Meilleures pratiques pour sécuriser votre connexion de stockage

En tant que monteur vidéo ou autre professionnel de la post-production, vous ne pourriez probablement pas fonctionner sans votre périphérique de stockage connecté. C'est précisément pour cette raison qu'il est si important de sécuriser votre connexion de stockage..

Après tout, les dispositifs de stockage connectés tels que le stockage en réseau (NAS) sont considérés comme des cibles particulièrement juteuses par les cybercriminels. En effet :

• Ils contiennent souvent des données de grande valeur (professionnelle et commerciale), ce qui motive davantage les victimes à payer une rançon.
• Souvent, ils ne sont pas sauvegardés.
• Ils sont généralement plus faciles à compromettre qu'un serveur gérés par le service informatique.

Il existe de nombreux types de stockage numérique connecté, qu'il s'agisse de stockage en nuage (comme Amazon S3, Azure Blob Storage et Google Cloud Storage), de stockage en ligne (comme Amazon S3, Azure Blob Storage et Google Cloud Storage) ou de stockage en ligne (comme Google Cloud Storage). réseaux de stockage (SAN) et des dispositifs de stockage en réseau (NAS) sur site.

Cet article se concentre sur un Connexion au stockage NAS derrière un routeur de réseau de bureau/domicile accessible depuis l'extérieur du réseau de bureau/domicile. Mais la plupart de ces points relatifs à la sécurisation de votre connexion de stockage peuvent s'appliquer à n'importe quel stockage connecté sur site.

• Le paysage des menaces de Storage Connection
  • Les dangers de laisser les ports ouverts
• Comment sécuriser votre connexion de stockage
  • Assurez la sécurité de votre réseau
  • Désactiver le compte administrateur de votre périphérique de stockage
  • Activer le blocage de l'IP et du nom d'utilisateur
  • Utiliser 2FA ou MFA adaptatif
  • Activez le pare-feu et la protection DoS de votre NAS
  • Sécurisez vos ports
  • Utiliser un VPN
  • Modifier le numéro de port par défaut
• Collecte de données sans ouvrir de ports avec MASV Centralized Ingest

Le paysage des menaces de Storage Connection

Chercheur en sécurité Jacob Holcomb dispositifs NAS audités de 10 fabricants différents en 2014. Résultat ? Tous contenaient des vulnérabilités potentiellement dévastatrices.

Si la sécurité du stockage connecté s'est incontestablement améliorée depuis, les dispositifs de stockage connectés continuent de subir des attaques généralisées :

• Les périphériques NAS de Synology ont fait l'objet d'attaques en 2021 et au cours de l'année écoulée.
• Les appareils QNAP ont été visés par l'attaque du ransomware Qlocker en 2021.
• Western Digital NAS ont été attaqués par une vulnérabilité d'exécution de code à distance en 2021.
• Plus récemment, il a été rapporté en avril que près de 100 000 NAS de D-Link contiennent une vulnérabilité de porte dérobée.

Les dangers de laisser les ports ouverts

Les pirates n'ont pas nécessairement besoin d'exploiter une faille pour pénétrer dans votre système ou votre compte de stockage si vous ne prenez pas les bonnes précautions.

Ouverture ou transfert de ports sur votre routeur pour permettre l'accès à distance au stockage connecté peut présenter un risque important, par exemple.

Attaques par botnet sur Périphériques de stockage NAS sont très courants. Et si ces botnets trouvent un port ouvert utilisé par votre NAS ou un autre système de stockage connecté, ils essaieront presque certainement d'entrer par force brute pour voler vos identifiants d'administrateur (et ensuite voler ou crypter vos données pour obtenir une rançon).

Et si vous laissez un port ouvert alors que vous utilisez le compte "admin" par défaut de votre périphérique de stockage, il est beaucoup plus facile pour les pirates de mener à bien une attaque par force brute puisqu'ils n'ont pas besoin de deviner le nom d'utilisateur de votre compte (nous y reviendrons).

