Comment améliorer la sécurité de votre Synology NAS
Chaque fois que votre Synology NAS est connecté à Internet, des pirates informatiques et des virus risquent d'attaquer votre Synology NAS et d'essayer d'obtenir un accès non autorisé à des données sensibles. Cet article présente plusieurs méthodes pour renforcer les paramètres de sécurité de votre Synology NAS et le protéger contre le piratage.
Sommaire
Configurer les paramètres d'autorisation des utilisateurs DSM
Ouvrir uniquement les ports publics pour les services nécessaires sur le routeur
1. Avant de commencer
Cet article suppose que les étapes suivantes sont déjà réalisées :
Paramétrage du matériel de votre Synology NAS.
Installation et paramétrage de DSM (DiskStation Manager) sur votre Synology NAS.
2. Exploiter Security Advisor
Security Advisor, une application intégrée à DSM, analyse votre Synology NAS, vérifie les paramètres de votre DSM et vous conseille sur la manière de résoudre une faille de sécurité. Vous pouvez facilement garantir la sécurité de votre Synology NAS en suivant les instructions de Security Advisor.
Pour analyser immédiatement votre Synology NAS :
Accédez à Menu principal > Security Advisor > Vue d'ensemble.
Cliquez sur Analyser.
Pour configurer une analyse automatique programmée :
Accédez à Menu principal > Security Advisor > Avancé.
Cochez la case Activer la planification d'analyse régulière dans la section Planification d'analyse. Sélectionnez l'heure à laquelle vous souhaitez exécuter l'analyse dans les menus déroulants.
Cliquez sur Appliquer.
Pour obtenir des informations détaillées sur Security Advisor, veuillez consulter cette page d'aide.
3. Configurer les paramètres d'autorisation des utilisateurs DSM
Par défaut, le compte de l'administrateur de votre Synology NAS est admin et le mot de passe est invisible. À cause de ce paramètre par défaut, les détails de connexion de ce compte peuvent être facilement devinés par des utilisateurs malveillants tentant de pirater votre Synology NAS.
Par conséquent, pour protéger votre Synology NAS, nous vous recommandons vivement de définir un mot de passe fort juste après avoir configuré votre Synology NAS. Vous pouvez également créer un nouveau compte administrateur et désactiver le compte admin par défaut du système. Pour plus d'informations sur la création de nouveaux utilisateurs, reportez-vous à cette page d'aide.
Remarque :
Si vous oubliez le nouveau mot de passe, vous pouvez réinitialiser votre Synology NAS, ce qui vous permet de vous connecter avec les informations d'identification de l'administrateur par défaut. Pour plus d'informations sur la réinitialisation de votre Synology NAS, consultez ce tutoriel.
Au fur et à mesure que vous ajoutez de nouveaux utilisateurs à votre Synology NAS, vous voudrez peut-être contrôler l'accès aux divers éléments sur votre Synology NAS. Il existe 2 façons de gérer les privilèges d'accès des utilisateurs :
Par paramètres de groupe : Les utilisateurs peuvent être affectés à des groupes pendant le processus de création d'un nouvel utilisateur. Les paramètres de groupe de chaque utilisateur peuvent également être modifiés ultérieurement. Différents groupes peuvent configurer plusieurs privilèges d'accès et les utilisateurs de ces groupes hériteront de ces privilèges. Il existe plusieurs types de privilèges d'accès que vous pouvez définir pour les groupes :
Attribuez des autorisations de dossier partagé aux niveaux suivants :
Pas d'accès : le groupe ne peut pas accéder au dossier partagé.
Lecture/écriture : le groupe peut accéder au dossier partagé et y apporter des modifications.
Lecture seule : le groupe peut accéder au dossier partagé, mais ne peut pas le modifier.
Paramétrez le quota d'utilisation d'un groupe.
Configurez les privilèges d'accès d'un groupe sur les applications. Trois options sont disponibles :
Autoriser : le groupe peut accéder à l'application.
Refuser : le groupe ne peut pas accéder à l'application.
Par IP : gérez les privilèges d'accès par adresse IP.
Activez la limite de vitesse de groupe pour différents services.
