Synology NAS: comment ajuster au mieux les paramètres de sécurité
⌛
le Serveur NAS est un appareil qui, de par sa nature même, stocke des informations personnelles et des données sensibles. Lors de l’installation d’un ou plusieurs NAS au sein de votre réseau, il est essentiel de peser soigneusement tous les paramètres liés à la sécurité.
LES Synologie NAS ce sont des produits complets et extrêmement polyvalents qui, grâce aux fonctions qu’ils fournissent, offrent également un ensemble de réglages pour empêcher les accès non autorisés et protéger l’intégrité et la confidentialité des données stockées. Voici quelques conseils pratiques pour sécuriser votre Synology NAS.
Comment sécuriser le Synology NAS
1) Gardez toujours le micrologiciel de votre Synology NAS à jour
Synology est l’une des entreprises les plus assidues dans la correction des bogues et des vulnérabilités identifiées dans ses produits. Il est donc essentiel de vérifier périodiquement les nouvelles mises à jour du firmware.
Le système d’exploitation Gestionnaire de DiskStation (DSM) signale la disponibilité d’une nouvelle mise à jour qui peut être appliquée en cliquant sur l’icône Mettre à jour et restaurer Panneau de commande.
2) Désactivez le compte administratif et créez-en un nouveau
Chaque Synology NAS est livré avec un compte administrateur prédéfini: bien que vous puissiez modifier le mot de passe qui lui est associé, vous ne pouvez pas modifier son nom qui reste toujours admin.
Le conseil est de créer un nouveau compte administrateur sur le Synology NAS puis de désactiver l’utilisateur admin défaut.
Ce faisant, toute personne malveillante souhaitant tenter d’accéder au contenu du NAS n’aura pas à concentrer ses efforts sur le mot de passe, sans même connaître le nom du compte administratif.
Pour créer un nouveau compte administrateur, connectez-vous simplement au panneau de configuration du Synology NAS, cliquez sur l’icône Utilisateur puis sur Créer, créer un utilisateur.
Après avoir entré votre nom et votre mot de passe (choisissez-en un suffisamment long et complexe), vous devrez attribuer tous les droits au nouveau compte, y compris les droits d’administrateur.
L’étape suivante consiste à attribuer des droits de lecture / écriture à tous les dossiers partagés actuellement configurés sur le Synology NAS. Puisqu’il s’agit d’un compte avec des privilèges administratifs, il peut ensuite être utilisé pour modifier les permissions en totale autonomie et liberté.
Le quota d’utilisation (c’est-à-dire la quantité d’espace qui peut être occupée sur le NAS par le compte administrateur) est automatiquement considéré comme illimité alors que dans l’écran suivant, nous suggérons d’attribuer au compte tous les droits sur chaque application installée.
Enfin, vous pouvez laisser les paramètres de vitesse de transfert de données inchangés (Réglage de la limite de vitesse utilisateur) puis cliquez sur Appliquer pour ajouter le nouveau compte administrateur.
À ce stade, vous pouvez vous déconnecter de l’interface d’administration du Synology NAS en cliquant sur l’icône Options en haut à droite puis en choisissant l’article Sortir.
En vous connectant avec les informations d’identification correspondant au compte administratif que vous venez d’ajouter, vous pouvez vérifier si tout fonctionne correctement, vous devrez donc désactiver le compte administrateur par défaut.
Pour continuer, revenez simplement au panneau de configuration du Synology NAS, cliquez sur Utilisateur, sélectionnez le compte admin par défaut puis cliquez sur le bouton Éditer.
Dans la carte Informations, il suffit de cocher la case Désactivez ce compte et laissez l’option sélectionnée Immédiatement.
Dans la colonne L’état, une fois que vous avez cliqué sur OK, à droite du compte admin l’indication apparaîtra Désactivée.
3) Activer l’authentification à deux facteurs
L’authentification à deux facteurs est l’un des mécanismes les plus efficaces pour sécuriser correctement vos comptes. En effet, son fonctionnement repose non seulement sur l’utilisation d’identifiants normaux (nom d’utilisateur et mot de passe) mais également sur l’insertion d’un code de vérification reçu par l’utilisateur, par exemple, sur son appareil mobile.
Google et Synology appellent cela l’authentification à deux facteurs Vérification en deux étapes mais le concept est fondamentalement le même: Google 2-Step Verification: seuls 10% des utilisateurs l’utilisent.
S’il est très important de protéger les comptes en ligne et cloud qui contiennent des données personnelles et des informations sensibles, il est tout aussi important d’activer l’authentification à deux facteurs pour les comptes configurés sur le Synology NAS et, surtout, pour les comptes administratifs.
En cliquant sur l’icône Options en haut à droite du panneau de configuration NAS puis sur l’élément Pers., dans la section Compte vous trouverez la boîte Activer la vérification en deux étapes.
Sur votre appareil mobile, vous devrez ensuite installer une application capable de gérer la vérification en deux étapes: Synology recommande Google Authenticator (Android, iOS et BlackBerry) ou Authenticator (Windows Phone, Windows Mobile) mais des applications alternatives telles que Authentification Authy à 2 facteurs ou alors Duo mobile.
En scannant le code QR qui est affiché dans l’interface d’administration du Synology NAS à partir de l’application installée sur votre appareil, vous obtiendrez un code de confirmation qui doit être saisi sur demande.
Veuillez également noter que le code de confirmation est valable pour une durée limitée: vous devez donc être rapide lorsque vous le demandez depuis l’interface du Synology NAS.
Synology recommande l’activation du service de notification par e-mail qui vous permet de recevoir, sous la forme d’un e-mail, des informations sur les changements d’état du compte ou des événements importants affectant le NAS.
DSM prend en charge tous les grands comptes et est capable de s’authentifier via le protocole OAuth (sans même que l’utilisateur n’ait à saisir le mot de passe). Cependant, n’importe quel serveur SMTP peut être utilisé. Dans notre cas, par exemple, nous avons préféré utiliser le serveur SMTP de Google en effectuant une authentification traditionnelle avec nom d’utilisateur et mot de passe (voir Impossible d’accéder à Gmail: connexion Web requise).
4) Bloquer les tentatives de connexion suspectes
Le Synology NAS empêche un attaquant de se livrer à de telles attaques Force brute pour retrouver les mots de passe utilisés pour protéger les comptes.
Pour renforcer la sécurité, nous vous suggérons d’accéder au Panneau de configuration, tapez Sécurité dans le champ de recherche puis cliquez sur l’onglet Compte.
Habituellement, les paramètres de la figure sont plus que suffisants pour bloquer toute attaque Force brute.
5) Fermez les ports sur le routeur et activez le serveur VPN
Comme nous l’avons souligné à maintes reprises dans les articles dédiés au Synology NAS, ces appareils sont extrêmement complets et polyvalents permettant non seulement le stockage sécurisé des fichiers et leur sauvegarde périodique mais aussi l’installation de logiciels avec fonctionnalité serveur.
Il est ainsi possible d’utiliser, même à distance, des outils de partage de fichiers et de dossiers, de collaborer à plusieurs mains sur la rédaction de documents, d’accéder à des archives photo et des collections de vidéos (Comment collecter et organiser vos photos avec Synology Moments), de gérer toutes les caméras vidéo qui composent votre système de vidéosurveillance (Vidéosurveillance: intégration et gestion de caméras vidéo complètement différentes) et bien plus encore.
Chaque application installée sur le Synology NAS avec une fonctionnalité de serveur utilise un ou plusieurs ports qui doivent être ouverts sur le routeur pour y accéder à distance.
Comme souligné dans l’article Balayage des ports: une épée à double tranchant. Défendez-vous, le conseil est de ne pas ouvrir de port sur le routeur ni de configurer le redirection de port à l’adresse IP locale correspondant au Synology NAS.
Au contraire, il est bon de configurer le serveur VPN offert par le Synology NAS et de se connecter à distance aux services Web et aux applications uniquement via le réseau VPN.
De cette façon, l’appareil à partir duquel vous vous connecterez apparaîtra connecté au LAN comme tous les autres appareils locaux et les données envoyées et reçues passeront par un canal crypté (tunnel), ce qui rendra impossible la surveillance et la modification par les utilisateurs non autorisés et les cybercriminels. .
Les instructions pour configurer un serveur VPN sur Synology NAS peuvent être trouvées dans l’article Serveur VPN, comment le créer à l’aide d’un NAS.
6) Définir l’utilisation de HTTPS
Surtout si vous avez l’intention d’activer l’accès à distance au Synology NAS et, en particulier, n’utilisez pas le VPN, il est essentiel d’activer le protocole HTTPS.
Sinon, un attaquant pourrait facilement récupérer les informations de connexion au NAS, puis surveiller, voler ou modifier des fichiers et des paramètres.
Pour activer l’utilisation du HTTPS (le protocole permet de crypter et donc de protéger efficacement les données échangées entre client et serveur, et vice versa), il suffit d’aller dans le Panneau de configuration du Synology NAS, cliquer sur Réseau, en haut Paramètres DSM et activez la boîte Redirige automatiquement les connexions HTTP vers HTTPS.
Lors du redémarrage des services Web sur votre Synology NAS, vous obtiendrez une erreur très similaire à la suivante:
Bien que, à première vue, l’erreur puisse sembler plutôt menaçante, son apparence est tout à fait normale car le Synology NAS utilise une connexion HTTPS mais il n’utilise aucun certificat numérique valide, émis par une autorité de certification reconnue.
Pour continuer, vous devrez cliquer sur Avancée et puis sur Continuez … (pas sûr).
Pour se débarrasser de l’erreur liée au certificat numérique invalide, vous devez taper Sécurité dans la zone de recherche du Panneau de configuration, sélectionnez l’onglet Certificat et cliquez sur le bouton RSE.
En choisissant Créer une demande de signature de certificat vous obtiendrez un fichier compressé contenant le fichier .CSR à soumettre à une autorité de certification pour obtenir le certificat numérique correspondant au nom de domaine indiqué.
Le Synology NAS intègre également une fonctionnalité pour recevoir (et renouveler) un certificat gratuit via le service Crypterons: Obtenez un certificat numérique générique pour HTTPS avec Let’s Encrypt.
Pour plus d’informations sur Synologie NAS visitez le site officiel et nos articles.
Découvrez aussi plus d’articles dans nos catégories windows, productivité ou encore Ordinateur et internet.
Finalement Merci pour votre visite on espère que notre article Synology NAS: comment ajuster au mieux les paramètres de sécurité
vous aide, on vous invite à partager l’article sur Facebook, twitter et e-mail avec les hashtag ☑️ #Synology #NAS #comment #ajuster #mieux #les #paramètres #sécurité ☑️!