QNAP Avis et conseils sur la sécurisation pour accès extérieur réduit

murgen

murgen

Nouveau membre
28 Février 2022
9
1
3
Salut à tous,

J'ai depuis hier un QNAP TS-453D que je destine à une utilisation très limitée :
  • Stocker des videos / les lire avec Plex (en local et depuis l'extérieur)
  • Stocker ma musique (et y accéder depuis l'extérieur avec Navidrome)
C'est tout.
Je ne compte pas y accéder depuis l'extérieur de mon réseau local pour d'autres choses pour le moment (c'est principalement pour ça que je l'ai pris, je verrai à l'usage si je lui trouve d'autres utilités nécessitant de + l'ouvrir vers l'extérieur).
Avant de le recevoir, j'ai essayé de me renseigner le plus possible sur l'aspect sécurité, puisque ça semble être un point très sensible des NAS au vu des problèmes récents de ransomwares.

Ce que j'ai fait jusqu'à présent :
  • firmware à jour
  • ports par défaut modifiés, HTTPS forcé, TLS 1.3, suites cryptographiques fortes activées
  • mots de passes longs et complexes
  • Antivirus installé et pour le moment le firewall bloque tout ce qui n'est pas local (le profil "Includes subnet only")
  • myQnapCloud désactivé

Ce que je compte faire :
  • Mettre en place un backup de mes fichiers vers une solution type cloud (déjà en place sur mon PC, j'ai regardé vite fait Hybrid Backup et je devrais me débrouiller)
  • Prendre un domaine pour accéder au NAS depuis l'extérieur plus facilement
C'est surtout à partir de là que j'aimerais avoir votre avis pour savoir si j'ai bien tout compris, si je fais fausse route ou si des choses m'auraient échappé :
  • Je vais devoir installer un certificat SSL (Sécurité>Certificat SSL et clé privée>Remplacer le certificat>Obtenir un certificat depuis Let's Encrypt)
  • Je vais devoir mettre en place un DDNS (Réseau et commutateur virtuel>DDNS>Ajouter, j'imagine que mon registrar (OVH probablement) m'indiquera quoi renseigner là dedans
  • Je vais devoir ouvrir les ports spécifiques aux services que je vais utiliser (Plex et Navidrome, ports à déterminer) sur mon routeur, les rediriger vers l'ip du NAS et les ouvrir aussi dans le firewall
  • C'est là que je sais pas trop parce que j'ai jamais touché à ce genre de truc, mais a priori faire du reverse proxy serait plus safe ? Si j'ai saisi le truc, c'est en gros indiquer que quand ya une requete venant de tel (sous) domaine sur tel port, le rediriger vers tel port en local ? Dans tous les cas ça serait à régler dans Accès réseau>proxy inverse
  • Potentiellement, utiliser un VPN bien que je ne sais pas trop comment ça fonctionnerait du coup avec le domaine et l'accès extérieur :unsure:. J'en ai un sur mon PC (Windscribe) et apparemment je pourrais importer un fichier de config openVPN de Windscribe sur mon NAS.
Voilà en gros le programme. Qu'en pensez-vous ? Est-ce cohérent et suffisamment complet pour avoir un NAS safe tout en permettant un accès extérieur restreint ?
 
Salut,
murgen a dit:
Je vais devoir installer un certificat SSL (Sécurité>Certificat SSL et clé privée>Remplacer le certificat>Obtenir un certificat depuis Let's Encrypt)
Cliquez pour agrandir...
Oui, mais cela ce fait une fois son nom de domaine configuré.

murgen a dit:
Je vais devoir mettre en place un DDNS (Réseau et commutateur virtuel>DDNS>Ajouter, j'imagine que mon registrar (OVH probablement) m'indiquera quoi renseigner là dedans
Cliquez pour agrandir...
Je n'ai pas de NAS QNAP donc je peu pas t'affirmer que c'est bien cela, mais je pense que oui, c'est la 1ere étape pour un acces externe, enregistrer son nom de domaine chez le registrar, puis sur le NAS, et enfin, générer le certificat HTTPS.

murgen a dit:
Je vais devoir ouvrir les ports spécifiques aux services que je vais utiliser (Plex et Navidrome, ports à déterminer) sur mon routeur, les rediriger vers l'ip du NAS et les ouvrir aussi dans le firewall
Cliquez pour agrandir...
Exact

murgen a dit:
C'est là que je sais pas trop parce que j'ai jamais touché à ce genre de truc, mais a priori faire du reverse proxy serait plus safe ? Si j'ai saisi le truc, c'est en gros indiquer que quand ya une requete venant de tel (sous) domaine sur tel port, le rediriger vers tel port en local ? Dans tous les cas ça serait à régler dans Accès réseau>proxy inverse
Cliquez pour agrandir...
Avec l'utilisation du reverse, cela permet d'eviter de ce faire scanner les ports par des bots, ... c'est un peu de la sécurité par camouflage :p mais c'est aussi super pratique. Par exemple si ton nom de domaine est murgen.fr, alors au lieu de taper par exemple https://murgen.fr:32400 , tu peu utiliser https://plex.murgen.fr, ou au lieu de taper https://murgen.fr:PORT_DE_NAVIDROME, utiliser https://music.murgen.fr

murgen a dit:
Potentiellement, utiliser un VPN bien que je ne sais pas trop comment ça fonctionnerait du coup avec le domaine et l'accès extérieur :unsure:. J'en ai un sur mon PC (Windscribe) et apparemment je pourrais importer un fichier de config openVPN de Windscribe sur mon NAS.
Cliquez pour agrandir...
Quel serait ici le but de l'utilisation du VPN ? Acces a distance au NAS ? Telecharger "masqué" ? ...
 
Super, merci pour les précisions !
Pour le reverse proxy, c'est à peu près comme ça que je l'avais compris, ce côté "fake/camouflage", mais j'avais pas envisagé le coté pratique des sous domaines et des ports, et ça c'est plutôt cool.

Pour le VPN ça serait si jamais je lance des téléchargements depuis le NAS, mais si c'est trop galère ou si ça fout la merde dans l'utilisation principale que j'en ai, je m'abstiendrai. Faudrait que je creuse pour peser le pour et le contre. L'accès à distance au NAS, à part pour Plex/Navidrome/futur, je ne pense pas en avoir besoin pour l'instant, ça ne me gêne pas de tout gérer depuis mon PC en local, d'autant que je n'aurais probablement pas besoin d'y avoir accès au final.

Ah, petite question complémentaire, au cas où certains sauraient:
Sur mon PC j'ai l'application de Windscribe qui tourne pour le VPN. Quand elle est ON, QFinder ne trouve pas mon NAS sur le réseau, ce qui est un peu relou, et ce malgré le fait que j'ai ajouté QFinderPro.exe aux exclusions. Une idée du pourquoi ?
 
Super merci, j'ai bookmark pour si jamais je venais à l'utiliser (y)
Message automatiquement fusionné :

Autre petite question : l'agrégation de port ne fonctionne que si on a un switch ou un routeur qui est compatible non ? Y a-t-il un intérêt à avoir les 2 ports RJ45 branchés si on a pas le matériel adéquat ?
J'ai essayé tout à l'heure et mon NAS était inaccessible, j'ai du faire un reset de 3s (qui reset certains parametres systeme dont l'ip) pour pouvoir y accéder à nouveau.
 
Dernière édition:
Ok ya un truc qui n'est pas clair pour moi au sujet du reverse proxy j'ai l'impression, et surtout au niveau du port forwarding.

Pour reprendre ton exemple, si je souhaite taper https://plex.murgen.fr au lieu de https://murgen.fr:32400 :
Sur mon routeur, je dois rediriger les requêtes extérieures sur le port 32400 vers le port 32400 du NAS (parce qu'il faut bien que la requete soit pointée vers le NAS à un moment donné)
Et dans le reverse proxy du NAS, créer une règle qui dit : quand ya une requête HTTPS depuis https://plex.murgen.fr sur le port 32400, en fait ça correspond au port 123456 en local (si c'est ce port qui est configuré pour Plex) ? C'est ça ?
Donc dans mon firewall c'est le port 123456 que je devrais ouvrir ?

Est-il possible de n'ouvrir qu'un port sur le routeur, et de rediriger (dans le reverse proxy) vers le bon port local en fonction du sous domaine ?
Mettons que j'ouvre dans le routeur le port 32400, je peux créer des règles qui disent "Si ça vient de https://plex.murgen.fr, alors en fait en local c'est le port 123456 (utilisé par Plex). Par contre si ça vient de https://music.murgen.fr, en local c'est le port 78910 (utilisé par Navidrome)."
Ou alors est-ce que pour chaque port du reverse proxy je dois forward un port "trompeur" sur mon routeur ?

Question subsidiaire : ya des plages de ports à éviter/à préférer pour ce genre de cas ? (à part éviter d'utiliser les ports par défaut, forcément)
 
murgen a dit:
Pour reprendre ton exemple, si je souhaite taper https://plex.murgen.fr au lieu de https://murgen.fr:32400 :
Sur mon routeur, je dois rediriger les requêtes extérieures sur le port 32400 vers le port 32400 du NAS (parce qu'il faut bien que la requete soit pointée vers le NAS à un moment donné)
Et dans le reverse proxy du NAS, créer une règle qui dit : quand ya une requête HTTPS depuis https://plex.murgen.fr sur le port 32400, en fait ça correspond au port 123456 en local (si c'est ce port qui est configuré pour Plex) ? C'est ça ?
Donc dans mon firewall c'est le port 123456 que je devrais ouvrir ?
Cliquez pour agrandir...
Alors .... non :ROFLMAO:

Le but du reverse proxy est de justement n'avoir a exposer que 2 ports : 80 ( HTTP ) et 443 ( HTTPS ). Le port 80 ne servant qua faire automatiquement le transfert de HTTP a HTTPS.

Il faut bien comprendre que dans ton navigateur, quand tu tape https://www.forum-nas.fr , en réalité c'est https://www.forum-nas.fr:443 et pour http://www.forum-nas.fr c'est pareil que https://www.forum-nas.fr:80 seulement les ports 80 et 443 ne sont pas affiché par les navigateurs ;)

et donc taper https://plex.murgen.fr reviens a faire une requete vers murgen.fr sur le port 443, c'est ce port qui doit être ouvert sur ton routeur vers ton reverse proxy ( ici le NAS ).

Ensuite, ton reverse va interpréter le plex.murgen.fr a l'aide du reverse proxy, et le transformer de manière transparente vers l'ip local de ton NAS + le port local de Plex

murgen a dit:
Est-il possible de n'ouvrir qu'un port sur le routeur, et de rediriger (dans le reverse proxy) vers le bon port local en fonction du sous domaine ?
Cliquez pour agrandir...
Oui, c'est ce que fait le reverse.

murgen a dit:
Question subsidiaire : ya des plages de ports à éviter/à préférer pour ce genre de cas ? (à part éviter d'utiliser les ports par défaut, forcément)
Cliquez pour agrandir...
Avec le reverse, on utilise uniquement 80 et 443 ( le 80 ne doit pas etre utiliser pour établir des connexions ( car non sécurisé ), il sert uniquement a la redirection 80 > 443 automatique )
 
Ahah ok merci, je me disais bien qu'il y avait un truc qui m'échappait complètement XD

Donc pour résumer et voir si j'ai tout bien compris:
  1. Sur mon routeur, je redirige les ports 443 et 80 vers l'ip de mon NAS sur le port 443 et 80
  2. Sur mon NAS, dans le reverse proxy, je redirige le port 443 vers un autre port local (dédié au service, par ex 32400 par défaut pour Plex) en fonction du sous domaine. Je peux faire ça autant de fois que je veux, tout ce qui vient de l'extérieur passera de toute façon par le 443.
  3. Sur mon NAS, dans le firewall, j'ouvre quels ports ? 80 et 443 (ça reste safe de faire ça? grâce au reverse proxy?), ou bien 32400 ?
 
murgen a dit:
Sur mon routeur, je redirige les ports 443 et 80 vers l'ip de mon NAS sur le port 443 et 80
Cliquez pour agrandir...
oui

murgen a dit:
ur mon NAS, dans le reverse proxy, je redirige le port 443 vers un autre port local (dédié au service, par ex 32400 par défaut pour Plex) en fonction du sous domaine. Je peux faire ça autant de fois que je veux, tout ce qui vient de l'extérieur passera de toute façon par le 443.
Cliquez pour agrandir...
oui

murgen a dit:
Sur mon NAS, dans le firewall, j'ouvre quels ports ? 80 et 443 (ça reste safe de faire ça? grâce au reverse proxy?), ou bien 32400 ?
Cliquez pour agrandir...
Sur ton NAS, le traffic de l'extérieur ne doit etre accepté que sur 80 et 443. Les reste des ports necessaire doivent etre ouvert bien sur ( par exemple 32400 pour plex ) mais aucun besoin de l'autorisé pour tout le monde, une autorisation du port 32400 depuis le reseau local suffit ( le reverse proy etant dans ton reseau local )
 
  • J'aime
Réactions: murgen
Ok merci pour toutes ces précisions, j'essaierai tout ça ce week-end :)
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas