PAS de NAS en DMZ

On ne met pas un NAS en DMZ ! Voici le message que l’on peut lire ici ou sur le forum de plus en plus souvent. Par simplicité, certains mettent en danger leurs données personnelles sans le savoir. Une DMZ (zone démilitarisée) est sous-réseau séparé du réseau local (LAN). A domicile, aucun appareil ne doit être mis en DMZ. En entreprise, elle pourra contenir des services exposés sur Internet avec des règles de sécurité fortes, limitées et elle sera inaccessible depuis et vers le réseau local. Explications…

nas dmz - PAS de NAS en DMZ

Pas de NAS en DMZ, jamais

De plus en plus de personnes s’équipent de NAS. Le besoin principal, c’est de centraliser les données du foyer. Au fur et à mesure des découvertes des possibilités d’un NAS, de nouveaux besoins se mettent en place : plateforme multimédia (streaming), serveur web, partage d’imprimante, centre de contrôle domotique, serveur VPN… Naturellement, on souhaite y accéder à distance (via Internet). Et c’est là qu’il faut faire attention. La plus simple, et la plus risquée, c’est de mettre le NAS en DMZ.

Sur votre Box, malheureusement, il n’y a pas de filtrage ou les règles sont très primaires. Quand on met un NAS en DMZ, tous les ports sont ouverts et les pirates se font plaisir : HTTP/HTTPS, SSH, FTP, SMB, etc. C’est open-bar. Alors bien sûr, votre NAS possède un firewall avec ses propres règles. C’est exact, mais c’est l’exposer inutilement et forcément, vous allez en pâtir à un moment : mauvais paramétrage, règle désactivée, faille de sécurité… Mettre en DMZ, c’est la simplicité, car tout fonctionne immédiatement : pas besoin de faire d’ouverture de port et autres redirections. Normal, tous les ports sont ouverts en DMZ, même ce qui n’est pas nécessaire.

C’est comme si vous laissiez les fenêtres de votre maison ouvertes en grand, avec la porte fermée à double tour.

La faute est à partager aussi avec les fournisseurs d’accès à Internet et leur Box. En effet, un NAS en DMZ ne devrait pas être accessible depuis le réseau local (LAN)… mais par défaut, encore une fois, c’est possible : par souci de simplicité nous dit-on. C’est comme l’UPNP de votre Box, il faut le désactiver par défaut.

Le salut vient de la redirection

Si vous n’êtes pas un expert en réseau, prenez quelques minutes pour faire une recherche dans votre moteur de recherche préféré et tapez :

Vous aurez besoin de 2 éléments : l’adresse IP de votre NAS (exemple : 192.168.1.15) et le port redirigé. Prenons quelques exemples de services que vous souhaitez utiliser à distance (en déplacement) avec votre téléphone :

  • Plex utilise le port TCP 32400 ;
  • DSM de Synology utilise le port TCP 5001 ;
  • QTS de QNAP utilise le port TCP 8081 ;
  • WireGuard utilise le port UDP 51820 ;

Là encore, si vous ne connaissez pas le port d’un service… faites une recherche dans votre moteur de recherche préféré. Si c’est trop compliqué, faites appel à un ami/un professionnel ou allez sur les forums spécialisés (forum des NAS). Il existe toujours une solution, mais ne mettez jamais votre NAS en DMZ, jamais !

On ne met pas un NAS en DMZ, et c’est vrai pour tout autre appareil (même un Raspberry Pi)… sauf si vous savez ce que vous faites. Certains pourront mettre par exemple un honeypot (un leurre) ou un routeur. Ce sont des cas très précis et réservés aux plus experts.

  1. Salut à tous.

    Je suis d’accord avec toi sur l’aspect configuration et règles à suivre.

    Pourtant, je me suis interdit depuis 2 trimestres d’exposer mon nas et tous les beaux services inclus ou à rajouter au docker.
    Exemple : utiliser les applications de mon qnap et synology depuis un smartphone à l’extérieur de la maison. etc etc…
    Je n’utilise que des services internes, comme adguard le backup de nas à nas etc….

    Pourquoi ?
    Je n’ai vu que trop de clients avoir des essais de pénétrations de leur réseaux comme effectivement arriver sur la nas et tester le dictionnaire de mot de passe. scanner les ports etc…
    on peut atténuer en paramétrant un peu, mais le nas n’est pas là pour çà. il peut avec les années avoir des défauts de système, les arrêts des maj venant du fabricant, les erreurs humaines….

    pour ma part avec mes clients je me dirige vers un bon routeur style draytek avec les bonnes cases à cocher. ensuite si il faut des datas du nas accessibles, il faut configurer un compte cloud, et les pcs et mobiles iront sur le cloud. ou un tunnel vpn vers le draytek.

    Pour l’instant je ne vois que çà par rapport aux risques que l’on prends tous à exposer nos nas sur le net.

    Bon je n’ai pas toutes les clés aux soucis mais un petit rappel la sauvegarde 3-2-1 le web est à vous.

    Longue vie à CACHEM !

  2. Hey, merci beaucoup pour cet article car effectivement c’est dangereux pour les néophytes …
    Dans la même veine, serait-il possible d’avoir quelques conseils pour auto-heberger des services en toute « sécurité » ? Site web, wiki, multimédia, données non sensibles etc etc ? 🙂
    Merci pour votre travail !

  3. Je préfère même devoir me connecter à un petit VPN pour accéder à mes ressources locales, et ouvrir un minimum de choses 🙂

  4. Pour ma part, j’ai vraiment décidé d’ouvrir mon NAS à l’extérieur sans VPN. C’est surtout pour le partage de photos/vidéos avec la famille/amis. Cependant, tout mon réseau est derrière la Dream Machine Pro d’Ubiquiti. Il possède un très bon firewall et j’ai l’impression qu’il fait assez bien son job.
    Bon, j’ai remarqué que je subissais quelques attaques sans grandes importances. Jusqu’à présent, je n’ai jamais eu de problèmes.

    1. j’ai la même configuration, j’ai mis ma BBox Fibre en DMZ pour laisser mon UDM pro gérer le firewall et redirection de ports.

      Vive Unifi 🙂

  5. Bonjour Perso j’ai mis mon routeur en DMZ derriere la box qui me sert a avoir le net fibre oblige aucuns routage dessus elle me sert simplement de modem et aussi la teloche j’ai deux réseaux donc et celui du routeur est sous VPN complet c’est grave docteur ?? 🙂

  6. Pour les Qnap il n’y a pas une erreur ? Dans la doc il y a : Ports par défaut
    Serveur Web : 80 (http) 8081 (https)
    Qts : 8080 (http) et 443 (https)
    Sinon pour éviter les attaques ont peu modifier les ports par défaut

  7. Je me demande pourquoi les fournisseurs de box ont appelé cette option DMZ.

    Une vraie DMZ il est impossible d’entrer et de sortir. Les règles doivent être défini une par une sur le routeur/firewall.

    Chez moi mon NAS est dans une DMZ, une vraie.

  8. Habituellement je trouve le niveau des articles plutôt bon mais cette fois ci je trouve les explications assez mauvaises.

    Le NAT n’est pas une sécurité. C’est un bricolage de fortune conçu pour repousser l’usage d’une technologie trop vielle (IPv4) en attendant l’adoption généralisée de l’IPv6 pour laquelle le NAT n’existe justement pas.

    Il n’y a aucun problème à mettre son NAS en DMZ dès lors qu’on a pris 5 minutes pour configurer correctement le firewall de la box et du NAS.
    D’ailleurs :
    – Si vous avez une box IPv6, il ya fort à parier que votre NAS soit également en IPv6 et donc directement visible sur « internet ».
    – Si vous utilisez les services de connexion à distance de votre fournisseur de NAS (quickconnect pour Synology par exemple), vous autorisez également un accès direct depuis internet à votre NAS.

    Dire que le NAT est une sécurité est un terrible abus de langage.

    1. « Dire que le NAT est une sécurité est un terrible abus de langage. »
      Ou est-il question de NAT dans l’article ? Avec mes lunettes je n’ai vu ce mot ……

    2. C’est dommage d’avoir des aprioris et de faire autant d’amalgame. Critiquer là y’a du monde mais pour rédiger, expliquer clairement et simplement les choses, y’a plus personne.
      Il n’est nul part écrit que le NAT est plus sécurisé dans l’article. Ce que tu fais s’appelle du sophisme, très à la mode en ce moment pour décrédibiliser les gens.
      FX parle d’exposition plus dangereuse en DMZ. L’objectif est de sensibiliser les débutant voire ceux qui se pense f experts.
      Ensuite, la grande majorité (totalité?) des box en France sont toujours en IPv4 pour le LAN, idem par défaut sur les routeurs grand-public.
      Enfin pour terminer, l’IPv6 n’empêche en aucun cas d’avoir une DMZ !!!!!! Par contre, vu la gueule des firewall sur les box, y’en a qui vont pleurer. Tu le vois arriver le problème ?
      Relis l’article, tu comprendras mieux mon message.
      Bisous

