MatérielsNAS

Comment sécuriser votre NAS Synology en 10 étapes !

Aujourd’hui nous verrons comment sécuriser un NAS Synology. Le NAS est un serveur qui vous permettra de partager des fichiers, photos, vidéo, mais qui peut servir pour bien d’autres choses grâce aux nombreuses applications intégrées. J’en ai parlé ici sur ma chaîne YouTube et je vous conseille d’y jeter un œil si vous ne l’avez pas vu.

Il est possible de rendre accessible votre NAS à d’autres utilisateurs que ce soit sur votre réseau local ou encore depuis l’extérieur via Internet.

Il est donc indispensable avant même de mettre votre NAS sur Internet, de le sécuriser. En effet, Internet est bourré de personnes et robots malveillants qui essaieront, sans nul doute, d’accéder à votre serveur NAS. 

L’idéal est d’utiliser un VPN qui vous permettra d’accéder à votre NAS sans avoir à ouvrir de nombreux ports sur celui-ci. Cependant, ce n’est pas ce que nous couvrirons ici. Nous allons parler ici des quelques étapes à mettre en place sur votre NAS pour le sécuriser.

Attention cet article est un peu long, donc pour les plus flemmard, j’ai mis tout ça dans une vidéo qui j’espère vous plaira. Si c’est cas, n’oubliez pas de vous abonnez pour ne pas louper le contenu futur.

Les mises à jour

Comme pour votre ordinateur ou tous vos périphériques connectés, les mises à jour permettent d’obtenir des fonctionnalités supplémentaires, mais surtout de combler des failles de sécurité.

Il est donc nécessaire de garder à jour votre serveur installant régulièrement ces mises à jour. Les mises à jour mineur peuvent être installé automatiquement, cependant, les mises à jour majeur devront être installées manuellement et nécessiteront parfois un redémarrage de votre NAS.

Comment activer les mises à jour automatique sur un NAS Synology ?

Depuis le panneau de configuration de votre NAS Synology, cliquez sur « Mise à jour et restauration ».

Ce panneau vous permet de vérifier qu’il n’y a pas de mises à jour en attente. En cliquant sur « Options de mise à jour » vous aurez la possibilité de laisser votre NAS installer automatiquement les mises à jour selon le planning que vous aurez défini.

Pour augmenter vos chances de ne pas louper une mise à jour, vous pouvez (et devez) mettre en place la notification par mail. Ceci est disponible dans le panneau de configuration > « Système » puis « Notifications ».

Blocage automatique

Les attaques peuvent être des attaques ciblées, mais dans la plupart des cas, proviennent de robots qui lancent en masse des tests de mots de passe via des dictionnaires de mot de passe (Appelé Bruteforce).

Vous pouvez mettre en place un blocage automatique de ces attaques via une fonctionnalité de DSM. Ainsi, les adresses IP des assaillants seront bannies après quelques tentatives.

Pour mettre en place ce blocage, rendez-vous dans le panneau de configuration > Connectivité > Sécurité > Compte, puis cocher la case pour activer le blocage auto. Vous pourrez modifier le nombre de tentatives infructueuses qui mèneront à un blocage de l’adresse IP.

Ce blocage peut être temporaire ou définitif.

Désactivez le compte Admin

Une partie des tentatives d’intrusion à votre NAS se feront avec un nom d’utilisateur connu. Le compte par défaut étant « admin », alors celui-ci sera mis à rude épreuve. Pour limiter au maximum une intrusion, il est fortement conseillé de désactiver le compte admin. Si vous l’utilisez, alors créer un autre compte, octroyer lui les droits d’admin et désactiver celui-ci. Évitez les noms communs tels que «admin», «administrateur», «root» lors de la configuration de votre NAS. 

Vous pouvez désactiver le compte admin via le panneau de configuration puis en cliquant sur « utilisateur » puis en accédant aux propriétés du compte admin. Attention il faudra le faire depuis un autre compte administratif que le compte admin.

Je conseille de faire la même chose pour le compte Guest/Invité.

Mot de passe fort pour tous

Je ne le répéterai jamais assez. Choisissez un mot de passe fort. Oubliez votre date de naissance, le prénom de votre chien ou de vos enfants. Si vous pouvez générer un mot de passe aléatoire et utiliser un gestionnaire de mot de passe, c’est encore mieux.

Vous pouvez forcer l’utilisation d’un mot de passe fort pour tous les utilisateurs depuis le panneau de configuration puis dans « Utilisateur » et « Avancé« .

Activez la double Authentification

Et oui, je ne pouvais pas ne pas vous inviter à mettre en place la double authentification sur votre NAS. Je vous avais même fait une vidéo spécifique sur la double authentification, alors puisqu’elle est disponible n’hésitez pas, mettez là en place !

Pour mettre la double authentification, direction le panneau de configuration > utilisateur puis l’onglet « Avancé » sélectionner « Appliquer la vérification en 2 étapes pour les utilisateurs suivants ».

Vous pouvez activer l’option seulement pour les administrateurs ou encore pour tous les utilisateurs.

Vous serez alors invité à activer la double authentification. Je vous conseille Authy en tant qu’application de double Authentification.

Ainsi, lorsque vous vous connecterez sur votre NAS, vous serez invité à utiliser la double authentification, ce qui renforce grandement la sécurité lors de la connexion à DSM sur votre Synology.

HTTPS Everywhere !

Le HTTPS vous permettra de chiffrer et sécuriser le trafic réseau entre votre NAS et vos clients/PC/Smartphone… Ainsi, vous serez protégé des attaques de type « man-in-the-middle ».

Nous allons voir ici comment utiliser le HTTPS, mais surtout comment forcer l’accès vers HTTPS en effectuant une redirection HTTP vers HTTPS.

Depuis le Panneau de configuration > RéseauParamètres DSM .Cochez la case pour rediriger automatiquement les connexions HTTP vers HTTPS. Maintenant, à chaque fois que vous vous connecterez à DSM, vous passerez par le protocole HTTPS. 

Si vous souhaitez éviter d’avoir l’avertissement d’absence/erreur de certificat. N’oubliez pas de mettre en place un certificat. Nous avons déjà un article ou nous expliquons ça très bien. Jetez-y un coup d’œil ci-besoin.

Let’s Encrypt : SSL sur NAS Synology

Changer le port HTTPS par défaut

Bien que la modification des ports n’empêchera pas que le NAS subisse des tentatives d’intrusion, cela permettra néanmoins d’éviter les robots qui cible seulement les ports par défaut Synology 5000 et 5001.

Pour modifier ces ports, cela se passe toujours dans le panneau de configuration > Réseau puis l’onglet dans l’onglet « Paramètres de DSM ».

Vous pouvez changer le port en fonction de vos envies, des ports déjà utilisés et surtout un des ports entre 1024 et 65535.

Désactiver le SSH & Telnet

Les protocoles SSH et Telnet peuvent être utiles pour certaines tâches, mais il est rare d’en avoir besoin en continu. Je vous conseille donc de les désactiver si vous n’en avez pas besoin (ils ne sont pas activés par défaut), et si néanmoins vous en avez besoin, changer les ports SSH et Telnet puisque ceux par défaut (22 & 23) sont bien trop attaqués.

Vous pouvez vérifier tout ça dans le panneau de configuration > Applications > Terminal & SNMP.

Activez la protection DDos

Activer la protection DDos vous permettra d’éviter les attaques de type DDoS sur votre NAS. En effet, avec cette option votre NAS Synology ne répondra qu’à un seul paquet de type ping ICMP par seconde. Si la fréquence est supérieure à une fois par seconde, le NAS Synology ne répondra pas à la demande de ping.

Cette options est disponible dans le panneau de configuration > Connectivité > Sécurité puis dans l’onglet Protection. 

Sélectionner votre interface réseau puis cocher la case « Activer la protection DoS ».

Activer le pare-feu

Comme sur un ordinateur, le pare-feu vous permettra de mettre en place des règles strictes afin d’autoriser ou non la connexion à certains services.

L’avantage ici, c’est que vous pouvez tout à fait mettre une règle qui n’autorise que votre IP, ou encore par exemple seulement les adresses IP françaises. Tout dépend de vos besoins, mais ici encore, vous pouvez augmenter la sécurité de l’accès à vos données.

Le pare-feu est disponible dans le panneau de configuration > Sécurité > Onglet « Pare-feu ».

Activer le pare-feu en cochant la case prévue à cet effet, et modifier les règles selon vos besoins.

Ici par exemple, depuis Internet, je n’autorise que les IP Française à accéder à certains services. Et depuis le LAN, tout est autorisé.

Tester votre NAS avec le Conseiller de sécurité

Voilà, nous avons presque fini de mettre en place la sécurité de notre NAS Synology. Pour finir, il peut être intéressant de tester la sécurité de votre NAS Synology avec l’application Security Advisor. En effet, cette application permet lancer un test sur la sécurité de votre NAS.

Cet outil est disponible depuis le menu principal en cliquant sur « Conseiller de sécurité »

Vous pourrez lancer une analyse afin de vérifier que votre NAS est correctement protégé. S’il y a des anomalies, votre NAS vous proposera des solutions. Top !

Nous en avons fini ici, si vous pensez à d’autres méthodes, d’autres astuces pour sécuriser votre NAS Synology, n’hésitez pas.

Puisque vous êtes encore là...

...Si cet article vous a aidé ou informé, laissez-moi vous demander une petite faveur. Nombreux d'entre vous utilise AdBlock sur tech2tech. Alors n'hésitez pas à désactiver AdBlock sur ce site ou bien à faire un don pour m'aider à couvrir les frais autour du site.

Si chacun de ceux qui ont lu et apprécié cet article participe, le futur de tech2tech ne pourra être que meilleur. Merci à vous !.

FAIRE UN DON

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 chez homeinformatique. Je partage mes connaissances, problèmes et solutions a travers articles ou tweets !

Articles similaires

Bouton retour en haut de la page
Fermer
Fermer