Discussion :

[Anton-s44]

Bonjour à tous !

Pour limiter toute connexion à un lecteur distant (NAS) sur un pc portable en cas de vol, est-il selon vous un peut plus secure d'avoir un script .bat sur une clé usb permettant à son exécution, de monter un lecteur distant, plutôt que de le monter d'office au lancement de Windows (via la commande persistent:yes [se reconnecter lors de la connexion]). (Je précise, la clé est chiffrée, au cas où...)
Je pose cette question pour savoir si ce système est utile ou si la présence de logs sur le PC peut aider une personne malveillante à retrouver les identifiants et mots de passes utilisés pour monter le lecteur auparavant ...

Merci à vous !

[becket]

Salut,

Si tu veux un système sécurisé :

1 - On ne donne pas un accès directement à son NAS depuis l'extérieur
2 - On sécurise son portable avec un logiciel comme bitlocker, veracrypt ... etc

[Anton-s44]

Hello,

Tu a raison, et le fait de l'ouvrir sur internet augmente les risques. Cela-dit, il y a des fonctionnalités dont je veux profiter qui ne sont disponibles qu'en ligne et le fait d’y accéder via un NAS perso permet d'avoir un certain regard sur le devenir de nos données (qui sait ce qu'elles deviennent sur les services tiers ?), au profil d'une sécurité moindre que sur les structures de services tiers ...
Bref, je pense qu'on peut faire un long débat là dessus, mais qu'importe son contenu, je dois malheureusement l'ouvrir sur internet, notamment pour monter un lecteur réseau sur un PC hors LAN. Je souhaite juste éviter que le propriétaire du PC ait a taper login + mdp à chaque session, et le montage soit effectué de base au lancement de la session.

Y'a t-il des log de connexion avec les id et le mdp enregistrés ? (je n'ai pa réussi à trouver sur le toile) ?

On ne donne pas un accès directement à son NAS depuis l'extérieur

Qu'enteds-tu par "directement" ?

On sécurise son portable avec un logiciel comme bitlocker, veracrypt ... etc

J'ai déjà essayé de chiffrer le SSD portant l'OS via la commande Veracrypt Chiffrer la partit ou ou l'intégralité du disque système, mais j'ai observé des latences et arrêts systèmes aléatoires ... Si vous avez des retours la dessus ...

Merci !

[chrtophe]

On ne donne pas un accès directement à son NAS depuis l'extérieur


Qu'enteds-tu par "directement" ?

On utilise un VPN.

'ai observé des latences et arrêts systèmes aléatoires

Pour les latences, je pense que c'est normal d'en avoir en cryptant le disque. Tu peux probablement avoir de meilleures perfs avec bitlocker, et une puce TPM, mais il faut être sur Windows Pro.

[Anton-s44]

On utilise un VPN.

Un VPN hébergé sur le NAS ou un VPN tiers peut faire l'affaire ? Un VPN tiers ne rendra pas le NAS "invisible" dans le réseau ? (j'ai peur de m’emmêler les pinceaux )

Après, contrairement au chiffrement du disque Windows, le VPN n'empêche pas l'accès au NAS via le PC volé si le NAS a été monté automatiquement au démarrage de Windows ...

[becket]

Un VPN hébergé sur le NAS ou un VPN tiers peut faire l'affaire ?

Un NAS sur ton routeur ou sur ton Firewall

Un VPN tiers ne rendra pas le NAS "invisible" dans le réseau ? (j'ai peur de m’emmêler les pinceaux )

Invisible non, mais le VPN "tiers" n'a aucun intérêt ici.

Après, contrairement au chiffrement du disque Windows, le VPN n'empêche pas l'accès au NAS via le PC volé si le NAS a été monté automatiquement au démarrage de Windows ...

Un VPN ne sait effectivement pas faire la différence entre un PC légitime et un PC Volé
C'est pourquoi, tu dois révoquer le certificat et ou changer le mot de passe sauf si tu n'utilises du MFA ou le cryptage du disque de ton portable.

[Anton-s44]

Désolé de faire trainer mais je n'ai aucune qualification en réseau, j'ai tout appris en autodidacte. Je préfère être sûr avant d'opérer ...

Un NAS sur ton routeur

Si je comprends bien, tu préconise d'installer un VPN sur le routeur (ma box je suppose n'ayant pas de routeur) ?
Autrement dit, le NAS envoi la frame au routeur qui la chiffre et l'envoi sur le net pour qu'un PC distant puisse la déchiffrer et avoir accès au contenu ? De cette manière, si on intercepte les flux d'information, on ne sait ni d'où elle vient, ni où elle va, et son contenu est protégé ? C'est bien ça ?

ou sur ton Firewall

Tu parle de ce genre d'appareil ? (lien)

... tu dois révoquer le certificat ...

Je comprends pas ... tu parle du certificat du nom de domaine associé au lecteur monté ?

C'est pourquoi, tu dois révoquer le certificat et ou changer le mot de passe sauf si tu n'utilises du MFA ou le cryptage du disque de ton portable

Les solutions qui se présentent sont donc :
- chiffrement du disque Windows (BitLocker serait sujet à moins de plantage que Veracrypt mais ce n'est visiblement pas la solution idéale)
- MFA (sur la session Windows ?) ou sur authentification pour le montage du lecteur NAS ?
- Changement du mdp utilisateur dès que PC volé (ou blocage du compte)

[chrtophe]

Si je comprends bien, tu préconise d'installer un VPN sur le routeur

Avec une box, ça sera à part, ça pourra être un boitier comme le lien que tu as fourni mais qui aura fonction de VPN (ça peut être une boitier qui fasses Firewall et VPN).

Autrement dit, le NAS envoi la frame au routeur qui la chiffre et l'envoi sur le net

Le NAS n'aura rien à voir avec le VPN (sauf si tu utilises un éventuel VPN intégré à celui-ci).

Avec un VPN, tu seras connecté sur ton réseau local de façon transparente depuis l’extérieur. En interne le VPN n'est pas utilisé. Un VPN est un tuyau crypté passant par Internet et transparent pour les utilisateurs de celui-ci.

Dans ta configuration VPN, tu as les infos par exemple de l'IP WAN de ton VPN, ainsi qu'un certificat (pour la connexion VPN, rien à voir avec un quelconque nom de domaine, mais c'est le même principe : preuve d'identité). Révoquer ce certificat invalidera ta configuration, tu ne pourras plus te connecter au VPN même si tu connais les identifiants.

Les solutions :
Protection interne du NAS : mot de passe fiable
Protection externe du NAS : VPN avec gestion de certificats
Protection interne et externe : MFA (si le NAS le gère) sera efficace ou non, pénible à utiliser ou non selon les réglages, peut être cumulé ou non avec le reste.
Protection des postes : cryptage des disques

[tabouret]

Par pitié cryptage et crypter ne sont jamais utilisés dans la communauté, c'est incorrect en français et l'ANSSI rejette ces termes.

J'ai fini d'être un chieur

[becket]

Ah ?

On nous aurait menti ?

https://www.google.com/search?q=cryp...4dUDCA0&uact=5