On ne met pas un NAS en DMZ ! Voici le message que l’on peut lire ici ou sur le forum de plus en plus souvent. Par simplicité, certains mettent en danger leurs données personnelles sans le savoir. Une DMZ (zone démilitarisée) est sous-réseau séparé du réseau local (LAN). A domicile, aucun appareil ne doit être mis en DMZ. En entreprise, elle pourra contenir des services exposés sur Internet avec des règles de sécurité fortes, limitées et elle sera inaccessible depuis et vers le réseau local. Explications…
Pas de NAS en DMZ, jamais
De plus en plus de personnes s’équipent de NAS. Le besoin principal, c’est de centraliser les données du foyer. Au fur et à mesure des découvertes des possibilités d’un NAS, de nouveaux besoins se mettent en place : plateforme multimédia (streaming), serveur web, partage d’imprimante, centre de contrôle domotique, serveur VPN… Naturellement, on souhaite y accéder à distance (via Internet). Et c’est là qu’il faut faire attention. La plus simple, et la plus risquée, c’est de mettre le NAS en DMZ.
Sur votre Box, malheureusement, il n’y a pas de filtrage ou les règles sont très primaires. Quand on met un NAS en DMZ, tous les ports sont ouverts et les pirates se font plaisir : HTTP/HTTPS, SSH, FTP, SMB, etc. C’est open-bar. Alors bien sûr, votre NAS possède un firewall avec ses propres règles. C’est exact, mais c’est l’exposer inutilement et forcément, vous allez en pâtir à un moment : mauvais paramétrage, règle désactivée, faille de sécurité… Mettre en DMZ, c’est la simplicité, car tout fonctionne immédiatement : pas besoin de faire d’ouverture de port et autres redirections. Normal, tous les ports sont ouverts en DMZ, même ce qui n’est pas nécessaire.
C’est comme si vous laissiez les fenêtres de votre maison ouvertes en grand, avec la porte fermée à double tour.
La faute est à partager aussi avec les fournisseurs d’accès à Internet et leur Box. En effet, un NAS en DMZ ne devrait pas être accessible depuis le réseau local (LAN)… mais par défaut, encore une fois, c’est possible : par souci de simplicité nous dit-on. C’est comme l’UPNP de votre Box, il faut le désactiver par défaut.
Le salut vient de la redirection
Si vous n’êtes pas un expert en réseau, prenez quelques minutes pour faire une recherche dans votre moteur de recherche préféré et tapez :
Vous aurez besoin de 2 éléments : l’adresse IP de votre NAS (exemple : 192.168.1.15) et le port redirigé. Prenons quelques exemples de services que vous souhaitez utiliser à distance (en déplacement) avec votre téléphone :
- Plex utilise le port TCP 32400 ;
- DSM de Synology utilise le port TCP 5001 ;
- QTS de QNAP utilise le port TCP 8081 ;
- WireGuard utilise le port UDP 51820 ;
- …
Là encore, si vous ne connaissez pas le port d’un service… faites une recherche dans votre moteur de recherche préféré. Si c’est trop compliqué, faites appel à un ami/un professionnel ou allez sur les forums spécialisés (forum des NAS). Il existe toujours une solution, mais ne mettez jamais votre NAS en DMZ, jamais !
On ne met pas un NAS en DMZ, et c’est vrai pour tout autre appareil (même un Raspberry Pi)… sauf si vous savez ce que vous faites. Certains pourront mettre par exemple un honeypot (un leurre) ou un routeur. Ce sont des cas très précis et réservés aux plus experts.