IT-Connect » Cours - Tutoriels » Administration Systèmes » Stockage » NAS » Protéger son NAS ASUSTOR des attaques brute force avec l’ADM Defender

NAS ASUSTOR - Protection attaque brute force tuto
NAS 

Protéger son NAS ASUSTOR des attaques brute force avec l’ADM Defender

Florian BURNEL 702 Views 1 Commentaire , , 8 min read

I. Présentation

Dans ce tutoriel, nous allons apprendre à protéger un NAS ASUSTOR des attaques brute force en configurant le service "ADM Defender" du système d'exploitation ADM. Grâce à ce service, nous allons pouvoir bloquer les adresses IP malveillantes, voire même bannir complètement l'accès à certains pays.

Un NAS a pour vocation à stocker vos données et à héberger plusieurs services et applications dans le but de répondre à vos besoins. Pour que ce soit encore plus pratique, il n'est pas rare de rendre son NAS accessible sur Internet. Le problème, c'est que l'on s'expose à de potentielles cyberattaques. À ce sujet, la technique la plus connue et la plus basique, c'est probablement le brute force.

Il est indispensable de se protéger de ce type d'attaque puisque si une personne malintentionnée parvient à se connecter à votre NAS, elle pourrait chiffrer vos données avec un ransomware et/ou voler vos données.

En complément de la configuration d'ADM Defender détaillée dans cet article, nous vous recommandons :

  • Utiliser un mot de passe robuste pour le compte Administrateur du NAS et les différents comptes utilisateurs
  • Activer l'authentification à deux facteurs sur les comptes
  • Utiliser des ports personnalisés pour l'accès à l'interface de gestion d'ADM

II. La configuration cible

Nous partons du principe que le NAS est accessible depuis Internet (que ce soit via EZ-Connect ou une règle de redirection de ports). Voici les règles que nous allons définir :

  • Nous allons configurer notre NAS ASUSTOR pour qu'il accepte uniquement les connexions en provenance de la France (vous pouvez choisir le pays de votre choix), tout en refusant tout le reste.
  • Nous allons également autoriser le réseau local à partir de l'adresse réseau.
  • Nous allons bloquer pour une durée indéterminée toutes les adresses IP à l'origine de 5 tentatives en échecs dans un intervalle de temps de 10 minutes.

Toutefois, si une connexion est effectuée depuis la France, l'adresse IP pourra être bloquée malgré tout s'il y a plusieurs tentatives infructueuses (selon les critères définis ci-dessus).

III. Installation du paquet Geo IP Database

Afin de pouvoir effectuer un filtrage par pays, vous devez installer le paquet "Geo IP DataBase" sur votre NAS.

Accédez à l'interface du système ADM, ouvrez le magasin d'applications "App Central" et recherchez l'application "Geo IP DataBase" afin de l'installer.

ASUSTOR - App Geo IP Database

Une fois cette première étape effectuée, passez à la suite.

IV. Configuration d'ADM Defender

A. Accès à l'ADM Defender

Pour accéder à la configuration de l'ADM Defender, il suffit d'accéder à la partie "Réglages" d'ADM. Dans cet article, nous allons nous intéresser à la configuration de la fonction "Défenseur Réseau" qui se décompose en 4 listes :

  • Liste de confiance : liste des adresses IP / réseau qu'il ne faut jamais bloquer, même s'il y a 1 000 tentatives infructueuses.
  • Liste noire auto : liste des adresses IP bloquées à cause d'un nombre trop important de tentatives en échecs dans un laps de temps défini (les adresses IP malveillantes seront répertoriées ici).
  • Liste noire : liste des adresses IP, réseaux, ou pays, que vous souhaitez bloquer de façon statique / manuelle
  • Liste blanche : liste des adresses IP, réseaux, ou pays, que vous souhaitez
ASUSTOR - Présentation ADM Defender

La présentation étant faite, passons à la configuration.

B. Configurer la liste de confiance

Commencez par configurer la liste de confiance, bien que ce ne soit pas obligatoire. Toutes les adresses IP définies ici ne seront jamais bannies. Cette règle fait en quelque sorte effet d'anti-lockout.

Cliquez sur "Liste de confiance" (1), sur le bouton "Ajouter" (2) puis choisissez "Masque de sous-réseau IP" afin d'indiquer l'adresse IP du réseau (3). À la maison, avec votre box, vous devriez avoir le réseau "192.168.1.0/24" ou "192.168.0.0/24".

