lundi 9 septembre 2013

Protéger toute sa maison avec un VPN au niveau routeur.

De plus en plus d'appareils autres que des PC ou des smartphones sont connectés. Consoles de jeux, télévisions, appareils photos, etc; peuvent désormais accéder au net. On se doute cependant que ces appareils, dont la connexion internet n'est pas la fonction première, sont bourrés de failles de sécurité. De plus ils ne disposent pas de la même exhaustivité de paramétrage que leurs ainés. L'IPV6 ou le WPA2 ne seront peu être pas supportés par exemple. Le VPN fait parti des spécificités de connexion que ces appareils ignorent. La seule solution passe alors par la tunnelisation générale au niveau du routeur.

Tunneliser par VPN l'ensemble des appareils branchés sur sa box a de nombreux avantages:

- plus besoin de paramétrer chaque appareil séparément
- possibilité de protéger des appareils ne supportant pas le VPN
- pas de risque de connexion en clair en cas de chute de la connexion car la connexion est directement au niveau WAN.

Ce montage est simple a réaliser avec un routeur flashé en DD-WRT.

Pour ce faire j'ai choisi d'utiliser la solution Wan Setup -> PPTP mais on peut également utiliser le service OpenVPN client pour encore plus de sécurité (le PPTP a quelques faiblesses cryptographiques). L'option Wan PPTP ne fonctionne que si le routeur DDWRT est un routeur secondaire. On aura donc le montage suivant: WAN ---- BOX  |---- PC 1 (192.168.1.100)
                    |-----PC 2 (192.168.1.101)
                    |-----DDWRT(192.168.1.102)  |----- PC 3 (192.168.2.100)
                                                             |----- PC 4 (192.168.2.101)
                                                             |- - -
On a avec cette installation deux sous réseaux différents, l'un se connectant en clair à Internet, l'autre redirigeant tous ses clients via un VPN. Si l'on a activé le WIFI sur les deux routeurs (la box et le dd-wrt) on pourra au choix se connecter sur le réseau en clair ou protégé.

On peut vérifier que l'on est bien connecté au VPN sur la page status / WAN de l'interface d'administration du DDWRT