Cet article propose plusieurs méthodes qui peuvent vous aider à rendre votre Synology NAS plus sécurisé.

Activer le Conseiller de sécurité

Le Conseiller de sécurité est une application intégrée à DSM qui analyse votre Synology NAS, vérifie vos paramètres DSM et vous donne des conseils sur la façon de résoudre les faiblesses de sécurité. Pour configurer le Conseiller de sécurité, consultez cet article.

Configurer les paramètres d'autorisation des utilisateurs DSM

• Assurez-vous que le compte admin par défaut est désactivé pour prévenir les attaques malveillantes.
• Gérez l'accès à votre Synology NAS en configurant les privilèges des utilisateurs pour les dossiers partagés et les applications, ainsi qu'en définissant des quotas d'utilisation et des limites de vitesse pour différents services. Vous pouvez le faire au niveau du groupe ou au niveau individuel et pendant le processus de création de groupe/utilisateur ou ultérieurement dans Panneau de configuration > Utilisateur (pour DSM 6.2 et antérieur) ou Utilisateur et groupe (pour DSM 7.0 et ultérieur).

Configurer les règles de force du mot de passe

Vous pouvez vous assurer que les utilisateurs définissent des mots de passe forts pour réduire le risque de piratage. Sélectionnez Appliquer les règles de force de mot de passe aux emplacements suivants :

• Pour DSM 7.0 et supérieur : Accédez à Panneau de configuration > Utilisateur et groupe > Avancé > Paramètres du mot de passe.
• Pour DSM 6.2 et antérieur : Accédez à Panneau de configuration > Utilisateur > Avancé > Paramètres du mot de passe.

Pour plus d'informations sur les règles de force du mot de passe, consultez cet article.

Définir l'expiration des mots de passe

Vous pouvez obliger les utilisateurs à changer leurs mots de passe après une période de temps. Sélectionnez Activer l'expiration du mot de passe aux emplacements suivants :

• Pour DSM 7.0 et supérieur : Accédez à Panneau de configuration > Utilisateur et groupe > Avancé > Expiration du mot de passe.
• Pour DSM 6.2 et antérieur : Accédez à Panneau de configuration > Utilisateur > Avancé > Expiration du mot de passe.

Pour plus d'informations sur l'expiration des mots de passe, consultez cet article.

Utiliser l'authentification multi-facteurs

L'authentification multi-facteurs offre une sécurité supplémentaire pour votre compte DSM. Si elle est activée, vous devez fournir une seconde vérification d'identité en plus de votre mot de passe lors de la connexion à DSM. Pour plus d'informations sur l'authentification multi-facteurs, consultez les articles d'aide respectifs pour DSM 7.0 et DSM 6.2.

• Pour DSM 7.0 et supérieur : Accédez à Options > Personnel > Compte > Authentification à 2 facteurs.
• Pour DSM 6.2 et antérieur : Accédez à Options >Personnel > Compte, sélectionnez Activer la vérification en 2 étapes.

Activer le blocage automatique et la protection du compte

Vous pouvez activer le blocage automatique pour bloquer une adresse IP après un nombre prédéfini de tentatives de connexion. Cette fonction s'applique aux tentatives de connexion via SSH, Telnet, rsync, sauvegarde réseau, synchronisation de dossier partagé, FTP, WebDAV, applications mobiles Synology, File Station et DSM. Configurez Blocage automatique aux emplacements suivants :

• Pour DSM 7.0 et supérieur : Accédez à Panneau de configuration > Sécurité > Protection.
• Pour DSM 6.2 et antérieur : Accédez à Panneau de configuration > Sécurité > Compte.

Vous pouvez activer la protection du compte pour réduire le risque d'attaques par force brute. Cette fonction prend en charge les services et paquets suivants : DSM, File Station, Audio Station, Video Station, Download Station, Mail Station, Cloud Station et les applications mobiles Synology. Configurez Protection du compte dans Panneau de configuration > Sécurité > Compte.

Utiliser des connexions chiffrées

Pour chiffrer les connexions avec SSL/TLS, utilisez HTTPS pour accéder à DSM et aux paquets basés sur le web comme Synology Chat, Synology Drive, Synology Photos et Surveillance Station. Cela sécurise la communication client avec votre Synology NAS. Vous pouvez activer HTTPS en utilisant les méthodes suivantes :

• Pour la connexion DSM, allez dans Panneau de configuration > Portail de connexion > DSM pour sélectionner soit Rediriger automatiquement la connexion HTTP vers HTTPS soit Activer HSTS pour forcer les navigateurs à utiliser des connexions sécurisées (sélectionnez ceci si vous utilisez un domaine personnalisé). Ne pas activer les deux options simultanément pour éviter les problèmes de connexion.
• Pour les paramètres de portail ou de proxy inverse, cochez les cases relatives à HSTS lorsque vous configurez les éléments suivants :
  • Domaines d'application personnalisés
  • Portails de services Web
  • Proxies inverses
• Pour la connexion aux applications mobiles et utilitaires, sélectionnez HTTPS sur l'écran de connexion des applications mobiles Synology ou des utilitaires de bureau.

Une fois que vous avez terminé les réglages ci-dessus, assurez-vous d'ajouter un certificat SSL valide.

De plus, comme certains services ou paquets offrent également un chiffrement de connexion, vous pouvez essayer les méthodes suivantes pour rendre votre Synology NAS plus sécurisé :

• Activez FTPS ou SFTP au lieu de FTP, car FTP n'offre aucun chiffrement pour sécuriser les transferts de données.
• Sélectionnez Chiffrement du transfert lors de la sauvegarde de données vers des destinations distantes via Hyper Backup.
• Sélectionnez Activer le chiffrement du transfert SSH lors de l'utilisation de Synchronisation de dossier partagé.

Ouvrir uniquement les ports publics pour les services nécessaires sur le routeur

Synology NAS est conçu pour être facilement accessible via Internet. Consultez ce tutoriel pour apprendre à configurer l'accès à distance. Pour garantir la sécurité de votre Synology NAS, nous recommandons fortement de n'ouvrir que les ports publics pour les services nécessaires sur le routeur.

Activer la protection DoS

Vous pouvez activer la protection contre le déni de service (DoS) pour prévenir les attaques malveillantes sur Internet. Pour ce faire, allez dans Panneau de configuration > Sécurité > Protection, sélectionnez Activer la protection DoS, et cliquez sur Appliquer.

Une fois activée, votre Synology NAS répondra différemment selon votre version de DSM :

• Pour DSM 7.0 et supérieur : le NAS répondra jusqu'à 1 000 paquets ICMP par seconde. Si la fréquence dépasse 1 000 pings par seconde, le NAS cessera de répondre aux requêtes supplémentaires.
• Pour DSM 6.2 et antérieur : le NAS répondra à un seul paquet ICMP par seconde. Si plus d'un ping est reçu par seconde, le NAS ignorera les requêtes supplémentaires.

Modifier les ports de gestion par défaut

Vous pouvez personnaliser les ports pour bloquer les tentatives de connexion malveillantes. Les ports par défaut sont les suivants :

• HTTP : 5000
• HTTPS : 5001
• SSH : 22

Vous pouvez changer les ports HTTP/HTTPS par défaut aux emplacements suivants :

• Pour DSM 7.0 et supérieur : Panneau de configuration > Portail de connexion > DSM.
• Pour DSM 6.2 et antérieur : Panneau de configuration > Réseau > Paramètres DSM.

Vous pouvez changer le port SSH par défaut dans Panneau de configuration > Terminal & SNMP > Terminal.