QNAP Sécuriser mon QNAP TS-251D, demande de conseils...

L

lesagebrice

Nouveau membre
26 Janvier 2022
8
4
3
Bonjour à tous,

Je suis curieux en informatique, mais le NAS est un nouvel univers pour moi, et il est régulièrement trop complexe pour mon niveau de béotien.
Voici un bref profil de mes usages :
- Sauvegarde des photos depuis les smartphones de la maison vers le NAS et synchronisation vers un dossier d'un pc desktop (je n'ose pas l'ouverture hors réseau local, je ne sais donc pas consulter les photos hors de la maison)
- Station vidéo avec une chromecast
- Sauvegarde des données du pc de bureau
Usage hors réseau local :
- Sauvegarde à distance du pc de mon père via myqnapcloud (paramètres en pièce jointe)

Suite aux nombreuses attaques, j'aimerais appliquer tous les précieux conseils de @FX Cachem en terme de sécurité.

En ordre :
1. Assurez vous d’utiliser la dernière version du firmware : j'y veille régulièrement
2. Mettez à jour les applications : j'y veille régulièrement
3. N’installez que des applications/packages d’éditeurs connus et reconnus : je n'ose pas encore trop m'aventurer hors du store officiel de QNAP
4. Sauvegardez régulièrement vos fichiers importants : 3-2-1
5. Utilisez un logiciel antivirus : J'ai privilégié la solution interne, McAfee tourne et analyse chaque matin le NAS
7. Désactivez le compte admin : en ordre aussi
10. Choisissez des mots de passe différents : check, modifiés régulièrement, et utilisés uniquement pour le NAS

Besoin d'aide, je ne sais pas comment procéder pour ces éléments-ci :
6. Privilégiez le HTTPS : là je suis un peu coincé, j'ai vu qu'il est possible de forcer le HTTPS dans les paramètres mais si j'ai bien compris dans ce cas il faut définir un certificat SSL... Des tuyaux ? Tutos ? Conseils ?
8. Activez le blocage automatique d’IP : QFirewall est actif, paramètres en pièce jointe mais je ne sais pas si c'est suffisant. Je viens de voir (merci les tutos), qu'on pouvait allonger la durée du blocage des IP ayant effectués plusieurs tentatives ratées, j'avais laissé 5min par défaut, 1jour semble mieux. D'autres tuyaux ? Tutos ? Conseils ?
9. Ouvrez les bons ports : je n'ai pas encore osé modifier les ports par défaut, et dois m'y atteler sérieusement...
Je ne sais pas si je dois modifier les ports par défaut sur le NAS ou activer la redirection de port sur mon routeur. Mon routeur est un fritzbox 7530. Des tuyaux ? Tutos ? Conseils ?
11. Conseil de @EVOTk Utiliser un VPN : J'ai un abonnement Private internet access pour mon pc, est-ce qu'il est possible de l'utiliser pour sécuriser la connexion à distance avec mon père et (ce serait cool aussi) consulter mes photos depuis d'autres endroit que le réseau local ? Des tuyaux ? Tutos ? Conseils ?

Merci déjà à la communauté pour les conseils,
 

Pièces jointes

  • 3.jpg
    3.jpg
    94.4 KB · Affichages: 13
  • 1.jpg
    1.jpg
    101.1 KB · Affichages: 13
Salut,

lesagebrice a dit:
6. Privilégiez le HTTPS : là je suis un peu coincé, j'ai vu qu'il est possible de forcer le HTTPS dans les paramètres mais si j'ai bien compris dans ce cas il faut définir un certificat SSL... Des tuyaux ? Tutos ? Conseils ?
Cliquez pour agrandir...
Cela n'est nécessaire que dans el cas d'acces extérieur au NAS. En local, pour un particulier cela a peu d'interet. Par contre pour une connexion extérieur, l"HTTP ne doit pas etre utiliser ! uniquement l'HTTPS.
Je ne serais par contre pas forcément t'aider sur cette configuration, je n'ai pas de NAS QNAP.
QNAP possède un service de création de certificats ?
QNAP possède un reverse proxy ?

lesagebrice a dit:
8. Activez le blocage automatique d’IP : QFirewall est actif, paramètres en pièce jointe mais je ne sais pas si c'est suffisant. Je viens de voir (merci les tutos), qu'on pouvait allonger la durée du blocage des IP ayant effectués plusieurs tentatives ratées, j'avais laissé 5min par défaut, 1jour semble mieux. D'autres tuyaux ? Tutos ? Conseils ?
Cliquez pour agrandir...
Idem, je connais pas QNAP. mais si tu as le blocage géographique de dispo, n'hesite pas a l'utiliser !

