HELP sécurisation NAS HELP

[koblar]

Bonjour,

Bien qu'ayant lu pas mal de contenu j'avoue atteindre mes limites et me retrouve bloqué dans la mise en service de mon nouveau NAS (DS723+).

J'ai bien entendu déjà appliqué plusieurs conseils partagés sur ce forum (désactivation du compte "admin", pas d'utilisation de Quick connect, ...) mais  avant de transférer du contenu sur ce NAS j'aimerais être sûr d'avoir mis toutes les chances de mon côté concernant la sécurité.

Quelques questions type "le NAS pour les nuls" mais j'assume ...🙂

• Faut-il obligatoirement activer (et paramétrer of course) le pare-feu?
• L'utilisation en "reverse proxy" est-elle recommandée ?
• Qu'est ce qui le mieux: Reverse proxy ou VPN?

 Bref, si quelqu'un peut m'éclairer sur les fondamentaux de la sécurisation ce serait fortement apprécié. Merci par avance aux spécialistes pédagogues et patients 😀

[StéphanH]

Bonsoir,

As-tu lu ce tutoriel ?

À consommer sans modération …

[PiwiLAbruti]

il y a 42 minutes, koblar a dit :

Faut-il obligatoirement activer (et paramétrer of course) le pare-feu?

Si le NAS est accessible de l'extérieur, c'est vital.

il y a 43 minutes, koblar a dit :

L'utilisation en "reverse proxy" est-elle recommandée ?

Oui. Le reverse proxy permet notamment de définir des profils d'accès pour restreindre l'accès à certains services.

il y a 44 minutes, koblar a dit :

Qu'est ce qui le mieux: Reverse proxy ou VPN?

Les deux n'ont rien à voir.

[koblar]

Le 13/04/2025 à 9:18 PM, StéphanH a dit :

Bonsoir,

As-tu lu ce tutoriel ?

À consommer sans modération …

Bonsoir @StéphanH Oui bien sûr mais j'avoue que ce n'est pas évident pour un débutant même plein de bonne volonté. On peut dire ce que l'on mais administrer un NAS correctement reste complexe pour le commun des mortels.  J'ai déjà appliqué pas mal de consignes provenant de ce tutoriel (qui reste ouvert su mon PC pour que je puisse m'y replonger dés que j'ai un peu de temps).
Merci quand même pour ta réponse et pour le lien 👍

 

Le 13/04/2025 à 9:36 PM, PiwiLAbruti a dit :

Si le NAS est accessible de l'extérieur, c'est vital.

Oui. Le reverse proxy permet notamment de définir des profils d'accès pour restreindre l'accès à certains services.

Les deux n'ont rien à voir.

 Bonsoir @PiwiLAbruti: Merci pour ta réponse. Bon je mets à jour ma réponse pour t'éviter de te faire perdre du temps à m'expliquer plus en détails: J'ai posé la question à ChatGPT (cf. ci-dessous). J'espère que tu valides les conseils de l'IA 😉 

 

Très bonne question ! Quand tu sécurises un NAS Synology (ou tout autre service exposé sur Internet), il est important de comprendre les rôles respectifs du pare-feu, du reverse proxy et du VPN, car ils jouent chacun un rôle différent mais complémentaire. Voici une explication simple et comparative :

---

🔥 1. Pare-feu (Firewall)

But : Filtrer les connexions réseau entrantes et sortantes.

Fonction :

• Le pare-feu décide qui peut accéder à ton NAS (par IP, port, protocole...).

• Tu peux, par exemple, bloquer tout sauf certaines adresses IP ou certains pays.

• Il agit au niveau du réseau.

Exemple :

Bloquer toutes les connexions sauf celles venant de ton IP personnelle ou autoriser seulement les ports 443 (HTTPS) et 5000 (DSM).

Avantage :

✅ Contrôle de base d'accès
✅ Première ligne de défense
✅ Très léger en ressources

---

🔄 2. Reverse Proxy

But : Rediriger les requêtes entrantes vers différents services internes, souvent en sécurisant et en simplifiant l'accès.

Fonction :

• Tu accèdes à plusieurs services via un seul point d’entrée (domaine).

• Permet de cacher l'architecture interne (ex: nextcloud.tonnas.com → service interne sur port 8080).

• Peut forcer l’utilisation de HTTPS et ajouter des couches de sécurité.

Exemple :

Une seule URL https://photos.mondomaine.com redirige vers le service Photos sur ton NAS, sans exposer le port réel.

Avantage :

✅ Sécurise avec SSL (Let's Encrypt possible directement dans DSM)
✅ Simplifie les accès (noms de domaine personnalisés)
✅ Ajoute un filtrage intelligent des requêtes

---

🛡️ 3. VPN (Virtual Private Network)

But : Créer un tunnel sécurisé entre ton appareil et ton réseau local, comme si tu étais "chez toi".

Fonction :

• Quand tu te connectes au VPN, tu es virtuellement sur ton réseau local.

• Tu n’as pas besoin d’ouvrir de ports pour tes services : tout passe par le VPN.

• Chiffre entièrement la communication.

Exemple :

Tu es à l'extérieur, tu te connectes au VPN de ton NAS, puis tu accèdes à DSM ou à d'autres services comme si tu étais à la maison.

Avantage :

✅ Chiffrement fort
✅ Pas d'exposition directe des services
✅ Accès global au réseau interne

---

🧩 En résumé :

Élément	Rôle principal	Expose le NAS ?	Sécurité renforcée	Usage idéal
Pare-feu	Filtrer les connexions	Oui (contrôlé)	Moyenne	Limiter les IP/ports autorisés
Reverse Proxy	Centraliser et rediriger	Oui (masqué)	Haute	Accès sécurisé via des domaines
VPN	Tunnel chiffré privé	Non	Très haute	Accès personnel sans exposition web

---

👉 Conseil pour sécuriser ton NAS Synology :

• Active le pare-feu et limite les IP/ports au strict nécessaire.

• Utilise le VPN pour accéder à DSM si tu es le seul utilisateur.

• Si tu as besoin d'accéder à plusieurs services depuis l’extérieur, ajoute un reverse proxy avec HTTPS + authentification.

Modifié lundi à 20:15 par koblar
Modification de la réponse

[PiwiLAbruti]

Il y a 10 heures, koblar a dit :

J'espère que tu valides les conseils de l'IA 😉 

Bah non justement. Un pare-feu se situe en amont d'un VPN et/ou d'un reverse proxy. De ce fait, il est plus efficace que ces derniers puisqu'il peut en limiter l'accès.