[Topic Unique] NAS - Les bonnes pratiques de sécurité !

Statut
N'est pas ouverte pour d'autres réponses.

EVOTk

Modérateur
Membre du personnel
NAS - Les bonnes pratiques de sécurité !

CECI EST UNE ÉBAUCHE

Les cyberattaques sont de plus en plus fréquentes et c'est même presque devenu "classique". C'est pour cela qu'il est important de bien configurer son NAS, afin de s'en prévenir. Bien sûr, ce guide n'a pas vocation à être une bible de la sécurité ni même le seul exemple à suivre, mais il vous permettra d'acquérir quelques bonnes bases pour vous protéger des menaces les plus habituelles qui pèsent sur un système informatique en réseau, encore plus quand il est accessible depuis Internet ! Il faudra également garder en tête qu'aucun système n'est infaillible, et de ce fait, qu'il faut toujours avoir une solution de secours ( sauvegarde de vos données ).

Note : Pour une question de lisibilité cet article ne permet pas les réponses, cela ne veut pas dire que les contributions ne sont pas les bienvenues ! Vous pouvez sans soucis m'envoyer un message privé avec vos suggestions ( rajout de bonnes pratiques, d'impressions écran, complément d'information, correction orthographiques, ... ) ou les donner directement dans ce sujet : Contribution au topic sur le bonnes pratiques de sécurisation ( Toutes personnes ayant contribué a la construction de ce sujet sera cité en bas de ce premier post ).

Sommaire :
1/ Attribuer une IP fixe locale à son NAS 🏠
2/ Désactiver le(s) compte(s) par défaut 🤓
3/ Désactiver l'UPnP ⛔
4/ Utiliser une politique forte pour les mots de passe et le 2FA 👌
5/ Configurer le blocage d'IP après x tentatives ❌
6/ Installer un antivirus / anti-malware 🕷
7/ Changer les ports par défaut 👌
8/ Installer un pare-feu 🚒
9/ Maintenir son système (et applications) à jour ✨
10/ Désactiver / Désinstaller les applications non utilisées 🚫
11/ N'exposer que les services nécessaires, cacher les autres 👓
12/ Utiliser le HTTPS
13/ Suivre l’actualité 📰
14/ Configurer les Snapshots 📷
15/ Faire des sauvegardes régulières 💾

Remerciements à : @EVOTk


2022-11-08 - Création des points 7 et 8
2022-11-07 - Création
 
Dernière édition:

EVOTk

Modérateur
Membre du personnel

1/ Attribuer une IP fixe locale à son NAS 🏠

Lors de la première configuration de son NAS, il est important de lui attribuer une IP fixe hors plage DHCP*. C'est important pour plusieurs raisons. Déjà, cela permet d’éviter tout conflit d'adresse IP avec d'autres périphériques de votre réseau. Aussi, cela peut éviter de plus avoir accès à son NAS et devoir retrouver la nouvelle IP qu'il a bien voulu prendre et d'éviter que votre NAS se retrouve avec des ports exposés sur Internet sans que vous vous en aperceviez ! Note : "exposé sur Internet" signifie accessible hors de votre domicile via Internet.

*La plage DHCP est une plage d'adresse IP définie dans le serveur DHCP, en général la box ou le routeur, que ce dernier va pouvoir utiliser pour attribuer de façon dynamique une adresse IP à un périphérique se connectant sur votre réseau.


Pourquoi il peut être problématique de ne pas le faire ?​

Imaginer que vous avez ouvert un port (8080) sur votre routeur à l'adresse IP 192.168.1.100 pour un autre périphérique de votre réseau. Si votre NAS n'a pas d'IP fixe, et que l'appareil ayant l'IP 192.168.1.100 fait partie du DHCP de votre box/routeur, votre NAS pourrait lors d'un redémarrage de la box pour une mise à jour ou suite à une coupure de courant, prendre cette adresse IP et il se retrouverait donc avec le port 8080 (que je n'ai pas choisi au hasard, car c'est le port par défaut de l'administration de QTS ) exposé sur Internet !

