Le retrait du câble Ethernet du routeur (lorsque je ne l'utilise pas) est-il une bonne mesure de sécurité?

Question

J'ai ici chez moi un routeur, comme beaucoup de gens là-bas. Le routeur est connecté avec un câble Ethernet provenant du modem.

Mais, pour empêcher les pirates informatiques ou autre chose d'essayer de me déranger, si je n'utilise pas le routeur, le retrait du câble Ethernet est-il une bonne mesure de sécurité? Ou cela ne fait pas grand-chose en matière de sécurité, alors je devrais le laisser toujours connecté?

nd510 · Accepted Answer

S'il n'y a pas de connexion Internet à votre appareil, un pirate ne pourra pas communiquer avec cet appareil. (Edit: Comme certains l'ont souligné ... cela suppose qu'un attaquant tente sur Internet à partir d'un emplacement distant)

Cela dit, vous devrez éventuellement vous reconnecter à Internet si vous souhaitez utiliser Internet et si vous deviez éventuellement obtenir des logiciels malveillants sur votre ordinateur, tels qu'un enregistreur de frappe. Cet enregistreur de frappe va s'appuyer sur Internet pour renvoyer ses données au pirate. Si le keylogger est écrit correctement, lorsque vous vous déconnectez, il attendra simplement que vous vous reconnectiez à Internet pour renvoyer ses données à l'attaquant.

À mon avis, je pense que la déconnexion de votre Internet s'avérera plus un problème qu'une protection. Concentrez-vous plutôt sur la sécurité de votre appareil et vos actions sur Internet. Être un utilisateur d'Internet intelligent peut fournir une grande sécurité à votre appareil.

Élaboration (EDIT):

Je suis d'accord que cette méthode diminue le temps d'opportunité pour un attaquant, mais la raison pour laquelle j'ai choisi de mettre l'accent sur la sécurité des terminaux et la formation des utilisateurs est parce que si vous imaginez un environnement d'entreprise, ils ont des appareils et des services qui s'appuient sur une connexion Internet 24 /7. Une entreprise ne peut donc pas compter sur la déconnexion d'Internet comme mesure de sécurité viable. Au lieu de cela, ils se concentrent sur la sécurisation des appareils sur le réseau et le réseau lui-même. Je crois donc que cela permettra d'atteindre 2 choses: 1) une plus grande sécurité. 2) une meilleure expérience utilisateur (toujours accès à Internet à la demande) et je pense que vous pouvez également appliquer ces stratégies à votre réseau personnel.

Trey Blalock · Answer

Cela réduirait vos risques en minimisant le temps pendant lequel la surface d'attaque est vulnérable à l'attaque donc oui techniquement, c'est un contrôle de sécurité utile. Il entre dans la catégorie du contrôle d'accès de couche 1 dans le modèle OSI.

Cela signifie que vous perdez également des données créées par des attaquants la nuit, ce qui pourrait être utile pour la tendance des activités des attaquants. Il peut toujours être possible de collecter cela tout en débranchant physiquement le réseau, mais si vous ne collectez pas ce type de données actuellement, vous ne perdez rien en faisant cela.

Plus important encore, il semble que vous n'ayez pas suffisamment de contrôles de sécurité en place pour faire confiance à ce qui se passe avec votre réseau, vous devez donc encore y remédier à un moment donné.

En tant que contrôle de sécurité de base, il se prête à une réduction des attaques pouvant accéder à vos systèmes, en particulier celles qui sont testées contre de gros blocs d'adresses IP ou Internet dans son ensemble, qui peuvent être exécutés pendant la déconnexion de vos systèmes. Alors oui, il y a un avantage et si cet avantage l'emporte sur tout inconvénient, il semble que ce serait une bonne mesure de sécurité dans votre situation. Gardez à l'esprit que cela n'aura presque aucun impact sur un attaquant persistant, cela aide principalement à réduire le nombre d'attaques à grande échelle, les efforts de reconnaissance à grande échelle ou lorsque des choses comme des vers se produisent sur Internet.

