Comment ajouter une sécurité supplémentaire à votre Synology NAS

Aperçu

Lorsque vous connectez votre Synology NAS à Internet, il y a une chance pour que les pirates et les virus attaquent votre Synology NAS et essayent d'obtenir un accès non privilégié aux données sensibles. Cet article vous donnera des conseils et vous guidera de la meilleure façon pour configurer votre Synology NAS afin que vous minimisiez les risques de sécurité et que vous protégiez votre Synology NAS des pirateries.

Contenu

  1. Avant de commencer
  2. Créer un nouveau compte comme le système administrator et désactiver le compte admin du système par défaut
  3. Paramétrer les règles de force du mot de passe
  4. Restreindre les adresses IP douteuses avec le blocage automatique
  5. Protéger votre compte avec une vérification en 2 étapes
  6. Activer la connexion HTTPS
  7. Sécuriser le service FTP
  8. Ouvrir uniquement les ports publics pour les services nécessaires sur le routeur
  9. Activer le mode incognito du navigateur ou utiliser la propriété de navigation invité lors d'un accès au Synology NAS avec un ordinateur public.

1 Avant de commencer

Cet article suppose que vous avez déjà accompli ce qui suit :

  • Paramétrage terminé du matériel pour votre Synology NAS.
  • Installé et paramétré DiskStation Manager (DSM) sur votre Synology NAS.

Retourner en haut

2 Créer un nouvel administrator et désactiver le compte admin du système par défaut

Par défaut, le compte de l'administrator de votre Synology NAS est admin et le mot de passe est invisible. A cause de ce paramètre par défaut, les détails de connexion de ce compte peuvent être facilement devinés par des parties malicieuses essayant de pirater votre Synology NAS.

Par conséquent, pour protéger votre Synology NAS, vous devez créer un nouveau compte administrator comme le système administrator et ensuite désactivez le compte admin du système par défaut. Cette section va vous guider dans les étapes exigées :

Pour créer un nouveau compte comme le système administrator :

  1. Connectez-vous à DSM en utilisant un compte appartenant au groupe administrators.
  2. Allez dans Menu principal > Panneau de configuration > Utilisateur.
  3. Cliquez sur Créer et ensuite choisissez Créer un utilisateur à partir du menu déroulant.
  4. Entrez un nom d'utilisateur et le mot de passe de votre choix et cliquez ensuite sur Suivant.
  5. Ajoutez le tout nouvel utilisateur créé au groupe administrators en cochant la case Ajouter et ensuite cliquez sur Suivant.
  6. Assignez des autorisation de dossiers partagés au compte administrator nouvellement créé en cochant la case Lecture seule, Lecture/Ecriture ou Aucun accès et cliquez ensuite sur Suivant.
  7. Assignez un quota d'usage si nécessaire. Cliquez sur Suivant.
  8. Admettez le tout nouvel accès administrator créé aux applications en cochant la case Admettre et ensuite cliquez sur Suivant.
  9. Cliquez sur Suivant.
  10. Cliquez sur Appliquer pour confirmer les paramètres pour le compte administrator nouvellement créé.
  11. Dans le menu Options, cliquez sur Déconnecter afin de vous déconnecter de DSM.

Maintenant nous allons désactiver le compte admin par défaut ainsi les parties malicieuses ne pourront pas y accéder :

  1. Identifiez-vous à DSM avec le compte administrator nouvellement créé.
  2. Allez dans Menu principal > Panneau de configuration > Utilisateur.
  3. Sélectionnez le compte admin et cliquez sur Modifier.
  4. Cliquez sur Désactiver ce compte puis cliquez sur OK.

Retourner en haut

3 Paramétrer les règles de force du mot de passe

Plusieurs types de règles de mot de passe peuvent être activées afin de réduire le risque de piraterie touchant les comptes utilisateur.

Remarque : La restriction des mots de passe ne peut s'appliquer qu'à de nouveaux mots de passe. C'est-à-dire, il ne peut s'appliquer que lorsque vous créez un nouvel utilisateur ou lorsque qu'un utilisateur change son mot de passe. Les mots de passe de comptes d'utilisateurs importés sont exclus de la restriction.

