Si vous ne voulez pas avoir de problèmes de sécurité avec votre serveur NAS, vous ne devez jamais exposer le port de gestion à Internet. Bien que nous pensions qu'en utilisant un bon mot de passe pour notre utilisateur administrateur, avec une vérification en deux étapes, en changeant le port par défaut du NAS et même en activant HTTPS, la vérité est que si vous ouvrez le port du routeur vers le NAS, vous exécutez une erreur grave. danger de votre ordinateur étant piraté. Les cybercriminels profitent de l'accès à distance à ce type d'appareil pour exploiter une vulnérabilité et prendre le contrôle total, aujourd'hui dans cet article nous allons vous dire ce que vous pouvez faire pour accéder depuis Internet en toute sécurité.
Accès via le serveur VPN du NAS
Cette solution est la plus recommandée de toutes en raison de sa facilité de configuration et de la sécurité qu'elle apporte. Si nous configurons le VPN serveur du serveur NAS lui-même, et ouvrez le port correspondant sur notre routeur pour vous connecter depuis Internet, nous pourrons nous connecter à distance à l'ordinateur avec une sécurité maximale, et tout cela comme si nous étions connectés via le réseau domestique local.
Pour pouvoir se connecter de cette manière, nous devrons configurer le serveur OpenVPN ou le WireGuard Serveur VPN , ou configurer les deux simultanément pour différents types d'utilisations, puisque généralement tous les systèmes sont compatibles avec plusieurs protocoles que nous pouvons utiliser simultanément sans problème. Grâce à la possibilité de configurer un tunnel VPN, nous allons accéder à notre ordinateur en toute sécurité, car pour la connexion, il est nécessaire de disposer des certificats et des clés privées correspondants qui se trouvent uniquement sous notre domaine.
De cette façon, dans le routeur, nous n'avons qu'à ouvrir le port du serveur VPN , et nous n'exposerons pas directement la page Web d'administration du NAS, la protégeant d'éventuelles attaques de cybercriminels. Si un cybercriminel effectue une analyse de port et localise le port VPN ouvert, il ne peut pas faire grand-chose car il ne dispose pas des clés privées pour s'y connecter.
Configurer un proxy inverse avec une authentification supplémentaire
Ces dernières années, les fabricants de NAS intègrent nativement un proxy inverse dans leurs systèmes d'exploitation, cependant, vous pouvez également installer le proxy inverse populaire Traefik en tant que conteneur Docker. Des fabricants tels que QNAP, ASUSTOR ou Synology vous permettent d'installer Conteneurs Docker pour étendre encore les fonctionnalités de l'équipement.
Dans ce cas, si nous installons un proxy inverse, nous ne pourrons accéder au site Web d'administration du serveur qu'en saisissant un sous-domaine ou une URL spécifique, ce qui rend clairement difficile la connexion d'un cybercriminel. Dans ce cas, nous n'aurons qu'à ouvrir le port 443 du serveur Web proxy inverse, pour ensuite accéder au site Web d'administration du serveur.
Les proxys inverses nous permettent d'ajouter des mesures de sécurité supplémentaires pour atténuer et même prévenir d'éventuelles attaques et intrusions dans les différents services. Voici quelques-unes des mesures de sécurité les plus courantes et recommandées que nous devrions appliquer :
- Limitez l'accès aux différentes ressources par pays, en fonction de l'adresse IP source.
- Bloquer les adresses IP en fonction des tentatives d'accès à l'ordinateur.
- Ajoutez une première authentification pour pouvoir accéder aux ressources partagées, cette authentification peut être basique avec nom d'utilisateur et mot de passe, ou utilisez Oauth pour vous authentifier directement auprès de Google.
- Ajoutez une stratégie d'en-tête sécurisé à utiliser.
- Limitez le nombre de requêtes par seconde, pour pallier les nombreuses attaques qui pourraient être menées.
Comme vous pouvez le voir, configurer un proxy inverse avec une sécurité suffisante est également une méthode de plus pour se connecter en toute sécurité à notre NAS. Ce que vous ne devriez jamais faire, c'est exposer le port d'administration à Internet, car n'importe qui pourrait accéder et exploiter une faille de sécurité dans le serveur Web.
