Guide de sécurité pour NAS QNAP

Ce guide fournit des informations détaillées sur les paramètres de sécurité et les mécanismes de protection des NAS QNAP, vous aidant à renforcer les défenses réseau et à protéger vos données.

Télécharger le Guide sur la sécurité

Architecture et paramètres réseau sécurisés

1. Se connecter au NAS correctement

Vous ne devez jamais connecter directement le port réseau du NAS à Internet. Assurez-vous d'abord que votre NAS est connecté au routeur, puis connectez-vous au modem fourni par votre fournisseur d'accès Internet (FAI). Avec des paramètres corrects, le routeur peut bloquer le trafic malveillant provenant d'Internet et réduire le risque de cyberattaques.

Bonne connexion - Connecter le NAS d’abord au routeur

Mauvaise connexion - Connecter le NAS directement au modem

2. Configurer le routeur correctement

Connectez-vous au routeur ou demandez à votre FAI de vous aider à vérifier et à désactiver les paramètres suivants :

Désactivez UPnP
Désactivez DMZ

(Zone démilitarisée)
Désactivez le réacheminement de port

Comment sécuriser l’accès distant à votre NAS si le réacheminement de port est désactivé ? QNAP propose QVPN et myQNAPcloud Link qui permettent un accès à distance sécurisé à votre NAS.

Informations complémentaires :
Ne connectez pas votre NAS directement à Internet sans protection >
Comment configurer myQNAPcloud pour accéder à distance à un NAS QNAP >
Comment configurer un serveur VPN sur un NAS QNAP derrière le routeur ? >

Comment vérifier si vous êtes exposé à sur Internet?
Nous vous recommandons d’installer et d’utiliser Security Center ou des outils de recherche d’adresse IP afin de vérifier si vos appareils sont exposés à sur Internet

4 méthodes pour sécuriser l’accès distant au NAS

Méthode de connexion	Avantages	Désavantages	Utilisateurs qualifiés
Activez et configurez la DMZ/Redirection de port UPnP du routeur	Connexion plus rapide	Vulnérable aux cyberattaques Aucune défense contre les attaques de vulnérabilité 0-Day	Avoir une bonne compréhension des risques associés Être familier avec les paramètres réseau Avoir créé plusieurs sauvegardes pour les données importantes Avoir un plan de récupération après sinistre
Activez le serveur VPN sur le routeur	Relativement facile à configurer	Aucune notification d’échec de connexion, blocage automatique et fonction de pare-feu Moins de protocoles VPN pris en charge Performances limitées par le matériel du routeur	Non familier avec les paramètres réseau Ne vous souciez pas de la vitesse de transmission
Activez la fonction de serveur VPN sur le NAS QNAP	Prend en charge plusieurs protocoles VPN Compatible avec le pare-feu du NAS (QuFirewall) Prend en charge la notification d’échec de connexion et le blocage automatique	Les paramètres sont légèrement plus compliqués	Être familier avec les paramètres réseau Besoin d’accéder souvent à de nombreux fichiers sur Internet
Utilisez la connexion sécurisée myQNAPcloud Link	Le plus simple à configurer Prise en charge du contrôle d’accès Le NAS n’a pas besoin d’être exposé à Internet	Connexion plus lente	Non familier avec les paramètres réseau Utiliser rarement Internet pour accéder au NAS Environnement réseau où il n’est pas possible d’obtenir une adresse IP WAN
Utilisez les produits VPN SD-WAN ou le VPN siteto-site	Une fois configuré, les utilisateurs de l’intranet peuvent l’utiliser sans voir la différence Prend aussi en charge le VPN client-tosite	Équipement supplémentaire requis	Nécessite un accès à plusieurs points et une sauvegarde à distance Nécessite des applications à valeur ajoutée

3. Activer les mises à jour automatiques

QNAP effectue souvent des mises à jour de sécurité pour les firmwares et les logiciels de sécurité. L’activation des mises à jour automatiques garantit que vous disposez les dernières fonctionnalités, corrections de bugs et de vulnérabilités.

De l'intérieur vers l'extérieur : Sécurité multi-niveaux

QNAP propose une protection complète des connexions NAS et des plans de récupération après sinistre, associés à des évaluations de la sécurité du système et à une analyse des menaces sur le réseau interne, afin de créer un système de gestion de la cybersécurité en couches.

Lisez le blog : Construire un système de défense de cybersécurité multi-niveaux pour les entreprises

Renforcer la sécurité du compte système

1. Désactivez le compte administrateur par défaut « admin »

Les hackers qui utilisent le décodage de mot de passe par force brute ciblent généralement le compte administrateur par défaut, « admin ». Il est fortement recommandé de désactiver ce compte « admin » et de créer un nouveau compte.

Informations complémentaires : Comment désactiver le compte d’utilisateur admin

Les modèles avec QTS 5.0.1 / QuTS hero h5.0.1 (ou ultérieur) intégré, « admin » est désactivé par défaut.

2. Activez la protection d’accès (IP / Compte)

La « Protection d’accès des IP » et la « Protection d’accès aux comptes » peuvent aider à empêcher le décodage des mots de passe par force brute. Si une adresse IP ou un compte spécifique a trop d’échecs de connexion, elle va déclencher le blocage de l’IP ou la désactivation du compte, empêchant les hackers d’essayer à plusieurs reprises les mots de passe.

3. Activer l'authentification multifactorielle

Il est fortement recommandé d'activer des méthodes de connexion sécurisées telles que la connexion sans mot de passe et la vérification en deux étapes pour ajouter une couche supplémentaire de sécurité des données.

En savoir plus: Connexion sécurisée et authentification multi-facteur

4. Désactivez Telnet / SSH

Sauf si vous les utilisez, il est fortement recommandé de désactiver Telnet et SSH. Ces deux fonctions sont généralement utilisées par le service client de QNAP ou des professionnels de l’informatique pour la maintenance du système. Les utilisateurs généraux ne devraient pas en avoir besoin, c’est pourquoi il est recommandé de les désactiver

Activez les snapshots planifiés

Les snapshots peuvent protéger vos données importantes en créant des points de restauration sur plusieurs versions. En cas d’attaque de rançongiciel, vos données peuvent être récupérées à partir d’un snapshot. Il est fortement recommandé d’activer les snapshots planifiés et de définir une politique de suppression des snapshots afin de garantir une bonne sécurité des données et une utilisation du stockage adéquates.

Informations complémentaires : Que sont les snapshots ?, Snapshot Replica – sauvegardez vos données, SnapSync en temps réel (*Uniquement disponible dans QuTS hero)

Ouvrez « Stockage et snapshots », cliquez sur « Volume », puis ouvrez « Gestionnaire de snapshots » dans le menu.

Cliquez sur « Planifier un snapshot ». Il est recommandé de planifier votre snapshot sur « Quotidien » ou « Hebdomadaire ».

Vous pouvez définir une politique de conservation des snapshots afin de limiter le nombre de snapshots et de les empêcher de prendre trop d’espace. Il est recommandé de définir la « Gestion des versions intelligente ».

Assurez-vous que l’« Espace de stockage » soit une structure « Pool de stockage » et que le « Pool de stockage » ait assez d’espace libre pour prendre les snapshots. QNAP recommande aux utilisateurs d’activer la gestion intelligente de l’espace de snapshot et d’utiliser les volumes légers pour les snapshots afin de garantir qu’il y ait suffisamment d’espace de stockage pour que le NAS fonctionne correctement.

Security Center - Votre portail de sécurité pour les NAS QNAP

Security Center analyse et surveille de manière proactive le statut du NAS, l’activité inhabituelle des fichiers, les éventuelles menaces de sécurité et propose des mesures de protection instantanées afin de protéger votre système et vos données. Il intègre également un logiciel antivirus et anti-malware afin de garantir une protection complète de votre NAS QNAP.

Ouvrez le « Centre de sécurité », sélectionnez le niveau de politique de sécurité qui correspond à vos besoins, puis cliquez sur « Analyser maintenant ».

Si les résultats de l'analyse indiquent des risques de sécurité, vous pouvez cliquer sur « Assistant de paramètres suggérés » pour vous permettre d’ajuster les paramètres.

