[Topic Unique] NAS - Les bonnes pratiques de sécurité !

[EVO]

NAS - Les bonnes pratiques de sécurité !​

CECI EST UNE ÉBAUCHE

Les cyberattaques sont de plus en plus fréquentes et c'est même presque devenu "classique". C'est pour cela qu'il est important de bien configurer son NAS, afin de s'en prévenir. Bien sûr, ce guide n'a pas vocation à être une bible de la sécurité ni même le seul exemple à suivre, mais il vous permettra d'acquérir quelques bonnes bases pour vous protéger des menaces les plus habituelles qui pèsent sur un système informatique en réseau, encore plus quand il est accessible depuis Internet ! Il faudra également garder en tête qu'aucun système n'est infaillible, et de ce fait, qu'il faut toujours avoir une solution de secours ( sauvegarde de vos données ).

Note : Pour une question de lisibilité cet article ne permet pas les réponses, cela ne veut pas dire que les contributions ne sont pas les bienvenues ! Vous pouvez sans soucis m'envoyer un message privé avec vos suggestions ( rajout de bonnes pratiques, d'impressions écran, complément d'information, correction orthographiques, ... ) ou les donner directement dans ce sujet : Contribution au topic sur le bonnes pratiques de sécurisation ( Toutes personnes ayant contribué a la construction de ce sujet sera cité en bas de ce premier post ).

Sommaire :
1/ Attribuer une IP fixe locale à son NAS
2/ Désactiver le(s) compte(s) par défaut
3/ Désactiver l'UPnP
4/ Utiliser une politique forte pour les mots de passe et le 2FA
5/ Configurer le blocage d'IP après x tentatives
6/ Installer un antivirus / anti-malware 🕷
7/ Changer les ports par défaut
8/ Installer un pare-feu
9/ Maintenir son système (et applications) à jour
10/ Désactiver / Désinstaller les applications non utilisées
11/ N'exposer que les services nécessaires, cacher les autres
12/ Utiliser le HTTPS
13/ Suivre l’actualité
14/ Configurer les Snapshots
15/ Faire des sauvegardes régulières

Remerciements à : @EVOTk

2024-10-22 - Création du point 12
2022-12-23 - Création des points 10 et 11
2022-11-08 - Création des points 7 et 8
2022-11-07 - Création

 

[EVO]

1/ Attribuer une IP fixe locale à son NAS ​

Lors de la première configuration de son NAS, il est important de lui attribuer une IP fixe hors plage DHCP*. C'est important pour plusieurs raisons. Déjà, cela permet d’éviter tout conflit d'adresse IP avec d'autres périphériques de votre réseau. Aussi, cela peut éviter de plus avoir accès à son NAS et devoir retrouver la nouvelle IP qu'il a bien voulu prendre et d'éviter que votre NAS se retrouve avec des ports exposés sur Internet sans que vous vous en aperceviez ! Note : "exposé sur Internet" signifie accessible hors de votre domicile via Internet.

*La plage DHCP est une plage d'adresse IP définie dans le serveur DHCP, en général la box ou le routeur, que ce dernier va pouvoir utiliser pour attribuer de façon dynamique une adresse IP à un périphérique se connectant sur votre réseau.

Pourquoi il peut être problématique de ne pas le faire ?​

Imaginer que vous avez ouvert un port (8080) sur votre routeur à l'adresse IP 192.168.1.100 pour un autre périphérique de votre réseau. Si votre NAS n'a pas d'IP fixe, et que l'appareil ayant l'IP 192.168.1.100 fait partie du DHCP de votre box/routeur, votre NAS pourrait lors d'un redémarrage de la box pour une mise à jour ou suite à une coupure de courant, prendre cette adresse IP et il se retrouverait donc avec le port 8080 (que je n'ai pas choisi au hasard, car c'est le port par défaut de l'administration de QTS ) exposé sur Internet !

Comment attribuer une IP fixe à son NAS ?​

A VENIR

 

[EVO]

2/ Désactiver le(s) compte(s) par défaut ​

La désactivation du ou des comptes par défaut du système, c'est la base. Les comptes par défaut des systèmes informatiques sont toujours ciblés en premier lors d'attaques automatisées. La désactivation de ce(s) compte(s)*, vous protège donc déjà de toutes ces attaques (souvent en brute force ).

La bonne pratique est donc de se créer un utilisateur avec les droits administrateurs et de désactiver le compte par défaut. Mais également de désactiver le compte "guest/invité" quand il existe.

* Ici on ne parle pas de suppression, car, les systèmes NAS comme QTS, DSM, ADM... ont besoin de ce compte pour fonctionner, on le désactivera seulement, mais il ne sera pas possible de le supprimer.

Comment désactiver le compte admin sur son NAS :​

A VENIR

 

[EVO]

3/ Désactiver l'UPnP ​

L'UPnP est un véritable problème au niveau sécurisation. Déjà abordé à plusieurs reprises sur Cachem, je ne vais donc pas revenir sur les dangers de ce protocole, mais je vous invite à lire cet article : UPnP : un ami qui vous veut du bien… ou pas !

Comment désactiver l'UPnP sur mon NAS :​

QNAP : [Tuto] Désactiver l'UPnP sur mon NAS QNAP - Désactiver l'UPnP sur mon routeur Qhora-301W

 

[EVO]

4/ Utiliser une politique forte pour les mots de passe et le 2FA ​

A VENIR

 

[EVO]

5/ Configurer le blocage d'IP après x tentatives ​

A VENIR

 

[EVO]

6/ Installer un antivirus / anti-malware 🕷​

A VENIR

 

[EVO]

7/ Changer les ports par défaut ​

C'est une consigne qui revient souvent. Ne jamais utiliser les ports par défaut, et c'est valable pour tous les appareils connectés, dès que cela est possible, c'est à faire !

Cela sécurise-t-il vraiment mon serveur ?​

Non. Mais alors, pourquoi le faire ? Le changement de ports est un "camouflage". Votre service est toujours exposé sur Internet, il est toujours visible aux yeux de tous (et donc des robots malveillants). Par contre, il devient moins facilement identifiable, voir peut demander plus de temps à être repéré. Un pirate qui va vouloir par exemple rapidement trouver des serveurs exécutant QTS va en priorité scanner le port 8080 (port par défaut), et c'est malheureusement comme cela qu'il trouvera, rapidement de nombreux serveurs exécutant QTS (bien sûr, il restera à faire un tri ).

Le changement de port ne permet donc pas de sécuriser au sens propre du mot, mais il peut par exemple vous permettre de ne pas faire partie de la première vague d'une attaque automatisée.

Comment changer les ports par défaut de l'interface de mon NAS ?​

QNAP : [Tuto] Changer les ports par défaut de QTS 5

 

[EVO]

8/ Installer un pare-feu ​

Le pare-feu (ou firewall en anglais) est important, c'est un rempart entre votre réseau local et votre NAS. Si la majorité (toutes ?) des box opérateur et routeur embarquent un pare-feu également, il est une bonne habitude d'utiliser celui du NAS également afin de palier à certains soucis (un second rempart).

Le pare-feu va donc surveiller le trafic entrant vers le NAS et le filtrer en fonction de : L'IP de provenance, le port de destination et de l'action que l'on aura choisie : Accepter ou Refuser. Cela permet de controler plus finement se qu'on souhaite autoriser au non, et permet d'éviter les expositions de ports accidentelles.

Mais ma box le fait non ?​

Prenons exemple d'un port SSH (22) actif sur un NAS dans le cas d'une mauvaise configuration de la box ou du routeur (ou même un bug d'une mise à jour). Imaginons une désactivation du pare-feu IPv6, le port SSH se retrouve exposé sans que vous vous en aperceviez à travers l'IPv6. Par contre, si le pare-feu limite l'accès au port 22 uniquement aux IP du réseau local, alors toute tentative de connexion depuis Internet sera systématiquement refusée, et vous aurez probablement une notification sur de multiples tentatives de connexion à ce port SSH, ce qui vous alertera sur ce problème de configuration sans avoir pour autant pris un risque, car le pare-feu du NAS, lui était là !

Comment configurer le pare-feu de mon NAS ? :​

Openmediavault : [Mémo] Régler son pare-feu OMV ( Openmediavault ) pour un usage local
QNAP : [Tuto] 1ère configuration de QuFirewall
Synology : [Tuto] Régler son pare-feu pour un usage local

 

[EVO]

9/ Maintenir son système (et applications) à jour ​

Les mises à jour, c'est embêtant, c'est clair. Entre les risques de bugs, d'incompatibilités, les pertes de fonctionnalités, ou juste l'interface qui change nos habitudes, cela peut-être pénible, mais c'est nécessaire, et même a mon sens obligatoire, encore plus pour les appareils qui sont exposés sur Internet.

Il faut bien garder en tête que, des "bots" scan en permanence le réseau Internet à la recherche de serveurs ou autres périphériques connectés ( pc, caméra IP, box domotique , ... ) vulnérables. Ne pas mettre à jour ses appareils vous expose à l'exploitation automatisée de ces failles.

