Bonjour à tous,

Grâce à votre aide et à de nombreux tuto sur Internet, j’ai pu mettre en place un reverse proxy Nginx sur mon raspberry, renvoyant vers un site web en local et mon NAS QNAP, via 2 noms de domaine, le tout en HTTPS/TLS 1.3 uniquement et lets’encrypt.

Mon NAS n’étant que peu utilisé et ne se mettant jamais en veille, probablement à cause du firewall installé dessus, j’aimerai le rendre accessible que depuis le raspberry et protéger ce dernier via ufw.

J’ai activé ufw, ainsi que fail2ban sur le Raspberry, mais je ne pense pas que les tentatives erronées de connexion sur le NAS soient détectées par fail2ban du Raspberry.

J’ai aussi testé de mettre une demande de login/mot de passe dans la conf du script Nginx du NAS, mais le problème c’est qu’une fois le login/mot de passe saisie, celui-ci m’a été demandé en boucle lorsque j’ai lancé une application sur le NAS. Je suppose que le mot de passe est demandé à chaque connexion tcp servant à afficher la page. Je l’ai donc provisoirement désactivé.

Mon NAS est aussi sécurisé par la double authentification et a IPv6 d'activé.

Que me conseillez-vous de faire pour améliorer la sécurité du NAS sans avoir besoin du firewall sur celui-ci ?

Mon idée d’utiliser ufw avec fail2ban est-elle bonne ? Comment rendre accessible à fail2ban les refus de connexion du NAS ?

Dois-je ajouter une liste d’adresses IP à bannir d’office ?

Je vous remercie pour toute idée, conseille, tuto que vous pourrez m’apporter.

Bon week-end.

Jérémy

Plus simple et efficace : une liste des IP autorisées à se connecter

En effet, pourquoi ce prendre la tête. Je viens d'autoriser l'accès aux IPv4 et v6 locale et de Wireguard.
Merci pour l'idée.

Plutôt qu'un reverse proxy qui filtre peu, je préfère mettre en place un VPN en entrée du lan, et n'autoriser aucun accès depuis l'extérieur hors vpn. La surface d'attaque du serveur vpn est considérablement réduite par rapport au couple proxy/nas, et la maintenance en est simplifiée d'autant. Certes c'est plus compliqué à configurer sur le client, c'est souvent le dilemme entre simplicité d'utilisation et sécurité 

Le problème c'est que mon NAS héberge un service de streaming comme Plex. Je dois donc empêcher l'accès au NAS sauf à ce service.

Actuellement, le NAS est accessible 3n direct via son IPv6, via le reverse proxy pour les seules IP de mon VPN Wireguard et des adresses IP locales.

Pour le streaming, il est accessible via le reverse proxy et une demande de mot de passe via Nginx et une seconde via l'application de streaming.
J'envisage de ne donner l'accès au streaming qu'aux IP Wireguard et locales, mais cela empêcherait l'accès aux TV hors de chez moi.

Que puis-je faire de plus à ton avis ?

Bonjour,
Personnellement je ferai bien plus simple et sans prise de tete. A partir du moment ou le NAS est derrière le routeur/Box FAI, il n'est pas joignable depuis internet sans une règle NAT.
Je desactiverais IPV6, et resterai en IPV4, pour empecher tout accès direct (mode paranoia ON)
Sur le routeur/box FAI, une simple regle NAT vers le service Plex. Et rien d'autre que le service plex ne sera accessible. Pas besoin de firewall supplémentaire ou de fail2ban...
Dans ce cas de figure, à moins qu'il y ait une faille dans Plex, je ne vois pas comment on pourrait compromettre le NAS.

Pour info les gars, on est en 2022 : ça fait bien longtemps que les RAT (remote admin tool) ou autres joyeusetés initient les connexions depuis l'intérieur de votre réseau vers l'extérieur. Votre NAT n'aura strictement aucun effet.

Et en général, les gens pensent tellement aux connexions entrantes, qu'ils oublient que le sortant est ouvert aux 4 vents

Et en général, les gens pensent tellement aux connexions entrantes, qu'ils oublient que le sortant est ouvert aux 4 vents

Ça n'est pas tout faux, mais à remettre en perspective pour un lan domestique : 1) le RAT a bien du s'installer préalablement à son activation, et 2) il me semble que les vagues récentes de crypto-lockers ciblant les NAS ont exploité des failles de l'OS sur des ports entrants.