Jan 16

Accès externe simplifié à un NAS

Comment accéder à ses ressources de manière sécurisée sans routeur configurable (voir solution Accès via VPN) ?

Plusieurs protocoles permettent ce genre de choses, entre autre WebDAV (extension de https), ssh, sftp, scp, … qui pourront être utilisés suivant les capacités de votre NAS à les gérer.

Dans cet article nous allons traiter d’un accès via WebDAV.

Ce protocole dans sa version sécurisée utilise le port 5006. On peut l’utiliser via un logiciel tiers ou directement via un explorateur type firefox.

Attention à tous ceux qui vont tenter l’expérience. Configurer une redirection de port sur votre Box va créer une brèche de sécurité. Il est donc primordial (oui oui j’insiste) de bien comprendre les risques encourus : votre NAS sera visible depuis le Net et pourra donc faire l’ objet d’attaques plus ou moins perfectionnées ….

Quelles sont les grandes étapes de configuration ?

 

Premièrement la sécurité de votre NAS

 


AVANT TOUTES CHOSES, il est primordial de durcir votre bête.
Cela va évidemment dépendre de ses propres fonctionnalités mais on peut citer :

 

  • Désactivation des utilisateurs par défaut du système

Il est également possible de créer ce que l’on appelle un pot de miel. Je ne peux pas renommer mon compte admin sur le NAS mais pour ceux qui peuvent :

Renommer le compte admin
Créer un compte utilisateur nommé admin
Supprimer tous les droits de ce compte utilisateur.
L’attaquant va alors passer du temps à traquer votre mot de passe de compte admin pour pas grand chose ….

  • Création d’utilisateurs avec mot de passe très très forts
  • Ne vous connecter jamais à distance avec votre compte administrateur
  • Chaque utilisateur doit accéder aux fonctions nécessaires mais pas plus

 

  • Configurer les droits accès, lecture, lecture/écriture des répertoires/fichiers

 

  • Désactivation d’un compte après un nombre limité d’essais de connexion infructueux

 

  • Redirection des requêtes http vers https
  • Activation des fichiers log
  • Chiffrer vos fichiers importants (si possible)
  • Activer la protection DDOS

 

  • Activer les paramètres de sécurité généraux 

 

On va porter une attention toute particulière à la configuration du pare feu du NAS.

Voici un exemple de configuration où je permet uniquement à certaines @IP de régions spécifiques à se connecter. Pourquoi un Chinois pourrait tenter d’entrer un mot de passe ?

Alors oui qqn de malin pourra passer par un serveur proxy ….  Mais soit ! En considérant que tout ce qui n’est pas autorisé explicitement est interdit, on ouvre le minimum de ports sur l’appareil.

Dernier point très important pour sécuriser un nas Synology : concernant l’option « Si aucune règle n’est remplie » il faut absolument sélectionner « Refuser l’accès »  dans le cas contraire votre NAS autorisera toutes les connexions

 

Parlons maintenant du DDNS/certificat

 

La connexion vers votre NAS ne va pas se faire via une adresse IP mais via un nom de domaine DNS.
Pour cela, vous devez enregistrer votre engin via DDNS chez un provider de noms de domaine. Synology.me fonctionne très bien.

Une fois cela fait, il va vous falloir un certificat. En effet lors de le connexion, votre ordinateur ou tablette ou téléphone va devoir identifier votre serveur de façon fiable. Il serait en effet fâcheux de balancer login/mot de passe sur un site qui se ferait passer pour le votre.

Synology propose un certificat gratuit à demander auprès de Let’s Encrypt.

 

On peut considérer ces opérations comme étant le minimum syndical pour votre NAS.

 

Pour finir, votre Box/routeur

 

Partant de l’extérieur, votre requête doit être forwardée à votre équipement par votre Box.
Là encore suivant le modèle, vous allez rencontrer des différences dans les termes employés. Certaines vont parler de NAT, transfert de port, translation de port, redirection, ….

L’essentiel va être ici de rediriger tout le trafic ayant pour port TCP destination 5006  vers l’adresse IP de votre NAS.

Voici un aperçu du rendu sur ma box VOO :

Ici j’utilise le port par défaut 5006 de WebDAV. On peut bien entendu et je vous le conseille changer le port pour éviter un scan trop facile.

Il est souvent possible de configurer une DMZ. Je déconseille fortement l’utilisation de cette fonctionnalité pour des raisons de sécurité : la Box va envoyer tout le trafic entrant vers votre NAS et cela indépendamment du port de destination.

Faîtes ces opérations manuellement, je déconseille l’utilisation d’application hébergée sur le NAS qui vont ouvrir les ports de votre routeur. Au moins, vous savez quels ports sont ouverts …

WebDAV étant une extension du protocole HTTP, on peut accéder au NAS via un navigateur en spécifiant le port utilisé à la fin de l’URL.
On peut aussi comme spécifier en intro utiliser un logiciel tiers comme Bit Kinex.

 

Resultat :

 

Si votre certificat est OK et votre NAS bien configuré pour l’utiliser vous ne DEVEZ PAS recevoir de messages d’erreur de votre navigateur à l’ouverture de votre page HTTPS; Si c’est le cas, vérifiez votre config. Si vous passez outre cet avertissement, jouez à vos risques et périls.

J’arrive à télécharger à environ 500Kbits ce qui correspond à un film de 700 Mo en 25 minutes. Par comparaison mon routeur CISCO me permet des connexions à environ 150-200KBits par seconde. Plus lent bien sûre mais la fonction Zone Based Firewall fait plonger le processeur ….

Bon clic a tous,

Lien Permanent pour cet article : http://rsocisco.fr/acces-externe-simplifie-a-un-nas/

Laisser un commentaire

Your email address will not be published.