nas synology securite


Je viens finalement d'échanger mon NAS LG contre un NAS Synology DS-216+II tout neuf équipé de deux disques de 4To. Après m'être fait piraté mon NAS LG il y a quelques années, je suis très vigilant sur la sécurité, voici donc 9 conseils pour sécuriser votre NAS Synology avant de vous le faire pirater ou véroler.

1. Désactiver Quickconnect

Les NAS Synology sont livrés avec le service Quickconnect qui vous permet d'accéder à votre NAS de n'importe où sur la planète malgré le fait qu'aucune redirection de port n'ait été configurée préalablement sur votre box Internet. C'est un service très pratique, mais pas suffisamment sécurisé si votre identifiant peut-être deviné par une tierce personne mal intentionnée.

Cette personne peut très facilement accéder à la mire d'authentification de votre NAS sans forcément connaitre l'IP du NAS, juste en devinant le login Quickconnect. Exemples :

synology quickconnect

Je vous conseille donc de favoriser l'utilisation d'un VPN pour accéder à votre NAS à distance et de désactiver ce service dans la mesure où vous avez les connaissances suffisantes en informatique pour éviter son usage.

2. Désactiver l'UPNP

Les NAS Synology sont capables de négocier dynamiquement des redirections de port sur votre routeur si celui-ci supporte l'UPNP. C'est bien-sur très pratique pour madame Michu, mais éviter cette option de facilité si vous souhaitez garder la main sur les services de votre NAS expose sur Internet.

Ne redirigez que les ports des services que vous souhaitez partager à de tierces personnes, favorisez plutôt l'usage d'un VPN pour accéder à votre NAS en toute sécurité depuis le réseau Internet.

synology upnp

3. Activer le pare-feu

Activez le pare-feu du NAS et créez une restriction d'accès aux IP de votre réseau local en excluant l'IP de votre routeur et autres périphérique qui n'ont en théorie pas besoin d'accéder à votre NAS. Seules les machines de la plage d'IP définie pourront accéder aux services du NAS. Même en cas de piratage de votre box ADSL, vos données seront protégées.

synology firewall

4. Demandez à votre conseiller de sécurité d'être plus vigilant

Par défaut, le conseiller sécurité du NAS contrôle la sécurité de peu de points. Vous pouvez renforcer la sécurité de votre NAS en activant le profil "Entreprise" depuis la page de configuration du conseiller sécurité. Ce profil active la majorité des règles de sécurité disponibles.

Enfin, n'oubliez pas d'activer le contrôle régulier et surtout d'activer l'alerte email, push, sms pour être averti au moindre problème de sécurité identifié par cet outil.

synology conseiller securite

5. Activez seulement les services que vous utilisez

Réduisez au maximum les services actifs, démarrez que ceux que vous utilisez pour éviter qu'un des services ne soit vérolé. Faites un tour sur le panneau de configuration "Services de fichiers" et n'activez que les services que vous utilisez.

synology services de fichiers

Enfin, vérifiez que les paquets installés vous sont bien utiles, désinstallez ceux que vous n'utilisez pas depuis l'outil de gestion des paquets.

6. Mettez à jour régulièrement votre système

Mettez régulièrement le firmware de votre NAS pour bénéficier des patchs de sécurité fournis par Synology. Vous avez la possibilité d'activer la mise à jour automatique soit des patchs critiques ou alors de l'ensemble des mises à jour proposées.

synology mises a jour

7. Évitez de monter des disques avec un compte d'admin

Évitez l'usage d'un compte ayant un accès complet en lecture / écriture sur les montages réseau de votre NAS. Favorisez l"usage de comptes différents pour éviter qu'un Ransomware ne puisse chiffrer l'ensemble de vos données.

8. Activer la double authentification par jeton sur téléphone mobile

Vous avez la possibilité d'activer une double authentification sur votre NAS pour s'authentifier sur le portail d'administration. Cette fonction est disponible depuis la page de votre profil :

synology double authentification

Une fois cette option active, vous devrez utiliser Google Authenticator sur votre terminal mobile pour pouvoir vous authentifier sur votre NAS. Même en cas de vol de votre mot de passe, le pirate n'aura pas accès au portail d'administration de votre NAS.

9. Prévoyez un plan B sur le cloud

Malgré une duplication de vos données sur les deux disques durs, prévoyez un plan B en cas d'incendie ou de corruption complète des données par un Ransomware qui se serait introduit sur votre PC ou un objet connecté de votre réseau et qui aurait chiffré tous les partages trouvés sur votre réseau.

Je vois par défaut 3 solutions :

  • La sauvegarde sur le cloud Amazon grâce à l'application Synology Glacier (ou un autre cloud via une application tierce).
  • La sauvegarde sur un autre NAS Synology distant.
  • La sauvegarde sur un disque USB externe que vous n'oublierez pas de stocker dans un autre endroit que chez vous.

J'ai retenu la solution Amazon Glacier pour plus de flexibilité / simplicité. Le coût du stockage sur le datacenter d'Irlande d'Amazon Glacier est actuellement de 0.004€ le Go par mois. Les coûts de restauration sont un peu plus chers mais acceptables en cas de sinistre...

synology glacier

Enfin, n'oubliez pas, les virus les plus malicieux sont souvent ceux que l'on voit le moins ....

1. Le , 13:30 par Manu
3e62b516ff38d8c9c7c874ad222f6791

Vous pourriez ajouter la double authentification pour le login !
C'est sûrement le plus sécurisant en cas de perte ou vol de mp.

2. Le , 15:16 par Ludovic
9ab09dd3e305f924f8930e20e1a35843

@Manu : Bien vu !

3. Le , 10:01 par Hyperman
3dca9b104ef3e903507772182fc27585

Il est egalement interessant et tres efficace de mettre des regles de fw pour les flux venant d'internet (ds photo par ex) en filtrant sur la source par pays (pas besoin d'autoriser autre chose que la france par ex). Et aussi le fail2ban qui protege du brut force...

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.