Remarque: votre routeur sera toujours vulnérable aux attaques dans le scénario que vous mentionnez. Je suppose que c'est parce que certains autres équipements ont besoin d'accès mais sinon, vous pourriez penser à déconnecter le câble WAN ou même à éteindre le routeur lui-même. Ce n'est peut-être pas une option, mais j'ai juste pensé Je mentionnerais cela compte tenu de votre scénario.

Une autre option que vous voudrez peut-être envisager est de créer des scripts pour vos règles de pare-feu ou vos systèmes pour désactiver leurs interfaces selon un calendrier défini ou via un script simple que vous exécutez pour activer et désactiver les choses.

John U · Answer

Compte tenu du nombre d'attaques visant les routeurs, du nombre de failles de sécurité/de portes dérobées dans les routeurs de qualité grand public et du fait que votre routeur est une passerelle permanente vers le grand mauvais Internet, je dirais que la mise hors tension du routeur est plus facile et mesure plus efficace que d'en déconnecter votre PC. Vous déplacez l'avantage de sécurité (discutable) un peu plus loin dans la chaîne.

Vous pouvez même placer votre routeur sur une prise de minuterie ou sur l'une de ces prises de télécommande pour la paresse.

Je ne spéculerai pas sur les avantages que cela pourrait apporter dans le monde réel, car il est soumis à tant de variables et à votre propre niveau de paranoïa.

Serge Ballesta · Answer

Du point de vue de la sécurité, ce n'est pas vraiment une bonne mesure. La sécurité est la triade Confidentialité, Intégrité, Disponibilité. Si vous ne considérez que la confidentialité, tout ce qui pourrait ajouter de l'isolement est bon. Donc, retirer le câble lorsque vous n'utilisez pas Internet est bien: vous réduisez l'exposition aux attaques. Il est également bon pour l'intégrité pour la même raison. Mais c'est terrible sur la disponibilité. Les connecteurs réseau ne sont pas destinés à être branchés et débranchés trop souvent, et vous risquez de casser le petit morceau qui empêche le connecteur de se débrancher de la prise lors de la plus petite action. Et à la fin, il est probable que vous ajoutiez des erreurs réseau plus tard.

À mon humble avis, vous pouvez éteindre le routeur en toute sécurité, mais ne l'attaquez pas au niveau des connecteurs ...

Et de toute façon, la réponse de Trey Blalock a déjà expliqué que le gain n'était pas vraiment important, alors restez à l'écart ...

À mon humble avis, vous pouvez éteindre le routeur en toute sécurité, mais ne l'attaquez pas au niveau des connecteurs ...

Et de toute façon, la réponse de Trey Blalock a déjà expliqué que le gain n'était pas vraiment important, alors restez à l'écart ...

l0b0 · Answer

Il s'agit uniquement d'une bonne protection contre les attaques à distance par force brute, où l'attaquant tente de deviner rapidement et automatiquement les mots de passe courants pour y accéder. Cela peut être plus efficacement contrecarré en activant la limitation de débit, à la fois sur le routeur et sur tous les services que vous avez activés à l'intérieur du réseau, en choisissant des mécanismes de connexion sécurisés, tels que la connexion par clé plutôt que par mot de passe pour SSH, et des mots de passe puissants et générés automatiquement Où il faut.

Il s'agit d'une protection inefficace contre les exploits non corrigés . La plupart d'entre eux finissent par prendre très peu de temps pour s'exécuter contre un périphérique connecté car ils contournent le mécanisme d'authentification et évitent (ou minimisent) la nécessité de la force brute. Il y a plusieurs rapports, par exemple, de vieux ordinateurs de bureau connectés directement à Internet piratés en quelques minutes. Il est donc préférable de vous assurer que le routeur dispose toujours des derniers correctifs de sécurité installés. Vous devez également vous assurer que l'interface de configuration n'est pas accessible depuis Internet, si possible.

Et comme @ ncd275 le souligne , cela ne sert à rien contre la divulgation d'informations par des machines à l'intérieur du réseau.

usr-local-ΕΨΗΕΛΩΝ · Answer

Réponse paranoïaque

Votre ordinateur est toujours sous tension. Même lorsqu'il est éteint, le CPU est alimenté et peut exécuter tout type d'instructions alors que les ventilateurs et les disques ne sont pas alimentés. Une agence gouvernementale (que ce soit la NSA, le MI6, le Mossad ...) peut avoir injecté un rootkit dans votre AC converter ( source ). Le rootkit peut distraire le CPU pour effectuer des opérations sur les données disponibles dans RAM (qui est toujours alimenté) et les renvoyer à la maison.

Le rootkit peut également utiliser une webcam et un microphone pour détecter la présence humaine et faire tourner les disques lorsque personne n'est dans la pièce.

Réponse modérée

La déconnexion du câble Ethernet réduit la surface d'attaque. Mais vous devez le mesurer correctement.

Lorsque l'ordinateur est éteint, en connaissant son adresse MAC, toute personne disposant d'un accès LAN peut l'allumer en utilisant le protocole wakeup-on-lan et essayer d'effectuer d'autres opérations malveillantes en fonction du niveau de sécurité et du système d'exploitation de votre ordinateur.

Mais comment WOL peut-il être utilisé? Avez-vous le wifi gratuit ou avec mot de passe faible? Votre routeur peut-il transmettre un paquet WOL à votre réseau local s'il est correctement conçu?

La seconde pourrait me oui , surtout avec un routeur domestique configuré avec ses paramètres par défaut (même si vous avez changé votre mot de passe).

Sten Petrov · Answer

Peut-être mais pas vraiment, cependant, cela pourrait réduire les dommages causés ailleurs .

Bien sûr, vous réduisez la surface d'attaque avec des contraintes de temps. Par exemple:

un attaquant qui essaie de forcer brutalement vos crédits de bureau à distance a moins de temps pour faire ses enchères (déplacer RDP vers un autre port)
un attaquant qui recherche des services vulnérables a moins de chances de vous attraper en ligne (bien qu'il essaiera probablement de nouveau, désactiver les ports inutilisés de votre routeur)

Mais le vecteur le plus probable pour obtenir des logiciels malveillants est de visiter un site ou d'ouvrir des logiciels malveillants à partir d'un e-mail. Et aucun de ces changements lorsque vous déconnectez votre ordinateur. Comme une autre réponse l'a souligné, cela n'empêchera pas les logiciels malveillants de communiquer plus tard avec leur serveur de commandes. Le fait que vous envisagiez de déconnecter votre ordinateur montre que ce n'est pas une machine de service (serveur DB, etc.) mais une machine utilisateur - les chances sont définitivement en faveur de la manière interactive d'obtenir des logiciels malveillants.

En vous déconnectant, vous réduisez peut-être les dommages que le logiciel malveillant peut causer à autrui. Votre machine ne pourrait pas participer à ces activités ou à d'autres activités nécessitant la mise en ligne du logiciel malveillant: renforcement brutal du RDP d'une autre machine, recherche d'autres services vulnérables sur les autres machines, diffusion de copies sur d'autres machines ...

De plus - éteindre votre machine couvrirait non seulement les mêmes cas que la déconnexion, mais également les activités pour lesquelles le logiciel malveillant n'a pas besoin de connexion: extraction de bitcoins, inversion des hachages de mot de passe. Et il est beaucoup plus convivial avec un bouton généralement disponible à cet effet.

Une autre chose paranoïaque à considérer: débranchez le décodeur lui-même :)

iwaseatenbyagrue · Answer

Pour ajouter mes deux cents: cela dépend.

En outre, cela ressemble au type de processus qui pourrait facilement échouer (c'est-à-dire que vous oubliez, vous endormez au clavier ou devez autoriser quelqu'un d'autre à utiliser la connexion).

Si vous choisissez de le débrancher lorsqu'il n'est pas utilisé au lieu de le rendre résistant aux attaques, alors je pense que c'est en fait un net négatif.