Remarque : Pour obtenir des informations sur la configuration des privilèges de groupe, reportez-vous à cette page d'aide.
Par paramètres individuels : les privilèges d'accès des utilisateurs aux dossiers et applications partagés sont définis par les groupes auxquels ils appartiennent. Toutefois, vous pouvez modifier leurs privilèges d'accès en sélectionnant l'utilisateur dans Menu principal > Panneau de configuration > Utilisateur, puis en cliquant sur Modifier.
4. Paramétrer les règles de résistance du mot de passe
Plusieurs types de règles de mot de passe peuvent être activés afin de réduire le risque de piraterie touchant les comptes utilisateurs.
Remarque :
Les règles de résistance du mot de passe ne s'appliquent que lorsqu'un nouvel utilisateur est créé ou lorsqu'un utilisateur modifie son mot de passe après la configuration des règles. Lors de l'importation d'utilisateurs, les mots de passe des utilisateurs importés ne sont pas vérifiés par rapport aux règles. Les règles s'appliquent uniquement lorsque les utilisateurs importés tentent de modifier leur mot de passe après la configuration des règles.
Pour paramétrer les règles de résistance du mot de passe :
Accédez à Menu principal > Panneau de configuration > Utilisateur.
Accédez à la page Avancé. Cochez la case Appliquer les règles de résistance du mot de passe et activez les règles suivantes :
Exclure du mot de passe le nom et la description de l'utilisateur : le mot de passe ne peut contenir ni le nom, ni la description de l'utilisateur, cependant les caractères codés en UTF-8 sont exclus.
Inclut le mélange majuscule/minuscule : des lettres de casses différentes peuvent être utilisées dans un mot de passe.
Inclure les caractères numériques : le mot de passe doit contenir au moins un caractère numérique (0 à 9).
Inclure les caractères spéciaux : le mot de passe doit contenir au moins un caractère ASCII spécial (~, `, !, @, #, $, %, ^, &, *, (, ), -, _, =, +, [, {, ], }, \, |, ;, :, ', ",<, >, /, ?).
Exclure un mot de passe commun : le mot de passe ne peut pas être un mot de passe courant tel que 123 ou abc.
Longueur minimale du mot de passe : le mot de passe doit être supérieur à cette valeur. La longueur doit être un nombre compris entre 6 et 127.
Historique des mots de passe (fois) : le nombre défini détermine le nombre de fois où l'utilisateur est interdit d'utiliser un ancien mot de passe.
Cliquez sur Appliquer pour enregistrer les paramètres.
5. Expiration du mot de passe
Vous pouvez améliorer la sécurité des comptes utilisateurs grâce à la fonction d'expiration du mot de passe afin de forcer les utilisateurs à modifier leur mot de passe après une période définie.
Pour configurer le calendrier d'expiration des mots de passe :
Cochez la case Activer l'expiration du mot de passe.
Les options suivantes peuvent être configurées :
Durée de validité maximale du mot de passe (jours) : spécifiez le délai d'expiration du mot de passe (en nombre de jours).
Durée de validité minimale du mot de passe (jours) : cochez cette case pour activer cette fonction et spécifiez le nombre de jours avant lequel les utilisateurs ne sont pas autorisés à modifier leur mot de passe.
Lors de la connexion, demander aux utilisateurs de changer de mot de passe avant qu'il n'expire (jours) : cochez cette case pour activer cette fonction et spécifiez le nombre de jours avant l'expiration des mots de passe et pour lequel les utilisateurs sont invités à modifier leur mot de passe à la connexion.
Autoriser les utilisateurs à modifier le mot de passe après l'expiration : cochez cette case pour autoriser les utilisateurs à ouvrir une session avec leur mot de passe actuel qui a expiré et à le modifier.
Envoyer des e-mails de notification d'expiration : cochez cette case pour notifier les utilisateurs de l'expiration du mode passe par e-mail.
Cliquez sur Appliquer pour enregistrer les paramètres.
6. Protéger votre compte avec une vérification en 2 étapes
La vérification en 2 étapes améliore la sécurité de votre compte DSM. Si la vérification en 2 étapes est activée, vous devez saisir un code de vérification unique et votre mot de passe lorsque vous vous connectez à DSM. Vous pouvez obtenir les codes de vérification à l'aide des applications d'authentification installées sur votre périphérique mobile. Par conséquent, si quelqu'un veut accéder à votre compte, il devra non seulement être en possession de votre nom d'utilisateur et de votre mot de passe, mais également de votre périphérique mobile.
Configuration requise :
La vérification en 2 étapes nécessite un périphérique mobile et une application d'authentification qui prend en charge le protocole TOTP (Time-based One-Time Password). Les applications d'authentification comprennent Google Authenticator (Android/iPhone/BlackBerry) ou Authenticator (Windows Phone).
Pour activer la vérification en 2 étapes :
Dans le menu Options, cliquez surPersonnel.
Cochez la case Activer la vérification en 2 étapes pour lancer l'assistant de configuration de la vérification en 2 étapes. Cliquez sur Suivant.
Saisissez une adresse e-mail. Des codes de vérification d'urgence peuvent être envoyés à cette adresse e-mail en cas de perte de votre périphérique mobile. Cliquez sur Suivant.
Sur votre périphérique mobile,téléchargez et installez une application d'authentification, telle que Google Authenticator (Android/iPhone/BlackBerry) ou Authenticator (Windows Phone).
Ouvrez votre application d'authentification et scannez le code QR.
Vous pouvez également cliquer sur le lien pour saisir une clé secrète. Cliquez sur OK pour fermer la fenêtre.
Votre application d'authentification génère alors un code de vérification à 6 chiffres. Saisissez ce code dans le champ de texte de l'assistant afin de confirmer que les configurations sont correctes. Si une erreur se produit, veuillez vous assurer que l'heure système de votre périphérique mobile est synchronisée avec l'heure système de DSM. En outre, les codes de vérification étant mis à jour régulièrement, assurez-vous de vérifier que le code saisi n'a pas expiré. Cliquez sur Suivant.
Cliquez sur Fermer pour terminer le paramétrage.
Une fois l'assistant de configuration terminé, cliquez sur OK pour enregistrer les paramètres.
Pour vous connecter à DSM avec la vérification en 2 étapes :
Lorsque la vérification en 2 étapes est activée, vous êtes invité à saisir un code de vérification à 6 chiffres pour vous connecter à DSM.
Sur l'écran de connexion de DSM, saisissez votre nom d'utilisateur et votre mot de passe.
Lorsque vous êtes invité à entrer un code de vérification, ouvrez l'appli d'authentification sur votre périphérique mobile. Recherchez et saisissez le code de vérification à 6 chiffres pour votre compte.
Remarque : Si vous avez perdu votre périphérique mobile, vous pouvez cliquer sur Vous avez perdu votre téléphone ? et un code d'urgence sera envoyé à votre adresse e-mail.
Paramètres SMTP :
Pour recevoir des codes d'urgence par e-mail, les paramètres du serveur SMTP situés dans Menu Principal > Panneau de configuration > Notification doivent être correctement configurés.
Limite de codes d'urgence : chaque utilisateur a une limite de 5 codes d'urgence. Si vous dépassez votre limite, vous devrez désactiver et réactiver la vérification en 2 étapes avant de pouvoir recevoir d'autres codes d'urgence.
7. Activer le blocage automatique et la protection du compte
Blocage automatique : bloquez une adresse IP après un nombre prédéfini d'échecs de tentatives de connexion. Le blocage automatique offre une protection contre les accès non autorisés. Ce nombre inclut tous les échecs de tentatives de connexion via SSH, Telnet, rsync, la sauvegarde réseau, la synchronisation de dossiers partagés, FTP, WebDAV, les applications mobiles de Synology, File Station ou DSM.
Pour activer le blocage automatique IP :
Accédez à Menu principal > Panneau de configuration > Sécurité >Compte.
Cochez la case Activer le blocage automatiquesous Blocage automatique.
Saisissez un nombre pour Tentatives de connexion et Dans les (minutes) pour bloquer une adresse IP après un nombre défini d'échecs de tentatives de connexion pendant le nombre de minutes spécifié.
Cochez la case Activer l'expiration des blocages et saisissez un numéro pour supprimer une adresse IP bloquée après le nombre de jours spécifié.
