Cerebro Seco

Se faciliter la vie informatique sans sacrifier ses principes!

Aller au contenu | Aller au menu | Aller à la recherche

Prolonger la vie de son Linksys WRT54GL - Convenablement configurer son firmware tiers

Le choix de la date de publication de ce billet n'est pas arbitraire, et je l'ai faite coïncider avec la fête des déménagements! Nouveau logement, nouvelle connexion, c'est le moment de prendre de bonnes habitudes dès le départ.

Bon, c'est pas tout ça d'avoir installé un firmware tierce partie sur son routeur, encore faut-il le configurer correctement. Je ne parlerai pas ici des «box», ces modems-convertisseur TV-routeur-NAS tout-en-un qui sont et d'une assez pointilleux et complexes à configurer correctement, et d'autre part, bien moins flexibles qu'un routeur indépendant. Au prix de quelques câbles de plus, donc...

Il serait présomptueux de savoir tout de suite ce que vous ferez par la suite avec votre routeur, donc allons-y pour la flexibilité et la sécurité, et n'oubliez pas de sauvegarder après chaque étape.

L'adresse IP de base du routeur

Cette partie n'est utile que si vous comptez monter plus d'un sous-réseau derrière le modem. Par défaut, les routeurs Linksys attribuent une adresse commençant par 192.168.1.x, x étant un chiffre quelconque, chez D-Link, c'est 192.168.0.x, etc.

Dans «Basic > Network», partie LAN, remplissez la première case, IP du routeur, avec l'IP à attribuer au routeur lui-même, en suivant l'exemple ci-dessus, 192.168.1.1, à moins qu'un autre périphérique réseau l'utilise déjà. Ne touchez pas aux DNS statiques pour le moment, et reconnectez-vous au routeur en utilisant la nouvelle adresse ainsi créée.

Capture_d_e_cran_2013-08-20_a__17.54.04.png

Le mot de passe administrateur

Dans la section Administration > Admin Access, changer le mot de passe par défaut. « admin / admin », ce n'est pas très sûr. Un moyen très simple est d'utiliser le générateur de mot de passe intégré à OS X. Dans /Applications/Utilitaires, ouvrez Trousseau d'accès, et, dans session, cliquez sur le +, puis la clé

ce qui ouvre l'assistant de création de mot de passe. Une longueur de 21 caractères pour un mot de passe mémorisable donne une sécurité maximale. Bien sûr, le test n'est pas fait selon les normes de sécurité les plus pointues, mais devrait tenir à distance les intrus. Par exemple:

Capture_d_e_cran_2013-08-20_a__16.06.59.png

Le nom d'administrateur reste toujours «admin». Reconnectez-vous après avoir sauvegardé.

Régler l'heure correctement

Garder le routeur à l'heure peut être très utile lorsque vient le temps de débugger un comportement imprévu, ou simplement de garder trace de sa consommation de bande passante. Dans « Basic > Time », sélectionnez votre zone d'heure, si l'heure d'été est en vigueur dans votre pays, puis  «auto-update time», et sélectionnez un serveur de temps NTP. À mon avis il n'est pas utile de récupérer l'heure trop souvent, si votre routeur est stable, une fois par 24h devrait suffire.

Le wifi

En supposant que vous avez déjà proprement configuré votre connexion (par exemple, chez beaucoup de fournisseurs il n'est toujours indispensable d'activer le IPv6), il va de soi que vous ne devez jamais crypter la connexion au réseau interne avec du WEP, tout le monde sait que ça se craque le temps de le dire. WPA2 obligé, avec AES. Le TKIP si vos périphériques ne les supportent pas. Si vous n'êtes pas sûr, faites des essais. Tomato inclut un générateur de clé pseudoaléatoire que je vous conseille vivement, dans «Basic > Network». Vous pouvez aussi utiliser le générateur intégré à OS X. Mettez cette clé dans un fichier texte sur une clé USB, pour le partager plus facilement entre vos différentes machines.

L'accès à distance

Ça devient très utile, notamment lorsque vous êtes sur le point de faire une présentation très importante à vos clients, et là, oh merde, il vous manque la version de votre présentation que vous avez soigneusement sauvegardé sur votre NAS. Pour accéder à distance à votre réseau interne, il vous faudra un serveur de DNS dynamique. Je vous conseille No-IP, pour sa facilité d'accès, sa gratuité, et la présence de clients de mise à jour pour les trois systèmes d'exploitation majeurs. Suivez les instructions pour vous inscrire, c'est très simple.

Réglez donc votre routeur, comme montré sur cet émulateur mis en ligne par Victek, et cochez la case «Force next update»: .

Vous pouvez même régler un second DNS dynamique, idéalement chez un autre fournisseur au cas où le premier tomberait en panne.

Un accès sûr

Ce n'est pas tout d'avoir une adresse fixe pour rejoindre sa machine, encore faut-il ne pas laisser la porte ouverte au tout venant!

HTTPS

Cliquez donc sur «Administration», puis «Admin Access», et configurez comme indiqué, ce qui rendra le routeur accessible, du réseau interne, sur le port 443, et sur le réseau externe, sur le port 8080, par exemple pour vérifier si vous n'avez pas dépassé votre limite de bande passante ce mois-là, ou si votre débit moyen est bien celui qu'on vous a vendu à prix d'or (Voir le post de Geeknet à ce sujet), ou simplement vérifier l'uptime de votre connexion, considération geek par excellence. Capture_d_e_cran_2013-08-20_a__15.28.17.png

SSH Un accès HTTPS, c'est bien, mais SSH, c'est mieux! En effet, vous avez accès à davantage de paramètres du routeur, dont la possibilité d'overclocker ou au contraire, de réduire la vitesse CPU si vous constatez de l'instabilité. On fait donc comme montré, ce qui rend le routeur accessible du LAN sur le port 22, et de l'extérieur sur le port 2222, ce qui permet de garder libre le port 22 et ainsi éviter les conflits avec une éventuelle machine sur le réseau interne qui utiliserait ce port:

Capture_d_e_cran_2013-08-20_a__15.42.38.png

À noter que, puisqu'on parle de sécurité, dans la section du dessous, n'oubliez pas de désactiver le daemon Telnet. Encore une fois, il pourrait être nécessaire de vous reconnecter en utilisant cette fois l'adresse en https://.

Mesurer votre bande passante

Ce n'est pas indispensable puisque votre fournisseur, s'il compte la bande passante, vous fournira l'adresse où aller vérifier, mais on aime pouvoir garder ça en note localement aussi. Ça se trouve dans « Bandwidth > Real-Time », cliquez sur Configure, puis suivez l'illustration. Comme indiqué, l'historique d'utilisation sera sauvegardé dans la carte SD (si vous avez fait la modification) tous les deux jours, crée des sauvegardes, et le premier jour de facturation est le premier

Capture_d_e_cran_2013-08-20_a__16.19.57.png

Le firewall

Dans « Advanced > Firewall », quelques modifications à faire selon ce que vous voulez obtenir. En prenant pour acquis que vous voulez accéder à vos machines de l'extérieur, la bonne habitude à prendre est de les laisser allumées. Cependant, si vous ne l'utilisez pas souvent, il se peut que vous l'ayez laissée branchée en ayant activé le Wake-on-LAN. En fait, nous verrons plus tard que ça fonctionne non seulement en LAN, mais aussi de extérieur.

Le Allow multicast vous permet une meilleure performance dans le streaming vidéo.

Suivez la configuration:


Source et détails supplémentaires : http://www.justinmontgomery.com/tomato-advanced-firewall-settings

Attribution d'adresses DHCP statiques

En ayant plusieurs machines sur le même réseau, c'est toujours plus simple de la voir recevoir la même adresse IP d'une connexion à l'autre. La plupart des systèmes d'exploitation supportent le protocole Zeroconf, mais en cas de panne (ce qui n'est pas rare quand on bidouille beaucoup) ou de simple tests, il est bon de pouvoir se souvenir aisément de l'adresse numérique d'une machine.

Commencez donc par connecter toutes les machines que vous avez sous la main, soit en wifi soit en câblé, et allez dans «Status > Device List ». Cliquez sur [static], puis, sur la page suivant, entrez l'adresse IP interne que vous voulez attribuer à cette machine, ainsi que son nom, si la case est vide. Enregistrez avant de revenir à la première page, et répétez l'opération pour chaque machine présente.

Ouverture des ports

L'attribution d'adresses DHCP statiques va faciliter cette étape. Maintenant, il vous faut ouvrir les ports utilisés par vos logiciels pour communiquer avec Internet. Dans « Port Forwarding > Basic», vous devez sélectionner le protocole utilisé, UDP, TCP ou les deux, l'IP source autorisée vers laquelle ouvrir le port, le port sur lequel la machine communique publiquement, le port interne réel, l'adresse IP interne réelle de la machine, et enfin la description du port ouvert. Ça semble bien compliqué, mais seuls le protocole, le port externe et l'IP interne sont réellement nécessaires. On comprend mieux ici tout l'intérêt, si vous avez un même logiciel tournant sur deux machines distinctes, de changer leur port de communication. Si le protocole n'est pas clairement indiqué dans la documentation des logiciels, faites des essais en sélectionnant «Both».

Le DMZ permet d'exposer une seule machine, ou sous-réseau interne, à Internet sans restriction. Pour raison de sécurité, je déconseille fortement de l'activer.

La section «Triggered» est surtout destinée aux jeux. N'étant pas joueur, je laisse les détails à d'autres.

Ah, maintenant le fameux «UPnP / NAT-PMP» ! Contrairement à beaucoup de gens sur Internet, pour votre sécurité, il faut laisser les deux cases «Enable» décochées! Le UPnP est très vulnérable aux attaques venant de l'extérieur, comme en témoigne la foison de documents, dont:

https://blog.bit9.com/2013/02/01/how-to-handle-upnp-vulnerabilities/

https://leaksource.wordpress.com/2013/02/01/upnp-vulnerability-exposes-50-million-network-enabled-devices-to-be-hacked-controlled-remotely/

Pour vérifier la vulnérabilité de votre réseau à ces attaques, c'est par là, sur le lien Shields Up1! Test.

Ça rend la configuration automatique des ports inopérante, mais quelques manipulations de plus sont le prix à payer pour la sécurité.

Voilà, en espérant que ce post sur la configuration de base de votre routeur n'aie pas été trop long!

Remerciements:

¡Gracias a Victek por su espléndido simulador de Tomato RAF!