Sécuriser son réseau et son NAS : mes bonnes pratiques

Vous êtes nombreux à m’avoir demandé des conseils pour sécuriser votre réseau domestique et votre NAS. Ces sujets ont déjà été abordés à plusieurs reprises sur Cachem et sur le Forum de NAS. Aujourd’hui, je vous propose de partager les solutions que j’ai mises en place chez moi, tout en faisant le lien avec les articles que j’ai publiés par le passé. Je ne prétends pas détenir la vérité absolue, bien au contraire… et je suis sûr que vos commentaires seront sans aucun doute enrichissants pour tous.

Internet

Depuis plusieurs années, je suis sur une offre Fibre de Bouygues Telecom. J’utilise la Bbox uniquement comme modem. Le Wi-Fi de la box est désactivé et je n’utilise pas le boîtier TV Android, dont la qualité laisse à désirer. Derrière la Bbox, j’ai installé un routeur UniFi et un point d’accès Wi-Fi de la même marque. Le choix du fabricant est secondaire ici, mais je sais que certains d’entre vous se poseront la question.

Sécurisation de la box

Voici quelques mesures que je prends avec ma box Internet :

  1. Fermeture des ports inutiles : aucun port (non nécessaire) n’est ouvert ;
  2. Désactivation de l’UPnP : activé par défaut sur la plupart des box, il faut absolument le désactiver (Orange l’impose pour sa TV) ;
  3. Activation du pare-feu : si votre box le permet, assurez-vous qu’il soit activé ;
  4. Blocage IP automatique : si disponible, activez cette fonction en configurant par exemple un blocage après 10 tentatives échouées en moins de 5 minutes (ce conseil est également valable pour un NAS) ;
  5. Surveillance avec IPS/IDS : activez un système de prévention des intrusions (IPS) ou de détection des intrusions (IDS) si votre équipement le permet.

Stop UPnP UPnP : un ami qui vous veut du bien… ou pas !

Malheureusement, la plupart des box ne proposent que des fonctionnalités limitées. Il est donc possible que les options 4 et 5 ne soient pas disponibles sur votre matériel.

Réseaux Wi-Fi

J’ai configuré 3 réseaux Wi-Fi distincts chez moi avec 3 noms (SSID) différents:

  1. Principal : Accès complet au réseau
  2. Invité : Accès limité à Internet uniquement
  3. Objets connectés : Accès très restreint

Détails des réseaux

Derrière chaque SSID, il y a un réseau différent (VLAN) :

  • Réseau principal : les bandes de fréquence 2,4 GHz et 5 GHz sont utilisées. J’y connecte les appareils de confiance comme les téléphones, tablettes, ordinateurs, mais aussi la TV, l’ampli, le NAS, l’imprimante, etc. Tous ces appareils communiquent librement entre eux.
  • Réseau invité : Celui-ci est pour les amis et la famille, s’ils en ont besoin. Il est totalement isolé du réseau principal : les invités n’ont accès qu’à Internet. Je l’utilise également lorsque je suis en télétravail à la maison. Je n’ai pas envie qu’un administrateur réseau du travail puisse scanner tranquillement l’intégralité de mon réseau.
  • Réseau pour objets connectés : Ce réseau regroupe des appareils comme une caméra IP, une alarme, une station météo, un robot aspirateur ou encore une guirlande de Noël. Seule la bande 2,4 GHz est utilisée ici. Ces dernier fonctionnent généralement mieux sur cette fréquence. La sécurité est maximale pour ce réseau.

Pour aller encore plus loin, vous pouvez masquer le SSID… Mais cela ne sert à rien pour un utilisateur sous Linux. Il pourra sans problème le détecter. Si vous souhaitez une isolation totale, certains recommandent d’avoir un second routeur (voire un troisième) pour isoler physiquement les réseaux. Dernière précaution, j’évite le matériel sans nom (ou peu connu) comme on peut en voir beaucoup sur AliExpress. Je préfère attendre et m’offrir un matériel de qualité qui durera plus longtemps avec des mises à jour régulières.

NAS

Un NAS ne doit jamais être placé dans une DMZ (zone démilitarisée). Certains le font pour simplifier l’accès au NAS depuis Internet, mais c’est une très mauvaise idée. Cela expose directement le NAS à toutes les menaces extérieures, sans aucune protection. La box ne filtre rien et laisse passer sur la DMZ.

