Sécurité réseau local familial - Audit et accès à distance

Bonjour,
Nouvellement arrivé sur ce forum, je n'ai que très peu de connaissance réseau et linux... je cherche à mieux comprendre et gérer mon NAS (sous exploité et pas forcément bien sécurisé...)

J'ai poussé le prompt suivant sur Le Chat de Mistral AI :
"Sécurisation NAS QNAP et mise en place de connexion via web
Je suis novice en informatique réseau
Je veux
1. réaliser un audit sécurité de mon réseau wifi lan personnel qui comporte un NAS QNAP, derrière une box SFR avec des PC windows et linux (ubuntu), des appareils domotiques et des téléphones android
2. puis mettre en place une solution libre open source sans opérateur cloud me permettant de sauvegarder les données de tous mes appareils
Défini un plan d'actions général realise a partir d'un NUC Ubuntu puis détaille étape par étape ce que je dois faire"

Qu'en pensez vous ? (Démarche, conseils, outils proposés...)
Si quelques experts peuvent commenter ou faire un retour critique de la démarche proposée ci-dessous et des conseils fournis par mon IA préférée...
(je vais tester tout ça et je ferai des "retours de candide" / "pas à pas", si vous faites de même, preneur de vos retours !

Copie du résultat Mistral :
"
Voici un plan d’action général pour sécuriser votre réseau domestique et mettre en place une solution de sauvegarde centralisée, libre et open source, en utilisant un NUC sous Ubuntu comme point de contrôle.

Plan d’action général

1. Audit de sécurité du réseau et du NAS QNAP

Objectif : Identifier les vulnérabilités et sécuriser chaque composant du réseau.

Étapes clés :

• A. Cartographie du réseau

  • Lister tous les appareils connectés (PC, smartphones, objets domotiques, NAS).

  • Identifier les adresses IP, les ports ouverts, les services actifs.

• B. Sécurisation de la box SFR

  • Changer le mot de passe admin par défaut.

  • Désactiver le Wi-Fi invité si inutilisé.

  • Activer le pare-feu de la box et filtrer les ports entrants/sortants.

  • Désactiver l’accès à distance (remote management) si non nécessaire.

• C. Sécurisation du NAS QNAP

  • Mettre à jour le firmware du NAS.

  • Changer les mots de passe par défaut (admin, utilisateurs).

  • Désactiver les services inutiles (FTP, Telnet, UPnP).

  • Configurer un pare-feu sur le NAS.

  • Activer le chiffrement des données sensibles.

  • Vérifier les logs pour détecter des accès suspects.

• D. Sécurisation des appareils connectés

  • Mettre à jour les systèmes d’exploitation (Windows, Ubuntu, Android).

  • Désactiver les services inutiles (partage de fichiers, RDP, SSH non sécurisé).

  • Installer un antivirus/antimalware sur les PC.

  • Segmenter le réseau (VLAN ou sous-réseaux) pour isoler les objets domotiques.

• E. Analyse des vulnérabilités

  • Utiliser des outils comme nmap, OpenVAS ou Lynis pour scanner le réseau et le NAS.

  • Vérifier les failles connues sur le NAS QNAP (via QNAP Security Advisory).

2. Mise en place d’une solution de sauvegarde centralisée

Objectif : Centraliser les sauvegardes de tous les appareils vers le NAS QNAP, sans dépendre d’un opérateur cloud.

Étapes clés :

• A. Choisir une solution open source

  • Nextcloud : Pour la synchronisation et le partage de fichiers.

  • BorgBackup ou Restic : Pour les sauvegardes chiffrées et incrémentielles.

  • Syncthing : Pour la synchronisation peer-to-peer entre appareils.

• B. Configurer le NAS QNAP comme serveur de sauvegarde

  • Installer Nextcloud ou Syncthing sur le NAS.

  • Créer des comptes utilisateurs pour chaque appareil.

  • Configurer des quotas et des droits d’accès.

• C. Automatiser les sauvegardes

  • Utiliser rsync ou cron pour planifier des sauvegardes régulières depuis les PC (Windows/Linux) vers le NAS.

  • Configurer BorgBackup ou Restic pour des sauvegardes chiffrées et versionnées.

• D. Sécuriser les sauvegardes

  • Chiffrer les sauvegardes avec des clés fortes.

  • Stocker une copie des clés de chiffrement hors ligne (ex : clé USB dans un coffre).

  • Tester régulièrement la restauration des sauvegardes.

Détail étape par étape depuis un NUC Ubuntu

Étape 1 : Préparation du NUC Ubuntu

1. Installer Ubuntu Server ou Desktop sur le NUC.

2. Mettre à jour le système :

   sudo apt update && sudo apt upgrade -y

3. Installer les outils nécessaires :

   sudo apt install nmap lynis openssh-server

Étape 2 : Audit du réseau avec le NUC

A. Scanner le réseau local

1. Identifier les appareils connectés :

   sudo nmap -sn 192.168.1.0/24

   (Remplacez 192.168.1.0/24 par votre plage d’adresses IP locale.)

2. Scanner les ports ouverts sur le NAS QNAP :

   sudo nmap -sV -p- 192.168.1.X

   (Remplacez X par l’adresse IP de votre NAS.)

B. Vérifier la sécurité du NAS QNAP

1. Se connecter à l’interface web du NAS (http://192.168.1.X:8080).

2. Vérifier les points suivants :

   • Mise à jour du firmware.

   • Désactivation des services non sécurisés (FTP, Telnet).

   • Activation du pare-feu intégré.

   • Création de comptes utilisateurs avec des mots de passe forts.

C. Analyser les vulnérabilités avec Lynis

1. Installer Lynis :

   sudo apt install lynis

2. Lancer un audit :

   sudo lynis audit system

3. Corriger les vulnérabilités identifiées.

Étape 3 : Mise en place de la solution de sauvegarde

A. Installer Nextcloud sur le NAS QNAP

1. Via l’App Center du NAS :

   • Rechercher et installer Nextcloud.

   • Configurer un domaine local (ex : nextcloud.monresau.local) ou utiliser l’adresse IP du NAS.

2. Créer des comptes utilisateurs pour chaque appareil.

B. Configurer Syncthing pour la synchronisation

1. Installer Syncthing sur le NAS (via l’App Center ou Docker).

2. Installer Syncthing sur les PC et smartphones :

   • Syncthing pour Windows

   • Syncthing pour Android

3. Ajouter le NAS comme nœud de synchronisation dans Syncthing sur chaque appareil.

C. Automatiser les sauvegardes avec BorgBackup

1. Installer BorgBackup sur le NUC et les PC :

   sudo apt install borgbackup

2. Initialiser un dépôt de sauvegarde sur le NAS :

   borg init --encryption=repokey /mnt/NAS/backup/borg-repo

3. Créer un script de sauvegarde (ex : backup.sh) :

   #!/bin/bash
   borg create --stats --progress /mnt/NAS/backup/borg-repo::pc-ubuntu-{now} /home/user

4. Planifier la sauvegarde avec cron :

   crontab -e

   Ajouter :

   0 2 * * * /chemin/vers/backup.sh

Étape 4 : Sécurisation des sauvegardes

1. Chiffrer les sauvegardes avec BorgBackup ou Restic.

2. Stocker les clés de chiffrement sur une clé USB hors ligne.

3. Tester la restauration :

   borg extract /mnt/NAS/backup/borg-repo::pc-ubuntu-2025-11-01

Étape 5 : Surveillance et maintenance

1. Configurer des alertes (ex : notifications par email en cas d’échec de sauvegarde).

2. Vérifier régulièrement les logs du NAS et des outils de sauvegarde.

3. Mettre à jour les outils et le NAS.

Résumé des outils utilisés

Prochaine étape : Souhaitez-vous que je détaille une étape en particulier (ex : configuration de Syncthing, script BorgBackup, ou sécurisation avancée du NAS) ? Ou préférez-vous commencer par l’audit du réseau ?