Dans cet exemple, j'estime que le réseau local de mon domicile est un réseau de confiance donc il sera autorisé. Vous pouvez mettre l'adresse IP de votre PC directement, mais si vous utilisez un serveur DHCP (votre box, par exemple), il y a des chances pour que l'adresse IP ne soit pas toujours la même.

ASUSTOR - ADM Defender - Liste de confiance

Validez avec "OK" quand c'est fait. Pour chaque liste (sauf la liste noire auto qui est dynamique), vous pouvez créer plusieurs règles.

C. Configurer la liste noire automatique : anti-brute force

Passez à la configuration de la liste noire automatique. C'est l'activation de cette liste qui permet de mettre en place l'anti-brute force sur votre NAS ASUSTOR. Sous "Liste noire auto", cochez l'option "Activer Liste Noire Auto" et cliquez sur "Réglages" pour personnaliser les conditions pour qu'une adresse IP soit bannie.

ASUSTOR - ADM Defender - Liste noire auto

Ici, plusieurs options s'offrent à vous :

  • Tentatives de connexion : nombre de tentatives en échec pour qu'une adresse IP soit bannie, à condition que ce soit des tentatives effectuées dans l'intervalle de temps défini pour le paramètre "Période de temps" (en prenant la première tentative en échec comme référence)
  • Bloquer période : pendant combien de temps faut-il bannir une adresse IP ?
  • Services à bloquer : quels sont les services à bloquer pour les adresses IP bannies ? De préférence, cochez tout pour empêcher l'accès complet au NAS.

Voici un exemple de configuration :

ASUSTOR - ADM Defender - Protection brute force

Validez. Le tour est joué !

D. Configurer la liste blanche pour la France

Grâce à l'application "Geo IP Database", nous pouvons créer des règles basées sur les continents et les pays. Ainsi, nous allons ajouter en liste blanche la "France" afin de bloquer les connexions depuis tous les autres pays (tout ce qui n'est pas en liste blanche sera interdit). C'est une restriction intéressante bien qu'elle puisse être contournée à l'aide d'un VPN, ou en utilisant une machine située en France comme rebond. Toutefois, cette méthode est suffisante pour se protéger des attaques massives.

Si vous habitez en France, il n'y a pas de raison que quelqu'un en Chine, aux États-Unis, ou en Russie se connecte à votre NAS. Si vous avez besoin d'accéder à votre NAS lorsque vous partez à l'étranger, en vacances par exemple, vous pouvez ajouter temporairement un autre pays à la liste.

Cliquez sur "Liste Blanche" (1), puis cochez l'option "Activer la liste blanche" (2) avant de cliquer sur "Ajouter" pour créer une règle (3). Choisissez "Filtre pays" (4) puis "France" (5) comme pays (d'ailleurs, il y a un bug puisqu'il y a deux "Continent" dans la liste des paramètres). Validez quand c'est fait.

ASUSTOR - ADM Defender - Liste blanche

Voilà, toutes les personnes localisées en France (via leur adresse IP) pourront accéder à votre NAS. Toutefois, si elles sont à l'origine de trop de tentatives infructueuses, elles seront bannies.

La configuration de l'ADM Defender est terminée !

V. Conclusion

La configuration de l'ADM Defender est une étape importante pour renforcer la sécurité de votre NAS ASUSTOR ! Je vous recommande vivement d'appliquer cette configuration.

Lorsqu'une adresse IP sera bannie, la page ci-dessous sera présentée à l'utilisateur pour l'avertir.

ASUSTOR - ADM Defender - Message bloqué

N'hésitez pas à lire notre dernier test de NAS ASUSTOR :

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5579.Voir tous les posts

Vous pourrez aussi aimer

Création d’un partage sous OpenMediaVault

Mickael Dorigny 5

Utiliser un certificat SSL Let’s Encrypt avec Synology DDNS

Florian BURNEL 3

ASUSTOR AS6004U : Comment installer l’unité d’expansion sur son NAS ?

Florian BURNEL 2

One thought on “Protéger son NAS ASUSTOR des attaques brute force avec l’ADM Defender

  • Bonjour,
    Je possède un serveur NAS de chez ASUS, ce produit a été acheter sur la plateforme d’Amazon, après avoir reçu mon colis j’ai essayer de l’enregistrer je vois le numéro de série a l’arrière du produit avec des chiffres et lettres le serveur ASUS refuse de le prendre ce qui fait que depuis il m’est impossible de pouvoir enregistrer mon produit et de télécharger ADM le téléchargement arrive à 25% et s’arrête de cela depuis le début.
    Message d’erreur : Error 6210 (incompatible), problème avec le Firmware..
    Si quelqu’un pourrait m’aider ?

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.