PAS de NAS en DMZ PAS de NAS en DMZ

Quelques conseils pour sécuriser un NAS :

  1. Mises à jour régulières : système et applications ;
  2. Antivirus : effectuez un scan hebdomadaire complet ;
  3. Gestion des mots de passe : des mots de passe forts pour tous les utilisateurs ;
  4. Désactivation des services inutiles : par exemple désactiver le SSH et activez-le temporairement si nécessaire ;
  5. Changement des ports par défaut : ce conseil vaut pour tous les appareils exposés sur Internet ;
  6. Activation du pare-feu : configurez-le pour limiter les connexions ;
  7. Protocoles sécurisés : privilégiez les protocoles sécurisés comme HTTPS, FTPS, SFTP… ;
  8. Accès depuis l’extérieur : limitez-les au strict nécessaire ;
  9. Double authentification (2FA) : une couche de sécurité supplémentaire.
  10. Surveillance des journaux : analysez-les régulièrement et configurez des alertes automatiques en cas d’activité suspecte.

Conseils sécurité NAS 10 (autres) conseils de sécurité pour votre NAS

Droits et accès

Sur le NAS, il y a plusieurs dossiers partagés. Tous les utilisateurs n’ont pas le mêmes niveau d’accès. Par exemple, mes enfants n’ont pas accès à mes documents personnels (fiches de paie, déclaration d’impôts, etc.). La gestion des droits est essentielle. Chaque utilisateur ou groupe d’utilisateurs doit avoir des droits strictement définis. Cette règle s’applique également à l’utilisation des applications.

Aucun accès direct depuis Internet

Pour continuer sur ma configuration personnelle, mon NAS n’est pas accessible depuis l’extérieur… enfin, pas directement. Tous les services que j’utilise, notamment ceux avec Docker, sont accessibles uniquement depuis mon réseau domestique. Pour y accéder à distance, j’utilise une protection supplémentaire : un VPN.

VPN

Pour accéder à mon réseau domestique et donc à mon NAS, j’utilise un serveur VPN installé chez moi. Je ne parle pas de solutions commerciales comme NordVPN ou ProtonVPN, non ! J’utilise WireGuard, que je trouve plus rapide et plus léger qu’OpenVPN. WireGuard est configuré pour utiliser un port personnalisé, différent du port par défaut.

La connexion est simple et rapide : un clic suffit pour activer une connexion sécurisée en moins de 2 secondes. J’ai également restreint les accès via ce VPN : seuls mon NAS et un Raspberry Pi sont accessibles. C’est tout.

Sécurité adaptée à vos besoins

La sécurité de votre réseau et de votre NAS repose sur la combinaison de bonnes pratiques. Chaque étape de configuration doit être réalisée avec précaution afin de limiter les risques et réduire l’impact des éventuelles menaces. Certes, ces recommandations demandent un peu de temps à mettre en place, mais elles permettent de bâtir une infrastructure fiable, durable et adaptée à vos besoins.

Comme mentionné précédemment, les solutions présentées ici reflètent ce que j’applique à titre personnel. Je ne suis pas expert en sécurité, mais j’espère que ces conseils pragmatiques et accessibles pourront vous être utiles.

Et vous, comment faites-vous ? N’hésitez pas à partager vos bonnes pratiques et astuces en commentaire ! Vos retours pourront bénéficier à toute la communauté…

  1. Salut à tous,

    Merci FX pour cette petite récap…
    Concernant WireGuard, les dernières versions de DSM (Synology) ont-elles enfin une version de kernel permettant son installation ?

  2. De mon côté je suis dans cette configuration :

    – Routeur du FAI utilisé comme modem (IP passthrough)
    – Firewall
    – IPS/IDS
    – WiFi avec plusieurs SSIDs et VLANs (Main, IoT, …)
    – NAS Syno avec pas mal de self-host en Docker derrière un reverse proxy + filtrage IP
    – VPN constant sur mon smartphone pour répondre au filtrage IP pour accéder à mes services

  3. Salut Fx,

    Merci pour ce rappel des fondamentaux. Personnellement, je veille également à ce que seules les fonctions et applications utilisées soient installées (NAS / Ordinateurs).

    Sur les Pc hôtes de Windows (10 & 11) et afin de rester à jour pour un maximum d’applications en une seule manipulation je m’appuie sur l’outil WINGET que j’utilise une a deux fois par semaine.

    Au sujet des droits et accès notamment sur les partages du NAS (J’ai un Syno sous DSM7)…. j’ai bien saisi l’intérêt et j’ai personnellement essayé mais…. J’ai été en difficulté car j’ai attribué les autorisations Dossier par dossier depuis l’explorateur de fichiers. J’ai également vu qu’il était possible de configurer ce genre de choses depuis SynologyDrive. et je ne te cache pas que je suis un peu perdu pour identifier très clairement les droits sur mon arborescence. Sais tu si des explications claires sur le moyen de gérer tout cela existe sur Cachem ou le forum ? : je n’ai rien trouvé. Une application dédiée existe peut être ?

    Merci Fx !

  4. Bonjour Fx,

    Merci pour cet article, un rappel sécurité fait toujours du bien.

    Et je n’avais pas du tout pensé au principe du réseau wifi invité pour le télétravail, je m’en occupe dès ce week end.

    Bonne fin de semaine à tous.

