Sécuriser correctement son routeur BBox2

Sécuriser correctement son routeur BBox2

Quentin C. 16 May 2011

La sécurisation d’un routeur ADSL/VDSL de chez Belgacom (Skynet) est très importante.

Table des matières

Je vais vous montrer comment :

  1. Sécuriser son accès Wifi
  2. Mettre un mot de passe sur la partie web
  3. Désactiver les mises à jour firmware
  4. Activer/configurer correctement le firewall
  5. Changer les DNS par défaut
  6. Implémenter un DHCP statique
  7. Activer les activés dans les logs

Et si vous êtes un expert :

  1. Accéder aux parties cachées (Sauvegarde/backup)
  2. Changer le mot de passe super administrateur via Telnet

 

 

Allons-y!

1.1 Sécuriser ton accès wireless (WPA) -> obligatoire

Par défaut, le Wifi est activé (bbox-xxx) et n’est pas sécurisé donc tout le monde peut se connecter dessus.

  • Rendez-vous sur l’adresse IP de votre B-Box (https://192.168.1.1 par défaut)
  • Cliquez sur « Advanced Settings » -> « Wireless »

Ce qu’il faut modifier :

  1. Changez votre SSID
  2. Utilisez un channel différent de 1
  3. Sécurité : WPA2
  4. Passphrase : votremotdepasse
  5. Encryption : Préférez AES à TKIP
  6. WPS : Disable (jamais sur PIN!)

Si vous êtes parano, on peut rajouter un filtrage par adresse MAC

 

 

1.2 Mettre un mot de passe sur la partie web -> recommandée

Par défaut encore le routeur arrive sans mot de passe donc encore une fois ouvert à tous

  • Rendez-vous sur l’adresse IP de votre B-Box (par défaut)
  • Cliquez sur « Advanced Settings » -> « System »
  • Change password et entrez un mot de passe !

Maintenant, quand vous voudrez accéder au panel admin, vous devrez indiquer votre password

1.3 Désactiver les mises à jour firmware -> paranos

Sachez que Belgacom peut mettre à jour votre B-Box à distance, cependant que peuvent-ils voir d’autre ? Si Belgacom veut upgrader l’os (activez le FON), ils s’y prennent via le VLAN 20 utilisés pour la VOIP. N’ayant pas de téléphones VOIP , je désactive le VLAN 20 qui pour moi doit contenir un backdoor.

  • Rendez-vous sur l’adresse IP de votre B-Box
  • Cliquez sur « Advanced Settings » -> « Network Interfaces »

  • Wan eth1.20 VoIP -> Action -> Disable

 

 

1.4 Activer/configurer correctement le firewall -> recommandé

Encore une fois par défaut le firewall n’a pas été activé (une vraie passoire)

  • Rendez-vous sur l’adresse IP de votre B-Box
  • Cliquez sur « Advanced Settings » -> « Firewall »
  1. Je vous conseille de cocher Typical Security qui est la sécurité intermédiaire (maximum bloque MSN par exemple)
  2. Et cochez « Block IP Fragments »

Voilà, les attaques extérieures seront donc bloquées.

 

 

1.5 Changer les DNS donnés par le DHCP par ceux de Google ->Un mieux

Comment se passe la résolution de nom ? Le serveur DHCP donne sa propre IP comme serveur DNS afin de gérer lui même avec les DNS de Skynet la résolution. Personnellement je préfère de loin des DNS tels que ceux de Google (8.8.8.8 et 8.8.4.4).

  • Rendez-vous sur l’adresse IP de votre B-Box
  • Cliquez sur « Advanced Settings » -> « Network Interfaces »

  • LAN Bridge -> Action -> Settings
  • Primary DNS Server : 8.8.8.8
  • Secondary DNS Server : 8.8.4.4

 

 

1.5 Implémenter un DHCP statique -> intéressant

Le DHCP permet de donner des adresses IP aux ordis qui se connectent au réseau. La configuration donne un bail de 36 heures. Le 1er PC reçoit 192.168.1.2 ,Le 2er PC reçois 192.168.1.3 ,Le 3er PC reçoit 192.168.1.4. Mais après 36 heures, le pc n°1 reçoit 192.168.1.5. Nous allons donc configurer le static DHCP

  • Rendez-vous sur l’adresse IP de votre B-Box
  • Cliquez sur « Advanced Settings » -> « Network Interfaces »
  • LAN Bridge -> IP Address Distribution -> Connection List
  • New Static Connection (à vous de faire correspondre une adresse MAC et un IP)

 

1.6 Activer les log sur le firewall -> Mieux/Intéressant/Débug

  • Rendez-vous sur l’adresse IP de votre B-Box
  • Cliquez sur « Advanced Settings » -> « Firewall » -> « Security Log » -> Setting

 

2.1 Se connecter en tant que super administrateur -> Backup/Debug

Ce que Belgacom omet de dire, c’est qu’ils ont caché un super utilisateur qui a tous les droits sur le routeur, cela permet de basculer d’ADSL enVDSL, sauvegarder ou restaurer une configuration, et de pinguer.
https://192.168.1.1/index.cgi?user_name=admin&password=BGCVDSL2

 

2.2 Changer ce mot de passe administrateur en Telnet -> parano

Je pense que si Belgacom veut prendre la main sur votre modem il utilisera ces identifiants : admin/BGCVDSL2. Par méfiance, je vais donc vous montrer comment changer ce méchant mot de passe.

Connectez-vous en Telnet avec Putty

Entre le login : admin

Le mot de passe : BGCVDSL2
Il est à noter que l’accès Admin est actuellement modifié sur les nouvelles versions :
Pour accéder à la page web de la BBox2, il faut maintenant introduire le numéro de série inscrit au bas de l’appareil (Identifiant de 15 chiffres/lettres).
Le mot de passe Admin est également ce n° de série.

 

Les commandes pour changer les mdp sont les suivantes :

rg_conf_set_obscure admin/user/0/password "mot_de_passe"
save
exit

Et voilà. C’est tout pour aujourd’hui!

ATTENTION LES ÉTAPES SONT LA A UN BUT PÉDAGOGIQUE ET LA BBOX APPARTIENT A BELGACOM

Si vous avez des commentaires/corrections, n’oubliez pas de me les communiquer.

33 thoughts on “Sécuriser correctement son routeur BBox2

  1. Bonjour,
    Tout ceci est juste et rien à redire sur le plan de la technique.
    Mais je serais bien plus modéré quant au fait de proposer aux personnes, des DNS alternatif “plus rapides”.
    Les tests simple avec Dig montrent qu’il n’en est rien et de plus, il faut considérer ces DNS comme menteur.
    Y compris OpenDNS, malgré le nom qui laisse penser au logiciel libre.
    En ce qui concerne Belgacom, leur DNS n’est pas menteur à cette heure précise.

    1. Bonjour,

      Il est vrai que les serveurs alternatif ne sont peut-être “pas plus rapide”, mais ceux-ci sont souvent plus professionnel.

      Les DNS de Belgacom on déjà eu des plantages et se propage plus lentement.

      Enfin il faut faire des tests avec des ping & nslookup …

  2. bonjour ,

    merci pour ces info. Je cherche a me connecter via mon propre routeur adsl . Pas de problème pour la connexion adsl. Par contre, cela bloque pour la VOIP a cause du VLAN.

    Comment retrouver ces paramétrés VLAN pour les mettre sur mon routeur a moi ?

    Cordialement

    Pierre

  3. Bonjour,
    J’essaye de faire un backup de ma config b-box2 avant de me lancer dans ‘quelques travaux’ …
    En suivant votre tuto (merci bcp pour le tuto), je peux me logger en admin et avoir accès au menu ‘Admin settings’.
    Mais il n’y a pas de sous-menu ‘Backup’
    Il y a 3 sous-menu: Xdsl mode, diagnosis et firmware upgrade.

    Une idée d’où ils ont bien pu cacher le backup?
    Merci bcp

  4. Bonjour, j’avais commencer à modifier les paramètres mais quand j’ai valider le mot de passe, il ne la pas accepte car problème dans le nombre de chiffre et de lettre. À présent plus moyen de me connecter au wifi sans donner une clé de sécurité ( qui a la base n’avait pas été accepté). Je n’ai son plus internet pour modifier quoi que soit … Comment puis je faire ?

  5. Does anyone know how to do the backup? I don’t get the “Backup & Update” entry on the Admin Settings window. My box is new (Feb 2012), so I guess the firmware has changed since this article was created.
    randronoth

  6. Hello Randronoth,

    La seul chose que j’ai trouvé c’est le menu caché suivant :
    javascript:mimic_button(‘goto: 9085..’) pour Restore et 9086 pour Save.
    Par contre je n’arrive pas à faire un Restore (si quelqu’un à une idée je suis preneur :-))

    Merci à tous,

    1. Lorsque j’ai signé sur la BBOX 2, e n’arrive pas à lancer une commande javascript .
      La commande lancée de mon navigateur ( ie ou firefox) ne fonctionne pas.
      Qui peut m’aider?

  7. Hello,

    Merci pour toutes ses infos, pas facile de s’y retrouver dans le menu de la BB2.

    Encore deux questions,
    Comment changer de range 192.168.101.xxx ?
    Comment changer l’affectation des portes (je voudrais 3xLan 1xTV).

    Merci

    1. Bonjour Scout,

      Ne travaillant pas avec Telnet, je ne saurai t’aider via les lignes de commande, mais via l’interface web (donc via IP de la BBox2 (F@st34xx)), j’ai changé le mot de passe de l’administrateur (Advanced Settings => System => Administrator => Change Password).

      Je pense qu’il n’y a qu’un seul administrateur sur la BBox2, mais qu’il est possible de le modifier via différent canaux (Telnet ou interface Web) , bref chez moi, depuis que j’ai modifié, le password “BGCVDSL2” via l’interface Web, la BBox2 ne reconnais que le nouveau password que j’ai introduit.

      Il faudrait voir avec un utilisateur Telnet (Quentin peut-être) si cela fonctionne.

      J’espère t’avoir aidé dans ton problème.

      1. Bonjour Vic, merci pour ton aide, mais je fais ça et le BBox2 ma dit:

        old Password invalid

        et personne change le mot de passe …

  8. Bonne Doc !

    J’avais connecté mon WHS 2008 déjà via une bbox1 pour accéder un Pc dans mon Lan avec Port et IP fix….et ça marche bien.
    Maintenant je veux faire la même chose sur une bbox2.

    Dans la rubrique (Lan Server) je peux configurer le Port d’écoute et IP Fix du Pc que je veux accéder depuis Internet.

    Comment faire le lien entre IP variable que mon WHS reçoit de Belgacom 81…… et l’entrée de Bbox2 ??

    Pour la Bbox1 le soft de WHS fait ça comme un grand, cad je crois que dans la table de routing il associe IP 81.240…… avec 192.168.1.0 côté Bbox1.

    d’avance merci

  9. Bonjour,

    J’ai un pack belgacom depuis +/- un an tv (avec CPL) + internet (deux décodeurs).
    Au niveau signale pour les tv, on dira que c’est correct.
    Par compte au niveau signale envoyé par la BBOX2 pour le net; étant éloigné du dit routeur
    la réception est loin d’être optimale.
    Est-il possible d’intercaller des wirless repeter avec ce type de BBOX2, WPS disponible sur ce routeur ou non?
    Si oui il faut configurer le repeter, comment faire?
    Doit-on changer une config sur le routeur?
    Si tjrs oui, une marque et un modéle souhaitable de repeter?
    D’avance merci pour votre réponse.
    Richard

  10. L’accès à la BBOX2 avec une URL au lieu de l’adresse IP ne fonctionne pas. Pour faire un essais sur le LAN il suffit d’ajouter une ligne au fichier hosts dans c:\window\system32\drivers\etc\

    Cette ligne est la suivante
    192.168.1.1 bbox

    On peut alors taper http://bbox, ca plante et on obtient la réponse 192.168.1.1/dns_error

    Même problème en accès remote en indiquant l’URL du domaine, du coup quand je veux accéder une Bbox sur son interface PPPOE il me faut au préalable faire un ping pour connaitre l’IP

    Qqn de chez BGC m’avait donné la solution à appliquer à la Bbox mais j’ai oublié cette info.
    Le redemander via le 0800/33800 relève du parcours du combattant (au moins 10 appels sans succès)

    D’avance merci pour votre réponse.

  11. Bonjour,

    Je connais bien la bbox et ai déjà fait tout ca. Cependant, je voudrai avoir la possibilité de bloquer certain site web.. Mais je pense que le module ”website restriction” de la bbox, rien ne marche vraiment…

    Une idée ??

    Merci

    1. idem, je n’arrive pas à faire fonctionner cette partie du firewall. il m’a semblé que ça marchait mieux avec les adresses MAC , mais non, rien n’est bloqué!

  12. bonjour,

    je dois changer de bbox2 pour problèmes techniques, j’ai paramétré pas mal de choses dedans, et l’option backup semble avoir disparu

    comment faire? je ne suis pas une pro
    merci de vos conseils

  13. Merci beaucoup pour ces informations qui m’ont bien aidé dans la résolution de mon problème, à savoir, comment introduire un mot de passe web dans ma bbox2. C’est très louable de votre part de partager ce genre d’info avec tout le monde! Encore merci et bonne continuation.

Leave a Reply to Tintin Cancel reply

Your email address will not be published.