Le défi de la gouvernance numérique au sein du foyer
En tant qu’architectes de nos propres infrastructures domestiques, nous appliquons souvent des règles de sécurité strictes au bureau, mais laissons le réseau familial vulnérable. Entre les objets connectés (IoT) bavards, les consoles des enfants et les ordinateurs portables professionnels des parents, la surface d’attaque est immense. Pour sécuriser la vie numérique de la famille sans impacter l’expérience utilisateur, une simple clé WPA2 globale ne suffit plus. La solution ? L’isolation par VLAN combinée à un filtrage DNS granulaire et dynamique.
Étape 1 : Segmentation réseau (VLAN) sous OPNsense
La première règle d’or de la sécurité est le cloisonnement. Nous allons segmenter notre réseau en trois zones distinctes à l’aide de VLANs configurés sur notre routeur/pare-feu OPNsense :
- VLAN 10 (Parents/Admin) : Accès total à l’interface d’administration et à internet.
- VLAN 20 (Kids) : Accès internet filtré, aucune communication possible avec le VLAN 10 ou l’IoT.
- VLAN 30 (IoT) : Accès internet restreint au strict minimum, isolation complète du reste du réseau.
Pour cela, rendez-vous dans Interfaces > Other Types > VLAN sur OPNsense. Créez vos interfaces, puis définissez des règles de pare-feu strictes dans Firewall > Rules pour interdire le trafic inter-VLAN (notamment du VLAN 20/30 vers le VLAN 10).
Étape 2 : Configuration d’AdGuard Home pour un filtrage par profil
Plutôt que de déployer plusieurs serveurs de filtrage, nous allons utiliser les fonctionnalités avancées d’AdGuard Home pour appliquer des politiques de sécurité et de contrôle parental différenciées selon les clients.
Dans l’interface d’AdGuard Home, accédez à la section Paramètres du client. Vous pouvez y ajouter des appareils spécifiques ou des sous-réseaux entiers (par exemple, la plage IP du VLAN 20 des enfants). Pour ce profil « Kids », activez :
- Le blocage des services spécifiques (TikTok, YouTube restreint, Discord selon l’âge).
- La recherche sécurisée (SafeSearch) obligatoire sur Google, Bing et YouTube.
- L’utilisation des serveurs DNS amont de type « Family Protection » (comme Cloudflare 1.1.1.3).
Étape 3 : Verrouiller les échappatoires (Contrecarrer le contournement du DNS)
Les adolescents sont astucieux. Si un enfant configure manuellement le DNS 8.8.8.8 sur sa console ou son smartphone, il contournera AdGuard Home. Pour empêcher cela, nous devons mettre en place une règle de NAT Port Forward sur OPNsense.
Créez une règle de redirection de port (DNAT) pour intercepter toutes les requêtes sortantes sur le port 53 (UDP/TCP) qui ne sont pas destinées à l’IP de votre serveur AdGuard Home, et redirigez-les de force vers ce dernier. Faites de même pour le port 853 (DNS over TLS) pour bloquer ou rediriger le DNS sécurisé tiers.
Conclusion
En combinant la puissance de routage d’OPNsense et la flexibilité d’AdGuard Home, vous obtenez une infrastructure domestique digne d’une entreprise. Vos données personnelles sont isolées des objets connectés potentiellement vulnérables, et la navigation de vos enfants est protégée de manière transparente et centralisée.
Laisser un commentaire