplémentaire en terme de sécurité. Il est susceptible d'abriter des failles de sécurité du fabriquant, un virus ou des paramétrages de sécurité bien trop permissifs qui pourront être utilisés pour s'introduire sur votre réseau et y causer des dommages (vol de données, effacement/cryptage de données puis chantage, squattage par des bots, etc., etc.).
Et je dis risque "supplémentaire" car l'introduction d'un tel appareil représente un risque de plus qui s'ajoute aux risques déjà induit par vos propres appareils, qui peuvent eux aussi comporter des failles de sécurité.

Du coup, la solution, sur le principe, semble évidente : ne pas laisser se connecter à votre réseau privé tout appareil qui n'a rien à y faire !

Et pour savoir si un smartphone, une tablette, un ordinateur ou objet connecté a des raisons de se trouver (ou pas) sur votre réseau, il suffit de répondre à ces quelques questions simples :
  • Cet appareil/objet a-il besoin d'accéder à votre imprimante ou à votre scanner ?
  • A t-il besoin d'accéder à vos données sur votre NAS (fichiers, musiques, photos, vidéos, applications) ?
  • A t-il besoin d'accéder aux données contenues sur l'un de vos ordinateurs (fichiers audio/vidéo, dossier partagés, etc.) ?
  • A t-il besoin de commander l'un de vos appareils connectés (TV, Player FAI, Apple TV, box Android, frigo, four, centrale d'alarme, caméras, etc.) ?
  • A t-il besoin d'administrer l'un de vos composants de réseau (box FAI, routeur, switch, prises CPL, etc.) ?
  • Est-ce que -vous- avez besoin d'accéder à cet appareil à travers votre réseau, -après- qu'il ait été paramétré, dans son usage courant ?
Si vous répondez "non" à toutes ces questions, alors l'appareil n'a rien à faire sur votre réseau privé. Il faut sûrement lui donner un accès Internet ok, mais pas à travers votre réseau personnel. Et ça concerne généralement :
  • tous les appareils (smartphones, tablettes et ordinateurs) de votre famille juste de passage, de vos amis et de vos invités
  • et tous vos appareils connectés dont le fonctionnement nécessite un accès Internet ok, mais pas d'accéder à votre réseau local.
Donc au final quelle est la solution ?
Et bien créer un "WiFi invité" et donner l'accès à ce WiFi à votre famille, vos amis et invités de passage, mais aussi y connecter tous vos objets qui n'ont rien à faire sur votre réseau personnel.

Voilà.
Ca semble clair, donc maintenant allons-y, on commence :)
Comment fait-on quand on dispose d'un routeur DD-WRT ?


Sommaire
1/ Créer un point d'accès virtuel (Virtual AP)
2/ Sécuriser son accès
3/ Compléter le paramétrage
4/ Optionnel : donner la priorité au WiFi privé sur le WiFi invité
5/ Tester que le WiFi invité fonctionne
6/ Basculer vos objets connectés dessus
7/ Créer un QR code pour permettre un accès facile au WiFi à vos invités


1/ Créer un point d'accès virtuel (Virtual AP)
Se connecter à l'admin de son routeur DD-WRT via un navigateur et son adresse IP (généralement 192.168.0.1 ou 192.168.1.1)
Puis...
  • Onglet Wireless > Basic Settings > Virtual Interfaces > [Add Virtual AP]
    Image
  • Wireless Network Name (SSID) > nom_de_votre_WiFi (c'est le nom de votre nouveau WiFi invité, celui qui apparaîtra dans la liste des WiFi disponibles)
    :!: Attention, seuls les caractères imprimables ASCII sont autorisés. Les accents sont interdits car ce ne sont pas des caractères ASCII. Il existe 2 astuces pour paramétrer un SSID avec accent via des caractères d'échappement ou un codage en hexadécimal, mais je ne vais pas rentrer dans ce genre d'astuce ici.
  • Wireless GUI Access > Disable (les clients du WiFi invité n'ont pas à avoir accès à l'interface du routeur)
  • Network Configuration > Unbridged (on n'est pas en train de créer un pont entre 2 points d'accès WiFi, donc "Unbridged")
  • Masquerade / NAT > Enable (donne accès à Internet aux utilisateurs du WiFi invité)
  • Net Isolation > Enable (empêche les invités de voir le reste de votre réseau local privé)
  • Forced DNS Redirection > Enable (force à utiliser les DNS ci-dessous; empêche de contourner le filtrage de contenu)
  • Optional DNS Target > 8.8.8.8 (choisir le serveur DNS de son choix, ici celui de Google mais vous pouvez choisir celui de votre FAI ou un autre)
  • IP Address > 192.168.10.1 / 24 (crée le sous-réseau dédié au WiFi invité, séparé du reste de votre réseau privé)
    :!: Choisissez un 3è chiffre différent de celui de votre réseau principal. Si votre réseau principal est en "192.168.0.1" ou "192.168.1.1", choisissez un 3ème chiffre différent comme "192.168.2.1" ou "192.168.10.1". Le "/24" à la fin correspond au masque de sous-réseau, 255.255.255.0)
  • AP Isolation > Enable (empêche les invités de se voir entre eux)
  • [Save] > [Apply Settings]

2/ Sécuriser son accès
  • Onglet Wireless > Wireless Security > Virtual Interfaces wl0.1 SSID [guest wifi] (la section de votre WiFi invité, "guest wifi" dans cet exemple)...
    Image
  • Security Mode > WPA2-PSK (WPA2 est le protocole de sécurité le plus sécurisé et PSK le mode adapté aux particuliers, sans nécessité d'un serveur Radius)
  • WPA Algorithms > CCMP-128 AES (le protocole de chiffrement CCMP est plus sécurisé que TKIP)
  • WPA Shared Key > choisir un mot de passe d'au moins 10 caractères, dont des minuscules, majuscules, chiffres et caractères spéciaux
  • [Save] > [Apply Settings]

3/ Compléter le paramétrage
En effet, comme on crée un réseau séparé/isolé de votre réseau privé principal, il faut maintenant paramétrer un serveur DHCP qui puisse distribuer des adresses IP spécifiques aux appareils qui se connecteront sur ce nouveau réseau.

Donc...
  • Onglet Services > Services > Dnsmasq
    Image
  • Dnsmasq > Enable
  • No DNS Rebind > Enable
  • Additional Dnsmasq Options > Copier les lignes suivantes...

    Code : Tout sélectionner

    interface=wl0.1
    dhcp-option=wl0.1,3,192.168.10.1
    dhcp-range=wl0.1,192.168.10.150,192.168.10.199,255.255.255.0,12h
    Les éléments à personnaliser étant :
    - interface=wl0.1 : l'interface du WiFi invité
    - dhcp-option=wl0.1,3,192.168.10.1 : l'adresse du réseau WiFi invité
    - dhcp-range=wl0.1,192.168.10.150,192.168.10.199,255.255.255.0,12h : la plage d'adresses pour les clients du WiFi invité
  • [Save] > [Apply Settings]
Enfin, il peut arriver dans de très rares cas que le service de Point d'accès virtuel ait du mal à démarrer après un reboot du routeur. Vous ne seriez pas chanceux si vous êtes dans ce cas, mais si ça vous arrive (et uniquement dans ce cas), vous pouvez 1/ mettre à jour DD-WRT pour un firmware récent (>40566) et 2/ appliquer ce fix tout simple pour sécuriser le bon démarrage du WiFi invité à chaque boot/reboot du routeur :
  • Onglet Administration > Commands > Copier les lignes suivantes dans Commands...

    Code : Tout sélectionner

    sleep10
    stopservice nas
    stopservice wlconf
    startservice wlconf
    startservice nas
  • [Save Statup]
    Image

4/ Optionnel : donner la priorité au WiFi privé sur le WiFi invité
Enfin, vous pouvez en passer par un tout dernier paramètre, tout à fait optionnel.
En effet, en cas de forte utilisation de la bande passante (si vous avez une bande de copains/copines qui passent leur temps à chacun/chacune regarder des vidéos différentes en streaming :wink: ), alors vous pouvez vouloir donner une priorité aux appareils qui sont sur votre réseau privé, par rapport à ceux qui sont sur le réseau invité.

Pour ce faire, vous pouvez aller dans...
  • Onglet NAT / QoS > QoS > QoS Settings > Start QoS > Enable
    Image
  • Netmask Priority > 192.168.0.1 / 24 > [Add]
  • Netmask Priority > 192.168.10.1 / 24 > [Add]
  • Netmask Priority > ligne 192.168.0.1 > Premium
  • Netmask Priority > ligne 192.168.10.1 > Bulk
  • [Save] > [Apply Settings]
:!: Attention cependant si vous utilisez IPv6. Il peut arriver que l'usage des fonctionnalités de Quality of Service (QoS) perturbe le fonctionnement d'IPv6 ! Donc faites des essais et si ça vous créé des problèmes, désactivez cette gestion des priorités.


5/ Tester que le WiFi invité fonctionne
Voilà, on y est.
Cette fois tout devrait être prêt, il est temps de tester ce nouveau WiFi invité.
Pour cela...
  • Onglet Administration > Management > [Reboot Router]
  • Puis, une fois que le routeur aura complètement redémarré, vous pourrez essayer de vous connecter au nouveau WiFi en le trouvant sous le nom paramétré au §1 et en vous connectant avec le mot de passe paramétré au §2
Si tout va bien, vous devriez donc maintenant avoir un WiFi invité fonctionnel ! :)


6/ Basculer vos objets connectés dessus
L'étape suivante consiste en effet à reparamétrer l'accès WiFi/internet de tous les objets connectés dont vous auriez identifié qu'ils n'ont plus rien à faire sur votre réseau privé.

Voici quelques exemples pour mieux illustrer l'idée :
  • Une station météo Netatmo. Cet objet connecté nécessite un accès Internet WiFi, ok. Mais une fois le WiFi paramétré en connectant la station à un ordinateur en USB, on n'a plus jamais besoin de se connecter directement à la station. En effet, son principe de fonctionnement est que la station collecte les données de ses capteurs, les envoi toutes sur les serveurs de Netatmo et ensuite, que ce soit via une app Netatmo ou leur l'interface web, on accède aux données et au paramétrage de la station en se connectant à son compte Netatmo, via Internet; pas en se connectant directement à la station via son réseau local.
  • Une montre connectée Samsung. Cet objet connecté nécessite aussi un accès Internet WiFi, notamment pour les mises à jour de l'OS et des apps. Mais ensuite, les autres interactions avec la montre se font toutes via deux app sur smartphone, en Bluetooth. On n'a donc jamais besoin d'accéder à la montre via son réseau local.
  • Une caméra IP. Là ça dépend de votre besoin, elle peut être paramétrée pour n'être accessible qu'en local, mais si vous voulez pouvoir monitorer ce qu'il se passe depuis l'extérieur du bâtiment où est situé la caméra, vous aurez besoin de lui ouvrir un accès depuis Internet. Du coup, si c'est votre cas, cet accès via Internet pourra devenir votre accès par défaut et vous n'aurez plus besoin d'accéder à la caméra via votre réseau local. Elle pourra donc se trouver sur le WiFi invité, isolée de votre réseau local privé et vous accéderez à la caméra via les outils du fabriquant, souvent une app et/ou un portail web.
  • Etc.
Donc, maintenant qu'on a mieux cerné le contexte, pour reparamétrer le WiFi de ces appareils il faut malheureusement suivre des procédures différentes pour chaque objet connecté. Je ne peux donc pas décrire ici de procédure type. Néanmoins, la plupart du temps il y a 3 grandes manières de procéder :
  • soit il faut connecter l'appareil en filaire à un ordinateur (souvent en USB, parfois en Ethernet) pour accéder à son paramétrage et ainsi pouvoir paramétrer le WiFi invité comme accès Internet,
  • soit on se connecte à l'objet en Bluetooth, via une app, pour accéder à son paramétrage et ainsi pouvoir paramétrer le WiFi invité comme accès Internet,
  • soit enfin, l'appareil dispose d'un écran ou se connecte en filaire à un écran (comme une TV) et vous permet ainsi de paramétrer le WiFi invité directement dessus.

7/ Créer un QR code pour permettre un accès facile au WiFi à vos invités
Dernière chose, pour faciliter l'accès à votre nouveau WiFi invité pour votre famille ou vos amis, vous pouvez en plus créer un QR code qui va leur permettre de se connecter sans effort, sans rien avoir à saisir du tout !
L'idée ici est triple :
  • maintenir un haut niveau de sécurisation de votre réseau en conservant un mot de passe long et compliqué même pour le WiFi invité
  • ne plus communiquer ce mot de passe en clair à qui que ce soit, puisque vos invités n'auront plus à le taper,
  • tout en facilitant la connexion au WiFi pour vos invités grâce à l'usage de ce QR code.
Donc pour cela :
  • Se rendre sur un site offrant de créer gratuitement des QR codes permettant de se connecter à un WiFi, comme celui-ci...
    https://goqr.me/#t=wifi

    :!: Attention, de nombreux sites n'offrent pas de créer de véritables QR codes qui fonctionnent de manière autonome. Trop souvent ils ne créent que des raccourcis qui renvoient vers le site de l'outil de création de QR code, qui ensuite renvoi l'action à réaliser. Ce type de technique peut avoir son intérêt pour traquer l'historique des scans ou pouvoir changer (mettre à jour) l'action derrière le QR code à tout moment. Mais... 1/ elle ne fonctionne pas si on n'a pas déjà accès à Internet (or on chercher ici précisément à donner accès à Internet) et 2/ elle est dangereuse car le prestataire voit tout le contenu de vos QR codes, qui les scanne, quand et s'il est vraiment malveillant, peut même changer leur action pour leur faire faire autre chose. C'est donc à éviter absolument si vous n'avez pas une raison impérative d'utiliser ce genre de technique, et encore, il faut bien choisir votre prestataire.

    Image
  • Encryption : WPA (fonctionne aussi bien que ce soit du WPA 1ère génération ou WPA2)
  • SSID/network name : le nom de votre WiFi invité
  • Password : le mot de passe de votre WiFi invité
  • [Download]
    Image
  • Vous pouvez ensuite jouer sur les paramètres de couleur (Foreground, Background, mais je vous conseille de garder un fort contraste) et de taille (Size)
  • Puis cliquer sur [PNG] pour télécharger une image de taille fixe du QR code, ou [SVG] si vous voulez une version vectorielle redimensionnable
  • Enfin, vous pourrez imprimer ce QR code, ou le garder sur votre smartphone pour pouvoir le montrer à tout invité à qui vous souhaiteriez donner accès à votre WiFi invité.

Voilà. Votre réseau local privé est maintenant isolé et protégé contre toute intrusion qui pourrait venir d'appareils d'invités (y compris à leur insu) ou d'objets connectés trop faiblement sécurisés :)
L'urgent est fait, l'impossible est en cours, pour les miracles prévoir 24h !