Les experts en stockage connecté affirment qu'il y a eu une augmentation notable de ce type d'attaques sur les périphériques NAS au cours des dernières années. C'est pourquoi il est impératif de vérifier et de mettre à jour la sécurité de votre NAS au moins une fois par an.

Comment sécuriser votre connexion de stockage

Outre les mesures de cybersécurité habituelles, telles que l'utilisation de mots de passe complexes (les phrases de passe sont préférables) et la mise à jour des systèmes, que pouvez-vous faire d'autre pour sécuriser votre connexion de stockage et vos données personnelles ? Protégez vos téléchargements de fichiers?

Après tout, la sécurisation et la maintenance de votre propre appareil connecté impliquent beaucoup plus de responsabilités qu'une connexion à Google Cloud Storage, par exemple.

Avant de faire quoi que ce soit d'autre, vous devriez :

• Configurez votre périphérique de stockage pour qu'il utilise une connexion HTTPS, qui crypte le trafic réseau entre lui et d'autres périphériques.
• Assurez-vous qu'un certificat SSL/TSL valide est installé (vous pouvez généralement obtenir et installer un certificat via l'interface d'administration de l'appareil).
• Mettez en place un stockage de sauvegarde, juste au cas où quelque chose de grave arriverait à vos données.

Voici une liste d'autres mesures que vous pouvez prendre pour verrouiller votre connexion de stockage dans le cadre de vos meilleures pratiques de gestion des données.

Assurez la sécurité de votre réseau

Commençons par l'essentiel : Garder votre réseau domestique ou professionnel sécurisé est impératif, car c'est probablement là que se trouve votre stockage connecté. Veillez à ce que votre routeur, votre pare-feu et vos autres périphériques réseau soient toujours relativement récents, à jour et configurés avec des mots de passe récents.

Pour sécuriser votre routeur, commencez par trouver l'adresse IP de votre routeur. Tapez-la dans la barre d'adresse de votre navigateur. À partir de là, vous pouvez vous connecter à votre routeur et ajouter toutes sortes de configurations de sécurité utiles, telles que :

• Désactivation WPS.
• Activation des connexions HTTPS.
• Désactivation de l'accès à distance.
• Activation du cryptage WPA2.
• Mise à jour du micrologiciel.
• Activation de la journalisation au cas où quelque chose se produirait.

Vous pouvez également mettre à jour votre mot de passe (et changer le nom d'utilisateur actuel de votre routeur par rapport au nom par défaut "admin") pendant que vous êtes connecté.

En parlant de changement de nom d'utilisateur...

Désactiver le compte administrateur de votre périphérique de stockage

La plupart des périphériques de stockage connectés utilisent par défaut le nom d'utilisateur "admin". Vous devez changer ce nom immédiatement. En effet, les pirates informatiques savent que le nom d'utilisateur par défaut est souvent "admin" et tentent d'en tirer parti par des attaques par force brute.

Voir cette vidéo pour un exemple de ce qui peut se produire lorsqu'un utilisateur de Synology NAS laisse les ports 5000 ou 5001 ouverts : Des milliers de tentatives de connexion de la part d'entités inconnues dans un court laps de temps, toutes utilisant le nom d'utilisateur "admin".

Pour désactiver le compte d'administrateur, il suffit de créer un nouveau compte avec des privilèges d'administrateur qui ne s'appelle pas admin. Ensuite, désactivez le compte d'administration original. Cela permettra d'éviter un grand nombre d'attaques par force brute.

Activer le blocage de l'IP et du nom d'utilisateur

De nombreux périphériques de stockage connectés, tels que ceux de Synology ou QNAP, sont dotés d'une fonctionnalité de blocage automatique qui bloque une IP spécifique si le NAS détecte un trop grand nombre de tentatives de connexion infructueuses en même temps.

La plupart des appareils permettent également de personnaliser les règles de blocage automatique. Par exemple, vous pouvez le configurer pour qu'il bloque une adresse IP après 10 tentatives infructueuses en l'espace de cinq minutes.

💡 Note: Pour vous assurer que vous ne vous enfermez pas accidentellement dans votre propre NAS, vous pouvez configurer le blocage automatique pour débloquer une adresse IP après un laps de temps spécifique.

Les périphériques NAS de Synology et QNAP offrent également une fonctionnalité de protection des comptes pour surveiller (et éventuellement bloquer) les tentatives de connexion répétées à partir du même nom d'utilisateur. Les entreprises peuvent également utiliser Fail2BanUn démon de prévention des intrusions qui protège contre les attaques par force brute en bannissant les adresses IP qui génèrent plusieurs tentatives infructueuses.

Le blocage d'un nom d'utilisateur peut être plus efficace pour atténuer les attaques de botnets que le blocage d'adresses IP. En effet, les réseaux de zombies sont capables de faire défiler des milliers d'adresses IP à partir de machines infectées.

Utiliser 2FA ou MFA adaptatif

Il va sans dire que si vous avez la possibilité d'activer l'option à deux facteurs (2FA) ou l'option authentification multifactorielle (MFA) sur votre appareil, vous devriez le faire (cela vaut pour à peu près tout). La plupart des périphériques NAS avec 2FA ou MFA nécessitent une clé USB sécurisée ou une application d'authentification pour générer un code unique lors de la connexion.

Cela signifie que même si un pirate parvient à accéder à votre nom d'utilisateur et à votre mot de passe, il devra également s'introduire dans votre messagerie électronique ou votre téléphone pour accéder à votre espace de stockage connecté. La plupart des pirates ne prendront pas la peine de le faire (à moins qu'ils ne vous aient spécifiquement ciblé).

En effet, l'activation du 2FA peut être particulièrement efficace car de nombreux pirates informatiques se concentrent sur des cibles faciles qui ne nécessitent pas beaucoup de travail pour être pénétrées.

Outre l'activation de la fonction 2FA, certains appareils permettent une authentification multifactorielle adaptative, ce qui signifie que toute personne essayant de se connecter à partir d'une adresse IP inhabituelle sera automatiquement invitée à fournir des informations d'identification supplémentaires. Si vous disposez de cette option, vous devriez également l'activer.

Activer le pare-feu NAS et la protection DoS

Les NAS et autres périphériques de stockage connectés sont souvent équipés de pare-feu intégrés, dont vous devez absolument tirer parti. Mais certains périphériques NAS n'activent pas leur pare-feu de manière proactive. Les utilisateurs doivent le faire manuellement.

Cela dit, c'est toujours une bonne idée de configurer et d'activer le pare-feu de votre NAS.

Si vous êtes un monteur vidéo ou un professionnel de la post-production et que vous ne travaillez qu'avec des collaborateurs situés dans certains pays, vous pouvez également activer le pare-feu. géoblocage pour bloquer toute personne provenant d'une région avec laquelle vous ne travaillez pas. Le géoblocage se fait généralement par pays.

Étant donné que de nombreuses cyberattaques aux États-Unis proviennent de l'étranger, la mise en place d'un géoblocage peut réduire de plusieurs ordres de grandeur le volume des attaques contre votre connexion de stockage.

Tout comme pour la configuration du pare-feu de votre appareil, vous devez également activer manuellement la protection contre les attaques par déni de service (DoS) sur votre appareil.

Sécurisez vos ports

Le balayage des ports pour détecter les ports ouverts est l'équivalent, en matière de cybersécurité, du fait de secouer la poignée d'une voiture pour voir si la porte est ouverte : C'est facile à faire, cela se fait tout le temps et peut conduire à un désastre. Un commentateur de Reddit qui surveille les balayages de ports sur son pare-feu a signalé jusqu'à 10 balayages par seconde.

