Comment sécuriser son NAS QNAP
Les cyberattaques sont de plus en plus fréquentes dans notre quotidien.
Vous stockez vos fichiers sur votre NAS, c’est pourquoi le sécuriser est important. Peut être également que comme moi, il est accessible sur le web, pour diverses raisons. Cela publie votre NAS sur internet, donc tout le monde peut y avoir accès !
Il existe de nombreuses façons de le sécuriser. Nous allons voir toutes les étapes pour faire de votre NAS un véritable bunker.
Règles de bases
Commençons par le commencement, vos mots de passe. En effet il est plus que fortement conseillé d’avoir des mot de passes fort, je peux vous conseiller le gestionnaire de mot de passe Bitwarden que j’utilise depuis quelques mois, il est gratuit, complet et open source !
Ne pas écrire son mot de passe sur un post-it, le changer régulièrement sont des règles incontournables.
On le redira jamais assez, mais la 2FA ou double authentification ne peut être que recommandé, c’est la sécurisation ultime. Vous pouvez la configurer avec des applications mobiles tel que l’incontournable Authy (dispo également sous Windows)
98% des erreurs sont entre l’écran et le clavier
Ilan, mon formateur
Avec les règles de bases on doit évidemment désactiver le compte par défaut de QTS. Il s’appelle « admin », de même pour les utilisateurs que vous utilisez pas, désactiver les au minimum, pas besoin de les supprimer.
Un peu plus technique
Les règles de base sont respectées et vous souhaitez aller plus loin ? On y va 🙂
Dans le Control Panel, dans Système puis Sécurité, on a pas mal d’options, dont la configuration d’une politique de mots de passe (pratique si vous avez plusieurs utilisateurs)
QTS propose d’autres fonctionnalités intéressantes comme le blocage d’adresse IP automatique après x tentatives de connexions échouées. Cela marche pour la page de connexion mais on peut également le configurer pour les accès SSH, FTP, Samba, etc …
Un classique encore, mais changer les ports de défaut des différents services du NAS, que ce soit la simple page de connexion jusqu’à un serveur web ou base de données.
Pour les partages de fichier SMB, NFS ou autres, configurer correctement vos permissions. J’ai écrit un tutoriel pour l’installation de NFS, si vous êtes sous Linux
L’application QNAP Manager disponible sur Android et iOS permet d’administrer votre NAS à distance. Mais également de recevoir des alertes en cas de problème avec le NAS, je peux que vous recommander de configurer les notifications push sur votre smartphone.
Attention toutefois que votre smartphone ne tombe pas entre de mauvaises mains.
Les meilleurs méthodes
Là on entre dans de la sécurité type bunker. Première méthode assez radicale et efficace, c’est la gestion des IP pouvant se connecter sur votre NAS. Disponible également dans le panneau de contrôle dans l’onglet sécurité.
Pour faire simple, toute connexion est refusée par défaut et vous devez ajouter les adresses IP qui sont autorisées à se connecter au NAS. Vous pouvez mettre par exemple l’IP publique de votre lieu de travail, pour avoir accès à votre NAS depuis là bas. Surtout oubliez pas de mettre l’adresse réseau local !
Autre solution radicale, ne publiez pas votre NAS sur le web tout simplement, vos données resteront en local chez vous.
Conclusion
Sécuriser son NAS est une chose, mais ce n’est pas tout. Il faut également sécuriser le reste, je pense notamment à votre réseau et surtout respecter les règles de bases que j’ai précédemment évoqués
Bref, les simples règles de bases suffisent amplement pour la plupart des personnes. En revanche pour une entreprise, c’est une autre histoire. Mettre le NAS en une DMZ serait pas stupide pour nos amis professionnelles.
Si vous avez oublié ou bloquez votre compte administrateur de votre NAS, pas de panique !
Il faudra appuyer pendant 3 secondes sur le bouton reset au dos de ce dernier. Cela à pour effet de reset la configuration réseau de réactiver le compte admin.
Maintenant vous avez les clés pour avoir un NAS sécurisé !