Guide
7031

Protégez votre NAS

Martin Jud
20/5/2019
Traduction: traduction automatique

Votre NAS est-il suffisamment protégé contre le piratage ? Le mien ne l'était pas. Mais maintenant, j'ai fait des améliorations.

Cet article permet d'éviter les grosses bourdes lors de la mise en place d'un NAS. Les conseils de sécurité commencent au premier titre. Mais tout d'abord, une préface, certes honnête, mais que je n'aime pas écrire.

Je m'excuse pour cette tempête dans un verre d'eau. En raison de problèmes de vitesse soudains et permanents et de mon IP publiée par erreur sur Internet, j'ai eu peur d'avoir mal configuré et que quelqu'un bricole avec mon NAS.

  • En coulisse

    Attaque sur mon NAS : vais-je être piraté ?

    par Martin Jud

Ce n'est qu'après des heures d'étude des logs système et d'essais sur un réseau isolé d'Internet que je trouve l'erreur. Le problème n'est pas dû à une intervention extérieure, mais à un port LAN défectueux de mon Synology DS918+. Mon NAS a deux ports LAN, ce qui explique pourquoi je remarque le défaut. Même si c'est ennuyeux, je suis très heureux que cela n'ait pas été pire.

Le port LAN 1 ne fournit plus qu'environ 350 Ko/s.
Le port LAN 1 ne fournit plus qu'environ 350 Ko/s.
Grâce au port LAN 2, mes problèmes sont passés.
Grâce au port LAN 2, mes problèmes sont passés.

Comme vous pouvez le constater, mon premier port LAN ne fournit plus que 350 kilo-octets par seconde, mais le second fonctionne comme prévu.

Ainsi, mon NAS fonctionne à nouveau. Mais ce qui me fait réfléchir, c'est que comme je le craignais, j'ai fait de grosses erreurs de configuration. En fait, j'ai oublié de rediriger correctement deux ports standard. Ainsi, les pages de connexion à l'interface web et au serveur Plex étaient accessibles aux personnes intéressées. Aïe - je pourrais être cloué au pilori pour cela!

Si cela vous arrive, ne vous étonnez pas qu'un scriptkiddie vous vole votre base de données de films ou utilise le CPU du NAS pour miner des pièces de monnaie.

NAS et sécurité : vous devez vous en préoccuper

Aucun système n'offre une protection complète contre les abus. Mais si vous réfléchissez avant de créer un réseau domestique ou d'installer un NAS, vous pouvez vous protéger en grande partie. Prenez le temps de vous informer et de configurer votre NAS avec soin. Ne vous laissez pas distraire.

Sauvegardez uniquement les données que vous pouvez supporter de perdre sur le NAS

Soyez conscient que des analyses et des attaques de réseau sont effectuées 24 heures sur 24 sur Internet. Même si vous configurez et sécurisez correctement votre matériel réseau, vous ne pourrez jamais exclure la possibilité que quelqu'un accède à vos données. De plus, un NAS ne sert pas de support de sauvegarde. Raison de plus pour ne pas stocker les fichiers importants sur le NAS. Ne stockez que ce que vous pouvez tolérer si cela tombe entre des mains étrangères.

Principes de sécurité de base : Routeurs et NAS

Avant de connecter votre NAS au réseau, vous devez d'abord vous occuper de votre routeur. Il s'agit de la première ligne de sécurité de votre réseau. Vous devez vérifier/mettre en œuvre les points suivants. Ceux-ci s'appliquent bien sûr aussi à votre NAS:

  • Créez si possible un nouvel utilisateur d'administration qui ne s'appelle pas "admin". Supprimez l'ancien compte.
  • Configurez des mots de passe différents pour chaque appareil ou service. Ceux-ci doivent être longs et aléatoires. Ils doivent également contenir des lettres majuscules et minuscules, des caractères spéciaux et des chiffres.
  • Si vous avez activé le WLAN, vous devriez vérifier si le WPS est activé comme cryptage. Si c'est le cas, désactivez-le et utilisez WPA2 à la place.
  • Activez le cryptage SSL, si vous en avez un, pour n'accéder qu'en HTTPS (voir plus loin).
  • Vérifiez que la fonction d'accès à distance est désactivée. Désactivez-la tant que vous ne savez pas exactement ce que vous faites.
  • Maintenez tous les appareils et services à jour. Activez la mise à jour automatique pour les nouveaux firmwares/mises à jour, le cas échéant.
  • Activez la vérification en deux étapes. Ainsi, vous ne pourrez vous connecter que si vous saisissez, en plus de votre mot de passe, un code qui vous sera envoyé sur une adresse mail prédéfinie.
  • Activez la fonction Auto-Block pour qu'une IP soit bloquée pour tout autre accès après un certain nombre de tentatives de connexion infructueuses.
  • Vérifiez que le pare-feu est actif et installez un antivirus sur vos appareils.
  • Activez la journalisation afin de pouvoir suivre le problème dans les logs en cas d'incident.

Services et port forwarding : n'utilisez pas de ports standardisés

Réfléchissez bien aux services que vous voulez utiliser sur votre NAS. Et surtout, quels services vous voulez rendre accessibles en dehors du réseau local. En effet, moins vous aurez de redirections de ports, moins vous aurez de chances de vous faire pirater. Par exemple, si vous n'utilisez que sporadiquement un accès SFTP à votre NAS, il est recommandé de ne rediriger les ports correspondants que pour les moments où vous avez vraiment besoin d'un accès. Il est également recommandé de n'autoriser la redirection que pour les IP des pays dans lesquels vous vous trouvez.

Les pièges du port forwarding

Si vous configurez votre accès à Internet sur un NAS Synology à l'aide de l'assistant ou si vous activez un nouveau service, une redirection de port vous sera automatiquement proposée.

Malheureusement, le système ne vous indique pas que ce n'est pas une bonne idée d'utiliser des ports standardisés. Le fabricant du NAS devrait améliorer ce point. En effet, si vous avez activé Universal Plug and Play (UPnP) sur votre routeur ou si vous faites fonctionner votre NAS dans une zone démilitarisée (DMZ), la règle ou le risque de sécurité suggéré sera adopté.

Comment rediriger correctement les ports
.
Le mieux est donc de désactiver UPnP sur le routeur et de créer les redirections de ports manuellement. Pour savoir comment cela fonctionne sur votre routeur, consultez le manuel ou cette page. Bien sûr, si ce n'est pas déjà fait, vous devez d'abord attribuer une IP fixe à votre NAS. Vous trouverez des informations sur la façon dont cela fonctionne sur le site Internet mentionné ci-dessus.

Si vous voulez vous assurer que vous n'avez pas de ports par défaut, vous pouvez consulter cette liste. Veillez à ne pas partager ces ports. Par exemple, si vous souhaitez partager le port TCP 5001 pour l'accès crypté à l'interface web de Synology, vous devez définir un autre port pour le routeur. Par exemple, le port 26953, ce qui signifie que votre port ouvert ne sera trouvé que si quelqu'un effectue un scan dans la zone correspondante.

Ne partagez pas les ports standardisés.
Ne partagez pas les ports standardisés.

Vous trouverez les règles de redirection de port dans Synology sous "Panneau de configuration/accès externe/configuration du routeur". Si vous avez configuré manuellement la redirection du côté du routeur, et que vous entrez également les règles ici, vous pouvez tester depuis l'interface du NAS si les ports fonctionnent bien. N'oubliez pas non plus de créer/vérifier les règles de pare-feu du NAS pour les services concernés. Sur Synology, vous pouvez les trouver dans "Panneau de configuration/Sécurité/Pare-feu". Comme mentionné précédemment, c'est une bonne idée d'autoriser les services/ports dans le pare-feu uniquement pour certains pays.

Teste si un port indésirable n'est pas ouvert
.
Lorsque vous avez terminé le transfert de port, vous devez tester si une faille n'a pas été oubliée quelque part. Pour cela, effectuez un scan des ports. Vous pouvez par exemple le faire depuis cette page d'accueil.

Indiquez votre IP et les ports standardisés à scanner et c'est parti. Si vous avez tout fait correctement, vous ne recevrez pas de réponse des ports:
.

Scanner les ports sur 178.xx.xxx.xx
178.xx.xxx.xx ne répond pas sur le port 21 (ftp).
178.xx.xxx.xx ne répond pas sur le port 23 (telnet).
178.xx.xxx.xx ne répond pas sur le port 25 (smtp).
178.xx.xxx.xx ne répond pas sur le port 80 (http).
178.xx.xxx.xx ne répond pas sur le port 110 (pop3).
178.xx.xxx.xx ne répond pas au port 139 (netbios-ssn).
178.xx.xxx.xx ne répond pas sur le port 443 (https).
178.xx.xxx.xx ne répond pas sur le port 445 (microsoft-ds).
178.xx.xxx.xx ne répond pas sur le port 1433 (ms-sql-s).
178.xx.xxx.xx ne répond pas au port 1521 (ncube-lm).
178.xx.xxx.xx ne répond pas au port 1723 (pptp).
178.xx.xxx.xx ne répond pas sur le port 3306 (mysql).
178.xx.xxx.xx ne répond pas sur le port 3389 (ms-wbt-server).
178.xx.xxx.xx ne répond pas sur le port 5900.
178.xx.xxx.xx ne répond pas sur le port 8080 (webcache).
178.xx.xxx.xx isn't responding on port 5000 (commplex-main).
178.xx.xxx.xx ne répond pas au port 5001 (commplex-link).
178.xx.xxx.xx ne répond pas au port 32000.

Activez le SSL, utilisez le HTTPS

La transmission cryptée ne doit pas seulement être utilisée pour tous vos services NAS. Il ne faut pas non plus s'en passer sur le réseau en général. En effet, le cryptage vous garantit l'authenticité des données transmises. Grâce à HTTPS, ce que le serveur vous envoie arrive à destination. Cela empêche les manipulations ou les attaques man-in-the-middle.
.
Voici un exemple de la façon dont vous pouvez activer le SSL pour accéder à l'interface web d'un NAS Synology :

  1. Activez l'option "Rediriger automatiquement les connexions HTTP vers HTTPS" sous "Panneau de configuration/Réseau/Paramètres DSM".
  2. Indiquez le nom d'hôte du NAS et le port externe souhaité dans "Panneau de configuration/Accès externe/Avancé".
  3. Configurez une redirection de port dans laquelle le port externe que vous venez de définir sera redirigé vers le port de l'interface web (5001 par défaut).

Il est recommandé de créer ensuite une demande d'enregistrement de certificat et d'importer un certificat signé. Si vous ne le faites pas, votre navigateur se plaindra lors d'un accès que le certificat présent n'est pas fiable. Vous trouverez plus d'informations sur la façon dont cela fonctionne chez Synology ici.

Utiliser un VPN

Envisagez d'utiliser un serveur VPN. Si vous accédez à votre réseau local via Virtual Private Network, cela vous apporte une certaine sécurité. Si vous le mettez en place proprement, même votre fournisseur d'accès à Internet ne saura pas ce que vous ou votre NAS faites sur Internet. Tout ce qui est enregistré, c'est la connexion au serveur VPN. Comme vous ne devez ouvrir qu'un seul port pour le VPN, vous réduisez la surface d'attaque. Bien entendu, le fournisseur de VPN doit être choisi avec soin.

L'accès via VPN présente généralement les avantages suivants :

  • L'historique des recherches, le comportement en ligne, les habitudes d'utilisation et la localisation des téléchargements sont cachés à votre fournisseur d'accès à Internet.
  • Si votre fournisseur d'accès à Internet ou votre gouvernement bloque/censure certains contenus sur Internet, vous pouvez y accéder à nouveau grâce au VPN.
  • L'usurpation d'identité géographique vous permet de dissimuler votre véritable emplacement et d'accéder à des contenus normalement limités à certains pays.
  • Avec le VPN, vous pouvez également vous assurer que vos habitudes de navigation, vos identifiants ainsi que vos données restent cachés même si vous utilisez un fournisseur de Wi-Fi public gratuit (aéroport, gare, kebab).

Vous trouverez des instructions pour la mise en place d'un VPN sur un NAS Synology ici.

Il y a autre chose?

Si vous appliquez les conseils de sécurité décrits, vous devriez être relativement bien placé. Néanmoins, tout n'est pas dit ni fait, loin de là. Le thème est si complexe qu'il n'est jamais inutile de faire des recherches et de repenser/définir son propre concept de sécurité.

En plus de cela, il y a des règles de conduite que vous devriez vous fixer vous-même. Par exemple, réfléchissez bien avant de confier vos identifiants pour certains services à quelqu'un. Ne distribuez les données d'accès que de manière très réfléchie. En outre, il est toujours important de faire preuve de bon sens. Si vous utilisez également votre NAS comme serveur de messagerie, il va de soi que les clics sur des liens suspects sont à proscrire. Surtout s'ils ont été redirigés vers votre réseau local.

Vous avez encore envie d'un dernier conseil ? Bon, il m'en reste un : sur la plupart des NAS, vous pouvez activer des notifications. Par exemple, une notification par e-mail, qui est envoyée chaque fois que quelqu'un tente de se connecter, avec succès ou non.

C'est tout pour le moment. Si vous avez d'autres points importants qui n'ont pas été mentionnés ici, je vous serais très reconnaissant pour vos conseils. Je me ferai un plaisir de compléter/mettre à jour l'article avec ces informations
.

Cet article plaît à 70 personne(s)

User Avatar
User Avatar
Martin Jud
Senior Editor
martin.jud@digitecgalaxus.ch

Le baiser quotidien de la muse stimule ma créativité. Si elle m’oublie, j’essaie de retrouver ma créativité en rêvant pour faire en sorte que mes rêves dévorent ma vie afin que la vie ne dévore mes rêves.

Informatique
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

Ces articles pourraient aussi vous intéresser

  • Guide

    Trois routeurs de voyage pour emporter son WiFi partout

    par Lorenz Keller

  • Guide

    Mise à niveau NAS Synology : 2,5 gigabits avec adaptateur LAN USB

    par Martin Jud

  • Guide

    Données en ligne en cas de décès : comment fonctionne « l’héritage numérique » ?

    par Florian Bodoky

31 commentaires

Avatar
later