QNAP Comment faire pour sécuriser encore plus votre Turbo NAS?

QoolBox

Représentant QNAP
2 Janvier 2014
10 599
169
158
50
France
www.qnap.com
Comment faire pour sécuriser encore plus votre Turbo NAS?



Cette réponse s’applique à toutes les séries de NAS QNAP.

Réponse:

QNAP s'efforce de fournir aux utilisateurs de Turbo NAS l'environnement le plus sûr possible afin de pouvoir résister aux attaques de réseau présentes et futures. Pour maintenir un environnement sécurisé, nous recommandons également que nos utilisateurs suivent les instructions ci-dessous pour protéger leurs fichiers et leurs données.

Q : Comment puis-je améliorer la sécurité de mon Turbo NAS à l'aide des services fournis par QNAP ?

R : QNAP fournit beaucoup de services aidant à renforcer la sécurité du Turbo NAS. Voici sept réglages qui peuvent aider à créer un environnement plus sûr pour votre Turbo NAS.

1. Activer la Protection d'accès réseau

L'activation de cette option permet de renforcer la sécurité de votre système et de bloquer les attaques répétées. Vous pouvez définir certaines conditions pour bloquer des adresses IP ou des protocoles de communication communs.

Étapes pour activer la Protection d'accès réseau : « Panneau de configuration » > « Paramètres système » > « Sécurité » > « Protection d'accès réseau » > Cliquez sur « Activer la Protection d'accès réseau »

faqsecured_01.PNG


la suite c'est par ici : https://www.qnap.com/i/fr/qa/con_show.php?op=showone&cid=238
 
Il y a beaucoup de choses à faire pour être tranquille, mais c'est tellement important de bien sécuriser ces données.
Vu toutes les attaques qu'il y a, c'est plus que conseillé de bien tout faire. Il n'y a pas que les autres qui se font piquer leurs données.

Qoolbox, j'ai des questions sur l'anti-virus par défaut.
Est-il performant ou faut-il mieux s'équiper d'un autre ?
Au vu de ton expérience et/ou des retours de Qnap, quelles sont les recommandations sur l'analyse du NAS ? (fréquence, mise en quarantaine ou pas...)
 
l'antivirus c'est ClamAV qui est intégré, mais tu peux le remplacer par Macafee (essaie 30 jours)

après est ce que un antivirus est nécessaire sur un NAS, cela dépend comment tu l'utilises, s'il fait office de station de téléchargement, cloud public/privé... je dis que oui, si c'est du partage de fichier standard sur du LAN, l'antivirus sur les postes de travail font déjà le boulot...

après j'ai pas de retour spécial côté helpdesk, cela semble plutôt bien fonctionner
 
QoolBox a dit:
l'antivirus c'est ClamAV qui est intégré, mais tu peux le remplacer par Macafee (essaie 30 jours)

après est ce que un antivirus est nécessaire sur un NAS, cela dépend comment tu l'utilises, s'il fait office de station de téléchargement, cloud public/privé... je dis que oui, si c'est du partage de fichier standard sur du LAN, l'antivirus sur les postes de travail font déjà le boulot...

après j'ai pas de retour spécial côté helpdesk, cela semble plutôt bien fonctionner
Merci pour ton retour.
Je vais faire du téléchargement, donc l'anti-virus est obligatoire.
Je vais me renseigner sur ClamAV pour savoir ce qu'il vaut comme Anti-virus. J'aime pas Macafee :evil:
 
Il me semble que l'antivirus ClamAv ne fait pas d'analyse en temps réel . Donc cela oblige de scanner les fichiers manuellement :?:
Sinon pour la sécurité on peut rajouter : déactiver le compte admin et le remplacer par un autre nom utilisateur ayant les mêmes droits .
SSH et telnet sont bien sur à déactivé Mais se privé de FTP c'est plus gênant ( mais on peut changer les ports réseaux )
 
Bonjour. J'ai activé la "protection d'accès réseau" et ...mon NAS a disparu de la circulation pour tous mes lecteurs réseau !!!
Heureusement que j'ai noté tout ce que j'ai effectué, j'ai perdu une heure à trouver ce qui bloquait :D .
 
Merci pour ce rappel, mais (parce qu'il y a toujours un mais), il y a quand même une grosse faille de sécurité sur QTS (à mon sens, peut être que d'autres ne seront pas d'accord):

C' est le port d'accès à QTS qui est utilisé pour toutes les autres applications comme Notes Station ou Music Station, etc...

Ne pas pouvoir différencier les ports ne permet pas beaucoup de souplesse sur la sécurité.

J'espère que les prochaines versions prendront en compte cela.
 
Ce n'est pas dans ce sens que je voulais tourner ma remarque.

Faire tourner l'interface d'administration et les ´applications tierces' sur le 8000 ou 8100 affaibli la sécurité.

Je souhaite accéder à Notes Station en déplacement ma seule option pur le moment c'est de faire une redirection de port sur ma box. Problème si je le fais j'ouvre aussi l'interface d'admin au web.

Il reste encore la case authentification après (heureusement :D )

Il y aurait une autre façon de régler le problème ce serait d'utiliser MyQnaqCloud. Mais me concernant cela pose d'autres problèmes.
 
zypos a dit:
Sinon pour la sécurité on peut rajouter : déactiver le compte admin et le remplacer par un autre nom utilisateur ayant les mêmes droits .

Ca me chagrine de désactiver le compte admin. Sur QTS comme il n'y a pas de root il y a quelques trucs que seul l'admin sait faire notamment accéder à la machine via SSH. c'est quand même plus qu'utile.

Donc un password admin (très) fort et une mesure de bannissement temporaire de l'IP au bout de 3 tentatives de connexion échouées me semble plus satisfaisant.

Qu'en pensez-vous ?

PS : l'idéal eut été que l'on puisse renommer le compte admin
 
je suis pas FAN non plus de désactiver le compte admin, surtout que le support en a besoin pour se connecter au NAS

un mot de passe fort est effectivement la bonne solution pour moi... et ne pas ouvrir le port sur le NET secondairement, voir changer le port SSH
 
tres bonne piqure de rappel car faut savoir que l'on a plus de chance de se faire piquer des infos via le net (bot et autres) que dans la rue!

ok les sequelles sont differentes (la violence sur le net n'apparait pas) mais au final on se fait prendre tout ce que l'on a!

donc faut tout securisé...


pour les MDP j'ai un programme (1Password) qui me met un password mixte a 41 caracteres et me les changent chaque 2 semaines, je connais aucun de mes passwords en fait :lol:

ca c'est pas mal comme programme et tres peu couteux!


PS: Qoolbox tu vas trop vite, tu postes plus vite que ton ombre, j'ai du mal a suivre et mon NAS m'a dit que j'avais trop d'icones, je trouves toujours des interets au programme que tu postes donc HOP je les prends! :mrgreen:
 
Gaijin a dit:
PS: Qoolbox tu vas trop vite, tu postes plus vite que ton ombre, j'ai du mal a suivre et mon NAS m'a dit que j'avais trop d'icones, je trouves toujours des interets au programme que tu postes donc HOP je les prends! :mrgreen:


lol

cava ce sont des petites mise à jour ou compilation, quand je vois ce que j'ai a compiler j'ai déjà mal au crane

lol
 
comme je dis toujours, et je crois que je vais m'en faire mon epigraphe:

"Meilleur qu'hier mais moins bon que demain" :mrgreen:


c'est cool d'avoir du choix dans les applications et voir des mises a jour regulieres!

qui va se plaindre? ;)
 
StephRun a dit:
zypos a dit:
Sinon pour la sécurité on peut rajouter : déactiver le compte admin et le remplacer par un autre nom utilisateur ayant les mêmes droits .

Ca me chagrine de désactiver le compte admin. Sur QTS comme il n'y a pas de root il y a quelques trucs que seul l'admin sait faire notamment accéder à la machine via SSH. c'est quand même plus qu'utile.

Donc un password admin (très) fort et une mesure de bannissement temporaire de l'IP au bout de 3 tentatives de connexion échouées me semble plus satisfaisant.

Qu'en pensez-vous ?

PS : l'idéal eut été que l'on puisse renommer le compte admin

Oui cela aurait été bien que l'on puisse le renommer

QoolBox a dit:
je suis pas FAN non plus de désactiver le compte admin, surtout que le support en a besoin pour se connecter au NAS

un mot de passe fort est effectivement la bonne solution pour moi... et ne pas ouvrir le port sur le NET secondairement, voir changer le port SSH

Ne suis pas fan non plus qu'un support puisse se connecter sur mon NAS ... je comprends que ce n'est pas facile non plus de dépanner sans remote ... il y a des pour et des contres mais on devrait pouvoir modifier cela ...

zypos a dit:
Il me semble que l'antivirus ClamAv ne fait pas d'analyse en temps réel . Donc cela oblige de scanner les fichiers manuellement :?:
Sinon pour la sécurité on peut rajouter : déactiver le compte admin et le remplacer par un autre nom utilisateur ayant les mêmes droits .
SSH et telnet sont bien sur à déactivé Mais se privé de FTP c'est plus gênant ( mais on peut changer les ports réseaux )

Pas de bol, je pensais que le scan à la volée était activé en activant l'antivirus :(


En tout cas bel article ...
 
Ne suis pas fan non plus qu'un support puisse se connecter sur mon NAS ... je comprends que ce n'est pas facile non plus de dépanner sans remote ... il y a des pour et des contres mais on devrait pouvoir modifier cela ...

tu seras bien content le jours ou on te remontera ton RAID ou corrigera une corruption de système de fichier... :lol:

sache que l'on est assermenté, on a pas le droit d'ouvrir les fichiers utilisateurs sans leurs autorisations, on ne peut que vérifier leur présence...
 
QoolBox a dit:
Ne suis pas fan non plus qu'un support puisse se connecter sur mon NAS ... je comprends que ce n'est pas facile non plus de dépanner sans remote ... il y a des pour et des contres mais on devrait pouvoir modifier cela ...

tu seras bien content le jours ou on te remontera ton RAID ou corrigera une corruption de système de fichier... :lol:

sache que l'on est assermenté, on a pas le droit d'ouvrir les fichiers utilisateurs sans leurs autorisations, on ne peut que vérifier leur présence...


je ne remet nullement votre loyauté en cause mais plutôt le risque que cette porte ou possibilité soit utilisée par un hacker malveillant .... Si on peut renommer le compte admin c'est déjà bien car à se moment on peut décider de le donner à l'assistance qnap lors d'un besoin :)
 
tu peux changer le port ,c'est généralement le 22 qui est attaqué par les robots et faire des règles de kick (black listage) dans la partie sécurité

et mettre une mot de passe costaud...