network Avant de plonger dans la configuration d'un routeur, il est indispensable de savoir ce que c'est.
Un routeur n'est pas:
- un modem
- un switch
- un ordinateur
- un modem pour le téléphone
- une boite à tout faire
Le rôle d'un routeur comme son nom l'indique est de définir une route, une route entre deux réseaux, dans le cas d'une box (livebox, freebox, ...) il défini une route de l'Internet vers votre interne, c'est à dire vos machines et (donc) le routeur.
Le routeur permet donc non pas à un ordinateur seul mais à tout un réseau d'accéder à un autre réseau. Les box fournies par les fournisseurs d'accès Internet ne sont pas de simples routeur mais des routeurs modem, en effet un simple routeur fait une route entre deux réseaux mais n'est pas forcément relié à une prise téléphonique, et un téléphone est encore plus rarement connecté à un routeur.
Les box sont des machines à tout faire et pour que cela puisse se faire il faut un système d'exploitation. Ce système est paramétrable à souhait pour les experts. Le reste est paramétrable selon la volonté de l'opérateur.
C'est ceci qui explique des énormes "défauts" de configuration car pour paramètrer une box il faut un mot de passe et les constructeurs n'ont pas pensé à définir un mot de passe aléatoire ou définissable par l'utilisateur mais au contraire ont laissé des mots de passe par défauts, facilement trouvables sur Internet.
Cette liste peut être utile pour un technicien mobile, mais le comble de cela est le fait que certaine box sont configurables depuis l'extérieur, depuis l'Internet. Pour sécuriser son réseau il faut bien entendu des ordinateurs qui se mettent à jour aussi bien au niveau de Windows (ou Linux) qu'au niveau applicatif (Internet Explorer, Firefox, Antivirus, Firewall, ...).
Les box ont elles aussi des mises à jour, et il est important de les vérifier depuis l'interface web proposée.
Je vous présente une liste de mot de passes par défaut, qui n'est pas là pour pirater les routeurs ou les box mais pour vous permettre de les configurer sans avoir à chercher le mot de passe. Voici donc une liste non exhaustive de mot de passes par défaut ainsi que des adresses IP par défaut pour différentes box et routeurs :.
// Routeur Utilisateur Mot de passe Adresse IP //----------------------------------------------------------------- Alice alice alice 192.168.1.1 Alice root h4y2sv10 192.168.1.1 Alice support dyguhbti 192.168.1.1 Alice [ vide ] [ vide ] 192.168.3.1 ClubInternet root clubadmin 192.168.1.1 ClubInternet root clubadmin 10.0.0.138 Livebox : Inventel admin admin 192.168.1.1 CBox admin 192.168.30.1 Livebox : Sagem admin admin 192.168.0.1 Freebox [ vide ] [ vide ] 192.168.1.1 // Routeur Utilisateur Mot de passe Adresse IP //----------------------------------------------------------------- Linksys [ vide ] admin 192.168.1.1 Cisco cisco cisco [ port COM ] D-Link DI704P administrator admin 192.168.0.1 SMC Barricad 704ABR admin [ vide ] 192.168.2.1 Netgear admin 1234 192.168.0.1 Netgear WGT624 admin password 192.168.0.1 Draytek Vigor 2200 [ vide ] [ vide ] 192.168.1.1 Belkin 4-Ports admin [ vide ] 192.168.2.1 Nexland ISB Pro admin [ vide ] 192.168.0.1 ASUS AAM 6600EV adsl adsl1234 192.168.1.1
Le danger est qu'ils sont connus de tous il faut absolument changer le mot de passe, cela me donne également l'occasion de vous rappeler qu'il ne faut surtout pas oublié de sécuriser votre ordinateur avec un mot de passe pour le compte Administrateur sur Windows XP Professionnel puisque par défaut il n'y a pas de mot de passes.
Il y a plusieurs méthodes pour créer un mot de passe suffisament complexe :
- Ecrire une phrase, par exemple : J'ai 1 PC Securisé
- Utiliser un moyen mémotechnique, c'est à dire la première lettre de chaque mot plus le nombre de lettre :
La phrase= Tu ne me pirateras pas Vilain Hacker 7 --> Le mot de passe= TnmppVH7
- Avoir les mains baladeuses :
On peut taper les 4 lettres en dessous de azerty, avec les 2ères en miniscules, les 2 autres en majuscules puis la même chose en partant de "m" jusqu'à "j" et insérer des chiffres au milieu par exemple "81" (l'année de naissance par exemple) --> Le mot de passe= qsDF81mlKJ
Une fois le mot de passe redéfini il faut maintenant passer à la configuration du NAT et du PAT.
NAT :
Les initiales signifient Network Advanced Translation, il s'agit donc d'une traduction d'adresse d'un réseau vers un autre. En fait le NAT est utilisé pour outre-passer un port, par exemple le routeur bloque tout les ports mais le port 4661 est outre-passé pour la machine d'adresse IP 192.168.1.20. On aura donc dans la table de NAT :
-------------------------------------------------------------------------------------
TCP 58000 (?) 5800 (vnc-java) 192.168.1.21
Avec ceci on aura accès de l'extérieur, donc d'Internet à notre ordinateur d'adresse IP 192.168.1.21 sur lequel est installé VNC (programme de prise en main à distance) en allant sur le lien :
http://adresse_ip_externe:58000/ <- le 58000 au lieu de 5800 est volontaire pour éviter les tentatives d'intrusion trop fréquentes
On peut donc imaginer contrôler volontairement le routeur depuis l'extérieur, après avoir bien entendu un mot de passe suffisament fort (12 caractères minimum, 2 chiffres, 2 symboles, 2 majuscules, 2 minuscules)
-------------------------------------------------------------------------------------
TCP 8080 (?) 80 (http) 192.168.1.1
ainsi on aura accès au routeur via http://adresse_ip_externe:8080/
PAT : Les initiales signifient Port Advanced Translation, il s'agit cette fois-ci de traduire un port vers un réseau, l'idée est de fournir un port accessible depuis l'exterieur sur un ensemble de machines, c'est assez similaire au NAT à la différence que on ne définira pas l'adresse IP d'un poste (ou serveur) mais une adresse réseau :
-------------------------------------------------------------------------------------
TCP 58000 (?) 5800 (vnc-java) 192.168.1.0/24
Un exemple concret oà le PAT est utile c'est pour dispatcher une demande sur plusieurs serveurs, par exemple si une entreprise a une dizaine de serveurs Web un PAT sera configuré afin de donner accès aux serveurs plutôt que de faire du NAT sur chacun des serveurs. Voici un schéma explicatif :
Concernant le Wifi, je n'ai pas de remède miracle à proposer, WPA, WPA2, c'est sûr que c'est plus sécurisé que le WEP, mais il faut savoir qu'un algorithme n'est jamais fiable sur une durée infinie, de plus qu'un accès de l'exterieur peut provoquer des attaques, des tentatives, car exposé à tout les lamer environnants . Même si l'attaque échoue il existe toujours des gens qui auront l'intention de pirater ça, ne serait-ce par challenge.
Personnellement je l'ai désactivé chez moi, étant donné que j'habite un endroit oà il y a probablement une cinquantaine de personne autours de moi qui peuvent voir mon point d'accès, certainement plus.
Des différentes protections proposées celle que je préfère est le fait de masquer le point d'accès. Même si avec un sniffer et des tentatives de connexion on peut trouver le nom - ou le deviner, par exemple les points d'accès caché sont souvent chez Free (donc le ESSID est freephonie, s'il n'est pas changé) ou chez Club-Internet. La protection est bonne mais ce qui en prend un coup c'est la facilité de connexion. Pour se connecter il faut souvent utiliser le logiciel fourni.
Le filtrage d'adresse MAC, est bien mais léger dans le sens oà il suffit que la personne ayant accès soit connectée pour lui piquer son adresse MAC. Il suffit ensuite au hacker de prendre son adresse MAC et se connecter.
Personnelement je banni de wifi de mon réseau local si je le veux vraiment sécurisé, maintenant il convient selon le besoin de l'utiliser ou non.
Le but de ce tutoriel est de vous sensibiliser sur la configuration par défaut. Rien ne doit être laissé au hasard, surtout en terme de sécurité.
Quelques liens utiles:
Le routage
Configurer son routeur
=> Écrit par : Nicolas, le 05 décembre 2007
