Geeek.org 🗲 Le Blog Geek & High Tech 100% Indépendant

Je viens finalement d'échanger mon NAS LG contre un NAS Synology DS-216+II tout neuf équipé de deux disques de 4To. Après m'être fait piraté mon NAS LG il y a quelques années, je suis très vigilant sur la sécurité, voici donc 9 conseils pour sécuriser votre NAS Synology avant de vous le faire pirater ou véroler.

1. Désactiver Synology Quickconnect

Les NAS Synology sont livrés avec le service Synology Quickconnect qui vous permet d'accéder à votre NAS de n'importe où sur la planète malgré le fait qu'aucune redirection de port n'ait été configurée préalablement sur votre box Internet. C'est un service très pratique, mais pas suffisamment sécurisé si votre identifiant peut-être deviné par une tierce personne mal intentionnée.

Cette personne peut très facilement accéder à la mire d'authentification de votre NAS sans forcément connaitre l'IP du NAS, juste en devinant le login Quickconnect. Exemples :

synology-quickconnect.png

Je vous conseille donc de favoriser l'utilisation d'un VPN pour accéder à votre NAS à distance et de désactiver ce service dans la mesure où vous avez les connaissances suffisantes en informatique pour éviter son usage. L'usage d'un lien VPN vous assurera un chiffrement complet des données transitant de votre téléphone jusqu'à votre réseau domestique.

2. Désactiver l'UPNP

Les NAS Synology sont capables de négocier dynamiquement des redirections de port sur votre routeur si celui-ci supporte l'UPNP.
C'est bien-sur très pratique pour madame Michu, mais éviter cette option de facilité si vous souhaitez garder la main sur les services de votre NAS expose sur Internet.

Ne redirigez que les ports des services que vous souhaitez partager à de tierces personnes, favorisez plutôt l'usage d'un VPN pour accéder à votre NAS en toute sécurité depuis le réseau Internet.

synology-upnp.png

3. Activer le pare-feu

Activez le pare-feu du NAS et créez une restriction d'accès aux IP de votre réseau local en excluant l'IP de votre routeur et autres périphérique qui n'ont en théorie pas besoin d'accéder à votre NAS.
Seules les machines de la plage d'IP définie pourront accéder aux services du NAS. Même en cas de piratage de votre box ADSL, vos données seront protégées.

synology-firewall.png

4. Demandez à votre conseiller de sécurité d'être plus vigilant

Par défaut, le conseiller sécurité du NAS contrôle la sécurité de peu de points. Vous pouvez renforcer la sécurité de votre NAS en activant le profil "Entreprise" depuis la page de configuration du conseiller sécurité. Ce profil active la majorité des règles de sécurité disponibles.

Enfin, n'oubliez pas d'activer le contrôle régulier et surtout d'activer l'alerte email, push, sms pour être averti au moindre problème de sécurité identifié par cet outil.

synology-conseiller-securite.png

5. Activez seulement les services que vous utilisez

Réduisez au maximum les services actifs, démarrez que ceux que vous utilisez pour éviter qu'un des services ne soit vérolé.
Faites un tour sur le panneau de configuration "Services de fichiers" et n'activez que les services que vous utilisez.

synology-services-de-fichiers.png

Enfin, vérifiez que les paquets installés vous sont bien utiles, désinstallez ceux que vous n'utilisez pas depuis l'outil de gestion des paquets.

6. Mettez à jour régulièrement votre système

Mettez régulièrement le firmware de votre NAS pour bénéficier des patchs de sécurité fournis par Synology. Vous avez la possibilité d'activer la mise à jour automatique soit des patchs critiques ou alors de l'ensemble des mises à jour proposées.

synology-mises-a-jour.png

7. Évitez de monter des disques avec un compte d'admin

Évitez l'usage d'un compte ayant un accès complet en lecture / écriture sur les montages réseau de votre NAS.
Favorisez l"usage de comptes différents pour éviter qu'un Ransomware ne puisse chiffrer l'ensemble de vos données.

8. Activer la double authentification par jeton sur téléphone mobile

Vous avez la possibilité d'activer une double authentification sur votre NAS pour s'authentifier sur le portail d'administration. Cette fonction est disponible depuis la page de votre profil :

synology-double-authentification.png

Une fois cette option active, vous devrez utiliser Google Authenticator sur votre terminal mobile pour pouvoir vous authentifier sur votre NAS. Même en cas de vol de votre mot de passe, le pirate n'aura pas accès au portail d'administration de votre NAS.

9. Prévoyez un plan B sur le cloud

Malgré une duplication de vos données sur les deux disques durs, prévoyez un plan B en cas d'incendie ou de corruption complète des données par un Ransomware qui se serait introduit sur votre PC ou un objet connecté de votre réseau et qui aurait chiffré tous les partages trouvés sur votre réseau.

Je vois par défaut 3 solutions :

  • La sauvegarde sur le cloud Amazon grâce à l'application Synology Glacier (ou un autre cloud via une application tierce).
  • La sauvegarde sur un autre NAS Synology distant.
  • La sauvegarde sur un disque USB externe que vous n'oublierez pas de stocker dans un autre endroit que chez vous.

Si vous souhaitez connaitre quelle est la solution la moins chère pour sauvegarder vos données sur le cloud, je vous propose d'aller visiter mon comparatif sur les solutions de sauvegarde en ligne.

Enfin, n'oubliez pas, les virus les plus malicieux sont souvent ceux que l'on voit le moins ....


Vous êtes correctement abonné à Geeek
Bienvenue ! Vous êtes correctement connecté.
Parfait ! Vous êtes correctement inscrit.
Votre lien a expiré
Vérifiez vos emails et utiliser le lien magique pour vous connecter à ce site