  9. Beaucoup de compléments intéressants ont été dis dans les commentaires :
    – utiliser un VPN si possible (mais ce n’est pas pratique pour l’accès familiale au partage de photos)
    – ouvrir uniquement les ports nécessaires et si possibles, changer les ports par défaut (ex: 5001 pour DSM).

    Tant que l’on est sur les recommandations sur l’ouverture du NAS sur Internet :
    – désactiver le compte admin en ayant créer un autre compte avec les droits équivalents
    – ajouter des règles de pare-feu pour bloquer l’accès à certains pays (Chine, USA…) si vous ne faites que du partage avec la famille habitant en France.
    – ouvrir uniquement les services nécessaires et si possible, ne pas exposer DSM ou SSH sur internet, mais ne garder que les applications utiles (partage de fichiers, partage de photos, Surveillance Station…) sur de sports spécifiques.
    – mettre une vraie politique de mot de passe et bloquer les comptes après X tentatives

    1. La réponse courte est « NON ».
      La réponse longue est « NON si le système est évolué et l’utilisateur est expérimenté »; pour les NAS, c’est autre chose.

      Pour le détail : Cela dépend de la méthode de génération des certificats Let’s Encrypt.
      Une des méthodes nécessite effectivement d’ouvrir le port 80 pour les serveurs Let’s encrypt (a priori basé aux USA) et la liste « non officielle » des serveurs était connue il y a quelques temps. Cette méthode n’est plus fonctionnelle avec la multiplication des serveurs.
      Je te conseille de voir : https://community.letsencrypt.org/t/lets-encrypt-server-addresses-for-certificate-renewal/83466

      Une autre solution est de débloquer les USA du filtre le temps de renouveler les certificats. C’est plus ou moins facile en fonction du système.

  10. Bonsoir à vous,
    Pour ma part, j’ai mis un reverseproxy Artica en front-end. Du coup, c’est lui qui est censé prendre en premier. Avec seulement une redirection sur les ports dont j’ai besoin.
    Très utile pour la gestion de plusieurs sites avec des noms de domaine différents.
    Artica est gratuit et gère les certificats let’s encrypt.
    J’utilise l’installation depuis plusieurs années. Une seule machine sous debian s’est fait hacker malgré l’utilisation exclusive du port 443.
    Conseil, surveiller son installation. Pour éviter les problèmes, répliquer les données sur plusieurs serveurs et si possible, sur des serveurs qui ne sont pas sur le même lieu géographique.
    Bon courage a tous.

  11. Salut,
    Je n’arrive par à trouver l’option DMZ dans mon Synology.
    En clair, un néophyte dois changer quoi ?
    Car ok, on ne doit pas mettre en DMZ, mais à aucun moment, il est expliqué où l’enlever.
    Meeeeeeerci.

  12. Bonjour Kyro,
    Je n’ai pas de NAS Synology mais je doute que tu trouves cette option dans DSM.
    La DMZ se paramètre au niveau du routeur ou de la box du FAI.
    Mais si tu possèdes un routeur Synology, l’option doit exister.

  13. Je n’ai jamais compris pourquoi Synology avait choisi le port 5001…
    Cela fait des années que je redirige le port 443 de mon ip publique vers le 5001 pour éviter d’être attaqué apr un malware spécifiquement conçu pour les Synology.

    Le port 80 ne risque rien, puisqu’il ne sert qu’à Let’sEncrypt.

    Au passage, c’est lamentable que l’application Drive et les applis Android Synology considèrent le certificat LetsEncrypt comme non fiable, mais si on utilise le niveau de sécurité intermédiaire ! Cela fait des années que cela dure. Les navigateurs, eux, considèrent le certificat comme fiable.

    Pour bétonner mes accès, j’utilise un routeur PFSense avec PFBlocker et des listes noires comem SpamHaus + du blocage géographique de tous les pays sauf Union Européenne, Canada et USA.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.