Nous vous recommandons de planifier le « Programme d’analyse » sur au moins une fois par mois de sorte que le système puisse vérifier régulièrement les paramètres et l'état du système. Si un risque est détecté et que le Centre de notifications est correctement configuré, vous recevrez une notification de sorte qu’il soit géré dès que possible.

« Surveillance de l’activité inhabituelle des fichiers » vous permet de suivre facilement le nombre moyen des fichiers inhabituels et modifiés sur le NAS au cours d’une période spécifique.

QuFirewall : Pare-feu intégré pour les appareils QNAP

QuFirewall bloque les paquets soupçonnés d’être envoyés par Tor (une connexion de communication anonyme) afin d’empêcher les attaques contre votre NAS. Il détecte aussi le routage en oignon suspect et les bots malveillants et met à jour de manière dynamique la liste de blocage des paquets malveillants, ce qui assure la sécurité de vos appareils QNAP.

Si votre réseau n’a pas de besoin spécifique, il est recommandé de sélectionner « Protection de base », puis de cliquer sur « Suivant » pour continuer.

Sélectionnez une région en fonction de votre emplacement. Vous pouvez ajouter d’autres régions plus tard.

Allez sur la page profils QuFirewall et vous verrez que la « Protection de base » est activée. Cliquez sur « Protection de base » pour développer et afficher les règles de pare-feu correspondantes. Les règles sont vérifiées par rapport aux informations dans les paquets entrants, qui sont autorisés à passer ou à être bloqués selon les règles du pare-feu.

Malware Remover

Malware Remover analyse régulièrement votre NAS en utilisant les dernières définitions de programmes malveillants. Lorsqu’ils sont détectés, les fichiers infectés seront immédiatement supprimés afin de garantir la sécurité des données du NAS. Il reçoit des mises à jour régulières de définitions de programmes malveillants basées dans le cloud afin de renforcer la sécurité de vos données.

Ouvrez « Malware Remover », le statut de la dernière analyse est affiché, cliquez sur « Paramètres » à gauche.

Il est recommandé de définir « Planification d’analyse » une fois par jour ; ainsi, « Malware Remover » vérifie régulièrement les paramètres et le statut du système. De même, assurez-vous que « Mettre à jour automatiquement Malware Remover à la dernière version » demeure coché.

Configurez les notifications système

Le Centre de notifications centralise toutes les notifications système et peut envoyer des notifications push vers les appareils en fonction de vos paramètres afin de vous maintenir informé de l’état de votre NAS.

Ouvrez le « Centre de notifications » cliquez sur « Compte de service et couplage des appareils » dans le menu de gauche, sélectionnez « E-mail », puis cliquez sur « Ajouter un service SMTP ».

Sélectionnez un compte de messagerie, cliquez sur « Ajouter un compte », suivez les instructions afin de terminer le processus de vérification.

Sur le menu de gauche du « Centre de notifications », cliquez sur « Règles des notifications système », sélectionnez « Notifications d’alerte » et cliquez sur « Créer une règle ».

Modifiez le « Nom de la règle » en fonction de vos besoins, cochez les deux niveaux de gravité « Avertissement » et « Erreur », puis cliquez sur « Suivant » pour terminer.

Abonnez-vous à QNAP eNews pour recevoir les dernières actualités sur la sécurité des produits

Abonnez-vous maintenant Analyse approfondie dans le conseil en sécurité Programme de récompense pour la sécurité

FAQ

Est-il plus sûr de déconnecter le NAS d’Internet ?

Non. En général, la « déconnexion » du NAS renvoie à déconnecter le NAS du réseau, pour qu’il ne puisse pas établir une connexion avec le monde extérieur. Bien que certains programmes malveillants nécessitent une connexion externe pour fonctionner, il y existe encore des logiciels malveillants capables d’effectuer avec succès des actions malveillantes sans connexion externe. Par conséquent, non seulement elle ne réussira pas à empêcher les hackers d’effectuer des actions illégales, mais elle empêchera aussi certaines fonctions système de s’exécuter correctement, telles que les mises à jour automatiques des logiciels et les notifications. La bonne approche consiste à limiter le trafic vers le NAS, par exemple en évitant l’exposition à Internet pour renforcer la sécurité.

