Sécurité : Peut-On Hacker Un Nas ?

[rexet]

Bonjour,

Nouveau possesseur d'un TS-219P, j'aimerai pouvoir accéder à mon NAS de n'importe où à partir d'un simple nom de domaine.

Jusque-là rien de bien compliqué.

Par contre je me pose des questions concernant la sécurité de mes données.

En effet bien que mes utilisateurs soient proprement configuré (aucun accès invité), je me demande si une personne calée serait en mesure de venir fouiller les données de mon NAS (par exemple via un casseur de password pour mes comptes utilisateurs).

Quels sont les risques ?

Comment assurer la sécurité de nos données tout en gardant une accessibilité parfaite ?

Merci pour vos lumières !

[cris]

Super, merci pour ce tuto !

J'allais tester WinSCP mais tu conseilles plutôt Putty ?

Sinon est-ce que je dois quand même ouvrir le port admin (8080 par exemple) ?

Je vois que seul l'admin peut se connecter via SSH. Quelle solution sécurisée pour donner un accès sécurisé à un ami par exemple ?

Winscp c'est plutot pour du transfert de fichiers.

pour la connexion SSH, c'est seulement l'admin qui y a acces, le tunneling n'est utile que seuelement si tu es le seul à y acceder.

Pour l'accès sécurisé d'un amis, donnes nous les acces qu'il doit avoir (ftp, multimedia station,...)

[arkansis]

Merci pour ta réponse !

cordialement

[father_mande]

Bonjour,

NON ... Le QNAP intégre des outils de différents fournisseurs (libre, ou commercial), parfois certain comme Upnp Twonky, Download Station (re seed) etc. peuvent avoir une version qui continu à dialoguer sur le réseau avec votre TV, un boitier multimedia, etc. ou avoir un log sur timer qui ne s'écrit pas en RAM mais sur disque ...

ce genre de problème se règle au fur et à mesure ... dans les versions du firmware ...

parfois c'est un QPKG ... etc. etc.

Il y a un shell fourni par QNAP, pour identifier le programme qui réveille les disques ... il faut l'utiliser ...

Philippe.

[arkansis]

Je me permets de faire remonter ce sujet car sur mon TS-239 j'avais de l'activité alors que je n'accédais pas aux données depuis les machines de mon réseau. J'avais même activé le mode veille mais il n'y était jamais, j'entendais les disques durs faire du bruit signe qu'il travaillent en lecture ou écriture... J'ai essayé de regarder les logs je n'ai rien vu, et toutes mes données semblent présentent.

J'ai installé le firmware 3.7.3 dernièrement et là mon NAS se mets bien en veille, les leds d'activités des HDD semblent normales lorsque je n'accède pas au NAS, alors une question me vient à l'esprit, est-ce que j'ai été hacké ?

[father_mande]

Bonjour,

Ah ok je ne savais pas.

Mais bon ça reste quand même des choses que le QNAP gère non ? Ca n'apporterait rien de plus ?

Oui et Non, le Qnap gère au niveau du système dans son ensemble ... le .htaccess peut être spécialisé par application Web ... chacune pouvant de plus avoir ces propres contrôles supplémentaires, par exemple les utilisateurs d'une application Web (gallery, Joomla, Wordpress, AjaXplorer ...) sont gérés par l'application, ce qui permet d'ouvrir certaine applications a un utilisateur, sans que son couple user mot de passe ne puisse lui servir a autre chose sur le Qnap ...

Ce n'est donc pas au même niveau, d'une part la sécurité du système de l'autre appli. par appli. ou même sans contrôle pour une applic. web en lecture seule ...

le cumul des deux renforce la sécurité.

Philippe.

[rexet]

faux, un .htaccess permet aussi de filtrer par IP (subnet, adresses, etc...)

Ah ok je ne savais pas.

Mais bon ça reste quand même des choses que le QNAP gère non ? Ca n'apporterait rien de plus ?

[DocIn]

Oui mais bon, ça revient à ne protéger l'accès que par un login/pass comme le fait déjà le NAS via la gestion des compteurs utilisateurs.

faux, un .htaccess permet aussi de filtrer par IP (subnet, adresses, etc...)

[rexet]

je ne sais pas si ca va eclairer ta lanterne, mais tu peux utiliser un .htaccess pour le web. En gros ca te permet d'ouvrir le web à tout le monde (simple à faire), mais tu le restreint tout de meme par la présence du fichier .htaccess adhoc à la racine du site à protéger.

Oui mais bon, ça revient à ne protéger l'accès que par un login/pass comme le fait déjà le NAS via la gestion des compteurs utilisateurs.

[DocIn]

Merci, j'y vois plus clair.

Sinon dans l'idéal j'ai deux cas que j'aimerais réaliser en fonction des personnes :

- que des personnes puissent avoir accès web à un dossier pour y prendre ce que je leur donne et y uploader également ce qu'ils veulent

- que des personnes puissent se connecter à un serveur FTP pour downloader/uploader des fichiers

Mais je veux surtout pouvoir faire ça en garantissant une sécurité maximum à des dossiers confidentiels sur mon NAS auxquels personne ne doit avoir accès. Faisable ?

je ne sais pas si ca va eclairer ta lanterne, mais tu peux utiliser un .htaccess pour le web. En gros ca te permet d'ouvrir le web à tout le monde (simple à faire), mais tu le restreint tout de meme par la présence du fichier .htaccess adhoc à la racine du site à protéger.

[rexet]

Winscp c'est plutot pour du transfert de fichiers.

pour la connexion SSH, c'est seulement l'admin qui y a acces, le tunneling n'est utile que seuelement si tu es le seul à y acceder.

Pour l'accès sécurisé d'un amis, donnes nous les acces qu'il doit avoir (ftp, multimedia station,...)

Merci, j'y vois plus clair.

Sinon dans l'idéal j'ai deux cas que j'aimerais réaliser en fonction des personnes :

- que des personnes puissent avoir accès web à un dossier pour y prendre ce que je leur donne et y uploader également ce qu'ils veulent

- que des personnes puissent se connecter à un serveur FTP pour downloader/uploader des fichiers

Mais je veux surtout pouvoir faire ça en garantissant une sécurité maximum à des dossiers confidentiels sur mon NAS auxquels personne ne doit avoir accès. Faisable ?

[rexet]

tout frais

Super, merci pour ce tuto !

J'allais tester WinSCP mais tu conseilles plutôt Putty ?

Sinon est-ce que je dois quand même ouvrir le port admin (8080 par exemple) ?

Je vois que seul l'admin peut se connecter via SSH. Quelle solution sécurisée pour donner un accès sécurisé à un ami par exemple ?

[DocIn]

Merci pour ces précieux conseils.

En soit je n'ai pas moyen de vraiment rendre totalement inaccessible un dossier de mon QNAP tout en ayant un serveur web en place sur celui-ci par exemple ?

En tout cas je me rends compte que j'ai de grosse lacune niveau réseau et je vais donc me renseigner sur le tunneling SSH histoire de ne pas mourir bête !

Par DocIn parle de perte de performance en terme de débit. C'est de l'ordre de combien ?

si j'ai le temps dans la journée, je vais tenter de faire un comparatif chiffré avec wget.

Après il est vrai que je procède d'une manière légeremenrt différente: je monte le tunnel entre Internet et mon modem, et non pas entre Internet et mon QNAP. Le modem datant un peu, il se peut que l'encapsulation le charge un peu.

[Rocket89]

.../...

[cris]

Merci pour ces précieux conseils.

En soit je n'ai pas moyen de vraiment rendre totalement inaccessible un dossier de mon QNAP tout en ayant un serveur web en place sur celui-ci par exemple ?

En tout cas je me rends compte que j'ai de grosse lacune niveau réseau et je vais donc me renseigner sur le tunneling SSH histoire de ne pas mourir bête !

Par DocIn parle de perte de performance en terme de débit. C'est de l'ordre de combien ?

tout frais

[rexet]

Merci pour ces précieux conseils.

En soit je n'ai pas moyen de vraiment rendre totalement inaccessible un dossier de mon QNAP tout en ayant un serveur web en place sur celui-ci par exemple ?

En tout cas je me rends compte que j'ai de grosse lacune niveau réseau et je vais donc me renseigner sur le tunneling SSH histoire de ne pas mourir bête !

Par DocIn parle de perte de performance en terme de débit. C'est de l'ordre de combien ?

[DocIn]

je plussoie le changement de port, mais dans ce cas, ne pas hésiter à mettre un n° de port élevé (au moins > à 1024)

En effet, nombre d'outils de scan, dans leurs optios par défaut, testent les ports de 0 à 1024.

Sinon, le tunneling SSH est une trés bonne solution, juste un peu pénalisante en terme de débit:

Dans mon cas, à la cambrousse, du HTTP encapsulé dans le SSH, est plus lourd qu'un simple HTTP (logique).

[cris]

Bonjour,

A priori un password relativement simple peut être cassé ... si vous données sont très sensibles, vous pouvez commencer par des password forts puis ajouter une couche ssl, puis pourquoi pas identifier les adresses I.P autorisés (mais pour les adresses dynamique cela complique) .... sinon encore plus, n'ouvrir qu'un port celui de ssh (ne pas garder le 22) et utiliser les tunnels ...

Avec cela et openssh vous pouvez avoir des clefs privés / public, un encryptage des échanges, le tout avant le mot de passe des applications Qnap ... là il faut un pro ++++ pour approcher vos données.

Philippe.

D'une manière générale, il vaut mieux toujours changer les numéros de ports (toujours éviter le 22 comme le signale philippe)

le tunneling est toujours à privilégier

[father_mande]

Bonjour,

Bonjour,

Nouveau possesseur d'un TS-219P, j'aimerai pouvoir accéder à mon NAS de n'importe où à partir d'un simple nom de domaine.

Jusque-là rien de bien compliqué.

Par contre je me pose des questions concernant la sécurité de mes données.

En effet bien que mes utilisateurs soient proprement configuré (aucun accès invité), je me demande si une personne calée serait en mesure de venir fouiller les données de mon NAS (par exemple via un casseur de password pour mes comptes utilisateurs).

Quels sont les risques ?

Comment assurer la sécurité de nos données tout en gardant une accessibilité parfaite ?

Merci pour vos lumières !

A priori un password relativement simple peut être cassé ... si vous données sont très sensibles, vous pouvez commencer par des password forts puis ajouter une couche ssl, puis pourquoi pas identifier les adresses I.P autorisés (mais pour les adresses dynamique cela complique) .... sinon encore plus, n'ouvrir qu'un port celui de ssh (ne pas garder le 22) et utiliser les tunnels ...

Avec cela et openssh vous pouvez avoir des clefs privés / public, un encryptage des échanges, le tout avant le mot de passe des applications Qnap ... là il faut un pro ++++ pour approcher vos données.

Philippe.