Comment améliorer la sécurité de votre Synology NAS

Chaque fois que votre Synology NAS est connecté à Internet, des pirates informatiques et des virus risquent d'attaquer votre Synology NAS et d'essayer d'obtenir un accès non autorisé à des données sensibles. Cet article présente plusieurs méthodes pour renforcer les paramètres de sécurité de votre Synology NAS et le protéger contre le piratage.

Sommaire

• Avant de commencer

• Exploiter Security Advisor

• Configurer les paramètres d'autorisation des utilisateurs DSM

• Paramétrer les règles de résistance du mot de passe

• Expiration du mot de passe

• Protéger votre compte avec une vérification en 2 étapes

• Activer le blocage automatique et la protection du compte

• Activer la connexion HTTPS

• Sécuriser le service FTP

• Ouvrir uniquement les ports publics pour les services nécessaires sur le routeur

• Activer la protection DoS

• Modifier les ports de gestion par défaut

• Activer le mode incognito du navigateur ou utiliser la propriété de navigation invité lors d'un accès au Synology NAS avec un ordinateur public

1. Avant de commencer

Cet article suppose que les étapes suivantes sont déjà réalisées :

• Paramétrage du matériel de votre Synology NAS.

• Installation et paramétrage de DSM (DiskStation Manager) sur votre Synology NAS.

2. Exploiter Security Advisor

Security Advisor, une application intégrée à DSM, analyse votre Synology NAS, vérifie les paramètres de votre DSM et vous conseille sur la manière de résoudre une faille de sécurité. Vous pouvez facilement garantir la sécurité de votre Synology NAS en suivant les instructions de Security Advisor.

Pour analyser immédiatement votre Synology NAS :

• Accédez à Menu principal > Security Advisor > Vue d'ensemble.

• Cliquez sur Analyser.
  

Pour configurer une analyse automatique programmée :

• Accédez à Menu principal > Security Advisor > Avancé.

• Cochez la case Activer la planification d'analyse régulière dans la section Planification d'analyse. Sélectionnez l'heure à laquelle vous souhaitez exécuter l'analyse dans les menus déroulants.

• Cliquez sur Appliquer.
  

Pour obtenir des informations détaillées sur Security Advisor, veuillez consulter cette page d'aide.

3. Configurer les paramètres d'autorisation des utilisateurs DSM

Par défaut, le compte de l'administrateur de votre Synology NAS est admin et le mot de passe est invisible. À cause de ce paramètre par défaut, les détails de connexion de ce compte peuvent être facilement devinés par des utilisateurs malveillants tentant de pirater votre Synology NAS.

Par conséquent, pour protéger votre Synology NAS, nous vous recommandons vivement de définir un mot de passe fort juste après avoir configuré votre Synology NAS. Vous pouvez également créer un nouveau compte administrateur et désactiver le compte admin par défaut du système. Pour plus d'informations sur la création de nouveaux utilisateurs, reportez-vous à cette page d'aide.

Remarque :

• Si vous oubliez le nouveau mot de passe, vous pouvez réinitialiser votre Synology NAS, ce qui vous permet de vous connecter avec les informations d'identification de l'administrateur par défaut. Pour plus d'informations sur la réinitialisation de votre Synology NAS, consultez ce tutoriel.

Au fur et à mesure que vous ajoutez de nouveaux utilisateurs à votre Synology NAS, vous voudrez peut-être contrôler l'accès aux divers éléments sur votre Synology NAS. Il existe 2 façons de gérer les privilèges d'accès des utilisateurs :

• Par paramètres de groupe : Les utilisateurs peuvent être affectés à des groupes pendant le processus de création d'un nouvel utilisateur. Les paramètres de groupe de chaque utilisateur peuvent également être modifiés ultérieurement. Différents groupes peuvent configurer plusieurs privilèges d'accès et les utilisateurs de ces groupes hériteront de ces privilèges. Il existe plusieurs types de privilèges d'accès que vous pouvez définir pour les groupes :

  • Attribuez des autorisations de dossier partagé aux niveaux suivants :

    • Pas d'accès : le groupe ne peut pas accéder au dossier partagé.

    • Lecture/écriture : le groupe peut accéder au dossier partagé et y apporter des modifications.

    • Lecture seule : le groupe peut accéder au dossier partagé, mais ne peut pas le modifier.

  • Paramétrez le quota d'utilisation d'un groupe.

  • Configurez les privilèges d'accès d'un groupe sur les applications. Trois options sont disponibles :

    • Autoriser : le groupe peut accéder à l'application.

    • Refuser : le groupe ne peut pas accéder à l'application.

    • Par IP : gérez les privilèges d'accès par adresse IP.

  • Activez la limite de vitesse de groupe pour différents services.
    Remarque : Pour obtenir des informations sur la configuration des privilèges de groupe, reportez-vous à cette page d'aide.

