Si vous lisez cet article, félicitations ! Vous interagissez avec succès avec un autre serveur sur Internet en utilisant les ports 80 et 443, les ports réseau ouverts standard pour le trafic Web. Si ces ports étaient fermés sur notre serveur, vous ne seriez pas en mesure de lire cet article. Les ports fermés protègent votre réseau (et notre serveur) des pirates.
Nos ports Web peuvent être ouverts, mais les ports de votre routeur domestique ne devraient pas l'être, car cela ouvre un trou pour les pirates malveillants. Cependant, vous devrez peut-être autoriser l'accès à vos appareils via Internet à l'aide de la redirection de port de temps en temps. Pour vous aider à en savoir plus sur la redirection de port, voici ce que vous devez savoir.
Qu'est-ce que la redirection de port ?
La redirection de port est un processus sur les routeurs de réseau local qui transmet les tentatives de connexion des appareils en ligne à des appareils spécifiques sur un réseau local. C'est grâce aux règles de redirection de port sur votre routeur réseau qui correspondent aux tentatives de connexion faites au bon port et à l'adresse IP d'un appareil sur votre réseau.
Un réseau local peut avoir une seule adresse IP publique, mais chaque appareil de votre réseau interne a sa propre adresse IP interne. La redirection de port relie ces requêtes externes de A (l'adresse IP publique et le port externe) à B (le port demandé et l'adresse IP locale de l'appareil sur votre réseau).
Pour expliquer pourquoi cela peut être utile, imaginons que votre réseau domestique ressemble un peu à une forteresse médiévale. Alors que vous pouvez regarder au-delà des murs, les autres ne peuvent pas regarder à l'intérieur ou percer vos défenses - vous êtes à l'abri des attaques.
Grâce aux pare-feux réseau intégrés, votre réseau est dans la même position. Vous pouvez accéder à d'autres services en ligne, tels que des sites Web ou des serveurs de jeux, mais les autres internautes ne peuvent pas accéder à vos appareils en retour. Le pont-levis est levé, car votre pare-feu bloque activement toute tentative de connexion extérieure pour violer votre réseau.
Ce niveau de protection n'est toutefois pas souhaitable dans certaines situations. Si vous souhaitez exécuter un serveur sur votre réseau domestique (en utilisant un Raspberry Pi, par exemple), des connexions externes sont nécessaires.
C'est là qu'intervient la redirection de port, car vous pouvez transférer ces requêtes externes vers des appareils spécifiques sans compromettre votre sécurité.
Par exemple, supposons vous exécutez un serveur Web local sur un appareil avec l'adresse IP interne 192.168.1.12, tandis que votre adresse IP publique est 80.80.100.110. Les requêtes extérieures vers le port 80(80.90.100.110:80) seraient autorisées, grâce aux règles de redirection de port, avec le trafic redirigé vers le port 80sur 192.168.1.12.
Pour ce faire, vous devrez configurer votre réseau pour autoriser la redirection de port, puis créer les règles de redirection de port appropriées dans votre routeur réseau. Vous devrez peut-être également configurer d'autres pare-feu sur votre réseau, y compris le Fenêtre pare-feu, pour autoriser le trafic.
Pourquoi devriez-vous éviter UPnP (Automatic Port Forwarding)
La configuration de la redirection de port sur votre réseau local n'est pas difficile pour les utilisateurs avancés, mais elle peut créer toutes sortes de difficultés pour les novices. Pour aider à surmonter ce problème, les fabricants de périphériques réseau ont créé un système automatisé de redirection de port appelé UPnP(ou Universal Plug and Play).
L'idée derrière UPnP était (et est) pour permettre aux applications et aux appareils basés sur Internet de créer automatiquement des règles de redirection de port sur votre routeur pour autoriser le trafic extérieur. Par exemple, UPnP peut automatiquement ouvrir les ports et transférer le trafic pour un appareil exécutant un serveur de jeu sans avoir besoin de configurer manuellement l'accès dans les paramètres de votre routeur.
Le concept est génial, mais malheureusement, l'exécution est imparfaite, voire extrêmement dangereuse. UPnP est le rêve d'un malware, car il suppose automatiquement que toutes les applications ou services exécutés sur votre réseau sont sûrs. Le UPnP pirate le site Web révèle le nombre d'insécurités qui, même aujourd'hui, sont facilement incluses avec les routeurs réseau.
D'un point de vue sécurité, il est préférable de pécher par excès de prudence. Plutôt que de risquer la sécurité de votre réseau, évitez d'utiliser UPnP pour le transfert de port automatique (et, si possible, désactivez-le complètement). Au lieu de cela, vous ne devez créer des règles de redirection de port manuelles que pour les applications et les services auxquels vous faites confiance et qui ne présentent aucune vulnérabilité connue.
Comment configurer la redirection de port sur votre réseau
Si vous évitez l'UPnP et souhaitez configurer la redirection de port manuellement, vous pouvez généralement le faire à partir de la page d'administration Web de votre routeur. Si vous ne savez pas comment y accéder, vous pouvez généralement trouver les informations sous votre routeur ou incluses dans le manuel de documentation de votre routeur.
Vous pouvez vous connecter à votre page d'administration du routeur en utilisant l'adresse de passerelle par défaut de votre routeur. Il s'agit généralement de 192.168.0.1ou d'une variante similaire : saisissez cette adresse dans la barre d'adresse de votre navigateur Web. Vous devrez également vous authentifier à l'aide du nom d'utilisateur et du mot de passe fournis avec votre routeur (par exemple, admin).
Configuration des adresses IP statiques à l'aide de la réservation DHCP
La plupart des réseaux locaux utilisent l'allocation IP dynamique pour attribuer des adresses IP temporaires aux appareils qui se connectent. Après un certain temps, l'adresse IP est renouvelée. Ces adresses IP temporaires peuvent être recyclées et utilisées ailleurs, et votre appareil peut avoir une adresse IP locale différente qui lui est attribuée.
Cependant, la redirection de port nécessite que l'adresse IP utilisée pour tous les appareils locaux reste la même. Vous pouvez attribuer une adresse IP statique manuellement, mais la plupart des routeurs réseau vous permettent d'attribuer une adresse IP statique à certains appareils dans la page des paramètres de votre routeur en utilisant la réservation DHCP.
Malheureusement, chaque fabricant de routeur est différent, et les étapes illustrées dans les captures d'écran ci-dessous (réalisées à l'aide d'un routeur TP-Link) peuvent ne pas correspondre à votre routeur. Si tel est le cas, vous devrez peut-être consulter la documentation de votre routeur pour plus d'assistance.
Pour commencer, accédez à la page d'administration Web de votre routeur réseau à l'aide de votre navigateur Web et authentifiez-vous à l'aide du nom d'utilisateur et du mot de passe de l'administrateur du routeur. Une fois connecté, accédez à la zone des paramètres DHCP de votre routeur.
Vous pourrez peut-être rechercher les appareils locaux déjà connectés (pour remplir automatiquement la règle d'allocation requise) ou vous devrez peut-être fournir les adresse MAC spécifique pour l'appareil auquel vous souhaitez attribuer une adresse IP statique. Créez la règle en utilisant la bonne adresse MAC et l'adresse IP que vous souhaitez utiliser, puis enregistrez l'entrée.
Création d'une nouvelle règle de redirection de port
Si votre appareil a une IP statique (définie manuellement ou réservée dans vos paramètres d'allocation DHCP), vous pouvez créer la règle de transfert de port. Les termes pour cela peuvent varier. Par exemple, certains routeurs TP-Link appellent cette fonctionnalité Serveurs virtuels, tandis que les routeurs Cisco y font référence par le nom standard (Redirection de port).
Dans le bon menu de la page d'administration Web de votre routeur, créez une nouvelle règle de redirection de port. La règle nécessitera le port externe(ou la plage de ports) auquel vous souhaitez que les utilisateurs externes se connectent. Ce port est lié à votre adresse IP publique (par exemple le port 80pour IP publique 80.80.30.10).
Vous devrez également déterminer le port internevers lequel vous souhaitez transférer le trafic du port externe. Il peut s'agir du même port ou d'un autre port (pour masquer l'objectif du trafic). Vous devrez également fournir l'adresse IP statique de votre appareil local(par exemple 192.168.0.10) et le protocole de port utilisé (par exemple TCP ou UDP).
Selon votre routeur, vous pourrez peut-être sélectionner un type de service pour remplir automatiquement les données de règles requises (par exemple HTTPpour le port 80 ou HTTPSpour le port 443). Une fois que vous avez configuré la règle, enregistrez-la pour appliquer la modification.
Étapes supplémentaires
Votre routeur réseau doit appliquer automatiquement la modification à vos règles de pare-feu . Toute tentative de connexion externe effectuée sur le port ouvert doit être transmise au périphérique interne à l'aide de la règle que vous avez créée, bien que vous deviez peut-être créer des règles supplémentaires pour les services qui utilisent plusieurs ports ou plages de ports.
Si vous rencontrez des problèmes, vous devrez peut-être également envisager d'ajouter des règles de pare-feu supplémentaires au pare-feu logiciel de votre PC ou Mac (y compris le pare-feu Windows) pour autoriser le trafic. Le pare-feu Windows n'autorise généralement pas les connexions externes, par exemple, vous devrez donc peut-être le configurer dans le menu Paramètres Windows.
Si le pare-feu Windows vous pose problème, vous pouvez le désactiver temporairement enquêter. Cependant, en raison des risques de sécurité, nous vous recommandons de réactiver le pare-feu Windows après avoir résolu le problème, car il offre une protection supplémentaire contre tentatives de piratage possibles.
Sécurisation Votre réseau domestique
Vous avez appris à configurer la redirection de port, mais n'oubliez pas les risques. Chaque port que vous ouvrez ajoute un autre trou au-delà du pare-feu de votre routeur que outils d'analyse de ports peut trouver et abuser. Si vous devez ouvrir des ports pour certaines applications ou certains services, assurez-vous de les limiter à des ports individuels, plutôt qu'à d'énormes plages de ports qui pourraient être violées.
Si vous vous inquiétez pour votre réseau domestique, vous pouvez augmentez la sécurité de votre réseau de ajout d'un pare-feu tiers. Il peut s'agir d'un pare-feu logiciel installé sur votre PC ou Mac ou d'un pare-feu matériel 24h/24 et 7j/7 comme le Pare-feu or, connecté à votre routeur réseau pour protéger tous vos appareils à la fois.