C'est pourquoi il est important de :

• Laissez vos ports fermés sauf en cas d'absolue nécessité. Une pratique de sécurité de base pour les connexions sécurisées consiste à fermer tous les ports dont vous n'avez pas besoin pour la communication avec l'extérieur.
• Faites attention au numéro de port que vous laissez ouvert. Nous avons déjà mentionné les ports 5000 et 5001 ; le port 22 est également populaire auprès des attaquants car il est associé au protocole Secure Shell (SSH) et est un port par défaut pour les connexions à des dispositifs à distance. Cela signifie que, comme la plupart des numéros de port que nous avons déjà mentionnés, il fait l'objet d'un plus grand nombre de tentatives de connexion non autorisées que les numéros de port moins populaires.

Quoi qu'il en soit, garder les ports ouverts ou autoriser le transfert de port (qui permet à des serveurs distants d'accéder à des appareils de votre réseau local privé (LAN), ce qui peut amener des pirates à prendre le contrôle de vos appareils) est intrinsèquement dangereux.

Mais il existe des moyens de connecter votre système de stockage au web sans le faire. En ce qui concerne les périphériques NAS de Synology, certains experts en sécurité recommandent l'utilisation de Connexion rapide au lieu de la méthode de connexion DDNS de l'appareil, puisque QuickConnect ne nécessite pas de transfert de port.

L'inconvénient de QuickConnect est qu'il est considéré comme extrêmement lent lorsqu'il s'agit d'exporter un fichier ou un dossier volumineux vers des collaborateurs ou des clients via l'internet.

Utiliser un VPN

L'un des moyens les plus efficaces de sécuriser vos connexions de stockage consiste à utiliser un réseau privé virtuel (VPN) pour ajouter une couche de cryptage à l'ensemble de votre trafic réseau, ce qui rend beaucoup plus difficile pour les pirates de s'introduire dans votre système.

La plupart des périphériques NAS permettent même aux utilisateurs de mettre en place leur propre serveur VPN.

Le principal inconvénient de l'utilisation d'un VPN, cependant, est qu'il peut être difficile à utiliser lorsque l'on travaille avec des clients ou des partenaires. Vous ne souhaitez probablement pas donner à un client l'accès à votre VPN pour qu'il puisse télécharger un fichier ou un dossier volumineux à partir de votre NAS, par exemple.

Les VPN ne sont pas non plus une panacée en matière de sécurité. Ils ne peuvent pas appliquer les politiques d'authentification ou les autorisations des utilisateurs, et permettent aux utilisateurs distants de se connecter à partir d'appareils corrompus (ce qui expose votre réseau).

Modifier le numéro de port par défaut

La "sécurité par l'obscurité" a mauvaise réputation dans les milieux de la cybersécurité parce qu'elle n'est pas très efficace et qu'elle peut donner un faux sentiment de sécurité. Il ne s'agit certainement pas d'une technique de sécurité autonome solide, mais elle peut avoir une certaine valeur lorsqu'elle est utilisée parallèlement à d'autres mesures de protection plus substantielles et plus efficaces.

C'est pourquoi certains conseillent modification du numéro de port par défaut utilisée par votre système de stockage connecté :

• Un NAS Synology, par exemple, utilise par défaut les ports 5000 (pour les connexions HTTP) et 5001 (pour les connexions HTTPS). C'est pourquoi les pirates qui cherchent à pénétrer dans un NAS reniflent souvent autour de ces ports à la recherche de cibles faciles.
• Si vous le souhaitez, vous pouvez également modifier les numéros de port par défaut de votre routeur pour les connexions HTTP (80), HTTPS (443) et SSH (22). Vous pouvez modifier vos ports en choisissant n'importe quel nombre entre 1 et 65 535.

Le principal inconvénient de la modification des numéros de port est que les utilisateurs doivent être informés des mises à jour, faute de quoi ils ne pourront pas accéder au NAS.

Bien que les attaquants puissent facilement scanner et trouver n'importe quel numéro de port utilisé, ils ne le feront probablement que s'ils vous ont ciblé spécifiquement et ne se contentent pas d'essayer les numéros de port les plus populaires dans le cadre d'une expédition de pêche.