Si vous choisissez de le débrancher même si vous avez fait tout ce que vous pouviez pour le rendre résistant aux attaques, cela pourrait être acceptable comme mesure provisoire à court terme pendant que vous trouvez une solution plus permanente.

Mais je ne pense pas qu'il y ait de cas où le retrait des câbles Ethernet soit une bonne solution à long terme.

Même si cela ne cause généralement pas d'autres problèmes, cela ne semble tout simplement pas être une solution solide - cela ressemble à éviter un problème plutôt qu'à le résoudre (je peux très bien me tromper).

Un raisonnement peut-être plus productif pourrait impliquer d'examiner ce que ce routeur compromis pourrait entraîner et quelles contre-mesures pourraient s'appliquer.

Je soupçonne que votre modem ISP est plus susceptible d'être compromis (par exemple, ala mirai ), ce qui peut ou non conduire à ce que votre routeur soit également compromis, mais dans la plupart des cas, il serait fonctionnellement équivalent - quelqu'un d'autre contrôle potentiellement votre itinéraire et peut être en mesure de voir le trafic non protégé. Vous avez donc en quelque sorte besoin d'avoir un plan contre cela de toute façon.

Dans ce sens, le débranchement du modem ISP peut être plus utile, mais vous restez exposé lorsqu'il est branché - et je ne suis pas sûr que la réduction de la surface d'attaque (si restreindre le nombre d'heures qu'un appareil est en ligne peut être considérée comme réduisant cela ) va vraiment être efficace. Cela est d'autant plus vrai que le FAI déploie un grand nombre d'appareils identiques, donc très probablement, si votre modem était 'vu' en ligne, les attaquants sauraient à quoi il serait vulnérable - vous leur donnez juste un peu moins de possibilités de lancer les attaques qu'ils savent travailler contre votre FAI.

Donc, si j'étais vous, je chercherais à savoir comment le fait de compromettre votre chemin réseau vous affecterait, et je ferais quelque chose à ce sujet. Cela ne fait certainement pas de mal de garder un œil sur la journalisation de votre routeur, notamment pour (essayer de) détecter les signes de compromis, mais je ne sais pas si c'est le principal risque qui me préoccuperait.

Tom · Answer

En supposant que vous êtes un utilisateur domestique moyen, demandez-vous exactement ce que vous essayez de vous protéger de.

Il existe deux scénarios d'attaque de base sur votre ordinateur personnel. Votre débranchement désactive partiellement l'un d'entre eux. De là, vous devez vous répondre si les tracas en valent la peine.

Premièrement, vous pouvez être attaqué en visitant un site malveillant, ou un site bénin avec des logiciels malveillants publicitaires malveillants, ou en recevant des spams avec des logiciels malveillants ou l'une des douzaines d'autres façons qui vous attaquent fondamentalement lorsque vous interagir avec la source d'attaque . Ces types d'attaque ne sont pas affectés par votre débranchement nocturne.

Deuxièmement, un attaquant peut attaquer (très probablement à l'aveugle) votre plage IP ou réseau. Sa cible peut être votre PC ou le routeur lui-même. Votre débranchement ne fonctionnera que contre les attaques qui ciblent le PC, et uniquement pendant la nuit.

Mon professeur de statistique a dit que lorsque vous n'avez pas de données, même pour une supposition, supposez une distribution uniforme. Votre débranchement fonctionnera donc un tiers (8 sur 24 heures) du temps, contre 50% des attaques directes qui représentent 50% de toutes les attaques, pour une efficacité totale de 8%. Bien sûr, ce n'est pas un chiffre précis, il ne sert qu'à vous illustrer l'ampleur de la réduction de la surface d'attaque.

Dans cet esprit, je pense que vous pouvez décider par vous-même.

SDsolar · Answer

Je dirais de laisser le pauvre câble tranquille. Ils sont trop fragiles pour ce que vous proposez.

Et les routeurs ne sont pas toujours sympathiques lorsqu'ils sont mis hors tension.

Je proposerais que vous éteigniez simplement le modem lorsque vous voulez être déconnecté du monde extérieur.