Comment attribuer une IP fixe à son NAS ?​

🚧🚧🚧A VENIR
 

EVOTk

Modérateur
Membre du personnel

2/ Désactiver le(s) compte(s) par défaut 🤓

La désactivation du ou des comptes par défaut du système, c'est la base. Les comptes par défaut des systèmes informatiques sont toujours ciblés en premier lors d'attaques automatisées. La désactivation de ce(s) compte(s)*, vous protège donc déjà de toutes ces attaques (souvent en brute force ).

La bonne pratique est donc de se créer un utilisateur avec les droits administrateurs et de désactiver le compte par défaut. Mais également de désactiver le compte "guest/invité" quand il existe.

* Ici on ne parle pas de suppression, car, les systèmes NAS comme QTS, DSM, ADM... ont besoin de ce compte pour fonctionner, on le désactivera seulement, mais il ne sera pas possible de le supprimer.

Comment désactiver le compte admin sur son NAS :​

🚧🚧🚧 A VENIR
 

EVOTk

Modérateur
Membre du personnel
Dernière édition:

EVOTk

Modérateur
Membre du personnel

7/ Changer les ports par défaut 👌

C'est une consigne qui revient souvent. Ne jamais utiliser les ports par défaut, et c'est valable pour tous les appareils connectés, dès que cela est possible, c'est à faire !

Cela sécurise-t-il vraiment mon serveur ?​

Non. Mais alors, pourquoi le faire ? Le changement de ports est un "camouflage". Votre service est toujours exposé sur Internet, il est toujours visible aux yeux des tous (et donc des robots malveillants). Par contre, il devient moins facilement identifiable, voir peut demander plus de temps à être repéré. Un pirate qui va vouloir par exemple rapidement trouver des serveurs exécutant QTS va en priorité scanner le port 8080 (port par défaut), et c'est malheureusement comme cela qu'il trouvera, rapidement de nombreux serveurs exécutant QTS (bien sûr, il restera à faire un tri ).

Le changement de port ne permet donc pas de sécuriser au sens propre du mot, mais il peut par exemple vous permettre de ne pas faire partie de la première vague d'une attaque automatisée.

Comment changer les ports par défaut de l'interface de mon NAS ?​

QNAP : [Tuto] Changer les ports par défaut de QTS 5
 

EVOTk

Modérateur
Membre du personnel

8/ Installer un pare-feu 🚒

Le pare-feu (ou firewall en anglais) est important, c'est un rempart entre votre réseau local et votre NAS. Si la majorité (toutes ?) des box opérateur et routeur embarquent un pare-feu également, il est une bonne habitude d'utiliser celui du NAS également afin de palier à certains soucis (un second rempart).

Le pare-feu va donc surveiller le trafic entrant vers le NAS et le filtrer en fonction de : L'IP de provenance, le port de destination et de l'action que l'on aura choisie : Accepter ou Refuser. Cela permet de controler plus finement se qu'on souhaite autoriser au non, et permet d'éviter les expositions de ports accidentelles.

Mais ma box le fait non ?​

Prenons exemple d'un port SSH (22) actif sur un NAS dans le cas d'une mauvaise configuration de la box ou du routeur (ou même un bug d'une mise à jour). Imaginons une désactivation du pare-feu IPv6, le port SSH se retrouve exposé sans que vous vous en aperceviez à travers l'IPv6. Par contre, si le pare-feu limite l'accès au port 22 uniquement aux IP du réseau local, alors toute tentative de connexion depuis Internet sera systématiquement refusée, et vous aurez probablement une notification sur de multiples tentatives de connexion à ce port SSH, ce qui vous alertera sur ce problème de configuration sans avoir pour autant pris un risque, car le pare-feu du NAS, lui était là !

Comment configurer le pare-feu de mon NAS ? :​

Openmediavault : [Mémo] Régler son pare-feu OMV ( Openmediavault ) pour un usage local
QNAP : [Tuto] 1ère configuration de QuFirewall
Synology : [Tuto] Régler son pare-feu pour un usage local
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut Bas