    Patrick

  5. Bonjour FX.
    C’est un excellent article. J’ai aussi particulièrement apprécié le point sur l’UPnP et le réseau Wifi Invité pour le télétravail.
    J’ajouterai aussi un point qui n’a pas été mentionné : le changement du client DNS au niveau du switch. Personnellement, j’ai pris un abonnement chez NextDNS: https://nextdns.io/?from=ntqdw8xg... (lien affilié). Cela permet de rajouter une couche de sécurité (DNS-over-TLS/QUIC) & de confidentialité tout en bloquant un maximum certaines publicités ou télémétrie. Cela peut aussi faire office de filtrage pour les enfants comme tu les mentionnes dans ton article.

    J’ai un Raspberry Pi avec Home-Assistant dessus, tu le mets sur le réseau IoT aussi ? Ou les objets IoT peuvent communiquer avec le réseau principal ?

    Bonne fêtes de fin d’année et au plaisir de continuer à lire davantage sur ton setup.

  6. ouvrir le 80+443 derriere un routeur / firewall blindé
    reverse proxy
    n’autoriser que les @ip Fr
    bloquer au bout de x tentatives / @ip sur 30 minutes

    ndd.synology.me + lets encrypt
    n’autoriser que le https et rediriger http vers https

  7. Bonjour,

    Bien vu pour le télétravail, je n’y avais pas pensé.

    Sinon, je bloque les IP hors France, certes c’est facilement contournable, mais cela élimine pas mal de tentatives.
    Et pour les essais de connexion au nas, au bout de 3 tentavives infructueuses sur 60 minutes, je bloque pour 24h par défaut.
    Enfin le user admin d’origine est systématiquement désactivé (supprimé quand c’est possible),
    Et je n’utilise mon compte admin perso que pour des taches admin. Comptes utilisateurs pour tous, y compris moi en utilisation quotidienne.

  8. Merci beaucoup pour l’article et les commentaires toujours aussi instructifs.
    J’ai une question relative à la segmentation de sous réseau (VLAN):
    – famille
    – IoT
    – invités

    Si vous mettez la sécurité (alarme, caméra de surveillance, …) ainsi que les objets connectés de la maison type prises wifi matter, HomeKit ou autres , HomeAssistant … comment suivre les détections des caméras de surveillance ? Via l’extérieur du réseau ?si la NAS qui est sur le réseau famille afin de visionner des films / documentaires….
    Si l’on active surveillance Station et les caméras Wifi et filaire comment les configurer pour avoir cela sur le sous réseau IoT ?

    Merci

    1. Salut,

      2 solutions selon moi:
      – Activer le multicast DNS (mDNS) entre les réseaux: ça peut passer pour un certain nombre de périphériques, mais je ne suis pas hyper fan.
      – Installer une instance de HASS dans le second réseau et l’associer au HASS principal avec « Remote Home-Assistant » et en ouvrant les ports uniquement entre les HASS.
      J’ai utilisé cette fonction de mon côté et ça fonctionne très bien.

  9. J’utilise la borne de Vidéotron (fournisseur au Québec) en mode pont, comme un modem, pas de Wi-Fi. J’ai un routeur ASUS récent qui comprend un outil d’analyse de la sécurité, UPnP désactivé, bloquage de malware, etc. Un serveur VPN WireGuard sur le routeur me donne accès au NAS qui est configuré en local. Réseau invité pour les amies de ma fille. Bloquage publicitaire aussi à partir du routeur, options familles pour gérer le temps et limitations pour les appareils connectés. Active Insight m’envoie des notifications du NAS, 2FA activé, blocage 5 tentatives en 5 minutes, etc. Donc sa ressemble à ta configuration.

  10. Hello FX et La Team,

    En tout premier lieu Excellente Année 2025 pleine de Promesses de Belles Aventures et de Magnifiques Projets 🙂

    J’ai une config à peu près similaire.
    Ma Box : FREE Box (depuis…) avec @IP Publique en less-stack ce qui est suffisant ds la majeure partie des configs sauf cas bien spécifiques qui imposent port précis

    Mon BackBone est représenté par l’@ derrière la Box : 192.168.X.X
    Free ne permet pas de modification genre 172.16.X.x

    Ensuite deux Routeurs :
    Linksys
    TP-Link
    Tous deux craqués en LEDE. Fonctionnent très bien

    J’ai donc deux VLANs distinct genre 10.1.X.X et 10.2.X.X qui ne se voient pas bien sûr

    Enfin un Wireguard sur le BackBone 192.168

    La Box est configurée pour nater vers la Framboise Wireguard

    Je travaille actuellement sur une autre Framboise pour du HAProxy et compte installer peut être un petit Proxy Genre PrivProxy sur Framboise

    Et bien entendu mon HAMaison sur un Pi4 planqué ds un des deux VPS.

    Voilà

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.