92 est la moitié de 99

Mesures et plans d'urgence

Une voie vers la résilience grâce à des mesures de protection principalement techniques

Afin d'élever un réseau domestique à un niveau de sécurité élevé, des mesures techniques allant au-delà des configurations de base sont essentielles. Celles-ci s'étendent de la Sécurisation du routeur sur la plus complète possible Vérification des composants jusqu'à la segmentation intelligente du réseau et la planification de la protection contre les pannes. (ou au moins une fois une expérience de pensée pour savoir si et combien de temps vous allez faire face à une panne même sans)

Comme nous l'avons déjà dit, il faut compter 100% Adieu la sécurité, il ne peut pas y avoir de sécurité absolue vraiment entièrement réalisable. Essayons donc d’abord la marque du « Level92 », qui est importante pour nous sur le plan psychologique, afin d’en obtenir le plus possible avec peu d’efforts.

Authentification à deux facteurs (2FA) / authentification multifacteur (MFA) pour le réseau (routeur)Accès:

  • Qu'est-ce que c'est: 2FA ou MFA ajoute une couche de sécurité supplémentaire qui nécessite deux formes d'identification différentes: quelque chose que l'utilisateur sait (mot de passe) et quelque chose qu'il possède (par exemple, un smartphone avec une application Authenticator).
     
  • Prise en charge de FritzBox: Les routeurs FRITZ!Box plus récents prennent en charge 2FA pour l'accès administrateur local et à distance via MyFRITZ!. Les appareils plus anciens, après tout, pour le changement de configuration de l'appareil en tant que variante optionnelle du téléphone ou de la pression sur un bouton. L'authentification à deux facteurs se fait généralement par Applications d'Authenticator, qui utilisent la méthode TOTP (Time-based One-Time Password), comme Google Authenticator ou Microsoft Authenticator. L'activation nécessite une confirmation unique directement sur l'appareil.  
  • Prise en charge de Speedport: Les routeurs Speedport n'offrent généralement pas de 2FA direct pour l'interface d'administration locale. Cependant, les services de télécommunications connectés aux routeurs Speedport, tels que MagentaCLOUD, prennent en charge l'authentification à deux facteurs. Il s'agit d'une différence importante qui doit être prise en compte dans la stratégie de sécurité.
     
  • Pourquoi c'est important: 2FA/MFA protège efficacement contre tout accès non autorisé, même si le mot de passe a été volé ou deviné. C'est l'une des mesures les plus efficaces contre les attaques par hameçonnage et par force brute.
     
  • Mise en œuvre pratique: Installer une application Authenticator compatible sur un appareil mobile et scanner le code QR affiché par le routeur pour le lier.  

La pression sur le bouton lors du changement de réglage sur la Fritz.Box est d’ailleurs déjà une forme d’AMF, il fallait presque « prouver » que l’on est vraiment sur place. Cela garantit que personne de l'extérieur ne peut modifier la configuration.

Pour tous ceux qui ont déjà été sur la boîte avec maman ou papa par télémaintenance et ensuite faire une confirmation en cas de changement d'ailleurs aussi une bonne chose. ⁇

Segmentation du réseau:
L’art de l’isolement jusqu’au niveau 92

La segmentation du réseau est une mesure de sécurité avancée qui divise le réseau domestique en segments plus petits et isolés (sous-réseaux). Il s'agit d'une étape cruciale sur le Itinéraire vers la sécurité car il réduit considérablement le «rayon de charge» d’une attaque potentielle. Même si un appareil est compromis dans un segment, l'attaquant ne peut pas facilement accéder à d'autres segments plus sensibles.

Réseau domestique vs. réseau invité: On se connaît tous. Le réseau d'invités populaire est la forme de segmentation la plus simple et la plus facile à mettre en œuvre pour les utilisateurs à domicile. Il permet aux visiteurs et aux appareils IoT potentiellement dangereux (tels que les téléviseurs intelligents, les lampes intelligentes) d'accéder à Internet sans avoir accès au réseau privé principal contenant des données ou des appareils sensibles. Topp!

