Sécurisation d'une BBox2

La BBox2, ou carton-box-par-Belgacom, peut être qualifiée de routeur de seconde zone pour plusieurs raisons somme toute fort simples :

  • elle est une « cartonbox » dont les fonctionnalités sont castrées ;
  • la configuration par défaut fait frémir (de peur, oui) ;
  • les accès par défauts en font une passoire ;
  • les fonctionnalités, si elles sont présentes, ont été cachées par des programmeurs qui ont fumé (comme par exemple devoir chipoter comme un malade pour ne serait-ce qu’afficher la configuration de Dyndns) ;
  • elle est bien souvent « offerte » alors qu’un routeur compatible VDSL2 c’est pas vraiment donné ;
  • puis plein de détails comme la surchauffe, le fait que vous puissiez l’échanger 3 ou 4 fois parce que visiblement il y a systématiquement un même composant qui déconne (expérience vécue)…

Suivant plusieurs articles, comme celui de Xooot dont je reprendrai quelques informations, ou les astuces de Monsieur Vande Walle, voici ma compilation de ce qui peut être fait avec cette boîte, faute de mieux. À défaut de l’expliquer parce que je le trouve élémentaires, je vous épargnerai néanmoins l’épineux cas de la sécurisation du wifi. Prêtez simplement attention à ce que la sécurisation soit en WPA2, de choisir un mot de passe long mais pas nécessairement compliqué (genre un nom de film, d’un bouquin, mais tout en longueurs), voire de changer le nom du réseau histoire que vous sachiez lequel est le votre. Accessoirement, vous pouvez aussi vous donner un filtrage des adresses MAC (c’est à dire ajouter les périphériques un à un qui seront tolérés sur votre réseau) – cette dernière solution étant parfois un peu trop rigoureuse pour les cas où un invité voudrait zoner sur votre connexion. Pour une information à propos de wifi, je vous renvoie à cet article. Venons-en aux choses sérieuses, comprenant que vous vous êtes rendu à l’adresse 192.168.1.1, lieu de configuration de votre BBox :

Mettre un mot de passe sur l’interface Web (192.168.1.1) ;

  • Advanced Settings ;
  • System ;
  • l’icône dans la colonne « Actions » ;
  • Change password ;
  • Choisissez un mot de passe, et validez.

Un mot de passe vous sera demandé à la connexion, histoire que n’importe qui ne vienne pas chipoter dans votre configuration.

Désactiver les mises à jour via l’interface VoIP ;

Cette manipulation est un peu paranoïaque, mais allez savoir ce qui peut passer via cette faille. Évidemment, cela peut entraîner quelques contraintes (comme des problèmes d’accès ou avec la TV digitale), à vous de voir si cela en vaut pour vous la peine (et surtout si vous n’avez pas le téléphone raccordé à votre BBox).

  • Advanced Settings ;
  • Network Interfaces ;
  • l’icône dans la colonne « Actions » à côté de Wan eth1.20 VoIP ;
  • Disable, puis validez.

Activer et configurer le pare-feu ;

  • Advanced Settings ;
  • Firewall ;
  • activez la Typical Security, qui elle au moins laisse passer des protocoles tels qu’MSN par exemple ;
  • cochez Block IP fragments ;
  • Validez, vous venez normalement de vous protéger des attaques extérieures.

Changer de DNS ;

Je n’ai pas nécessairement envie de me répéter, donc rendez-vous à la fin de cet article, j’y reprends la méthode de changement de DNS (afin de ne pas être soumis aux censures de cet ordre que pourrait imposer votre fournisseur d’accès).

Nettoyer les entrées UPnP ;

Lancez un terminal, une invite de commande, un shell, tout ce qui y ressemble dépendant de votre système d’exploitation, vous permettant de lancer la commande telnet (Putty s’il faut).

telnet 192.168.1.1
login: admin
Password: BGCVDSL2
rg_conf_set upnp/rules_autoclean/enabled 1
save

Changer le mot de passe de l’administrateur ;

Toutes les BBox2 sont livrées avec le MÊME mot de passe par défaut. Une joie lorsque sur une terrasse, vous captez de ces réseaux précédés d’un bbox-. Ne laissons pas cela en plan, c’est moche et un petit malin pourrait s’amuser avec cette faille :

telnet 192.168.1.1
login: admin
Password: BGCVDSL2
rg_conf_set_obscure admin/user/0/password "le_nouveau_mot_de_passe"
save

Activer DynDNS

Et rediriger les ports, pour les courageux qui roulent leur propre serveur par exemple ; je vous renvoie à ces deux pages d’information :

Vous voilà très certainement parés à bien des choses maintenant !