Mon disque dur est configuré en RAID, est-ce que cela signifie que je n’ai pas besoin de sauvegarde ?

Non. Le RAID n’est pas une méthode de sauvegarde. Les niveaux RAID supérieurs à 0 servent uniquement à fournir une redondance contre les pannes de disque. Le RAID ne fournit aucune protection contre la suppression ou le chiffrement des données. Par conséquent, il est recommandé de sauvegarder correctement les données selon le principe de sauvegarde 3-2-1.

J’ai déjà configuré des « snapshots ». Est-ce que cela signifie que je n’ai pas besoin de sauvegarde ?

Non. Parce que les « snapshots » sont stockés sur le même ensemble de disques durs que vos données ; ces dernières seront perdues en cas de panne du RAID. De plus, si les hackers parviennent à obtenir des privilèges suffisants (tel que déchiffrer le compte administrateur), le « snapshot » peut aussi être supprimé. Par conséquent, il est recommandé de sauvegarder correctement les fichiers snapshot selon le principe de sauvegarde 3-2-1.

Mon NAS n’est pas exposé à Internet, est-ce que cela signifie qu’il ne peut pas être attaqué ?

Non. Bien que la plupart des cyberattaques viennent d’Internet, le NAS peut encore être attaqué sur l’intranet. Par exemple, si un autre ordinateur ou appareil sur votre intranet est hacké ou touché par des programmes malveillants, il peut être utilisé pour attaquer et s’étendre aux autres appareils de l’intranet. L’installation d’un logiciel antivirus et le déploiement de produits de sécurité du réseau sur votre ordinateur peuvent vous aider à gérer ce type de menaces. Par exemple, le NDR ADRA de QNAP peut détecter les activités suspectes sur l’intranet et les isoler automatiquement. En même temps, il est aussi recommandé de sauvegarder correctement les données selon le principe de sauvegarde 3-2-1.

Mon NAS a été utilisé pendant une longue durée, comment puis-je vérifier si un logiciel malveillant est installé ?

Si vous remarquez que la charge du processeur est anormalement élevée, que vous rencontrez des échecs de mise à jour de logiciel ou qu’il y a des applis inconnues dans l’App Center, il est possible qu’un programme malveillant soit installé. Il est recommandé d’installer et d’utiliser la dernière version de Malware Remover. Si vous ne parvenez toujours pas à résoudre le problème, contactez l’équipe d’assistance technique de QNAP pour obtenir de l’aide.

S'il m'arrive d’avoir le besoin de me connecter à internet, que dois-je faire pour assurer la sécurité ?

Assurez-vous que le NAS possède la dernière version du firmware et des applis installées. Vous pouvez activer QuFirewall pour fournir une protection basique de pare-feu ; de plus, les règles « PSIRT » et « TOR » peuvent vous aider à bloquer les connexions de certains hackers. Si vous êtes une entreprise ou un utilisateur professionnel, il est recommandé d’utiliser une solution de pare-feu de niveau supérieur. En outre, si l’espace du pool de stockage le permet, vous pouvez créer des « snapshots » pour une protection basique des données. Il est aussi recommandé de sauvegarder correctement les données selon le principe de sauvegarde 3-2-1 afin de se préparer au pire scénario et d’empêcher une éventuelle perte de données.

Mon NAS est ancien et ne prend pas en charge la dernière version de QTS, peut-il encore être utilisé en toute sécurité ?

Les modèles hérités et en fin de vie (EOL) ont un support limité et doivent être uniquement utilisés pour la sauvegarde intranet/hors ligne.

Pourquoi je continue à recevoir un avertissement d’échec de connexion au NAS ?

Si l’adresse IP de l’échec de connexion provient d’Internet, cela signifie que votre NAS subit une adresse de déchiffrement de mot de passe par force brute. Vous devriez éviter d’exposer votre NAS à Internet et suivre ce tutoriel pour renforcer votre NAS. Si l’adresse IP de l’échec de connexion provient de l’intranet, veuillez vérifier si l’appareil avec cette adresse IP a des programmes malveillants installés.

Pourquoi tous mes fichiers ont-ils des noms de fichier étranges ?

C’est un symptôme d’une infection par rançongiciel. Consultez les journaux d’accès au NAS afin de déterminer si l’action de chiffrement provient d’un autre ordinateur ou du NAS lui-même. Si votre NAS a été touché par des rançongiciels, alors vous devriez prendre les mesures adéquates pour arrêter la propagation de l’infection. Le cas échéant, contactez l’équipe d’assistance technique de QNAP pour obtenir de l’aide.

Que dois-je si mon NAS est infecté par des rançongiciels ?

La plupart des rançongiciels utilisent des méthodes de chiffrement inviolables. S’il n’y a pas la bonne clé, les fichiers ne peuvent pas être déverrouillés ; ainsi, les fichiers peuvent uniquement être restaurés par sauvegarde ou snapshot.
Modifiez les paramètres du routeur immédiatement selon ce tutoriel pour éviter d’exposer le NAS à Internet et empêcher des attaques secondaires. Aussi, vous devriez suspendre immédiatement toutes les tâches de synchronisation et définir les snapshots pour qu’ils soient définitivement conservés afin d’éviter de perdre les fichiers de sauvegarde. Si vos données possèdent des sauvegardes ou des snapshots que vous pouvez restaurer, vous pouvez restaurer les fichiers après avoir mis à jour le firmware ainsi que les applis du NAS et terminé l’analyse Malware Remover. Si les données ne sont pas sauvegardées, veuillez sauvegarder la note de rançon laissée par le rançongiciel ainsi que la méthode de paiement de la rançon, puis essayez d’utiliser des méthodes telles que la restauration des données afin de restaurer certaines données. Le cas échéant, contactez l’équipe d’assistance technique de QNAP pour obtenir de l’aide.

Je continue à voir des reportages dans les médias sur QNAP , qui corrige les vulnérabilités de produits. Est-ce que cela signifie que les produits QNAP ne sont pas sécurisés ?

Il n’y a pas de logiciel et de matériel parfaits dans le monde. Qu’il s’agisse de logiciels propriétaires développé par différents constructeurs ou d’un logiciel open source, ou même d’un matériel, on trouvent toujours des vulnérabilités et les contructeurs les corrigent ensuite. Tout comme les autres sociétés de technologie, QNAP continue à corriger les vulnérabilités connues et publie ensuite des fichiers de mise à jour pour assurer la sécurité des appareils et des données des utilisateurs. De même, QNAP PSIRT publie des notifications de cybersécurité pour la divulgation externe, de sorte que les utilisateurs puissent agir contre les problèmes qui surviennent.
QNAP estime que le traitement des vulnérabilités de façon ouverte et transparente peut protéger le droit à l’information des utilisateurs et aider à améliorer la sécurité des produits. Les utilisateurs sont également invités à s’abonner aux avis de sécurité de QNAP pour obtenir des informations pertinentes, précises et complètes avant les rapports de médias.

Qu’est-ce que le principe 3-2-1 ?

Le principe de sauvegarde 3-2-1 est un principe de sauvegarde bien connu dans le secteur de l’informatique. Il permet de se préparer au pire scénario. Il garantit qu’en cas de désastre, la présence de fichiers de sauvegarde pour restaurer les données afin d’éviter les pertes et d’assurer la sécurité.
« 3 » dans Sauvegarde 3-2-1 signifie au moins trois copies de sauvegarde ; « 2 » signifie au moins deux supports de stockage et « 1 » signifie qu’au moins une copie est une sauvegarde hors site. Sur la base du principe de sauvegarde 3-2-1, il y aura des fichiers de sauvegarde pouvant être restaurés peu importe la modification accidentelle, la suppression, les dommages matériels, l’infection de virus et les sinistres tels que les incendies et les inondations.
Pour satisfaire ce principe, le NAS QNAP comprend Hybrid Backup Sync 3 (HBS3), Snapshot Replica et SnapSync (pris uniquement en charge par QuTS hero) pour sauvegarder les données sur le NAS vers un NAS hors site, un cloud public, un stockage externe, d’autres serveurs de fichiers et/ou d’autres appareils afin de s’assurer que rien n’est perdu.

NAS

Réseau

Surveillance