Vous êtes de ceux que nous avons convaincus de choisir un NAS pour votre domotique ? Tant mieux ! Comme nous l’avons vu dernièrement, un serveur de stockage en réseau a bien des atouts, notamment celui de fonctionner en local. Néanmoins, nous sommes rapidement tentés de l’exposer un peu sur Internet afin de pouvoir y accéder de partout. Malheureusement, cela n’est pas sans risques, comme nous avons pu le voir l’été dernier avec une attaque massive par force brute chez Synology, ou pire encore avec le cheval de Troie réinitialisant certains NAS Western Digital. C’est pourquoi nous vous invitons aujourd’hui à suivre ces 10 conseils pour sécuriser votre NAS Synology.
Sécuriser l’accès à votre NAS Synology
Bien que notre guide ne soit pas exhaustif, ces 10 étapes pour sécuriser un NAS Synology suffiront à utiliser sereinement votre NAS à distance. Que vous l’utilisiez comme serveur de stockage, pour la vidéosurveillance ou pour votre domotique Home Assistant, Jeedom ou Domoticz, ces bonnes pratiques vous permettront de ne pas trop exposer votre maison connectée.
Désactiver le compte admin
La première des choses à faire sur un NAS Synology est de désactiver le compte "admin" par défaut. Nous vous conseillons d'en créer un second, avec tous les droits d’administration, mais en le nommant différemment. Oubliez les "admin", "administrateurs", "sysadmin", "nomdunas", "prenom", "nom123" et choisissez des identifiants forts !
Rendez-vous dans :
Panneau de configuration > Utilisateur et groupe > Utilisateur
Choisir des identifiants forts
C'est un peu la base, mais beaucoup utilisent encore des identifiants faibles. Il est d'usage de recommander un mot de passe avec un minimum de 8 caractères dont des majuscules, minuscules, chiffres et caractères spéciaux, mais vous pouvez aller plus loin avec 12 à 15 caractères et choisir également des noms d'utilisateurs complexes. Ceci est valable pour tous les comptes et nous allons d'ailleurs le rendre obligatoire pour tous.
Rendez-vous dans :
Panneau de configuration > Utilisateur et groupe > Avancé
Si vous avez du mal à retenir vos mots de passe, utilisez un gestionnaire de mots de passe tel que Dashlane, LastPass ou NordPass. Vous pouvez évidemment aussi vous tourner vers la solution maison : Synology C2 Password.
Mettre en place une double authentification (2FA)
La double authentification (2FA) est devenue incontournable et Synology propose une application dédiée nommée Secure SignIn. A utiliser sans modération !
Rendez-vous dans :
Panneau de configuration > Sécurité > Compte > Authentification à 2 facteurs
Protéger votre compte Synology
Toujours sur le même écran, juste en dessous, DSM vous propose de détecter les échecs de connexion trop fréquents pour être normaux. Une option à cocher afin de protéger vos comptes Synology, et donc votre NAS, des attaques de clients indésirables.
Rendez-vous dans :
Panneau de configuration > Sécurité > Compte
Activer le pare-feu
Comme sur votre ordinateur, un pare-feu est indispensable pour bien protéger votre NAS Synology. Ce firewall vous permet de définir des règles d'accès plus ou moins strictes, d'autoriser ou non la connexion à certains services, de bloquer les adresses IP indésirables, ou encore de limiter l'accès à certaines de votre choix.
Rendez-vous dans :
Panneau de configuration > Sécurité > Pare-feu
Blocage automatique et protection DoS
C'est le pendant du pare-feu, une autre option incontournable qui permet de bloquer automatiquement les adresses effectuant trop de tentatives de connexions. Juste en dessous sur DSM 7, nous vous invitons également à activer la protection DoS qui permet de vous protéger des attaques par déni de service (DDoS).
Rendez-vous dans :
Panneau de configuration > Sécurité > Protection
Activer HTTPS / SSL
Lorsque HTTPS est activé, les connexions sont chiffrées à l'aide de SSL/TLS, ce qui sécurise l'accès à votre NAS Synology. Vous pouvez également personnaliser les ports par défaut, cibles de choix, afin de réduire le nombre de tentatives de connexion malveillantes.
Rendez-vous dans :
Panneau de configuration > Sécurité > Compte
Désactiver SSH et Telnet
Bien que nous nous en servions régulièrement dans nos tutoriels domotiques DIY, en particulier avec Home Assistant et Jeedom, nous vous conseillons vivement de désactiver SSH quand vous ne l'utilisez pas. Les ports par défaut étant des cibles de choix, n'hésitez pas à en changer lorsque vous le réactivez. De la même façon, vous pouvez désactiver Telnet ou encore le service de fichiers AFP.
Rendez-vous dans :
Panneau de configuration > Terminal & SNMP > Terminal
Activer QuickConnect
Maintenant que nous avons à peu près tout bloqué, il nous faut bien conserver un moyen de se connecter à notre NAS depuis Internet. Pour ce faire, Synology propose un service nommé QuickConnect. C'est la solution la plus simple pour accéder à son NAS et à ses applications à distance, sans avoir à se lancer dans une configuration plus pointue nécessitant d'intervenir sur votre routeur ou box.
Comment ça marche ? Votre NAS va se connecter à "Synology Relay Server", un service cloud gratuit qui agit tel un intermédiaire entre votre client et votre serveur. Il y a mieux en termes de performance, c'est vrai, mais c'est une solution simple et efficace.
Rendez-vous dans :
Panneau de configuration > Accès externe > QuickConnect
Activer les mises à jour
Bien que nous l'évoquions en dernier, c'est finalement peut-être la première des choses à faire ! Maintenir son système à jour est la première des sécurité. En effet, outre de nouvelles fonctionnalités, les mises à jour apportent fréquemment des correctifs de sécurités.
Rendez-vous dans :
Panneau de configuration > Mise à jour et restauration
Ingrédients
Instructions
Désactiver le compte admin
La première des choses à faire sur un NAS Synology est de désactiver le compte "admin" par défaut. Nous vous conseillons d'en créer un second, avec tous les droits d’administration, mais en le nommant différemment. Oubliez les "admin", "administrateurs", "sysadmin", "nomdunas", "prenom", "nom123" et choisissez des identifiants forts !
Rendez-vous dans :
Panneau de configuration > Utilisateur et groupe > Utilisateur
Choisir des identifiants forts
C'est un peu la base, mais beaucoup utilisent encore des identifiants faibles. Il est d'usage de recommander un mot de passe avec un minimum de 8 caractères dont des majuscules, minuscules, chiffres et caractères spéciaux, mais vous pouvez aller plus loin avec 12 à 15 caractères et choisir également des noms d'utilisateurs complexes. Ceci est valable pour tous les comptes et nous allons d'ailleurs le rendre obligatoire pour tous.
Rendez-vous dans :
Panneau de configuration > Utilisateur et groupe > Avancé
Si vous avez du mal à retenir vos mots de passe, utilisez un gestionnaire de mots de passe tel que Dashlane, LastPass ou NordPass. Vous pouvez évidemment aussi vous tourner vers la solution maison : Synology C2 Password.
Mettre en place une double authentification (2FA)
La double authentification (2FA) est devenue incontournable et Synology propose une application dédiée nommée Secure SignIn. A utiliser sans modération !
Rendez-vous dans :
Panneau de configuration > Sécurité > Compte > Authentification à 2 facteurs
Protéger votre compte Synology
Toujours sur le même écran, juste en dessous, DSM vous propose de détecter les échecs de connexion trop fréquents pour être normaux. Une option à cocher afin de protéger vos comptes Synology, et donc votre NAS, des attaques de clients indésirables.
Rendez-vous dans :
Panneau de configuration > Sécurité > Compte
Activer le pare-feu
Comme sur votre ordinateur, un pare-feu est indispensable pour bien protéger votre NAS Synology. Ce firewall vous permet de définir des règles d'accès plus ou moins strictes, d'autoriser ou non la connexion à certains services, de bloquer les adresses IP indésirables, ou encore de limiter l'accès à certaines de votre choix.
Rendez-vous dans :
Panneau de configuration > Sécurité > Pare-feu
Blocage automatique et protection DoS
C'est le pendant du pare-feu, une autre option incontournable qui permet de bloquer automatiquement les adresses effectuant trop de tentatives de connexions. Juste en dessous sur DSM 7, nous vous invitons également à activer la protection DoS qui permet de vous protéger des attaques par déni de service (DDoS).
Rendez-vous dans :
Panneau de configuration > Sécurité > Protection
Activer HTTPS / SSL
Lorsque HTTPS est activé, les connexions sont chiffrées à l'aide de SSL/TLS, ce qui sécurise l'accès à votre NAS Synology. Vous pouvez également personnaliser les ports par défaut, cibles de choix, afin de réduire le nombre de tentatives de connexion malveillantes.
Rendez-vous dans :
Panneau de configuration > Sécurité > Compte
Désactiver SSH et Telnet
Bien que nous nous en servions régulièrement dans nos tutoriels domotiques DIY, en particulier avec Home Assistant et Jeedom, nous vous conseillons vivement de désactiver SSH quand vous ne l'utilisez pas. Les ports par défaut étant des cibles de choix, n'hésitez pas à en changer lorsque vous le réactivez. De la même façon, vous pouvez désactiver Telnet ou encore le service de fichiers AFP.
Rendez-vous dans :
Panneau de configuration > Terminal & SNMP > Terminal
Activer QuickConnect
Maintenant que nous avons à peu près tout bloqué, il nous faut bien conserver un moyen de se connecter à notre NAS depuis Internet. Pour ce faire, Synology propose un service nommé QuickConnect. C'est la solution la plus simple pour accéder à son NAS et à ses applications à distance, sans avoir à se lancer dans une configuration plus pointue nécessitant d'intervenir sur votre routeur ou box.
Comment ça marche ? Votre NAS va se connecter à "Synology Relay Server", un service cloud gratuit qui agit tel un intermédiaire entre votre client et votre serveur. Il y a mieux en termes de performance, c'est vrai, mais c'est une solution simple et efficace.
Rendez-vous dans :
Panneau de configuration > Accès externe > QuickConnect
Activer les mises à jour
Bien que nous l'évoquions en dernier, c'est finalement peut-être la première des choses à faire ! Maintenir son système à jour est la première des sécurité. En effet, outre de nouvelles fonctionnalités, les mises à jour apportent fréquemment des correctifs de sécurités.
Rendez-vous dans :
Panneau de configuration > Mise à jour et restauration
Autres recommandations de sécurité
Comme nous le disions en début d’article, il existe encore d’autres paramètres permettant d’accroître encore votre niveau de sécurité, mais nous reviendrons en détails dans le futur.
En attendant, vous pouvez :
- Activer le Conseiller de sécurité : Security Advisor est une application intégrée à DSM qui analyse votre NAS Synology, vérifie vos paramètres et vous signale les éventuelles les faiblesses de sécurité. Un outil très utile qui vous permet de visualiser d’un coup d’oeil
- Maintenir à jour vos applications : qu’il s’agisse de Home Assistant, Jeedom, Mosquitto MQTT, Zigbee2MQTT, ou de n’importe quel paquet DSM, faites les mises à jour dès que possible (sauf peut-être pour Home Assistant… 😅 ).
- Installer un antivirus : bien que votre NAS soit désormais sécurisé, il pourrait vous arriver d’y héberger des fichiers vérolés. Synology proposant deux antivirus, un gratuit nommé Antivirus Essential et un payant répondant au nom Antivirus by McAfee, pourquoi s’en priver ? En ce qui nous concerne, nous nous contentons du premier qui remplit, a priori, parfaitement son rôle. Vous les retrouvez dans le Centre de paquets en tapant « antivirus ».
- Configurer un VPN sur NAS Synology : c’est la façon la plus sécurisée d’accéder à son NAS et aux autres périphériques de son réseau de l’extérieur…
Suivez-nous sur Google Actualités