lesagebrice a dit:
9. Ouvrez les bons ports : je n'ai pas encore osé modifier les ports par défaut, et dois m'y atteler sérieusement...
Je ne sais pas si je dois modifier les ports par défaut sur le NAS ou activer la redirection de port sur mon routeur. Mon routeur est un fritzbox 7530. Des tuyaux ? Tutos ? Conseils ?
Cliquez pour agrandir...
je te conseil plutot que de modifier le port au travers de ta box, de modifier sur le NAS. Afin que le port par defaut, ne soit plus du tout présent.

lesagebrice a dit:
11. Conseil de @EVOTk Utiliser un VPN : J'ai un abonnement Private internet access pour mon pc, est-ce qu'il est possible de l'utiliser pour sécuriser la connexion à distance avec mon père et (ce serait cool aussi) consulter mes photos depuis d'autres endroit que le réseau local ? Des tuyaux ? Tutos ? Conseils ?
Cliquez pour agrandir...
Moins tu "expose" de chose sur internet, et moins tu prend de risque. Pour moi, un NAS ne doit pas être exposé sur internet ! Qu'on expose un Plex, Jellyfin, nextcloud ... oui, bien sur c'est fait pour cela , pouvoir y acceder facilement, partout, depuis n'importe quel périphérique. Par contre, l'interface du NAS, par exemple, n'a pas de raison d'etre exposé au grand jour. C'est là que viens le VPN.
Le VPN permet de te connecter a ton NAS de façon sécurisé, et ensuite aceder a ton reseau local, comme si tu était chez toi.
Par contre, dans cette configuration el serveur VPN, est installer chez toi ( Sur le NAS, sur un rapsberry, .. ), ce n'est pas faisable avec un VPN commercial comme PIA, NordVPN, ...
J'utilise Wireguard : https://www.forum-nas.fr/threads/tu...-vpn-wireguard-en-docker-docker-compose.16424
 
Activer MalwareRemover
Désactiver UPNP sur le NAS
Message automatiquement fusionné :

Sur l'interface général:
  1. Modifier les ports par défauts (8080 a bannir)
  2. activer les connexions HTTPS + Forcer la connexion HTTPS uniquement
  3. Augmenter au maximum la version de TLS (1,2 minimum)
  4. activer des suites cryptographique fortes

Sur l'onglet sécurité / Protection d'accès des IP : activer le bannissement automatique en cas de connexion erronées afin d'éviter les attaques par force brutes (deviner le mot de passe en tentant toutes les combinaisons possibles)
Sur l'onglet sécurité / Protection des comptes : Désactiver en auto les comptes ...


Activer des mots de passes complexes .
 
Dernière édition:
  • J'aime
Réactions: EVO et FX Cachem
Merci à tous pour vos réponses.
Je suis malheureusement pas mal débordé par le boulot et la famille, le NAS fait son job discrètement mais je n'ai pas trouvé le temps de pouvoir bosser sur son paramétrage.

@EVOTk merci pour tes conseils et réponses
EVOTk a dit:
Par contre pour une connexion extérieur, l"HTTP ne doit pas etre utiliser ! uniquement l'HTTPS.
Cliquez pour agrandir...
Je vais essayer de couper la connexion distante avec mon père, ce sera plus simple et moins risqué au final
EVOTk a dit:
QNAP possède un service de création de certificats ?
QNAP possède un reverse proxy ?
Cliquez pour agrandir...
Création de certificat j'ai vu ca qqes part. Par contre reverse proxy ca dépasse mes compétences ;-)
EVOTk a dit:
si tu as le blocage géographique de dispo, n'hesite pas a l'utiliser !
Cliquez pour agrandir...
J'ai, et c'est activé
EVOTk a dit:
je te conseil plutot que de modifier le port au travers de ta box, de modifier sur le NAS. Afin que le port par defaut, ne soit plus du tout présent.
Cliquez pour agrandir...
Je vais regarder, merci
EVOTk a dit:
Moins tu "expose" de chose sur internet, et moins tu prend de risque. Pour moi, un NAS ne doit pas être exposé sur internet ! Qu'on expose un Plex, Jellyfin, nextcloud ... oui, bien sur c'est fait pour cela , pouvoir y acceder facilement, partout, depuis n'importe quel périphérique. Par contre, l'interface du NAS, par exemple, n'a pas de raison d'etre exposé au grand jour. C'est là que viens le VPN.
Le VPN permet de te connecter a ton NAS de façon sécurisé, et ensuite aceder a ton reseau local, comme si tu était chez toi.
Par contre, dans cette configuration el serveur VPN, est installer chez toi ( Sur le NAS, sur un rapsberry, .. ), ce n'est pas faisable avec un VPN commercial comme PIA, NordVPN, ...
J'utilise Wireguard : https://www.forum-nas.fr/threads/tu...-vpn-wireguard-en-docker-docker-compose.16424
Cliquez pour agrandir...
Cool, je vais regarder cela, merci

@schwinny merci pour tes conseils
schwinny a dit:
Activer MalwareRemover
Cliquez pour agrandir...
c'était fait
schwinny a dit:
Désactiver UPNP sur le NAS
Cliquez pour agrandir...
Là j'ai un truc chelou, j'ai du l'activer pour ouvrir le port sur le routeur, mais je l'ai désactivé depuis, et tout fonctionne toujours. Pas certain de comprendre du coup...
schwinny a dit:
  1. Modifier les ports par défauts (8080 a bannir)
  2. activer les connexions HTTPS + Forcer la connexion HTTPS uniquement
  3. Augmenter au maximum la version de TLS (1,2 minimum)
  4. activer des suites cryptographique fortes
Cliquez pour agrandir...
1. et 2. Je vois plus ou moins mais j'ai peur de faire des conneries, tu aurais un tuto ?
3. et 4. Alors là, je suis perdu
schwinny a dit:
activer le bannissement automatique en cas de connexion erronées
Cliquez pour agrandir...
Ca ne bloque pas un utilisateur s'il se trompe dans son mot de passe ? J'ai activé le bannissement pour 24h après 5 tentatives manquées. Ce n'est pas assez ?
schwinny a dit:
Sur l'onglet sécurité / Protection des comptes : Désactiver en auto les comptes ...
Cliquez pour agrandir...
done, merci pour l'info
schwinny a dit:
Activer des mots de passes complexes .
Cliquez pour agrandir...
c'était le cas



Bonne journée à tous,
Brice
 
  • J'aime
Réactions: EVO
lesagebrice a dit:
@schwinny merci pour tes conseils

c'était fait

Là j'ai un truc chelou, j'ai du l'activer pour ouvrir le port sur le routeur, mais je l'ai désactivé depuis, et tout fonctionne toujours. Pas certain de comprendre du coup...
Cliquez pour agrandir...


Avec plaisir.

pour l'UPNP, si tu n'as pas redémarré la box, elle doit avoir le port ouvert donc normal.
moi je coupe tout et n'ouvre que les ports necessaire.
redémarre et test éventuellement.

lesagebrice a dit:
1. et 2. Je vois plus ou moins mais j'ai peur de faire des conneries, tu aurais un tuto ?
3. et 4. Alors là, je suis perdu
Cliquez pour agrandir...

Ci joint photo d'un NAS de prod, ca sera plus simple :)
A faire dans panneau de config --> paramétre généraux.
lesagebrice a dit:
Ca ne bloque pas un utilisateur s'il se trompe dans son mot de passe ? J'ai activé le bannissement pour 24h après 5 tentatives manquées. Ce n'est pas assez ?
Cliquez pour agrandir...
SI, mais c'est le but justement...
de bloquer les comptes admin essayant de se connecter en BRUTE FORCE.
Message automatiquement fusionné :

Et tu peux installer qFirewall sui bloque pas mal de tentatives aussi ;)
 

Pièces jointes

  • Capture d’écran 2022-04-20 à 20.58.36.png
    Capture d’écran 2022-04-20 à 20.58.36.png
    409.2 KB · Affichages: 9
Dernière édition:
qq précisions :
Pour le https : Qnap propose des certificats mais en option payante (de mémoire). Il faut donc installé un certificat Let'S Encrypt qui fonctionne gratuitement et trés bien avec un nom de domaine en myqnapcloud.com
Pour les ports utilisés par défaut chez Qnap voir doc : https://docs.qnap.com/operating-system/qts/4.5.x/fr-fr/ports-de-service-qnap-C25795F.html
Un des pb est que Qnap utilise par défaut le port 443 (https) pour l'interface QTS et le service Web se retrouve en https sur le port 8081
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas