Vous êtes nombreux à m’avoir demandé des conseils pour sécuriser votre réseau domestique et votre NAS. Ces sujets ont déjà été abordés à plusieurs reprises sur Cachem et sur le Forum de NAS. Aujourd’hui, je vous propose de partager les solutions que j’ai mises en place chez moi, tout en faisant le lien avec les articles que j’ai publiés par le passé. Je ne prétends pas détenir la vérité absolue, bien au contraire… et je suis sûr que vos commentaires seront sans aucun doute enrichissants pour tous.
Internet
Depuis plusieurs années, je suis sur une offre Fibre de Bouygues Telecom. J’utilise la Bbox uniquement comme modem. Le Wi-Fi de la box est désactivé et je n’utilise pas le boîtier TV Android, dont la qualité laisse à désirer. Derrière la Bbox, j’ai installé un routeur UniFi et un point d’accès Wi-Fi de la même marque. Le choix du fabricant est secondaire ici, mais je sais que certains d’entre vous se poseront la question.
Sécurisation de la box
Voici quelques mesures que je prends avec ma box Internet :
- Fermeture des ports inutiles : aucun port (non nécessaire) n’est ouvert ;
- Désactivation de l’UPnP : activé par défaut sur la plupart des box, il faut absolument le désactiver (Orange l’impose pour sa TV) ;
- Activation du pare-feu : si votre box le permet, assurez-vous qu’il soit activé ;
- Blocage IP automatique : si disponible, activez cette fonction en configurant par exemple un blocage après 10 tentatives échouées en moins de 5 minutes (ce conseil est également valable pour un NAS) ;
- Surveillance avec IPS/IDS : activez un système de prévention des intrusions (IPS) ou de détection des intrusions (IDS) si votre équipement le permet.
UPnP : un ami qui vous veut du bien… ou pas !
Malheureusement, la plupart des box ne proposent que des fonctionnalités limitées. Il est donc possible que les options 4 et 5 ne soient pas disponibles sur votre matériel.
Réseaux Wi-Fi
J’ai configuré 3 réseaux Wi-Fi distincts chez moi avec 3 noms (SSID) différents:
- Principal : Accès complet au réseau
- Invité : Accès limité à Internet uniquement
- Objets connectés : Accès très restreint
Détails des réseaux
Derrière chaque SSID, il y a un réseau différent (VLAN) :
- Réseau principal : les bandes de fréquence 2,4 GHz et 5 GHz sont utilisées. J’y connecte les appareils de confiance comme les téléphones, tablettes, ordinateurs, mais aussi la TV, l’ampli, le NAS, l’imprimante, etc. Tous ces appareils communiquent librement entre eux.
- Réseau invité : Celui-ci est pour les amis et la famille, s’ils en ont besoin. Il est totalement isolé du réseau principal : les invités n’ont accès qu’à Internet. Je l’utilise également lorsque je suis en télétravail à la maison. Je n’ai pas envie qu’un administrateur réseau du travail puisse scanner tranquillement l’intégralité de mon réseau.
- Réseau pour objets connectés : Ce réseau regroupe des appareils comme une caméra IP, une alarme, une station météo, un robot aspirateur ou encore une guirlande de Noël. Seule la bande 2,4 GHz est utilisée ici. Ces dernier fonctionnent généralement mieux sur cette fréquence. La sécurité est maximale pour ce réseau.
Pour aller encore plus loin, vous pouvez masquer le SSID… Mais cela ne sert à rien pour un utilisateur sous Linux. Il pourra sans problème le détecter. Si vous souhaitez une isolation totale, certains recommandent d’avoir un second routeur (voire un troisième) pour isoler physiquement les réseaux. Dernière précaution, j’évite le matériel sans nom (ou peu connu) comme on peut en voir beaucoup sur AliExpress. Je préfère attendre et m’offrir un matériel de qualité qui durera plus longtemps avec des mises à jour régulières.
NAS
Un NAS ne doit jamais être placé dans une DMZ (zone démilitarisée). Certains le font pour simplifier l’accès au NAS depuis Internet, mais c’est une très mauvaise idée. Cela expose directement le NAS à toutes les menaces extérieures, sans aucune protection. La box ne filtre rien et laisse passer sur la DMZ.
- Mises à jour régulières : système et applications ;
- Antivirus : effectuez un scan hebdomadaire complet ;
- Gestion des mots de passe : des mots de passe forts pour tous les utilisateurs ;
- Désactivation des services inutiles : par exemple désactiver le SSH et activez-le temporairement si nécessaire ;
- Changement des ports par défaut : ce conseil vaut pour tous les appareils exposés sur Internet ;
- Activation du pare-feu : configurez-le pour limiter les connexions ;
- Protocoles sécurisés : privilégiez les protocoles sécurisés comme HTTPS, FTPS, SFTP… ;
- Accès depuis l’extérieur : limitez-les au strict nécessaire ;
- Double authentification (2FA) : une couche de sécurité supplémentaire.
- Surveillance des journaux : analysez-les régulièrement et configurez des alertes automatiques en cas d’activité suspecte.
10 (autres) conseils de sécurité pour votre NAS
Droits et accès
Sur le NAS, il y a plusieurs dossiers partagés. Tous les utilisateurs n’ont pas le mêmes niveau d’accès. Par exemple, mes enfants n’ont pas accès à mes documents personnels (fiches de paie, déclaration d’impôts, etc.). La gestion des droits est essentielle. Chaque utilisateur ou groupe d’utilisateurs doit avoir des droits strictement définis. Cette règle s’applique également à l’utilisation des applications.
Aucun accès direct depuis Internet
Pour continuer sur ma configuration personnelle, mon NAS n’est pas accessible depuis l’extérieur… enfin, pas directement. Tous les services que j’utilise, notamment ceux avec Docker, sont accessibles uniquement depuis mon réseau domestique. Pour y accéder à distance, j’utilise une protection supplémentaire : un VPN.
VPN
Pour accéder à mon réseau domestique et donc à mon NAS, j’utilise un serveur VPN installé chez moi. Je ne parle pas de solutions commerciales comme NordVPN ou ProtonVPN, non ! J’utilise WireGuard, que je trouve plus rapide et plus léger qu’OpenVPN. WireGuard est configuré pour utiliser un port personnalisé, différent du port par défaut.
La connexion est simple et rapide : un clic suffit pour activer une connexion sécurisée en moins de 2 secondes. J’ai également restreint les accès via ce VPN : seuls mon NAS et un Raspberry Pi sont accessibles. C’est tout.
Sécurité adaptée à vos besoins
La sécurité de votre réseau et de votre NAS repose sur la combinaison de bonnes pratiques. Chaque étape de configuration doit être réalisée avec précaution afin de limiter les risques et réduire l’impact des éventuelles menaces. Certes, ces recommandations demandent un peu de temps à mettre en place, mais elles permettent de bâtir une infrastructure fiable, durable et adaptée à vos besoins.
Comme mentionné précédemment, les solutions présentées ici reflètent ce que j’applique à titre personnel. Je ne suis pas expert en sécurité, mais j’espère que ces conseils pragmatiques et accessibles pourront vous être utiles.
Et vous, comment faites-vous ? N’hésitez pas à partager vos bonnes pratiques et astuces en commentaire ! Vos retours pourront bénéficier à toute la communauté…