Des réseaux plus sûrs à la maison : comment travailler à distance en 2021

Beaucoup d’entre nous ont maintenant passé près de neuf mois à travailler depuis leur domicile en raison de la pandémie de COVID-19 et se sont adaptés à cette nouvelle façon de faire, potentiellement sur le long terme, voire de façon permanente.

Beaucoup d’employeurs se rendent maintenant compte que leurs employés peuvent être tout aussi efficaces en travaillant à distance que dans leurs locaux. Mais ce n’est pas parce que vous pouvez travailler efficacement à distance que vous travaillez de la manière la plus sûre possible. Voici plusieurs technologies que vous pouvez envisager – dont certaines existent peut-être déjà en tant qu’options à activer dans votre équipement de réseau à domicile – que vous pouvez utiliser pour travailler de manière plus sûre à domicile au cours de l’année prochaine et au-delà.

publicité

Commutateurs Ethernet de bureau

Rien ne vaut le bon vieil Ethernet câblé pour la sécurité et les performances du réseau. Si vous avez un bureau à domicile et que vous pouvez mettre un petit switch sur votre bureau, y connecter vos PC, imprimantes et autres équipements de travail, faites-le au lieu d’utiliser le Wi-Fi.

Si vous avez un de ces nouveaux ordinateurs portables Mac ou Windows qui n’ont pas de port Ethernet, n’hésitez pas à vous procurer un dongle USB-C ethernet ou une station d’accueil. Ces dernières sont particulièrement adaptés pour ajouter des ports USB supplémentaires et répartir la vidéo et l’audio sur plusieurs moniteurs et haut-parleurs externes.

Wi-Fi 6 et WPA3

Le Wi-Fi 6 est une technologie sans fil plus rapide, mais aussi plus sûre car elle est beaucoup plus résistante à un attaquant qui veut écouter la connexion de votre appareil au point d’accès ou au routeur. Cette nouvelle norme de protocole de sécurité utilisée par le Wi-Fi 6 s’appelle WPA3 et a été introduite il y a quelques années à titre expérimental dans la norme 802.11ac, ou dans les routeurs et les points d’accès Wi-Fi 5. Si vous pouvez l’activer dans votre équipement existant, éventuellement grâce à une mise à jour du micrologiciel, faites-le absolument.

Le WPA3 est plus sûr que le précédent WPA2 (qui a remplacé le WEP, et vous ne devez absolument pas avoir d’appareils ou d’équipements qui l’utilisent à votre domicile ou dans votre petite entreprise), car il empêche l’attaquant d’enregistrer le processus lorsque vos appareils se connectent au point d’accès, de reproduire cette connexion sur son ordinateur et de craquer vos mots de passe hors ligne.

Le moyen le plus simple d’installer le Wi-Fi 6 sur votre réseau domestique est de vous procurer un point d’accès Wi-Fi 6 et de le connecter à vos routeurs existants, par exemple en utilisant un fournisseur d’accès internet qui vous fournit une box équipée. Vous pouvez également mettre de nombreux routeurs tiers en mode “Bridge” ou exécuter ce que l’on appelle le “Double NAT”. À mon avis, le double NAT devrait être évité si possible en raison de sa complexité.

N’oubliez pas que vos appareils doivent également prendre en charge le Wi-Fi 6 ou le WPA3, mais tous les systèmes d’exploitation actuels des smartphones et des PC/Mac prennent en charge le WPA3, et tous ces nouveaux points d’accès Wi-Fi 6 sont rétrocompatibles avec votre équipement existant.

Réseaux d’invités et SSID

Les listes de contrôle d’accès (ACL) sont un autre moyen de séparer les équipements et de définir ce qui peut et ne peut pas se parler. Il s’agit là encore d’un paramètre de la configuration de votre routeur qui vous permet de définir des schémas d’entrée et de sortie sur l’internet en utilisant l’adresse MAC de dispositifs spécifiques de votre réseau.

De plus, dans des points d’accès séparés et certains routeurs et points d’accès Wi-Fi grand public haut de gamme, vous pouvez créer des SSID supplémentaires (le nom de votre réseau sans fil) pour aller avec ces VLAN et même désactiver la diffusion des SSID afin que vous seul sachiez à quel réseau vous connecter ; personne d’autre dans votre voisinage ne peut le voir.

VLANs et ACLs

Le réseau privé virtuel (VLAN) est une technologie que vous avez peut-être déjà intégrée dans votre routeur ou votre commutateur Ethernet existant. Il s’agit de donner à vos appareils ethernet câblés et sans fil une voie réservée. Pour ce faire, il suffit d’activer le “marquage” VLAN dans la configuration du commutateur ou du routeur et de créer un réseau virtuel unique que seuls les appareils spécifiquement affectés peuvent voir.

Ainsi, par exemple, si vous créez un VLAN 100, et que vous placez les PC et les équipements de votre bureau à domicile sur ce VLAN 100, rien d’autre chez vous ne peut communiquer avec eux, comme les équipements IoT ou autres. Dans Windows, une balise VLAN est définie dans les options de configuration des adaptateurs réseau de votre PC. Sur Mac, cela se fait dans les Préférences réseau.

Si le VLAN est trop compliqué ou difficile à mettre en place avec votre équipement existant, envisagez de séparer les appareils IdO et autres de vos systèmes de travail en mettant en place le réseau invité de votre routeur Wi-Fi et faites-les se connecter à celui-ci au lieu de votre Wi-Fi principal.

Priorisation de la qualité de service du réseau / du trafic

C’est une autre façon de limiter ce que les appareils de votre réseau peuvent faire, mais elle est spécifique à l’utilisation de la bande passante. QoS signifie Quality of Service. Si vous travaillez à la maison et que votre PC ou Mac de bureau a besoin de la plus grande partie de la bande passante du réseau, par exemple pour une application à fort trafic comme Zoom, vous ne voulez pas que vos enfants ou un autre équipement consomment cette bande passante au moment où vous en avez le plus besoin.

Vous pouvez donc définir la quantité de bande passante, où, quand et quelles applications obtiennent quoi, en fonction de l’appareil et de ce qu’offre le routeur. Dans certains routeurs domestiques à large bande, on appelle cela la priorisation du trafic.

Pare-feu et gestion unifiée des menaces (UTM)

De nombreux routeurs ont une sorte de pare-feu intégré, et la plupart ont également des capacités déjà activées. Mais la plupart de ceux qui sont disponibles sur le marché sont assez simples et utilisent ce que l’on appelle le Stateful Packet Inspection (SPI) car il est beaucoup moins gourmand en processeur. Cependant, elle n’est pas aussi sophistiquée que la gestion unifiée des menaces, qui utilise une technologie connue sous le nom de Deep Packet Inspection (DPI) et qui bloque même des éléments comme les virus ou le phishing.

L’inspection approfondie des paquets consiste à examiner le trafic réseau au niveau bits et octets. L’UTM vous permet de voir non seulement des comportements malveillants sur des éléments comme les ports réseau, mais aussi l’empreinte réelle du trafic malveillant. Pour ce faire, il faut une puissance de traitement supplémentaire au niveau de l’appareil qu’un routeur à large bande domestique typique ne possède pas.

Un pare-feu avec UTM peut coûter jusqu’à des milliers d’euros selon la vitesse à laquelle vous voulez qu’il aye et le nombre d’utilisateurs qui doivent l’utiliser simultanément. Si vous disposez d’une connexion de 100 mégabits, vous pouvez obtenir des pare-feu qui traitent votre vitesse filaire sans dégrader vos performances. Si vous avez une connexion gigabit, vous devrez peut-être vous pencher sur des dispositifs qui coûtent 500 euros ou plus.

Certains de ces produits ont également un coût d’abonnement annuel pour les mises à jour de signatures de logiciels malveillants. Vous pouvez également construire ces types de pare-feu en utilisant d’anciens PC, ou des Raspberry Pi, en utilisant des logiciels libres comme Endian, et quelques autres. Vous pouvez également acheter des logiciels pour PC comme SOPHOS, que vous pouvez également faire fonctionner sur un boîtier bon marché.

Les VPN

Un VPN est un réseau privé virtuel. Nous avons déjà parlé des VLAN, qui permettent de séparer les appareils qui se parlent sur votre propre réseau avant d’aller sur Internet. Cette technologie est différente car elle crée un “tunnel” crypté qui assure le trafic entre votre appareil, au point d’origine ou au point d’extrémité, et l’endroit où il se rend sur l’internet.

Si votre employeur dispose d’un point d’accès VPN, comme Cisco ou Microsoft, il vous a probablement fourni le logiciel ou le fichier de configuration que vous pouvez exécuter sur votre PC ou votre Mac ou même sur votre appareil mobile ou même sur votre routeur (ou pare-feu) lui-même pour vous connecter à votre travail, au centre de données de votre entreprise ou à votre fournisseur d’accès Internet.

Mais vous pouvez également mettre en place des VPN sur des terminaux publics en utilisant des services d’abonnement, de sorte qu’il soit plus difficile pour votre trafic d’être espionné. Les VPN sont très utilisés par les utilisateurs d’autres pays, comme la Chine, pour accéder à des sites web comme Google et Facebook, car ils sont bloqués/censurés par des pare-feu. Ils sont également utilisés pour contourner les restrictions imposées aux médias par des services comme Netflix, permettant aux utilisateurs de régions spécifiques de visualiser certains contenus.

Leave a Reply

Your email address will not be published. Required fields are marked *