HG Logo

ASSO' HACKGYVER 2.0

SECURISER SON RESEAU

Objectifs

- Identifier les appareils exposés à Internet
- Comprendre les outils utilisés par les attaquants
- Déployer des protections physiques ou logicielles adaptées (pare-feu, segmentation, etc.)
- Mettre en place plusieurs VLAN pour segmenter le réseau domestique

Pourquoi sécuriser son réseau ?

Un réseau privé mal sécurisé revient à laisser les portes et fenêtres de sa maison grandes ouvertes. Un réseau vulnérable, comparable à un morceau d’emmental, expose ses utilisateurs à de nombreux risques :

- Vol de données personnelles
- Espionnage
- Prise de contrôle des appareils connectés
- Enrôlement d’un PC gamer à 3 000 € dans un botnet

Analyse de l’exposition du réseau

Scan des ports ouverts avec Nmap

nmap -p- -T4 192.168.1.10
# -p- : scanne tous les ports (1 à 65535)
# -T4 : vitesse d’exécution modérée

Découverte des hôtes sur le réseau local

nmap -sn 192.168.1.0/24
# Liste les appareils connectés (ancienne option -sP)

Affichage des connexions réseau locales

ss -tuln
# Affiche toutes les connexions TCP et UDP en écoute avec les numéros de port

💡 Bon réflexe : Fermer les ports inutiles, ou mieux encore, adopter une approche proactive de réduction de surface d’attaque.

Outils d'attaque utilisés par les attaquants

Il est impossible de lister tous les outils existants, car chaque scénario d'attaque dépend des services exposés. Voici quelques exemples typiques :

- Reconnaissance : nmap, shodan, amass
- Enumération Web : dirsearch, gobuster, nikto
- Bruteforce : hydra, medusa
- Exploitation : metasploit, sqlmap, exploitdb
- MITM / Sniffing : ettercap, wireshark

Segmentation du réseau : VLAN

Mettre en place des VLAN permet d'isoler les équipements sensibles (caméras, objets connectés, NAS, etc.) du reste du réseau :

- VLAN 10 : Administration
- VLAN 20 : PC et smartphones
- VLAN 30 : Objets connectés
- VLAN 40 : Invités
- VLAN 50 : Enfants

Solutions de sécurité réseau

🔒 Pare-feux physiques recommandés

Netgate 8200 : pfSense officiel
MikroTik RB5009 : Excellent rapport puissance/prix
Topton N5105/N6005 : Fanless, faible conso
Dell OptiPlex Micro : Polyvalent, usage recyclé
Raspberry Pi (avec OPNsense) : Idéal pour tester ou usage modéré
Protectli VP4670 / VP4630 : Conçus pour pfSense

🔐 Pare-feux virtuels

- pfSense
- OPNsense
- IPFire

Niveaux de sécurité proposés

🔹 Paranoïa faible

- Modifier le mot de passe Wi-Fi par défaut avec un mot de passe fort
Un mot de passe fort contient 14–64 caractères, majuscules, minuscules, chiffres, symboles, ne contient pas d'informations personnelles ou de mots courants.

- Garder un antivirus actif :
• Windows Defender (déjà intégré et efficace)
• XProtect sur macOS
• Éviter les antivirus trouvés sur GitHub ou sites douteux

- Maintenir tous les équipements à jour (box, routeurs, systèmes d’exploitation, etc.)

🔸 Paranoïa moyenne

- Gestion manuelle des redirections de ports
- Installation d’un outil spécialisé tel que :
Windows Firewall Control

🔴 Paranoïa élevée

- Installation et configuration d’un pare-feu comme pfSense (physique ou virtuel)
- Mise en place de whitelists : seuls certains hôtes ou ports sont autorisés

🔥 Paranoïa extrême (+++)

Toutes les mesures précédentes, plus :

- pfBlocker-NG : filtrage par ASN, pays, IPs malveillantes
- pfELK : stack ELK pour l’analyse forensique des logs
- DNS filtering : filtrage DNS via Unbound ou DNSFilter
- Squid Proxy : proxy HTTP avec authentification par utilisateur ou par application
- Machine de journalisation dédiée : une seconde machine (ou VM) en cascade pour centraliser les logs
- Utilisation maximale de l’open source

Conclusion

Sécuriser son réseau domestique n’est plus une option. Le niveau de protection dépend de votre exposition, de votre tolérance au risque, et des appareils présents sur votre réseau. Même une simple configuration de base bien pensée peut éviter beaucoup de problèmes.

👉 Mieux vaut être paranoïaque que compromis.