WORM : Sécurisez votre NAS ASUSTOR en toute sérénité !

Sandstorm

il y a 6 mois

Dans un monde où les cybermenaces planent constamment au dessus de nos têtes, la sécurité des données devient une priorité absolue tant pour les entreprises que pour les particuliers. Vous cherchez une solution pour garantir l’intégrité de vos fichiers et éviter toute modification non autorisée ? La technologie WORM (Write Once, Read Many) pourrait bien être la réponse idéale. Dans ce tutoriel, nous allons voir comment tirer le meilleur parti de cette fonctionnalité sur votre NAS ASUSTOR pour protéger vos données sensibles contre les modifications et les suppressions accidentelles ou malveillantes.

WORM : c’est quoi exactement ?

La technologie WORM, acronyme de Write Once, Read Many, est un mécanisme de protection des fichiers qui permet d’écrire une fois des données sur un support de stockage, mais interdit leur modification ou suppression ultérieure. Sur un NAS ASUSTOR, cette fonctionnalité est particulièrement utile pour les sauvegardes critiques ou les fichiers sensibles que vous souhaitez rendre inaltérables. Une fois activée, WORM garantit que les données ne peuvent être ni modifiées ni effacées, assurant ainsi une protection optimale contre les cyberattaques (de type ransomware par exemple) ou les erreurs humaines.

Implémentation de WORM sur les NAS Asustor

Chez Asustor, cette fonctionnalité WORM a été introduite avec la version 4.2.6 d’ADM (ADM étant le système d’exploitation des NAS Asustor). Elle s’active au niveau des dossiers partagés et non au niveau d’un volume complet, ce qui permet une assez grande souplesse dans son utilisation.

Attention, cette fonctionnalité n’est pas toujours disponible : en effet, pour en bénéficier il convient d’utiliser le système de fichiers BTRFS. Les fichiers d’un dossier partagé WORM ne pouvant pas être supprimés, la corbeille réseau de ce partage sera automatiquement désactivée. La technologie WORM est accessible sur les modèles de NAS suivants : Nimbustor, Nimbustor Gen2, Lockerstor, Lockerstor Gen2, Lockerstor Pro et Flashstor.

Création d’un volume WORM sur NAS Asustor

La première étape consiste à se connecter sur son NAS avec un compte disposant des droits d’administration. Ouvrez donc votre navigateur internet préféré et rendez-vous à l’adresse de votre NAS, puis entrez vos informations d’authentification.

Authentifiez-vous sur le NAS avec un compte administrateur

Une fois connecté, cliquez sur l’icône Contrôle d’accès.

Sur le bureau ADM cliquez sur l’icone ‘Contrôle d’accès’

Dans la fenêtre qui s’ouvre, cliquez dans le menu de gauche sur Dossiers partagés

Dans la fenêtre du ‘Contrôle d’accès’, cliquez à gauche sur ‘Dossiers partagés’

Cliquez ensuite sur le bouton Ajouter pour créer un nouveau partage.

Cliquer sur le bouton ‘Ajouter’ pour créer un partage WORM

L’assistant de création de dossier partagé s’ouvre alors. Donnez un nom à votre partage. Pour ma part je vais l’appeler important car il va contenir des fichiers importants que je souhaite sécuriser au maximum. Si vous le désirez vous pouvez renseigner une description. Sélectionnez ensuite un volume parmi ceux dont vous disposez. Attention ici, il doit s’agir d’un volume BTRFS sinon vous ne pourrez pas activer WORM. Vous pouvez laisser les autres paramètres par défaut, et cliquez sur le bouton Suivant.

Dans la fenêtre suivante, vous devez choisir qui aura ou non accès à ce partage. Pour ma part, je laisse par défaut, c’est à dire que les utilisateurs pourront seulement voir le partage et son contenu, et les administrateurs pourront quant à eux écrire dans le partage (sauf restrictions WORM bien évidemment…). Laissez le reste par défaut et cliquez une nouvelle fois sur Suivant.

Etape 2 : Définissez les droits d’accès au partage

A l’étape suivante, sélectionnez l’option Autoriser WORM à protéger en écriture ce dossier partagé. Cliquez sur Suivant.

Etape 3 : Sélectionnez l’option ‘Autoriser WORM…’

Un popup vous demande alors de confirmer l’activation de WORM et vous prévient de la désactivation de la corbeille réseau pour ce partage. Validez simplement avec le bouton OK.

Confirmez l’activation de la fonction WORM

Vient maintenant l’étape de configuration de WORM. En effet, la fonctionnalité, qui peut paraître très rigide de prime abord, permet tout de même un peu de souplesse. Sachez tout d’abord qu’il existe deux modes WORM : le mode gouvernance et le mode de conformité.

Mode de gouvernance : il s’agit du mode le plus souple. En effet, celui-ci permet aux administrateurs de pouvoir supprimer le partage WORM ainsi que le volume dans lequel il se situe.
Mode de conformité : ce mode plus restrictif empêche toute suppression du partage WORM ainsi que du volume sur lequel il se situe. Ce mode empêche également la réinitialisation d’usine du NAS.

Sélectionnez donc le mode que vous souhaitez. Pour ma part, dans cet exemple je vais choisir le mode de gouvernance. Cochez ensuite l’option Verrouillage automatique. De nouvelles options apparaissent.

La première permet de régler le délai de verrouillage, soit immédiatement après écriture du fichier, soit après un certain délai.
La seconde option permet d’agir sur la durée du verrouillage à mettre en place. celui-ci peut ainsi être permanent, ou bien d’un durée que vous définissez.
Enfin, le dernier paramètre permet de définir le statut du verrouillage. Si celui-ci est fixé à immuable, les fichiers, une fois verrouillés ne seront plus modifiables. En revanche si vous optez pour Ajout uniquement il sera possible d’ajouter des données à la fin du fichier, sans pouvoir modifier ce qui est déjà contenu dans le fichier.

Choisissez donc les fonctions qui sont le plus appropriées à votre usage et cliquez sur le bouton Suivant.

Etape 4 : définissez les paramètres WORM

Un récapitulatif s’affiche alors avec les paramètres que vous avez saisis. Cliquez sur Finir pour lancer la création du partage.

Cliquez sur ‘Finir’ pour créer le partage

Voilà notre dossier partagé WORM est créé. Il apparaît désormais dans la liste des dossiers partagés, avec une icône spéciale contenant un cadenas. Si l’cône est verte, cela signifie que WORM est définie pour ce partage en mode de gouvernance. A l’inverse, si l’icône est bleue, il s’agit du mode de conformité.

Le partage WORM est désormais visible et identifiable dans la liste des dossiers partagés

La technologie Write Once Read Many en pratique

Notre dossier partagé WORM est désormais accessible et je vais pouvoir l’utiliser ! J’ouvre donc mon navigateur de fichiers et je me rends sur mon NAS de test. Bon alors les captures suivantes ont été réalisées sous Ubuntu, mais cela sera relativement pareil sous Windows.

Voici la liste des partages existants sur le NAS

Je vois ici tous les partages existants sur le NAS en question, et parmi eux, mon partage important qui est celui que nous avons créé et protégé avec WORM. Pour tester les protections offertes par cette techno, j’ai créé un fichier texte sur mon PC (sur mon bureau comme indiqué en haut de la capture ci-dessous) avec une ligne de texte basique à titre d’exemple.

Fichier texte basique utilisé pour l’exemple, avec une ligne de texte.

J’ai ensuite copié ce fichier texte sur le NAS, dans mon dossier important comme vous pouvez le voir ci-dessous.

Le fichier d’exemple a été copié dans le dossier partagé WORM

Mon fichier est maintenant dans mon partage WORM. Mais pour le moment il n’est pas encore protégé. Oui rappelez vous, j’ai défini lors de la création du partage, un délai d’une heure pour le verrouillage. Cela signifie que pour l’instant, je peux encore apporter des modifications à mon fichier pendant une heure ! Mais ce n’est pas mon but, alors je vais simplement attendre quelques heures puis, je vais tenter de modifier le fichier pour voir comment cela se comporte. Je rouvre donc mon fichier quelques heures plus tard… (la barre d’adresse de la fenêtre ci-dessous indique bien que j’ai ouvert le fichier depuis le dossier important)

Fichier d’exemple désormais dans le stockage WORM

Je modifie mon texte. Jusque là pas de problème.

J’ai modifié le contenu du fichier texte contenu dans le dossier WORM

Je tente ensuite de sauvegarder mon fichier, et là et bien ça ne fonctionne pas. Je me retrouve bel et bien avec un fichier protégé contre toute modification. Il est donc accessible seulement en lecture.

Enregistrement impossible, fichier protégé par WORM

Peut-être que certains d’entre vous se disent « et si on le remplaçait, tout simplement par une nouvelle version ? ». Bon je vous le dit, bien évidemment cela ne va pas fonctionner, mais on va le tester quand même. J’ai donc copié le fichier sur mon PC, puis effectué des modifications sur son contenu. J’ai ensuite tenté de copier le fichier sur le partage important :

Tentative de remplacement d’un fichier WORM

Mon navigateur de fichier me demande simplement si je veux remplacer la version déjà présente par ma version modifiée, plus récente. Mais lorsque je clique sur le bouton remplacé, bien sûr, cela ne fonctionne pas :

Remplacement impossible d’un fichier WORM

Vous comprenez donc que nos fichiers présents dans le partage WORM sont donc bien sécurisés et ne peuvent être ni modifiés, ni effacés, ni remplacés ! De quoi protéger vos données importantes des erreurs humaines, mais également des cybermenaces de type ransomware… Alors, n’hésitez plus : si vous avez des données sensibles, protégez-les avant qu’il ne soir trop tard !