Pour paramétrer les règles de force du mot de passe :

  1. Allez dans Menu principal > Panneau de configuration > Utilisateur.
  2. Sur la page Utilisateur, cliquez sur Avancé.
  3. Cochez la case Appliquer les règles de force du mot de passe et activez les règles suivantes :
    • Exclure du mot de passe le nom et la description de l’utilisateur : Le mot de passe ne doit pas contenir le nom de l'utilisateur ou la description de l'utilisateur. Mais les caractères codés en UTF-8 sont exclus.
    • Permettre le mélange majuscule/minuscule : Des lettres de casses différentes sont autorisées dans le mot de passe.
    • Inclure les caractères numériques : Le mot de passe doit contenir au moins un caractère numérique (0 à 9).
    • Inclure les caractères spéciaux : Le mot de passe doit contenir au moins un caractère ASCII spécial (c.-à-d., ~, `, !, @, #, $, %, ^, &, *, (, ), -, _, =, +, [, {, ], }, \, |, ;, :, ', ", <, >, /, ?).
    • Longueur minimale du mot de passe : Le mot de passe doit être supérieur à cette valeur. La longueur doit être un nombre compris entre 6 et 127.

Retourner en haut

4 Restreindre les adresses IP douteuses avec le blocage automatique

Le blocage d’une adresse IP après un nombre prédéfini d’échecs de tentatives de connexion renforce encore plus la sécurité du Synology NAS contre des accès non autorisés. Ce nombre inclue les échecs de tentatives de connexion via SSH, Telnet, rsync, Sauvegarde réseau, Synchro du dossier partagé, FTP, WebDAV, applis mobile de Synology, File Station ou DSM s’ajouteront.

Pour activer le blocage automatique IP :

  1. Allez dans Menu principal > Panneau de configuration > Sécurité> Blocage automatique.
  2. Cochez Activer le blocage automatique :
  3. Entrez un nombre pour les Tentatives de connexion et Sous (minutes) pour bloquer une adresse IP après un nombre défini d'échecs de tentatives de connexion sous le nombre de minutes spécifié.
  4. Cochez Activer l’expiration des blocages et entrez un numéro pour supprimer une adresse IP bloquée après le nombre de jours spécifié.
  5. Cliquez sur Appliquer.
  6. Vous pouvez gérer ou supprimer les adresses IP bloquées en cliquant sur Liste de blocage.

Retourner en haut

5 Protéger votre compte avec une vérification en 2 étapes

La vérification en 2 étapes fournit une sécurité améliorée pour votre compte DSM. Si la vérification en 2 étapes est activée, vous devrez entrer votre mot de passe en plus d'un code de vérification unique lorsque vous vous connectez à DSM. Les codes de vérification sont obtenus d'une application d'authentification installée sur votre appareil mobile. Par conséquent, si quelqu’un veut accéder à votre compte, il devra non seulement être en possession de votre nom d’utilisateur et mot de passe, mais aussi votre appareil mobile.

Configuration requise : La vérification en 2 étapes nécessite un appareil mobile et une application d’authentification qui prend en charge le protocole TOTP (Time-based One-Time Password). Les applications d’authentification comprennent Google Authenticator (Android/iPhone/BlackBerry) ou Authenticator (Windows Phone).

Pour activer la vérification en 2 étapes :

  1. Dans le menu Options, cliquez sur Options.
  2. Cochez la case Activez la vérification en 2 étapes pour lancer l'assistant de configuration de la vérification en 2 étapes. Cliquez sur Suivant.
  3. Entrez une adresse e-mail. Des codes de vérification d'urgence peuvent être envoyés à cette adresse e-mail au cas où votre appareil mobile serait perdu. Cliquez sur Suivant.
  4. Téléchargez et installez une appli d'authentification, telles que Google Authenticator (Android/iPhone/BlackBerry) ou Authenticator (Windows Phone).
  5. Ouvrez votre appli d'authentification et scannez le code QR.
  6. Vous pouvez également cliquer sur le lien manuel pour entrer une clé secrète. Cliquez sur OK pour fermer la fenêtre.
  7. Ensuite, votre appli d'authentification génère un code de vérification à 6 chiffres. Entrez ce code dans le champ de texte de l'assistant afin de confirmer que les configurations sont correctes. Si une erreur se produit, veuillez vous assurer que l'heure système de votre appareil mobile est synchronisée avec l'heure système de DSM. En outre, les codes de vérification sont mis à jour régulièrement, il faut donc vous assurer que le code que vous entrez n'est pas expiré. Cliquez sur Suivant.
  8. Cliquez sur Fermer pour terminer le paramétrage.
  9. Une fois l'assistant de configuration terminé, cliquez sur OK pour enregistrer les paramètres.

Pour vous connecter à DSM avec la vérification en 2 étapes :

Quand la vérification en 2 étapes est activée, vous serez invité à entrer un code de vérification à 6 chiffres lorsque vous vous connectez à DSM.

  1. Sur l'écran de connexion de DSM, entrez votre nom d'utilisateur et le mot de passe comme d'habitude.
  2. Quand vous êtes invité à entrer un code de vérification, ouvrez l'appli d'authentification sur votre appareil mobile.
  3. Trouvez et entrez le code de vérification à 6 chiffres pour votre compte. Si votre appareil mobile est perdu, vous pouvez cliquer sur le lien Vous avez perdu votre téléphone ?, et un code de vérification d'urgence sera envoyé à votre adresse e-mail.
Paramètres SMTP :  Pour recevoir des codes de vérification d'urgence via e-mail, les paramètres de serveur SMTP situés dans Panneau de configuration > Notification doivent être configurés correctement.
  • Limite du code d’urgence :  Chaque utilisateur a une limite de 5 codes d'urgence. Si vous dépassez votre limite, vous devrez désactiver et activer la vérification en 2 étapes avant de pouvoir recevoir d'autres codes d'urgence.
  • Retourner en haut

    6 Activer la connexion HTTPS

    HTTPS est une manière sécurisée d’interagir avec votre Synology NAS à l'aide du protocol HTTP. Lorsque la connexion HTTPS est activée, se connecter à DSM, Web Station, Photo Station, File Station, Audio Station et Surveillance Station sera cryptée en SSL/TLS. Ceci signifie que votre connexion vers le Synology NAS sera sécurisée. Cet article pratique va vous guider dans les étapes exigées :

    7 Sécuriser le service FTP

    Le serveur Synology NAS prend en charge Secure FTP par défaut lorsque vous activez le service FTP. Consultez ici pour des détails.

    8 Ouvrir uniquement les ports publics pour les services nécessaires sur le routeur

    Synology NAS est conçu pour être facile d'accès via Internet. L’assistant EZ-Internet vous guide dans les étapes nécessaires pour établir un accès Internet distant à votre Synology NAS. Si votre routeur n'est pas pris en charge par Ez-Internet, Synology NAS vous permet également de configurer les paramètres du routeur sans l'assistant EZ-Internet. Cet article pratique va vous guider dans les étapes exigées :

    Afin d'assurer la sécurité de votre Synology NAS, nous vous recommandons fortement d'ouvrir uniquement les ports publics pour les services nécessaires sur le routeur.

    9 Activer le mode incognito du navigateur ou utiliser la propriété de navigation invité lors d'un accès au Synology NAS avec un ordinateur public.

    A chaque fois que vous naviguez en mode incognito, les pages que vous avez vu n'apparaitront pas dans l'historique du navigateur ou dans l'historique de recherche et ne laisseront aucune traces, telles que les cookies sur l'ordinateur après que vous ayez fermé les fenêtres incognito ouvertes. Cependant, nous encourageons les utilisateurs d'activer le mode incognito du navigateur lors d'un accès au Synology NAS avec un ordinateur public. Les sites web ci-dessous vous montre comment activer les modes incognito dans la plupart des navigateurs web.

    Retourner en haut