Difficile et potentiellement impossible à mettre en œuvre même pour l'utilisateur à domicile. Segmentation du réseau via VLAN

VLAN ou sous-réseaux distincts pour l'IoT / les appareils intelligents / l'automatisation domestique:

avantages: L'isolement des appareils IoT dans un segment distinct augmente considérablement la sécurité. Si un appareil IoT (souvent moins sécurisé) est compromis, l'attaquant ne pourra pas accéder directement aux PC, ordinateurs portables ou systèmes NAS du réseau principal. Cela améliore la visibilité et le contrôle du trafic.  

Défis pour les routeurs à domicile: Il s’agit là d’un obstacle majeur sur la voie du «niveau 92». De nombreux routeurs grand public, tels que les modèles FRITZ!Box courants, ne prennent pas en charge les VLAN réels directement sur leurs ports LAN internes ou les SSID WLAN pour la segmentation du réseau interne. Alors que certains modèles de FRITZ!Box prennent en charge les identifiants VLAN pour l'accès WAN (connexion Internet), il n'est pas prévu de subdiviser le réseau domestique interne.

Cela conduit à une idée fausse commune selon laquelle cette fonction est facile à activer sur les routeurs standard. L'illusion de simplicité dans la segmentation du réseau est une réalisation importante. La simple recommandation de «VLAN» sans mettre en lumière ces limitations frustrerait les utilisateurs, étant donné que le matériel existant ne permet souvent pas la mise en œuvre.  

Créer des sous-réseaux

La possibilité de s'associer Sous-réseaux séparés Pour isoler des zones individuelles, nous voulons examiner afin de réduire les surfaces d'attaque possibles. Il est plutôt courant dans l'environnement de réseau professionnel et n'est généralement pas une option viable pour l'utilisateur à domicile, en particulier parce que les routeurs à domicile couramment disponibles ne sont pas disponibles. subnetting au sens propre du terme, mais sont conçus pour une plage d'adresses commune d'un maximum de 253 appareils dans un segment commun.

Pourquoi 253? Bonne question! Voici la réponse de TL:DR: D'une part, la première adresse utilisable x.x.x.1 des 256 adresses possibles disponibles sur le réseau domestique /24 pour le routeur disparaît et, d'autre part, la première adresse réseau x.x.x.0 et la dernière x.x.x.255 sont réservées à l'adresse dite de diffusion. Cela permet de s'assurer que le segment du réseau fonctionne. Protéger ces adresses avec d'autres appareils, à condition que l'appareil autorise la saisie, entraînera inévitablement des erreurs de réseau.
C'est tellement détaillé que Système CIDR /24 par exemple ici décrit. La description la plus courante était «masque de sous-réseau» et ressemblait le plus souvent à ceci sur le réseau domestique: 255.255.255.0 -> en principe, /24 signifie la même chose.

Mais qui a des ambitions à lire et, le cas échéant, les Propositions de solutions trouve à mettre en œuvre sur le réseau Divers utiles conseils et Trucs et astuces.

Solutions pour les utilisateurs à domicile:

Utilisation du réseau invité en tant que «réseau IoT»: C'est la solution la plus pratique pour la plupart des utilisateurs à domicile. Le Réseau d'invités peut être utilisé comme un réseau dédié pour tous les appareils Smart Home et IoT afin de les isoler du réseau principal.
Mon conseil Level92 à ce sujet: Les appareils LAN auxquels on ne fait pas confiance peuvent également être intégrés dans le réseau invité. Pour ce faire, la Fritz.Box offre l'option pratique de Réseau d'invités également sur le port LAN 4 prêts à être déployés. Étant donné que le réseau invité LAN est également isolé du reste du réseau, les éléments dignes de protection sont protégés de manière fiable.

Utilisation d'un commutateur géré et de points d'accès compatibles VLAN: Pour une segmentation VLAN réelle et robuste, il est souvent nécessaire d'utiliser du matériel supplémentaire. Un commutateur géré derrière le routeur peut diviser le trafic en différents VLAN. Les points d'accès compatibles VLAN (qui pourraient remplacer les répéteurs de maillage AVM) peuvent ensuite associer des SSID Wi-Fi distincts aux VLAN respectifs. Il s’agit d’un investissement dans le matériel et la configuration, mais c’est la voie à suivre pour parvenir à une segmentation complète du «niveau 99».  

Utilisation de routeurs dotés de fonctionnalités avancées: Certains routeurs domestiques ou petits routeurs professionnels plus avancés offrent une prise en charge native de plusieurs SSID et sous-réseaux distincts qui permettent une segmentation logique. Ubiqiti ou MikroTik viennent spontanément à l'esprit. Avec les grands noms, vous obtenez cela aussi (Cisco & Co)

Partage de ports et gestion UPnP

Désactiver l'UPnP: Comme mentionné précédemment, UPnP doit être désactivé par défaut car il présente un risque de sécurité important. Il ne doit être activé qu'en cas de besoin absolu pour des applications spécifiques et, idéalement, uniquement temporairement.  

Partage manuel des ports: Si les partages de ports sont essentiels pour certaines applications (par exemple, les serveurs de jeu, l'accès à distance aux caméras), ils doivent être configurés manuellement. Seuls les ports absolument nécessaires doivent être ouverts et ceux-ci doivent être limités à des adresses IP internes spécifiques. Les fonctions de pare-feu intégrées du routeur doivent être utilisées pour restreindre davantage l'accès.  

VPN – Wireguard ou IPSec?

Le thème VPN, c'est-à-dire votre réseau privé virtuel, aurait fondamentalement mérité un article complet. En quelques mots: Un VPN crypte tout le trafic et le tunnelise en toute sécurité sur le réseau domestique, évitant ainsi l'ouverture de ports directs depuis l'extérieur.
En outre, on pourrait également nommer d'autres options possibles, mais cela conduit aujourd'hui à une définition trop large. Nous nous limitons ici à l'approche de base et à la différence entre les deux possibilités. Il y a par exemple une très bonne vidéo:

Préférer l'utilisation du VPN: Pour un accès à distance sécurisé aux services domestiques (par ex. NAS, caméras de surveillance), une connexion VPN via le routeur (si elle est prise en charge, comme avec de nombreuses FRITZ!Box) ou un serveur VPN séparé est de loin la méthode la plus sûre.

Paramètres DHCP pour les futures extensions

Adresses IP fixes pour les appareils critiques: Pour les appareils tels que les systèmes NAS, les hubs domestiques intelligents ou les serveurs privés qui ont besoin d'une adresse IP fixe, il est conseillé de la définir en dehors de la plage DHCP du routeur ou de configurer des réservations IP dans le serveur DHCP. Cela facilite grandement la gestion, le dépannage et la configuration des partages de ports ou des règles de pare-feu, car l'adresse IP de ces appareils ne change pas.

Plans d’urgence et autres moyens d’accès: Votre planB

Un réseau domestique véritablement résilient de niveau 92 se caractérise non seulement par des mesures de sécurité robustes, mais aussi par la capacité de rester opérationnel en cas de défaillance de la connexion internet principale. La dépendance à une seule connexion Internet comporte des risques importants, car une panne peut paralyser le bureau à domicile, les communications et les fonctionnalités de la maison intelligente. Par conséquent, un plan d’urgence pour d’autres possibilités d’accès est essentiel.

LTE/5G comme retour en arrière

avantages: Les réseaux mobiles sont très répandus et offrent de bonnes vitesses dans de nombreuses régions. Une sauvegarde LTE/5G peut être configurée relativement rapidement et offre une alternative fiable, en particulier dans les zones où l'Internet fixe traditionnel est lent ou peu fiable. Il peut être utilisé comme basculement automatique ou comme sauvegarde manuelle.  

inconvénients: Souvent associé à des limitations de volume de données, ce qui peut entraîner des coûts élevés en cas d'utilisation intensive. Les tarifs illimités sont plus chers. La couverture du réseau et la vitesse réelle peuvent varier en fonction de l'emplacement.  

Mise en œuvre: Les routeurs LTE/5G spéciaux avec fonction de basculement intégrée peuvent basculer automatiquement sur le réseau mobile en cas de défaillance de la connexion DSL/câble principale. Alternativement, un smartphone ou une tablette peut être utilisé comme point d'accès mobile.  

Internet par satellite:

avantages: L'internet par satellite offre également une connectivité dans les zones rurales où les lignes fixes ne sont pas disponibles. Les systèmes plus récents tels que Starlink offrent des latences et des vitesses nettement inférieures à celles des systèmes satellites plus anciens.  

inconvénients: Coûts d'acquisition élevés pour le matériel (plateau satellite, routeur). Les coûts mensuels peuvent également être élevés. La latence peut encore être problématique pour des applications en temps réel telles que les jeux en ligne ou la vidéoconférence. La connexion est également sujette à des conditions météorologiques difficiles telles que des orages ou des chutes de neige.

Le dernier kilomètre sans fil (Wireless Last Mile):

avantages: Les liaisons hertziennes peuvent fournir une bande passante élevée sur de plus grandes distances et ont généralement une faible latence. Ils sont une bonne option lorsqu'il n'y a pas de connexions par fibre optique ou par câble disponibles et qu'il y a une connexion visuelle à un point de transmission.

inconvénients: Nécessite une connexion visuelle directe entre l'émetteur et le récepteur. L'installation est souvent complexe et nécessite du matériel spécialisé. Les solutions hertziennes sont moins souvent disponibles pour les utilisateurs à domicile et sont plus susceptibles d'être proposées par des clients professionnels ou dans le cadre d'initiatives régionales spécifiques.

Solutions automatiques vs sauvegardes à portée de main

Routeurs de basculement automatiques: Ces routeurs sont configurés pour détecter une défaillance de la connexion Internet principale, puis basculent automatiquement vers une autre connexion prédéfinie (par exemple, LTE/5G). Cela minimise les temps d'arrêt du réseau et assure la continuité de l'activité dans le bureau à domicile ou les fonctions critiques de la maison intelligente. Nom donné à titre d'exemple: Routeur Speedport avec addition d'hybride et/ou LTE dans le nom peuvent le faire.

Niveau 92% Solution de bricolage:
Notification d'échec, commutateur automatique sur Fallback
Charly nous l'a déjà fait avec un bel exemple dans la dernière contribution Cette variante peut suffire si l'accès manuel n'est pas possible ou souhaité. Si et dans quelle mesure ou avec Quel matériel La façon dont vous réagissez peut au moins être parfaitement adaptée à vos propres besoins. Cas clair de pouce haut ⁇

Notification d'échec, commutateur manuel
Il vous suffira peut-être d'une autre variante. Notification de panne avec switch manuel. Cela peut ressembler à ceci:

Sauvegardes prêtes à l'emploi: Il s'agit d'appareils préconfigurés tels que les clés LTE, les hotspots mobiles ou même un smartphone (de sauvegarde). Celles-ci nécessitent une commutation manuelle ou une activation par l'utilisateur en cas de panne. Bien que moins transparentes que les solutions automatiques, elles offrent un moyen rentable et efficace de restaurer la connectivité de base.