Cliquez sur Appliquer.
Vous pouvez gérer ou supprimer les adresses IP bloquées en cliquant surListe des autorisations/blocages.
Protection du compte : permet d'améliorer la sécurité de votre Synology NAS en protégeant les comptes contre les clients non fiables dont les tentatives infructueuses de connexion sont trop nombreuses. Cela permet de réduire le risque de comptes piratés par des attaques par force brute.
Pour activer la protection du compte :
Accédez à Menu principal > Panneau de configuration > Sécurité >Compte.
Cochez la case Activer la protection du compte. Cliquez sur Appliquer.
Remarque :
La protection du compte prend en charge les services et paquets suivants : DSM, File Station, Audio Station, Video Station, Download Station, Mail Station, Cloud Station et les applications mobiles Synology.
8. Activer la connexion HTTPS
HTTPS est une manière sécurisée d'interagir avec votre Synology NAS à l'aide du protocole HTTP. Lorsque la connexion HTTPS est activée, la connexion à DSM, Web Station, Photo Station, File Station, Audio Station et Surveillance Station est chiffrée en SSL/TLS. Ceci signifie que votre connexion vers le Synology NAS sera sécurisée. Ce tutoriel est destiné à vous guider dans les étapes obligatoires.
9. Sécuriser le service FTP
Le Synology NAS prend en charge Secure FTP par défaut lorsque vous activez le service FTP. Cliquez ici pour plus d'informations.
10. Ouvrir uniquement les ports publics pour les services nécessaires sur le routeur
Le Synology NAS est conçu pour être facilement accessible via Internet. L'assistant EZ-Internet vous guide dans les étapes permettant d'établir un accès Internet distant à votre Synology NAS. Si votre routeur n'est pas pris en charge par Ez-Internet, Synology NAS vous permet également de configurer les paramètres du routeur sans l'assistant EZ-Internet. Ce tutoriel est destiné à vous guider dans les étapes obligatoires.
Afin de garantir la sécurité de votre Synology NAS, nous vous recommandons fortement d'ouvrir uniquement les ports publics pour les services nécessaires sur le routeur.
11. Activer la protection DoS
Vous pouvez activer la protection DoS (déni de service) pour éviter les attaques malveillantes sur Internet.
Pour activer la protection DoS :
Accédez à Menu principal > Panneau de configuration > Sécurité > Protection.
Cochez la case Activer la protection DoS. Cliquez sur Appliquer.
Remarque :
Une fois la protection DoS activée, votre Synology NAS ne répond qu'à un seul paquet ping ICMP par seconde. Si la fréquence est supérieure à une fois par seconde, Synology NAS ne répond pas à la demande d'écho.
12. Modifier les ports de gestion par défaut
Vous pouvez personnaliser les ports pour bloquer les tentatives de connexion malveillantes.
Voici les ports par défaut :
HTTP : 5000
HTTPS : 5001
SSH : 22
Pour modifier les ports HTTP/HTTPS par défaut :
Accédez à Menu principal > Panneau de configuration > Réseau > Paramètres DSM.
Saisissez les numéros de port personnalisés dans le champ HTTP ou HTTPS. Cliquez sur Appliquer.
Pour modifier le port SSH par défaut :
Accédez à Menu principal > Panneau de configuration > Terminal et SNMP > Terminal.
Cochez la case Activer le service SSH.
Saisissez les numéros de port personnalisés dans le champ Port. Cliquez sur Appliquer.
13. Activer le mode incognito du navigateur ou utiliser la propriété de navigation invité lors d'un accès au Synology NAS avec un ordinateur public
Lorsque vous naviguez en mode navigation privée, les pages que vous consultez n'apparaissent pas dans l'historique du navigateur ni dans l'historique des recherches. Après la fermeture de toutes les fenêtres de navigation privée, elles ne laissent aucune autre trace, telle que des cookies, sur l'ordinateur. Par conséquent, il est recommandé aux utilisateurs d'activer le mode incognito du navigateur lorsqu'ils accèdent au Synology NAS sur un ordinateur public. Les sites Web ci-dessous vous montre comment activer les modes incognito dans la plupart des navigateurs Web.