• Par paramètres individuels : les privilèges d'accès des utilisateurs aux dossiers et applications partagés sont définis par les groupes auxquels ils appartiennent. Toutefois, vous pouvez modifier leurs privilèges d'accès en sélectionnant l'utilisateur dans Menu principal > Panneau de configuration > Utilisateur, puis en cliquant sur Modifier.

4. Paramétrer les règles de résistance du mot de passe

Plusieurs types de règles de mot de passe peuvent être activés afin de réduire le risque de piraterie touchant les comptes utilisateurs.

Remarque :

• Les règles de résistance du mot de passe ne s'appliquent que lorsqu'un nouvel utilisateur est créé ou lorsqu'un utilisateur modifie son mot de passe après la configuration des règles. Lors de l'importation d'utilisateurs, les mots de passe des utilisateurs importés ne sont pas​​ vérifiés par rapport aux règles. Les règles s'appliquent uniquement lorsque les utilisateurs importés tentent de modifier leur mot de passe après la configuration des règles.

Pour paramétrer les règles de résistance du mot de passe :

• Accédez à Menu principal > Panneau de configuration > Utilisateur.
  

• Accédez à la page Avancé. Cochez la case Appliquer les règles de résistance du mot de passe et activez les règles suivantes :
  

  • Exclure du mot de passe le nom et la description de l'utilisateur : le mot de passe ne peut contenir ni le nom, ni la description de l'utilisateur, cependant les caractères codés en UTF-8 sont exclus.

  • Inclut le mélange majuscule/minuscule : des lettres de casses différentes peuvent être utilisées dans un mot de passe.

  • Inclure les caractères numériques : le mot de passe doit contenir au moins un caractère numérique (0 à 9).

  • Inclure les caractères spéciaux : le mot de passe doit contenir au moins un caractère ASCII spécial (~, `, !, @, #, $, %, ^, &, *, (, ), -, _, =, +, [, {, ], }, \, |, ;, :, ', ",<, >, /, ?).

  • Exclure un mot de passe commun : le mot de passe ne peut pas être un mot de passe courant tel que 123 ou abc.

  • Longueur minimale du mot de passe : le mot de passe doit être supérieur à cette valeur. La longueur doit être un nombre compris entre 6 et 127.

  • Historique des mots de passe (fois) : le nombre défini détermine le nombre de fois où l'utilisateur est interdit d'utiliser un ancien mot de passe.

• Cliquez sur Appliquer pour enregistrer les paramètres.

5. Expiration du mot de passe

Vous pouvez améliorer la sécurité des comptes utilisateurs grâce à la fonction d'expiration du mot de passe afin de forcer les utilisateurs à modifier leur mot de passe après une période définie.

Pour configurer le calendrier d'expiration des mots de passe :

• Cochez la case Activer l'expiration du mot de passe.

• Les options suivantes peuvent être configurées :

  • Durée de validité maximale du mot de passe (jours) : spécifiez le délai d'expiration du mot de passe (en nombre de jours).

  • Durée de validité minimale du mot de passe (jours) : cochez cette case pour activer cette fonction et spécifiez le nombre de jours avant lequel les utilisateurs ne sont pas autorisés à modifier leur mot de passe.

  • Lors de la connexion, demander aux utilisateurs de changer de mot de passe avant qu'il n'expire (jours) : cochez cette case pour activer cette fonction et spécifiez le nombre de jours avant l'expiration des mots de passe et pour lequel les utilisateurs sont invités à modifier leur mot de passe à la connexion.

  • Autoriser les utilisateurs à modifier le mot de passe après l'expiration : cochez cette case pour autoriser les utilisateurs à ouvrir une session avec leur mot de passe actuel qui a expiré et à le modifier.

  • Envoyer des e-mails de notification d'expiration : cochez cette case pour notifier les utilisateurs de l'expiration du mode passe par e-mail.

• Cliquez sur Appliquer pour enregistrer les paramètres.

6. Protéger votre compte avec une vérification en 2 étapes

La vérification en 2 étapes améliore la sécurité de votre compte DSM. Si la vérification en 2 étapes est activée, vous devez saisir un code de vérification unique et votre mot de passe lorsque vous vous connectez à DSM. Vous pouvez obtenir les codes de vérification à l'aide des applications d'authentification installées sur votre périphérique mobile. Par conséquent, si quelqu'un veut accéder à votre compte, il devra non seulement être en possession de votre nom d'utilisateur et de votre mot de passe, mais également de votre périphérique mobile.

Configuration requise :

• La vérification en 2 étapes nécessite un périphérique mobile et une application d'authentification qui prend en charge le protocole TOTP (Time-based One-Time Password). Les applications d'authentification comprennent Google Authenticator (Android/iPhone/BlackBerry) ou Authenticator (Windows Phone).

Pour activer la vérification en 2 étapes :