By Boris Mallach

Le Guide Ultime pour Sécuriser et Optimiser son Réseau UniFi

Le Guide Ultime pour Sécuriser et Optimiser son Réseau UniFi
Photo by David Farkas / Unsplash

Avoir du matériel réseau professionnel ou "prosumer" comme un écosystème UniFi (Dream Machine, Cloud Gateway, Dream Router), c'est une excellente première étape pour reprendre le contrôle de sa souveraineté numérique. Mais laisser la configuration par défaut, c'est un peu comme installer une porte blindée et laisser la clé sous le paillasson.

Dans ce guide complet, nous allons décortiquer pas à pas les options de sécurité et d'optimisation indispensables pour transformer votre routeur en véritable forteresse, sans sacrifier les performances de votre réseau local.

1. Le Géo-Blocage : Filtrer la menace à la frontière

Par défaut, votre routeur répond à n'importe quelle requête venant de n'importe où dans le monde. Pourtant, si vous n'avez aucun service, famille ou interaction avec certains pays, pourquoi les laisser scanner vos ports ou tenter des attaques par brute-force ?

En pratique dans UniFi :

Dans Settings > Security > Traffic Inspector, l'option de blocage par pays permet de blacklister des régions entières.

  • La recommandation : Configurez le blocage dans les deux directions (Entrant et Sortant) pour les pays statistiquement connus pour héberger des botnets ou des infrastructures d'attaque (ex: Russie, Chine, Iran, Corée du Nord...).
  • Pourquoi le sortant ? Si un appareil de votre réseau (un objet connecté par exemple) est compromis à votre insu, le blocage sortant l'empêchera de communiquer avec son serveur de commande situé dans ces pays.

2. L'IDS/IPS : Le système immunitaire du réseau

C'est l'élément le plus critique. L'IDS (Intrusion Detection System) observe le trafic et alerte en cas de comportement suspect. L'IPS (Intrusion Prevention System) fait la même chose, mais bloque la menace instantanément en analysant la signature des paquets réseau (via le moteur Suricata).

Comment le configurer :

Tout en bas de l'onglet Sécurité, passez l'option sur Activé et choisissez le mode Block.

  • L'impact sur les performances : C'est la grande question des connexions Très Haut Débit (Fibre). Sur les architectures récentes d'Ubiquiti (comme l'UDR7 ou l'UCG-Max), le CPU est taillé pour encaisser ce traitement en temps réel jusqu'à environ 2,3 Gbps. Si votre connexion internet est en deçà, activez-le sans crainte. Si vous avez une ligne 8 Gbps symétrique et que vous voulez saturer votre bande passante brute, sachez que l'IPS bridera le débit autour de ce plafond matériel.
  • L'astuce d'optimisation : Si le CPU souffre, passez le niveau de détection sur Balanced au lieu de Maximum. Cela réduit le nombre de règles lues aux menaces les plus critiques.

3. Dire adieu à l'UPnP (Universal Plug and Play)

L'UPnP est une fonctionnalité historique conçue pour le confort : elle permet à n'importe quel logiciel ou appareil (une console de jeux, un client Torrent, un malware) de demander au routeur d'ouvrir un port vers l'extérieur de manière totalement automatique et invisible. C'est une faille de sécurité majeure.

Ce qu'il faut faire :

Sur les versions récentes d'UniFi, l'UPnP a été déplacé dans

Settings > Internet > [Votre Connexion]. Décochez-le.

  • Le cas des joueurs en ligne : Sans UPnP, certaines consoles (PlayStation, Xbox) peuvent afficher un "NAT Modéré" ou "Strict", ce qui perturbe le chat vocal ou le matchmaking.
  • La parade propre : Créez un VLAN dédié uniquement aux consoles de jeux, et réactivez l'UPnP uniquement sur ce sous-réseau isolé. Votre réseau principal (PC, serveurs) reste ainsi totalement étanche et protégé.

4. DNS Chiffré et Ad-Blocking natif : Vie privée & Confort

Chaque fois que vous visitez un site, votre appareil fait une requête DNS. Par défaut, ces requêtes transitent en clair, permettant à votre Fournisseur d'Accès Internet (FAI) de lister tous les sites que vous consultez.

La solution : Le DoH (DNS over HTTPS)

Dans les paramètres de sécurité d'UniFi, activez le DNS Chiffré. Utilisez des résolveurs de confiance axés sur la protection comme Cloudflare Family ou AdGuard DNS. Vos requêtes seront encapsulées dans un tunnel HTTPS chiffré, invisible pour le FAI.

L'Ad-Blocking intégré :

Juste à côté, dans l'onglet Filtre de Contenu, vous pouvez activer le bloqueur de publicités d'UniFi. Il intercepte les requêtes vers les serveurs de pubs et de trackers directement au niveau du routeur. C'est une première barrière idéale pour tous les smartphones et tablettes de la maison qui ne peuvent pas forcément installer d'extensions de navigateur.

5. Segmenter avec les VLANs et le mDNS

La règle d'or d'un réseau moderne : Diviser pour régner. On ne mélange pas ses serveurs de données ou ses PC professionnels avec une ampoule connectée chinoise ou un robot aspirateur dont le firmware n'est jamais mis à jour.

La stratégie des 3 réseaux Wi-Fi :

  1. Le réseau Principal : Wi-Fi en bande 5 GHz / 6 GHz uniquement, chiffrement WPA3-Personal exigeant (PMF sur Required). Pour vos appareils de confiance.
  2. Le réseau IoT (Internet of Things) : Wi-Fi en 2.4 GHz uniquement (meilleure portée, bande passante faible), chiffrement WPA2 (le WPA3 fait planter l'IoT). Cochez l'option Isolate Network pour empêcher ces objets de scanner votre réseau principal.
  3. Le réseau Invités : Isolé par défaut, pour que les amis de passage aient Internet sans jamais voir vos machines locales.

Le rôle du mDNS (Multicast DNS) :

Si vous isolez votre Chromecast ou vos enceintes connectées sur le réseau IoT, votre smartphone (sur le réseau principal) ne pourra plus les détecter.

Pour résoudre cela, allez dans Settings > Advanced Features et activez le Multicast DNS (mDNS) sur vos réseaux. L'UniFi va agir comme un miroir, permettant la découverte des appareils (AirPlay, Chromecast, Imprimantes) à travers les VLANs, tout en maintenant les barrières de sécurité du pare-feu.

Concurrence et Maintenance : La Check-list finale

Pour finir de verrouiller l'infrastructure :

  • Activez le MFA (2FA) sur votre compte Ubiquiti.
  • Créez un compte administrateur local de secours (dans Settings > Admins) pour garder la main sur le routeur même en cas de panne internet ou des serveurs cloud d'Ubiquiti.
  • Planifiez les sauvegardes automatiques (Backups) sur le cloud et en local.

En appliquant ces règles, votre réseau domestique ou de petite entreprise passe d'une configuration grand public "perméable" à une infrastructure souveraine, optimisée et hautement sécurisée.

Previous

Créer son propre Manager Scaleway avec Docker