Utilisation d'un modem de base (de sauvegarde) par le fournisseur

Un aspect souvent négligé du plan d'urgence est la mise à disposition d'un simple modem de base par le fournisseur d'accès Internet. Si votre routeur tombe en panne ou présente un dysfonctionnement complexe, un tel modem peut établir une connexion directe à Internet. Cela permet au moins de restaurer la connectivité de base et de diagnostiquer le problème avec le routeur principal. Mais on oublie volontiers qu'un modem de base du fournisseur de services Internet a un tout autre objectif, à savoir la possibilité de diagnostiquer la différence.

Un appareil officiellement approuvé par le fournisseur peut être nécessaire en cas de diagnostic d’erreur, étant donné qu’un fournisseur aime imputer au client la responsabilité d’un dysfonctionnement ou d’une défaillance sans modem «propriétaire». Tout d’abord, pousser la tactique de manière générale sur le matériel installé par le client peut sembler tout à fait compréhensible, mais cela conduit rapidement à la frustration – simplement parce qu’il n’est pas nécessaire de disposer d’options de diagnostic étendues via un routeur client, ce qui est loin d’être la cause d’une panne. Encore une fois, je pense qu'il vaut mieux avoir et n'a pas besoin que d'autre autour. C'est plus détendu. ⁇

Single Point of Failure

Le SPOF typique dans le réseau domestique est un composant unique dont la défaillance peut paralyser tout ou partie du réseau. En termes simples, c'est une partie si importante que si elle tombe en panne, tout le système cessera de fonctionner. Dans le sens habituel, il s'agirait d'un routeur, d'un modem ou d'un commutateur central.
Selon la configuration et les points d'accès nécessaires, un point d'accès unique qui garantit que l'ordinateur portable éloigné, la tablette dans le jardin ou le serveur multimédia dans le sous-sol sont toujours connectés au réseau peut également être le point d'échec unique. Un seul disque dur sans sauvegarde de données relèverait également de cette catégorie.

Comment éviter ce SPOF?

  • redondance: Utilisez des composants redondants tels que deux routeurs ou deux modems pour compenser une panne.
  • Connexions redondantes: Utilisez plusieurs connexions Internet (par ex. DSL et LTE) ou un câblage redondant.
  • Failover automatique: Configurez vos appareils pour qu'ils basculent automatiquement vers une connexion ou un service de remplacement en cas de problème.
  • Sauvegardes régulières: Sauvegardez régulièrement les données importantes pour éviter la perte de données en cas de panne.
  • Soutien professionnel: Faites appel à un professionnel pour les configurations réseau complexes ou les problèmes.
  • Copies de sauvegarde des configurations: Effectuez régulièrement des sauvegardes de vos configurations de routeur et de réseau pour permettre une récupération rapide en cas de panne. 

Encore une fois, bien sûr, par souci d'équité, il faut dire que tout le monde n'a pas besoin de retenir ou de tenir compte de tous les éléments ci-dessus. En particulier dans le réseau domestique, les priorités sont bien sûr différentes.
Dans l'informatique d'entreprise, en revanche, on parlerait d'un appétit pour le risque lors de l'évaluation et, le cas échéant, on évaluerait les coûts d'acquisition et de maintenance de telles redondances par rapport aux coûts d'une défaillance. Étant donné qu'il y a souvent des sommes complètement différentes en jeu, un budget possible pour une double redondance multiple et des centres de données de basculement entiers en cas de besoin est bien sûr tout à fait justifié.

TL:DR pour aujourd'hui?

Certains se contentent d’un «Oh Shit – eh bien, plus de temps pour le Biergarten», d’autres misent sur un bouton de commutation, d’autres aimeraient avoir un modem de sauvegarde, d’autres encore veulent un repli automatique et ceux qui dépendent de la haute disponibilité ont peut-être même directement activé une deuxième ligne 24/7. –

Et toutes les possibilités sont tout à fait correctes. Ce qui est suffisant pour vous, c'est le SweetSpot.

Stephan
|
| | | |
vers le haut | accueil | pour la recherche