Construisez votre propre routeur/pare-feu, ou ajoutez simplement un VPN

X

Privacy & Cookies

Ce site utilise des cookies. En continuant, vous acceptez leur utilisation. En savoir plus, y compris comment contrôler les cookies.

Got It!

Publicités

Il y a vingt ans, l’Internet à large bande a commencé à décoller et les gens voulaient avoir la possibilité de mettre en réseau plus d’un ordinateur sur leur nouvelle connexion, alors les routeurs de réseau domestique de Linksys et d’autres fournisseurs sont devenus populaires. C’était l’époque où les compagnies de DSL et de câble vous obligeaient à cloner l’adresse MAC de votre ordinateur afin de leur faire croire que vous n’aviez qu’UN seul appareil connecté à leur système. Ces premiers routeurs n’avaient pas trop de sécurité intégrée, mais fournissaient une traduction d’adresse réseau (NAT) et faisaient essentiellement le travail.

Puis le « wifi » est devenu une chose et les routeurs sans fil ont été ajoutés au mélange. Je pense qu’à un moment donné, tout le monde a dû posséder un Linksys WRT-54G (qui a été le plus long routeur sans fil produit en continu, de Linksys en tant que société indépendante, à après l’acquisition de LinkSys par Cisco, et de retour lorsque Linksys a cessé de faire partie de Cisco).

Donc il n’y a aucune raison autre que « l’enfer de celui-ci » que quelqu’un doit construire son propre routeur et son appareil de pare-feu. Cependant, il y a beaucoup de satisfaction à faire des choses pour « l’enfer de cela ». Bien sûr, les listes publiées d’exploits connus pour les logiciels des fournisseurs utilisés par diverses menaces persistantes avancées (APT) et d’autres cyberacteurs malveillants font que prendre plus de contrôle de votre matériel/logiciel/réseau est une étape prudente.

Pour un routeur/pare-feu standard, vous aurez besoin d’un ordinateur avec deux cartes d’interface réseau (NIC). L’une peut être câblée ethernet, l’autre peut être sans fil si vous prévoyez juste d’avoir un réseau sans fil, bien que ma préférence soit au moins deux NIC ethernet. Mon routeur/pare-feu personnel est un de ces ordinateurs industriels compacts fabriqués en Chine, équipé de quatre cartes NIC gigabit de marque Intel, que j’ai obtenu pour pas cher il y a deux ans. Mais littéralement n’importe quel PC avec deux NIC fera l’affaire à ce stade parce que le logiciel pour faire fonctionner un routeur/pare-feu est si léger.

pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, sont juste quelques-unes des distributions qui peuvent fonctionner pour transformer un vieil ordinateur en routeur/pare-feu. Si vous avez un vieux routeur qui n’est plus supporté par le fabricant pour les mises à jour logicielles, je me tournerais vers OpenWRT comme premier choix pour flasher le firmware et obtenir les mises à jour de sécurité supportées par la communauté. Ironiquement, beaucoup de routeurs commerciaux dans la gamme de prix inférieure fonctionnent déjà avec OpenWRT ou une légère variation de celui-ci.

So…. qu’est-ce que je recommande à la fin de 2019 ? Eh bien si vous voulez utiliser un vrai PC avec un processeur x86 (32 ou 64 bits), je recommande opnsense, et si vous voulez utiliser autre chose alors OpenWRT si vous le pouvez. L’exception à cela est si vous utilisez un équipement Ubiquiti, qui est construit pour exécuter leur version du logiciel basé sur VyOS (bien que VyOS soit en ligne de commande seulement, pas d’interface web pratique), donc se familiariser avec VyOS est probablement mieux pour cette seule situation.

Ce que vous DEVRIEZ faire si vous construisez votre propre appareil.

Constituez votre propre réseau privé virtuel (VPN) que vous pouvez utiliser pour revenir par tunnel à votre réseau domestique lorsque vous voyagez. Cela vous permettra d’utiliser le WiFi public de manière beaucoup plus sécurisée, car votre trafic sera crypté depuis votre appareil mobile jusqu’à votre routeur/pare-feu. Comme le gouvernement et l’industrie savent déjà que vous payez pour un service Internet à domicile, ils voient que vous naviguez depuis chez vous, et les fouineurs ne peuvent pas s’emparer de vos comptes, de vos numéros de carte de crédit ou de débit, ou d’autres données sensibles. L’inconvénient est une performance légèrement inférieure, mais la sécurité a TOUJOURS un impact sur la performance.

Quel logiciel VPN devriez-vous utiliser ? J’utilise actuellement OpenVPN car il est livré groupé dans pfsense que j’utilise déjà. OpenVPN a également des applications client pour les smartphones (vous pouvez les télécharger à partir du magasin d’applications approprié) et il a beaucoup de soutien de l’industrie / de la communauté. L’inconvénient d’OpenVPN est qu’il n’est pas fondamentalement facile à configurer (j’ai dû modifier manuellement le fichier de configuration du client pour que la connexion de mon ordinateur portable fonctionne), et les applications de connexion ne sont pas toujours les plus stables. Il y a beaucoup de bruit autour de Wireguard comme solution, et Wireguard a été intégré au noyau de nombreuses distributions Linux. L’inconvénient de Wireguard est qu’il s’agit toujours d’un « travail en cours » en termes de développement logiciel et qu’ils travaillent toujours vers une version stable 1.0 (ce qui signifie que si vous adoptez maintenant, vous êtes essentiellement un testeur bêta).

Alors…pourquoi devriez-vous construire votre propre routeur et configurer votre propre VPN ? C’est vraiment juste « pour le plaisir » ou vous ne voulez pas payer des frais mensuels à un service VPN commercial. Je ne recommande pas les services « VPN gratuits » car je soupçonne qu’ils sont tous des efforts de collecte de renseignements par divers acteurs étatiques (principalement la Chine). En ce qui concerne les services VPN payants qui promettent de ne pas regarder votre trafic, supposez qu’ils mentent (la paranoïa dans les communications est une BONNE chose). Et en ce qui concerne les services VPN payants, caveat emptor.

Plus de contexte sur les dangers des services VPN gratuits et payants : https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms

Si vous avez déjà votre réseau configuré comme vous l’aimez, et que vous voulez simplement ajouter une sécurité supplémentaire avec votre propre VPN, l’ancienne solution VPN Traffic Layer Security (TLS) utilisant un Raspberry Pi de faible puissance est une excellente option : https://pimylifeup.com/raspberry-pi-vpn-server/ et vous pouvez utiliser un client OpenVPN pour vos besoins de tunneling lorsque vous êtes sur la route.

En résumé, beaucoup de ces projets ne sont pas « gratuits » en termes de matériel, de frustration ou de temps. Certains d’entre eux ont une courbe d’apprentissage. Cependant, tous sont de bonnes choses à faire afin d’augmenter votre niveau de sécurité de l’information.

Publicités

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.