• Sujets actifs  Arrière Vers l'avant Stop Play

NASSécuriser son NAS

Répondre
Avatar du membre
jimjam
Donateur
Donateur
Messages : 31
Enregistré le : 15 oct. 2015, 23:18
Localisation : Occitanie
A remercié : 3 fois
A été remercié : 0
Genre :
Zodiac :
Paraguay

Sécuriser son NAS

#1

Message par jimjam » 20 mars 2018, 00:57

Je viens de faire l'acquisition d'un Nas, Qnap ts251+ et 2 x 4tb wdRed en raid1 ? l'idée étant d'y installer ma musique dématérialisée et bien entendu tout ce qui concerne les sauvegardes de nos
pc (imac/pcW7&linux) et bien d'autres chose

A ce stade j'aimerais principalement sécuriser le nas, ssl et certificats etc – mon expérience dans ce
domaine étant au niveau de la mer, je me tourne vers vous les experts in sécurité de tous bord, afin
de m'aider a configurer au mieux mon nas et ma box.
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.


Vu Duo2 VTI 13.03
Oscam r11384 by Magic Onik
bigbisat 5/13/19
dia 130cm -> 28.2°
Qviart Undro & Promotheus 1.08


Avatar du membre
OniK
Administrateur
Administrateur
Messages : 4847
Enregistré le : 03 avr. 2013, 19:32
A remercié : 355 fois
A été remercié : 1765 fois
Genre :
Zodiac :
Âge : 36
Contact :
Belgium

Re: Sécuriser son NAS

#2

Message par OniK » 20 mars 2018, 11:39

yop

alors pour sécuriser ton NAS ya plusieurs trucs a voir ...

alors les bases :
  1. avoir des mots de passes bien sécurisés
  2. utiliser la double authentification
  3. SSL partout local et externe

bon on va un peu rentrer ds les détails maintenant

  • avoir des mots de passes bien sécurisés

que ce soit pour les accès root ou même des users il est impératif d'avoir des mdp sécurisés

bon pas pas forcement besoin d'un mdp ressemblant a ceci : ©Æ_×þÒºY¢¹í@5mOç6ø¹( ...
mais par pitié pas des trucs du style passw0rd !!!!!

une solution simple et efficace pour avoir des mdp sécurisés et simple a retenir est de prendre une suite de 4 mots ou plus choisis de façons totalement aléatoire
par exemple : liqueurbriqueenchèresmoineau
bin l'air de rien un mdp tout bête comme prendrait 90 tredecillion d'années à un ordinateur pour le trouver ...

voici un site très pratique pour vous donner une idée de la robustesse de vos mdp
https://howsecureismypassword.net/
 ! Message de : OniK
ne jamais tester de vrai mdp sur ce genre de site mais uniquement qq chose ds le même style ... on ne sais jamais ...

  • utiliser la double authentification

tout aussi sécurisé que soient les mdp rien n’empêche un hacker de pouvoir mettre la main dessus ... ce ne serai que via un simple keylogger ...
donc voici la seconde ligne de protection ... la double authentification ...

en fait ici après avoir rentré vos login et mdp il faudra en plus entrer un code généré sur smartphone via google authenticator

donc ds le cas ou le login auraient été volé bin le hacker n'auras quand même pas accès sans votre smartphone en main pour récupérer le code !


  • SSL partout local et externe

bon maintenant qu'on a de bon mdp et la double authentification d'activé on va sécuriser tout ce ki transite entre le NAS et les pc ki s'y connectent ( login, mdp, données ... ) pcq bon avoir de bon mdp etc et tout envoyer en clair sur le réseau ça ne sert vraiment pas a grand chose ...

on va donc mettre en place des certificats SSL pour sécuriser tout ça et activer le fameux https ...

pour faire les choses proprement et dans les règles de l'art il faudra au préalable avoir un nom de domaine ...
ce qui permettra de se connecter au NAS via une adresse du style : https://monnas.com
je conseille vivement de le prendre la ou il est possible d'avoir un whois anonyme ... sinon ts les donnée perso sont publique !
https://www.1and1.com/ est bien ... bon prix, whois anonyme, sous domaines illimités, 1 adresse mail ...

une fois que c fait il faut se trouver une CA ( autorité de certificats ) qui délivrera les certificats SSL ...
il existe plusieurs type de certificats et encore plus de CA mais ds 99.9% des cas les certificats sont payant et extrêmement cher !

heureusement notre CA API-Crypt propose gratuitement tout un panel de certificats SSL, S/MIME et Code Signing
plus d'infos ici : viewtopic.php?f=2&t=1754

autre solution devenir sa propre CA ... c un peu plus hardcore par contre !
ou utiliser un certificat auto-signé mais ça ou rien c pareil ...

une fois que tout ça est fait il ne reste plus qu'a les installer sur le NAS et activer le https !


donc voila en appliquant ces 3 principes de base on peu considérer que le tout est déjà sur de bonnes bases

après pour aller encore plus vers qq chose de vraiment bien sécurisé il faut penser a :
  • désactiver ou changer le nom des comptes admin par défaut
  • changer les ports par défaut de la console admin etc ...
  • n'ouvrir que le port 443 ( le 80 n'est pas secure et uselless pour une utilisation perso )
  • n'ouvrir les ports 21 et 22 que si c vraiment nécessaire !!!
  • n'activer la console que si c vraiment nécessaire !!!
et pour vraiment bien faire les choses :
  • chiffrer les HDD
  • customiser le virtualhost
  • utiliser une authentification via certificat SSL ( au moins pour la partie admin )

hésite surtout pas si t'as des questions !
鬼に金棒

Avatar du membre
jimjam
Donateur
Donateur
Messages : 31
Enregistré le : 15 oct. 2015, 23:18
Localisation : Occitanie
A remercié : 3 fois
A été remercié : 0
Genre :
Zodiac :
Paraguay

Re: Sécuriser son NAS

#3

Message par jimjam » 20 mars 2018, 14:38

Bjr Onik,

merci pour ta/tes réponses, recommendations. Entretemps j'ai un "peu" avancé sur le suject
j'ai donc un nom de domaine que je n'ai pas encore activé, mais prêt à l'emploi.

le api crypt que j'ai trouvé ne semble pas encore fonctionnel ? Un autre lien pour que je puisse entamer
la procédure/demande :D

bon ensuite tu me dis

désactiver ou changer le nom des comptes admin par défaut -me semble pas possible de changer le nom admin
changer les ports par défaut de la console admin etc ... je peux mettre n'importe lequel ?
n'ouvrir que le port 443 ( le 80 n'est pas secure et uselless pour une utilisation perso )le port est bien ouvert
n'ouvrir les ports 21 et 22 que si c vraiment nécessaire !!!ok
n'activer la console que si c vraiment nécessaire !!!ok

Une mise à jour ces faites après avoir fait en reset...du coup il semblerait y avoir des fonctions supplémentaires (quel chance... :twisted: )
et donc sa m'oblige à devoir allouer de la mémoire pour le "snapshot storage" (the story of my live lol).
Vu Duo2 VTI 13.03
Oscam r11384 by Magic Onik
bigbisat 5/13/19
dia 130cm -> 28.2°
Qviart Undro & Promotheus 1.08

Avatar du membre
OniK
Administrateur
Administrateur
Messages : 4847
Enregistré le : 03 avr. 2013, 19:32
A remercié : 355 fois
A été remercié : 1765 fois
Genre :
Zodiac :
Âge : 36
Contact :
Belgium

Re: Sécuriser son NAS

#4

Message par OniK » 21 mars 2018, 07:23

yop

nikel pour le domaine ... on s'en occupe des que tout sera bien config sur le NAS

pour API-Crypt c normal la partie publique n'est pas encore en action donc pour le moment c tjs en mode "privé" pour nos membres ...
donc tu fais comme pour le SSL de ton vu+ etc ... je te remet les infos sur ton mChat privé au cas ou ...

jimjam a écrit :
20 mars 2018, 14:38
désactiver ou changer le nom des comptes admin par défaut -me semble pas possible de changer le nom admin
tu ne peux pas le changer mais tu peux le désactiver ...
https://www.qnap.com/fr-fr/how-to/tutor ... teur-admin

jimjam a écrit :
20 mars 2018, 14:38
changer les ports par défaut de la console admin etc ... je peux mettre n'importe lequel ?
oui du moment que tu n'utilises pas un port déjà attribué a autre chose ...
https://www.qnap.com/fr-fr/how-to/faq/a ... -turbo-nas
jimjam a écrit :
20 mars 2018, 14:38
Une mise à jour ces faites après avoir fait en reset...du coup il semblerait y avoir des fonctions supplémentaires (quel chance... :twisted: )
et donc sa m'oblige à devoir allouer de la mémoire pour le "snapshot storage" (the story of my live lol).
c tjs bien des fonctionnalité en plus ... mais je sais très bien a kel point ça te rend dingue lol


sinon voici encore qq petit truc en plus pour sécuriser ton qnap
https://www.qnap.com/fr-fr/how-to/faq/a ... -turbo-nas
鬼に金棒

Avatar du membre
jimjam
Donateur
Donateur
Messages : 31
Enregistré le : 15 oct. 2015, 23:18
Localisation : Occitanie
A remercié : 3 fois
A été remercié : 0
Genre :
Zodiac :
Paraguay

Re: Sécuriser son NAS

#5

Message par jimjam » 21 mars 2018, 09:03

Bonjour Onik,

Merci pour tes réponses. Certaines m'était connues mais pas encore essayées. Comme je l'avais noté dans mon précédent post
après le reset je devais obligatoirement ajouter un volume dans le hdd pour les apps etc. Je n'y suis jamais parvenu :lol: et pour
cause car je n'avais pas accès au hdd (grisé) ni de pouvoir choisir. Après recherche il s'avère que pour y avoir accès il fallait dès
le début de la config du Naze :D choisir lors de l'install choisir tout sauf static hdd (c'est ce que j'avais pris sans savoir trop pourquoi)
donc j'ai dû faire un nouveau reset hier pour pouvoir changer cette situation mais cette fois si j'ai fait une réinitialization complète
donc naze était comme de la boîte et là j'ai pu enfin choisir entre thick/thin etc. donc ça c'est fait sauf que les hdd on tourné
10 heures pour la réinitialization; (à mon avis ils sont déjà bien usés). donc j'avance :whistle: mais fait moi confiance j'ai d'autres
questions dans mon sac à te poser

encore merci
ciao du Paraguay
Vu Duo2 VTI 13.03
Oscam r11384 by Magic Onik
bigbisat 5/13/19
dia 130cm -> 28.2°
Qviart Undro & Promotheus 1.08


Avatar du membre
OniK
Administrateur
Administrateur
Messages : 4847
Enregistré le : 03 avr. 2013, 19:32
A remercié : 355 fois
A été remercié : 1765 fois
Genre :
Zodiac :
Âge : 36
Contact :
Belgium

Re: Sécuriser son NAS

#6

Message par OniK » 21 mars 2018, 09:15

re

ha oui ca si tu dois changer la config hdd etc un reset est souvent obligatoire ...
c pour ça qu'il ne faut rien mettre sur le NAS tant que tout n'est pas OK ... surtout que les premières fois t'as beaucoup de chances de le reset qq fois lol
jimjam a écrit :
21 mars 2018, 09:03
donc ça c'est fait sauf que les hdd on tourné
10 heures pour la réinitialization; (à mon avis ils sont déjà bien usés)
tracasse un NAS c fait pour tourner 24/7 ... si t'as pris de bon HDD ça risque rien du tout
jimjam a écrit :
21 mars 2018, 09:03
donc j'avance :whistle: mais fait moi confiance j'ai d'autres
questions dans mon sac à te poser
ho oui je te fait confiance ^_-
鬼に金棒

Avatar du membre
jimjam
Donateur
Donateur
Messages : 31
Enregistré le : 15 oct. 2015, 23:18
Localisation : Occitanie
A remercié : 3 fois
A été remercié : 0
Genre :
Zodiac :
Paraguay

Re: Sécuriser son NAS

#7

Message par jimjam » 22 mars 2018, 09:02

re

L'histoire continue....j'ai enfin un domaine et maintenant la prochaine étape c'est de me créer un Certificat et également d'avoir le https
partout, histoire d'être le plus protégé possible.
Vu Duo2 VTI 13.03
Oscam r11384 by Magic Onik
bigbisat 5/13/19
dia 130cm -> 28.2°
Qviart Undro & Promotheus 1.08


Répondre

Retourner vers « NAS »