QNAP QNAP NAS - BOX : Sécurité / Configuration

  • Vague de SPAM

    Suite à une vague de spam sur le forum, les inscriptions sont temporairement limitées.

    Après votre inscription, un membre de l'équipe devra valider votre compte avant qu'il ne soit activé. Nous sommes désolés pour la gêne occasionnée et vous remercions de votre patience.
P

PhildeB

Padawan
Membre Confirmé
18 Octobre 2022
95
30
18
Bonjour,

Après un peu de lecture, dont celle de votre site et du Forum, m’a convaincu sur l’achat d’un NAS.

J’ai donc fait l’acquisition d’un Qnap TS-453D. Choix réalisé entre autres par son nouveau positionnement de prix qui me parait sans concurrent dans le ratio Prix/Configuration matériel.

Maintenant il me faut le configurer, et bien le configurer si possible…, avec un minimum de sécurité !
Malgré mes lectures, je n’ai pas trouvé toutes les réponses à mes questions, d’où ce message.
Mon NAS est derrière une Freebox Révolution en mode routeur.

Ce que j’ai compris :

Freebox
IP Publique / ports accès distant HTTP et ports accès distant HTTPS
Possibilité de faire des redirections de ports entre entrées et sorties vers des appareils du réseau local.

Réseau Local
IP Privée / ports accès appareils
Par défaut les ports d’un NAS Qnap sont 8080 pour accès http et 443 pour un accès HTTPS
Pour ce qui est de la sécurité, j’ai lu qu’il ne fallait pas utiliser les ports 8080 et 443 mis par défaut.

QUESTION 1 : GESTION DES PORTS
De quel port 8080 parle-t-on, celui en entrée de la Box ou celui du NAS ?
Donc doit-on changer les ports 8080 et 443 par défaut du NAS ?
Ou doit-on éviter une redirection 8080 de la box vers 8080 du NAS, et plutôt faire dans la Box une redirection par exemple Port 15000 de la box vers 8080 du NAS et 60000 de la box vers 443 du NAS ?

QUESTION 2 : UPnP
Vous me confirmez que la partie UPnP est à désactiver dans la partie QTS du NAS (Panneau de configuration > Réseau et services de fichiers > Découverte de services > Service de découverte UPnP) mais aussi et surtout dans le routeur de la Box ?

QUESTION 3 : EXCLUSION IP PAYS ETRANGER
La partie exclusion ou autorisation France seulement pour l’accès au NAS, se gère dans le firewall du NAS via QuFirewall de QNAP ? C'est bien cela ? Ou peut-on le gérer ailleurs ?

QUESTION 4 : JOURNAL DE TENTATIVE DE CONNEXIONS
Le journal doit être configuré dans quelle partie ? Dans QTS ou dans QuFirewall ?


QUESTION 5 : SECURITE 2 NIVEAUX
La sécurisation en 2 niveaux avec par exemple « Google Authentificator » est-elle une bonne solution pour sécuriser l’accès au NAS ? Ou cela n’est-il pas utile ou pas fiable ?

Merci de m’avoir lu, et merci d’avance pour vos réponses.
Si des questions, et de fait leurs réponses vous paraissent évidentes, je suis désolé et je vous remercie de votre compréhension, c’est mon premier NAS…
 
Freebox
IP Publique / ports accès distant HTTP et ports accès distant HTTPS
Possibilité de faire des redirections de ports entre entrées et sorties vers des appareils du réseau local.
Cliquez pour agrandir...
Tu as parfaitement compris 👍
Réseau Local
IP Privée / ports accès appareils
Par défaut les ports d’un NAS Qnap sont 8080 pour accès http et 443 pour un accès HTTPS
Pour ce qui est de la sécurité, j’ai lu qu’il ne fallait pas utiliser les ports 8080 et 443 mis par défaut.
Cliquez pour agrandir...
Les ports 8080 et 443 sont les ports de gestion de QTS : interface de gestion du NAS
Oui il est conseiller de les changer ; mais dans ce cas pour l'accés au Nas en local il faut indiquer le port : IP_duNas: port
QUESTION 1 : GESTION DES PORTS
Cliquez pour agrandir...
Ce sont les ports d'entrée sur le Nas
QUESTION 2 : UPnP
Cliquez pour agrandir...
Oui il faut déactiver l'Upnp

Il faut bien comprendre que les redirections des ports de Box vers Nas ne sont utile que pour un accès externe .
Le plus simple est d'ouvir un compte myqnapcloud.com cela te donnera accès au nas avec une URL : toto.myqnapcloud.com
Ensuite il te faudra un certificat Let'S Encrypt pour passer ton Nas en https
 
@zypos
Merci pour ton retour rapide.
Je crois avoir vu dans ta signature que tu avais également un Qnap TS-453D, je devrais donc être bien conseillé par tes soins…lol

Pour un accès distance « traditionnel » sauf erreur le principe suivant est appliqué :
Navigateur internet -> IP Publique : Port entrée box- > BOX - > IP Privé : Port entrée NAS (8080 par défaut)- > Accès au NAS
Nous rentrons le login et Mot de passe dans le Navigateur sur l’interface renvoyée par le NAS pour se connecter.

Peux-tu, s’il te plaît, me dire comment fonctionne ta proposition avec myqnapcloud.com ?

Puis-je également te solliciter pour avoir des infos sur mes questions 3, 4 et 5 ?

Merci d’avance.
 
Je crois avoir vu dans ta signature que tu avais également un Qnap TS-453D, je devrais donc être bien conseillé par tes soins…lol
Cliquez pour agrandir...
Attention je ne suis pas expert Qnap certifié :unsure:
comment fonctionne ta proposition avec myqnapcloud.com ?
Cliquez pour agrandir...
C'est le service gratuit de Qnap qui te permet de te connecter à ton Nas . Cela reviens à attribuer un nom de domaine à ton Nas
exemp : toto.myqnapcloud.com . Pour ce connecter au Nas il s'uffit d'entrer l'url : toto.myqnapcloud.com . Plus besoin de connaître l' IP publique et même si celle ci change tu aurras tjrs accès à ton Nas .
Capture.PNG
Il faudra ouvrir les ports de la box vers le NAS . Une fois fonctionnel l'étape suivante est mise en place du certificat Let'S Encrypt pour passer l'accès en https .
Pour les questions 3,4,5 à vrai dire je ne suis pas fan de QuFirewall et je n'ai pas subit d'attaque ; par contre je fais une protection des accés IP ici :
Capture1.PNG
 
@zypos
Attention je ne suis pas expert Qnap certifié :unsure:
Cliquez pour agrandir...
Mais si, à mes yeux et pour un novice comme moi, tu es un expert…et je dirais même, comme personne d’autre n’a rejoint ce fil de discussions, tu es « mon » expert …(y):LOL:

Pour les questions 3,4,5 à vrai dire je ne suis pas fan de QuFirewall et je n'ai pas subit d'attaque ; par contre je fais une protection des accés IP ici :
Cliquez pour agrandir...
1666256489539.png
Effectivement j’ai mis également ces paramètres de sécurisation.
Sinon du fait, avec ta configuration, où vois-tu que tu n’as pas subi d’attaque ?
 
où vois-tu que tu n’as pas subi d’attaque ?
Cliquez pour agrandir...
Dans QuLog Center qui rassemble les différents journaux : journal des évènements et journal d'accés
J'avais oublier de préciser pour la config du Nas
1) créer un utilisateur avec des droits administrateur et déactivé le compte admin ( on ne peux pas le supprimer )
2) Ne pas activer le servise Telnet/ssh dans : panneau de configuration / réseau et services de fichiers
 
Merci pour ton retour zypos.
J'avais effectivement réalisé l'option 1), et l'option 2) était configuré comme cela chez moi par défaut. ;)
 
Je vous recommande fortement d'utiliser QuFrewall. Lors de la 1ere configuration, pré-configuré le exclusivement pour autoriser les sous-réseaux.
Puis rajouter vos besoins d’accès extérieur individuellement pour un contrôle parfait du trafic.
 
@zypos
@all
Une question sur la sécurisation "Protection d'accès de IP"
J'ai un peu de mal à comprendre la valeur "Intervalle de temps"

D'après mes lectures, ce paramètre est aujourd'hui réglable à 1 minute, ceci entre autre suite aux demandes des utilisateurs.

Alors que moi je comprends par exemple :
- si 5 tentatives de connexions échouées dans un intervalle de temps d'1 minute on bloque l'IP pendant 1 heure
Donc plus l'intervalle de temps est élevée, plus la sécurisation est forte..., non ?
En effet si on a 5 tentatives échoués en 60 mn ...on bloque...est plus sécuritaire que 5 tentatives échouées en 1 minute...
De plus je vois sur tes copies d'écran des intervalles de temps différentes en fonction des types d'accès. 30mn, 5mn, 10mn, pourquoi ?

1666256489539-png.6603


Merci d'avance de m'éclairer sur ce sujet. ;)
 
Ma capture d'écran est un peu trompeuse :
1) les connexions SSH/ Telnet sont déactivés donc la règle est un peu sans objet
Et éffectivement il faux mieux mettre un intervale assé élevé pour contrer l'espacement des tentatives . J'ai remarquer que si avant nous avions des attaques en raffale ( comme une mitraillette ) maintenant l'espacement des attaques est plus la règle :mad:
 
Merci beaucoup pour la rapidité de vos réponses. Ma compréhension n'était donc pas erronée.
Ouf je peux continuer l'exploration de ce vaste sujet de la sécurité. :p
Surprenant quand même que le paramètre par défaut est sur 1 mn...mais que fait Qnap...:ROFLMAO:
 
Je continue avec mes questions de sécurité pour NAS....;)

On demande de changer les ports par défaut, 8080 et 443, mais sans jamais préciser une "bonne méthode" ou une "méthode cohérente" pour le faire...Exemple si tout le monde change le 8080 en 8082, il est facile d'attaquer le port 8082 et de savoir que l'on attaquera surement l'entrée de tous les NAS...
a/ Sachant que mon routeur qui gère les ports, une Box Révolution pour ma part, gère les ports de 0 à 65535
b/ Sachant également que le NAS a également beaucoup de ports définis par défaut en dehors des 8080 et 443, une question reste sans réponse pour moi :

Question 1 :
Changer le port 8080 par défaut, oui mais quoi mettre ? N'importe quel port ? 32222 par exemple ? ou en restant plus dans une cohérence de port avec par exemple 8089, qui est un changement suffisant ? Et pourquoi ?

Question 2 :
Comment faire sur un NAS Qnap si on s'aperçoit que des attaques sont en cours par exemple, pour basculer sa configuration rapidement et facilement, d'un "Accès Extérieur" autorisé à un accès "Réseau local" seul...? (en dehors de débrancher son câble réseau...:ROFLMAO::ROFLMAO::ROFLMAO:)

Comme d'habitude, merci d'avance de vos réponses. ;)
 
Simple avis : Qnap n'a pas eu une trés bonne idée de plaçer QTS sur le port 443 . Normalement le port 443 est par défaut pour les serveurs Web en https. De plus nous ne pouvons pas personaliser les ports des applis liés comme Qfile ; Qphotos; Qmusic...... qui passe donc par le même port que QTS. Peu importe le port mais ne pas mettre un port standard par défaut : 80 (http) ; 443 (https) 21 (FTP) ............
Ce que j'attends de Qnap c'est de pouvoir choisir le port des applis ce qui éviterais de tout faire passer par le même port.Pour moi c'est le point faible de Qnap :mad:
 
  • J'aime
Réactions: EVO
PhildeB a dit:
Changer le port 8080 par défaut, oui mais quoi mettre ? N'importe quel port ? 32222 par exemple ? ou en restant plus dans une cohérence de port avec par exemple 8089, qui est un changement suffisant ? Et pourquoi ?
Cliquez pour agrandir...
N'importe quoi entre 1000 et 65000.
Cela permet d’éviter les attaques automatisées. ( en tout cas, les 1eres vagues )

PhildeB a dit:
Comment faire sur un NAS Qnap si on s'aperçoit que des attaques sont en cours par exemple, pour basculer sa configuration rapidement et facilement, d'un "Accès Extérieur" autorisé à un accès "Réseau local" seul...? (en dehors de débrancher son câble réseau...:ROFLMAO::ROFLMAO::ROFLMAO:)
Cliquez pour agrandir...
Tu as QuFirewall pour cela. Tu regle le parefeu pour n'autoriser que l'acces depuis le réseau local ou décoche toutes tes regles d'exposition de port.
Voir : https://www.forum-nas.fr/threads/tuto-1ère-configuration-de-qufirewall.19082/
 
Si vous voyez de la fumée dehors...c'est normal...c'est mon cerveau...🔥

Je continue mon lent apprentissage du NAS..!

J'ai un peu joué avec ma box en retirant le UPnP, et en faisant des redirections de ports pour accès au NAS d'une IP externe...
Et là je me suis dit peut être à tord, donc je vous écoute, on demande de changer le port 8080 du NAS...mais on s'en fout un peu, non ?
Ce port est un port du réseau interne, et en cas d'attaque ils vont attaquer un port du réseau externe, non ?
Si on fait une redirection de port sur la box 15000 vers 8080 : cela fera IPext:15000 externe vers IPint:8080 interne ->Nas
Ils ne verront donc jamais le port interne...et même si on met un port 8989 interne, l'attaque se fera au pire sur le port 15000 externe, non ?
Ce qu'il faut, c'est éviter une redirection 8080ext vers 8080int, et il faut donc faire une redirection externe autre que 8080 vers le port 8080 interne qui peut rester, non ? :cry::sick::sleep:

Merci de votre éclairage.
 
Alors, le port 8080 étant un port HTTP et non HTTPS ( non sécurisé ) il ne doit pas etre exposé ! meme sous un autre port !

Si tu souhaite exposé QTS, c'est a faire que part son port HTTPS ! ( par défaut 443 )

Le fait de changer les ports aussi en local, permet en cas d'infection d'un PC du reseau local, que le virus/... se serve de cette machine infecté pour faire des attaques automatisés sur des autres machines du réseau ( comme le NAS ).
 
Merci pour ton retour EVOTk.
Pour la connexion HTTPS, je fais une redirection de port dans la box et je coche sur la page web de l'interface QNAP, se connecter en HTTPS ?
C'est cela ? https://ipexterne:port
Ou je suis obligé pour me connecter en https, d'avoir un certificat SSL myQNAPcloud ou un certificat Let's encryp ?
 
Il faut utiliser le port HTTPS de QTS ( par défaut 443 ) , je te conseil de le changer.

C'est mieux d'avoir un nom de domaine et certificat SSL oui, sinon ton navigateur affichera un avertissement ( mais le chiffrement reste présent quand meme )
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour