Matériel > Synology > Sécurité - Accès à distance

Synology : Sécurité - Accès à distance

Pages précédentes :

 

Synology : Installation

 

 

Synology.com - Quels ports réseau les services du NAS Synology utilisent-ils ?

Synology.com - Comment ajouter une sécurité supplémentaire à votre Synology NAS
- Créer un nouveau compte comme le système administrator et désactiver le compte admin du système par défaut
- Paramétrer les règles de force du mot de passe
- Restreindre les adresses IP douteuses avec le blocage automatique
- Protéger votre compte avec une vérification en 2 étapes
- Activer la connexion HTTPS
- Sécuriser le service FTP
- Ouvrir uniquement les ports publics pour les services nécessaires sur le routeur
- Activer le mode incognito du navigateur ou utiliser la propriété de navigation invité lors d'un accès au Synology NAS avec un ordinateur public.

 

 

Sécurité - Accès à distance :

Le Synology offre la possibilité d'y accéder par Internet, lorsqu'on est à l'extérieur.
Pour accéder à ses fichiers, et même donner accès à d'autres personnes,
Pour héberger son propre site Internet

Mais c'est une utilisation qui nécessite de prendre des précautions

Quelques points à considérer (non exhaustif)

 

 

Désactiver l'utilisateur admin :

Il est recommandé de créer un utilisateur aux mêmes droits que l'utilisateur admin, et de désactiver ce dernier.

PS : Sur les dernières versions (Installation DSM avec Web Assistant), il est demandé, lors de l'installation, de créer un utilisateur.
Les comptes admin et guest sont désactivés par défaut.

 

Synology.com - Comment ajouter une sécurité supplémentaire à votre Synology NAS
- Créer un nouveau compte comme le système administrator et désactiver le compte admin du système par défaut

Par défaut, le compte de l'administrator de votre Synology NAS est admin et le mot de passe est invisible. A cause de ce paramètre par défaut, les détails de connexion de ce compte peuvent être facilement devinés par des parties malicieuses essayant de pirater votre Synology NAS.
Par conséquent, pour protéger votre Synology NAS, vous devez créer un nouveau compte administrator comme le système administrator et ensuite désactivez le compte admin du système par défaut.

 

 

Blocage auto :

But : Bloquer l'accès au Synology à une adresse IP après plusieurs tentatives d'accès infructueuses

- Panneau de configuration, Sécurité
- onglet Blocage auto
- cocher "Activer le blocage auto"

Securité : activer le blocage auto

 

On peut également, selon la page :
Synology.com - Comment ajouter une sécurité supplémentaire à votre Synology NAS

"- Entrez un nombre pour les Tentatives de connexion et Sous (minutes) pour bloquer une adresse IP après un nombre défini d'échecs de tentatives de connexion sous le nombre de minutes spécifié.
- Cochez Activer l’expiration des blocages et entrez un numéro pour supprimer une adresse IP bloquée après le nombre de jours spécifié.
- Cliquez sur Appliquer.
- Vous pouvez gérer ou supprimer les adresses IP bloquées en cliquant sur Liste de blocage"

 

 

Activer la connexion en HTTPS :

"Par défaut, vous pouvez accéder à votre DiskStation via le port 5000, qui est une connexion HTTP non sécurisée sans chiffrement. Cependant, sans chiffrement, vos données pourraient être consultées par d'autres lors de l'utilisation d'un point d'accès Wi-Fi public. Par conséquent, il est recommandé d'utiliser la connexion HTTPS sécurisée pour accéder à votre DiskStation sur Internet."

 

Synology.com - Comment activer HTTPS et créer une demande de signature de certificat sur le Synology NAS

"... HTTPS est une manière sécurisée d’interagir avec votre Synology NAS à l'aide du protocol HTTP. Lorsque la connexion HTTPS est activée, se connecter à DSM, Web Station, Photo Station, File Station, Audio Station et Surveillance Station sera cryptée en SSL/TLS. Ceci signifie que votre connexion vers le Synology NAS sera sécurisée.

 

- Panneau de configuration, Réseau
- onglet Paramètres de DSM
- cocher "Activer la connexion HTTPS"

On peut également :
- cocher "Rediriger automatiquement les connexions HTTP vers le HTTPS..."

Réseau - Paramètres de DSM

 

 

Fermer des ports :

Les ports sont les portes d'entrée du Synology.
Selon le service utilisé (Web, FTP, Telnet, etc.) on utilise tel ou tel port

Synology.com - Quels ports réseau les services du NAS Synology utilisent-ils ?

 

Vu sur Nas-forum.com - Synolocker – Le Cheval De Troie Qui Rackette Les Possesseurs De Synology
"Enfin ouvrir le port tcp/5000 sur son routeur c'est déjà une faille en soi, mais rien ne dit que la faille n'est pas exploitable en HTTPS via le port tcp/5001.
Étant donné que l'origine de la faille n'a pas été identifiée, je recommanderais de fermer au moins les ports suivants tcp/5000 et tcp/5001 (DSM), tcp/22 (SSH), tcp/23 (Telnet), tcp/80 et tcp/443 (Web Station).
Pour continuer à accéder au DSM à distance, il sera préférable d'utiliser VPN Server pour vous connecter à votre NAS.
Ayant constaté pas mal de scan de port tcp/5000 à mon travail, il y a de grandes chances que la faille ait été exploitée directement sur DSM"

 

 

Créer des règles de pare-feu :

- Panneau de configuration, Sécurité,
- onglet Pare-feu
- cliquer sur Créer

Pour restreindre par pays :
Dans IP source :
- sélectionner "Région"
- cliquer sur "Sélectionner"
On peut conserver uniquement la France, pour éviter des attaques de Chine, Russie, etc.
Dans Action :
- cliquer sur "Refuser"

DSM 5 - Pare-feu