Les applications non-officielles / éditeurs tiers​

A venir

Comment configurer les mises à jour sur mon NAS :​

QNAP : [Mémo] Installation automatique des mises à jour des applications de l'App Center

 

[EVO]

10/ Désactiver / Désinstaller les applications non utilisées ​

Une application installée qui ne sert pas, cela consomme de la ressource (processeur, mémoire vive et espace disque) pour rien. Mais surtout, cela peut également être une faille pour pénétrer dans votre serveur NAS. En effet, une application installée, même si on ne l'utilise pas et qu'on la désactive ou non reste sur le NAS. Il faut donc veiller à la mettre à jour tout comme le reste des applications, mais pour quoi faire, vu qu'elle ne vous sert pas ?

Une application qui ne sert pas, on la désactive, ou si possible, on la désinstalle.

Petit exemple ....​

On peut très bien imaginer qu'un pirate trouve une faille dans une application permettant l’accès au serveur. Ensuite, encore faut-il qu'il arrive à avoir un accès "admin" ou "root" afin d'être libre de ses actions. La faille qu'il a trouvée lui permet peut-être cela directement, mais pas forcément. Si ce n'est pas le cas, il peut utiliser une faille dans un autre service du NAS qui lui permettra une élévation de privilège, et là, BINGO ! Alors que si cette application était désactivée, ou même mieux, désinstallée, le pirate n'aurait pas pu s'en servir et l'aurait forcé à trouver une autre solution.

Liens utiles :​

X

 

[EVO]

11/ N'exposer que les services nécessaires, cacher les autres ​

À chaque fois que vous exposez un service sur Internet, demandez-vous bien si cela est vraiment "nécessaire". Chaque service de votre NAS exposé sur Internet et une faille potentielle. Ai-je vraiment besoin que la page d'administration de mon NAS soit accessible facilement depuis Internet ? Ai-je vraiment besoin d'un accès SSH exposé sur un Internet à la vue de tous ?

Si vous hébergez un site Web public pour votre société par exemple, nous sommes bien d'accord que limiter son accès au réseau local n'a aucun sens. Ce service sera donc logiquement exposé, il en a besoin. Par contre, la page de gestion de votre NAS qui a besoin d'y accéder ? Seulement vous ? Alors, pourquoi l'exposer aux yeux de tous ?

Remarque : Si vous devez héberger un site Web, nous vous recommandons d'utiliser une machine dédiée (et non le NAS) ou d'utiliser un hébergeur.

D'accord, mais je veux pouvoir y accéder quand je ne suis pas chez moi !​

Une réponse a cela le VPN.

Le VPN (Virtual Private Network en anglais) est la méthode la plus courante et la plus sécurisé. Elle va vous permettre, en n'exposant que un seul port sur Internet, de vous connecter à distance, via un tunnel chiffrée rien que pour vous. L'avantage, c'est que le pirate ne sait pas ce qui se cache derrière cet unique port. C'est donc plus difficile d'entreprendre une attaque. De plus, comme il s'agit d'une couche de sécurité supplémentaire, après s’être authentifié pour le VPN, il faudra tout de même s'authentifier sur le NAS comme vous le feriez en local.

Note : Le reverse proxy permet également de cacher ses services, nous en parlerons dans le point "Utiliser le HTTPS".

Liens utiles :​

Openmediavault : [Tuto] Installation d'un serveur VPN WireGuard en Docker
QNAP : [Tuto] Comment configurer un serveur WireGuard sur son NAS QNAP ( QVPN )
Synology : [Tuto] Se connecter en VPN (L2TP/Ipsec)

 

[EVO]

11/ Utiliser le HTTPS ​

Si vous avez besoin d'exposer un service, la page d'administration de votre NAS, ... de votre NAS, assurez-vous d'utiliser uniquement un port sécurisé pour cela. Sauf exception, on expose pas de port HTTP ( non HTTPS donc ) sur Internet.

Pour qu'un navigateur considère une connexion sécurisé, il faut utiliser un port sécurisé ET avoir un certificat valide. Un certificat valide ne peut s'obtenir que via l'utilisation d'un nom de domaine.

Une accès via IP directe, même en HTTPS, le navigateur vous indiquera un avertissement car il ne considère pas cela complétement sécurisé ( cependant le chiffrement est tout de même présent ).

Et on ma parlé de reverse proxy, c'est quoi ?​

[ A VENIR ... ]

Liens utiles :​

Openmediavault : [Tuto] Installer SWAG en Docker ( Reverse Proxy )
QNAP : [Tuto] Accéder à son NAS QNAP à distance ( hors réseau local )
Synology : [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS