Comment sécuriser son réseau domestique avec un Raspberry Pi 3

[IceCream]

Pour éviter que des pirates ne puissent infiltrer votre installation, il est recommandé de segmenter votre réseau en plusieurs morceaux, isolés les uns des autres. Un bon moyen pour y arriver est d’utiliser l’ordinateur miniature Raspberry Pi.

 

Dans la plupart des foyers connectés, la topologie du réseau domestique est toujours la même : tous les équipements sont connectés directement à la box Internet de l’opérateur et partagent le même réseau local. Le problème, c’est qu’avec la multiplication des terminaux à la maison, des équipements très divers sont finalement mis dans un seul sac. Sur un même réseau, on aura l’ordinateur fixe qui permet de faire des achats en ligne, le disque NAS qui sauvegarde toutes les photos de la famille, les ordinateurs portables des enfants qui commencent à traîner sur les réseaux peer-to-peer, des objets connectés de piètre qualité et totalement vulnérables, etc.

 

Segmenter pour mieux sécuriser.

Mélanger ainsi les torchons et les serviettes n’est pas recommandable. Un pirate qui arrive à infecter un des objets connectés ou l’un des ordinateurs portables peut, assez facilement, accéder aux autres équipements. C’est pourquoi les experts en sécurité préconisent de segmenter un réseau le plus possible. Dans une partie, on pourrait par exemple mettre les équipements importants qu’il faut absolument protéger (ordinateurs des parents, NAS), et dans une autre on logerait les terminaux à haut risque comme les ordinateurs portables des enfants ou les objets connectés.

 

Une première méthode simple pour y arriver est de connecter deux routeurs Wi-Fi aux prises Ethernet de la box Internet. Leurs réseaux respectifs seront naturellement isolés l’un par rapport à l’autre. Par contre, il ne faudra plus utiliser le réseau Wi-Fi de la box Internet car celui-ci n’est pas isolé vis-à-vis des deux autres. Le problème avec cette solution, c’est que l’on fait une croix sur le réseau de la box Internet et qu’il faut acheter deux nouveaux routeurs. C’est un peu du gâchis.  

 

     

 

La solution préconisée – et baptisée « HomeFW » – est de prendre un Raspberry Pi 3, de le transformer en point d’accès Wi-Fi avec pare-feu intégré et de le connecter à la box Internet. Cette méthode est un peu plus complexe à mettre en œuvre, mais elle est moins chère et elle offre plus de possibilités. Elle nous a été montrée par David Jacoby, chercheur en sécurité chez Kaspersky Labs, à l’occasion d’une conférence de presse en 2017. L’expert avait tout particulièrement en ligne de mire les objets connectés qui sont souvent truffés de failles. « Les fabricants ne sont pas prêts à investir dans la sécurité car cela leur coûterait trop cher. Il faut donc se débrouiller autrement pour limiter le risque », expliquait-il, pour justifier sa démonstration.

 

Dans une telle configuration, les utilisateurs reliés à HomeFW peuvent se connecter à Internet, mais le pare-feu les empêche d’aller fouiller dans le réseau de la box Internet. Inversement, les équipements reliés à la box Internet ne pourront pas accéder au réseau de HomeFW. La segmentation est parfaite.

 

Les étapes de l'installation:

Créer un tel appareil n’est pas très compliqué, mais il ne faut pas avoir peur de la ligne de commande. Il faut aussi avoir un peu de matériel. La configuration nécessite d'avoir un écran avec prise HDMI, un clavier et une souris avec prises USB, ainsi qu'un câble Ethernet pour connecter le Raspberry Pi 3 à la box Internet.

 

1 - Flasher le système.

 

Téléchargez la dernière version de Raspian, un système d'exploitation basé sur Linux Debian qui est fait spécialisé pour les ordinateurs Raspberry Pi. Il faut ensuite « flasher » - c'est-à-dire installer - ce système sur une carte microSD (min 16 Go). Le plus simple, c'est d'utiliser le logiciel Etcher qui est très facile d'usage. La procédure est strictement la même que pour créer une clé USB bootable.

 

 

2 - Initialiser le système.

 

Au premier démarrage, le système vous demandera de choisir la langue et de changer de mot de passe. Choisissez en un qui soit fort.

 

 

Le système va ensuite vous proposer de chercher des mises à jour, ce qu'il faut accepter en cliquant sur Next. Cela peut prendre un peu de temps. Allez-vous préparer un café.

 

 

3 - Télécharger le code.

 

Ouvrez une fenêtre de commandes en cliquant tout en haut sur la quatrième icône en partant de la gauche. L'icône représente une fenêtre avec un signe supérieur et un tiret bas. Ecrivez la commande ci-dessous, puis validez.

 

 git clone https://github.com/gkallenborn/HomeFW HomeFW

 

L'ordinateur va alors télécharger le script pour le pare-feu (firewall.sh), le fichier de configuration (configurations.txt) et des fichiers d'information dans un nouveau dossier intitulé HomeFW.

 

 

4 - Installer les logiciels.

 

Il faut ensuite télécharger et installer les logiciels qui permettent de créer notre fameux point d'accès sécurisé. En occurrence: hostapd (logiciel de point d'accès Wi-Fi), isc-dhscp-server (logiciel qui va attribuer les adresses IP aux terminaux connectés), dnsmasq (logiciel de service DNS) et iptables (logiciel pare-feu). Pour cela, il faut lancer la commande suivante et, pendant l'installation, valider à chaque fois que cela est demandé. Le terme apt-get install lance l'installation des logiciels figurant après. Le terme sudo indique que l'ensemble de la commande est lancée avec des privilèges administrateur. 

 

sudo apt-get install hostapd isc-dhcp-server dnsmasq iptables

 

 

5 - Configurer le point d'accès.

 

Pour que le point d'accès fonctionne correctement, il faut modifier un certain nombre de fichiers de configuration. C'est la partie la plus importante. Concentrez-vous, car il ne faut pas se tromper. Le mieux, c'est d'ouvrir deux fenêtres de commandes côte à côte. Dans la première, affichez le contenu du fichier configuration.txt avec la commande suivante:

 

more ./HomeFW/configurations.txt

 

Dans la seconde fenêtre, vous allez utiliser l'éditeur de texte "nano" pour modifier les fichiers, en copiant-collant les lignes d'une fenêtre vers l'autre. Attention à bien respecter les indications figurant dans le fichier configurations.txt. Voici les commandes qu'il faudra exécuter successivement:

 

sudo nano /etc/hostapd/hostapd.conf

sudo nano /etc/dhcp/dhcpd.conf

sudo nano /etc/sysctl.conf

sudo nano /etc/default/isc-dhcp-server

sudo nano /etc/default/hostapd

sudo nano /etc/default/dnsmasq

sudo nano /etc/network/interfaces

reboot

 

 

6 - Activer le pare-feu.

 

A ce stade, vous devriez voir un point d'accès intitulé "IOT" si vous scannez les réseaux Wi-Fi aux alentours. Mais ce nouveau réseau ne permet pas d'accéder à Internet et il n'est pas forcément étanche par rapport au réseau de votre box. Pour cela, il faut exécuter le script firewall.sh. Lancez les commandes suivantes:

 

cd HomeFW

 

chmod +x firewall.sh

 

sudo ./firewall.sh

 

La première commande permet de se placer dans le répertoire HomeFW, la seconde rend le script exécutable et la troisième l'exécute. Vous avez désormais un réseau Wi-Fi baptisé "IOT" totalement isolé du reste de votre réseau.

 

7 - Remarques.

 

Pour faciliter la gestion au quotidien de ce nouveau point d'accès, il est préférable que le service SSH soit lancé automatiquement au démarrage. Ainsi, on pourra s'y connecter facilement à distance depuis le réseau de la box Internet et, par exemple, lancer ou modifier le script firewall.sh. Pour configurer le service SSH, il faut insérer la carte microSD dans votre ordinateur et créer un fichier vide intitulé "ssh" à la racine. Pour cela ouvrez une fenêtre de commande et placez vous à la racine de la carte.

 

Sous macOS, il faut utiliser la commande (source: Howchoo)

 

cd /Volumes/<nom-du-lecteur-de-la-carte-microSD>

 

touch ssh .

 

Sous Windows, il faut utiliser la commande

 

Démarrer , exécuter,  tapez cmd 

 

<lettre-du-lecteur-de-la-carte-microSD>:

 

type NUL > ssh.

 

8 - Prix.

 

enveloppe de 35 à 70€. Exemple.

 

Sources: github, 01Net