Aller au contenu
Cybersécurité > Hardening

12 mesures clés pour sécuriser votre NAS Synology en 2021


Un Synology NAS est un outil fantastique pour stocker et organiser vos fichiers numériques et peut également fournir une variété de services et d’applications que vous pouvez utiliser localement sur votre réseau ou à distance. Cependant, vous devez vous assurer que vous savez comment sécuriser votre Synology NAS.

Mesures clés pour sécuriser votre Synology NAS

Vous trouverez ci-dessous certaines des “meilleures pratiques” que vous pouvez suivre pour sécuriser un Synology NAS.

Désactiver le compte administrateur

La première action est de s’assurer que vous désactivez le compte administrateur lorsque vous configurez votre Synology NAS.

Vous devez créer un nouvel utilisateur et vous assurer qu’il dispose des droits d’administration avant de désactiver l’utilisateur admin.

Ouvrez le Panneau de configuration, puis sélectionnez Utilisateur et groupe
Modifiez l'utilisateur admin
Sélectionnez Désactiver ce compte, puis sélectionnez Enregistrer
Désactiver le compte administrateur

Désactiver le compte administrateur

Activer l’authentification à deux facteurs (2FA)

La deuxième mesure clé consiste à activer l’authentification multifactorielle qui oblige les utilisateurs à saisir un code de sécurité TOTP en plus de leur mot de passe habituel.

Sélectionnez l'icône Personne en haut à droite et sélectionnez Personnel
Cochez la case Activer l'authentification en deux étapes
Cliquez sur le bouton "Vérification en deux étapes"
Suivez l'assistant pour activer le code TOTP 2FA.
Activer l'authentification à deux facteurs (2FA)

Activer l’authentification à deux facteurs (2FA)

Activer le blocage automatique

En plus du système 2FA, le blocage automatique permet de bloquer automatiquement les adresses IP qui ont échoué un certain nombre de connexions pendant une période donnée, afin d’éviter les attaques par force brute.

Ouvrez le Panneau de configuration et sélectionnez Sécurité
Sélectionnez Compte
Assurez-vous que l'option Activer le blocage automatique est sélectionnée
Définissez les paramètres Tentatives de connexion, puis appliquez
Activer le blocage automatique

Activer le blocage automatique

Programmer des analyses antivirus régulières

La solution antivirus gratuite par défaut de Synology est une couche de sécurité supplémentaire qui complète les protections de vos points de terminaison (ordinateur, appareils mobiles, etc…).

Allez dans le Centre de paquets, et ouvrez Antivirus Essential
Assurez-vous que le paquet Antivirus Essential est installé
Ouvrez le paquet Antivirus Essential et allez à Analyse programmée
Assurez-vous qu'une analyse hebdomadaire est programmée.
Programmer des analyses antivirus régulières

Programmer des analyses antivirus régulières

Activer les protections CSRF et CSP

Une politique de sécurité du contenu (CSP) est un ensemble d’instructions que les navigateurs doivent suivre lors du chargement de votre site Web. Ces instructions font partie de l’en-tête de réponse HTTP de votre site. Et un Cross-Site Request Forgery (CSRF) est une attaque qui force un utilisateur final à exécuter des actions non souhaitées sur une application Web dans laquelle il est actuellement authentifié.

Ouvrez le Panneau de configuration, puis sélectionnez Sécurité
Sélectionnez Sécurité
Assurez-vous que la case Améliorer la protection contre les attaques de type cross-site request forgery est cochée
Assurez-vous que la case Améliorer la sécurité avec l'en-tête HTTP Content Security Polcy (CSP) est cochée
Activer les protections CSRF et CSP

Activer les protections CSRF et CSP

Désactiver les versions obsolètes de SMB

Par défaut, SMB1 est exécuté sur Synology pour une meilleure compatibilité. Vous devez désactiver SMB1 dès que possible. Une des raisons pour lesquelles l’un des premiers virus crypto locker s’est répandu si rapidement sur les réseaux informatiques était l’utilisation d’un protocole SMB obsolète sur Microsoft Windows.

Ouvrez le Panneau de configuration, puis sélectionnez Services de fichiers
Sélectionnez SMB / AFP / NFS
Cliquez sur les Paramètres avancés de la section SMB
Assurez-vous que le protocole SMB minimum est défini sur SMB 2 et que le MTU est important
Désactiver les versions obsolètes de SMB

Désactiver les versions obsolètes de SMB

Désactiver le protocole TFTP

Le protocole TFTP est une version plus simple du FTP classique qui est utilisé principalement pour mettre à jour le micrologiciel des périphériques réseau tels que les routeurs, les commuters ou les téléphones IP. Il s’agit d’un protocole non sécurisé qui doit être désactivé.

Ouvrez le Panneau de configuration, puis sélectionnez Services de fichiers
Sélectionnez TFTP
Assurez-vous que les services TFTP ne sont pas cochés
Désactiver le protocole TFTP

Désactiver le protocole TFTP

Préférer SFTP plutôt que FTP

Avec SFTP, votre connexion est toujours sécurisée et les données qui circulent entre votre client FTP et votre serveur web sont cryptées.

La principale différence entre FTP et SFTP est que SFTP utilise un canal sécurisé pour transférer les fichiers, alors que FTP (et même TFTP) ne le fait pas. Il est donc préférable d’utiliser SFTP.

Ouvrez le Panneau de configuration, puis sélectionnez Services de fichiers
Sélectionnez FTP Assurez-vous que les services FTP ne sont pas cochés
Vous pouvez cocher les services SFTP si vous prévoyez d'utiliser ce protocole
Préférer SFTP plutôt que FTP

Préférer SFTP plutôt que FTP

Désactiver les services Telnet et SSH

Il existe de multiples raisons pour lesquelles vous pourriez vouloir utiliser SSH, mais si vous ne l’utilisez pas activement, vous devriez le désactiver. Même si vous avez activé l’authentification à deux facteurs ci-dessus, SSH ne l’utilise pas. C’est pourquoi, si votre réseau est compromis, un attaquant peut essayer de forcer votre mot de passe par SSH.

Telnet n’est pas un protocole fiable et doit être évité.

Ouvrez le Panneau de configuration, puis sélectionnez Terminal & SNMP
Assurez-vous que la case Activer le service Telnet est cochée
Assurez-vous que la case Activer le service SSH est cochée
Désactiver les services Telnet et SSH

Désactiver les services Telnet et SSH

Rediriger HTTP vers HTTPS

Lorsque vous accédez à votre NAS à distance, vous pouvez forcer votre NAS à utiliser une connexion HTTPS à tout moment, après avoir installé au préalable un certificat SSL sur votre NAS.

Ouvrez le Panneau de configuration, puis sélectionnez Réseau
Sélectionnez Paramètres DSM
Cochez Rediriger automatiquement la connexion HTTP vers HTTPS pour le bureau DSM
Modifiez les ports DSM par défaut
Rediriger HTTP vers HTTPS

Rediriger HTTP vers HTTPS

Activer le pare-feu

En outre, si vous exposez votre NAS à l’Internet, veillez à vérifier les paramètres de votre pare-feu sur votre NAS et à personnaliser les règles éventuelles en fonction de vos besoins.

Ouvrez le Panneau de configuration, puis sélectionnez Sécurité
Sélectionnez Pare-feu Cochez
Activer le pare-feu et Activer les notifications du pare-feu.
Activer le pare-feu

Activer le pare-feu

Automatiser l’installation des mises à jour

Enfin et surtout, il y a généralement une nouvelle mise à jour toutes les deux semaines pour s’assurer que les correctifs de sécurité qui assurent la sécurité de votre NAS sont tous installés.

La chose la plus simple que vous puissiez faire pour sécuriser votre NAS est de maintenir le logiciel à jour grâce à une vérification et une installation automatiques programmées.

Ouvrez le Panneau de configuration, puis sélectionnez Mise à jour et restauration
Cliquez sur Paramètres de mise à jour
Sélectionnez "Installer automatiquement la nouvelle mise à jour".
Automatiser l'installation des mises à jour

Automatiser l’installation des mises à jour

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *