10 conseils pour sécuriser son NAS Synology

Vous êtes de ceux que nous avons convaincus de choisir un NAS pour votre domotique ? Tant mieux ! Comme nous l’avons vu dernièrement, un serveur de stockage en réseau a bien des atouts, notamment celui de fonctionner en local. Néanmoins, nous sommes rapidement tentés de l’exposer un peu sur Internet afin de pouvoir y accéder de partout. Malheureusement, cela n’est pas sans risques, comme nous avons pu le voir l’été dernier avec une attaque massive par force brute chez Synology, ou pire encore avec le cheval de Troie réinitialisant certains NAS Western Digital. C’est pourquoi nous vous invitons aujourd’hui à suivre ces 10 conseils pour sécuriser votre NAS Synology.

Sécuriser l’accès à votre NAS Synology

Bien que notre guide ne soit pas exhaustif, ces 10 étapes pour sécuriser un NAS Synology suffiront à utiliser sereinement votre NAS à distance. Que vous utilisiez Domoticz, Jeedom, ou Home Assistant, ces bonnes pratiques vous permettront de ne pas trop exposer votre maison connectée.

À LIRE :
Installer Home Assistant sur un NAS Synology

DifficultéFacile
Temps total20 mins

1

Désactiver le compte admin

La première des choses à faire sur un NAS Synology est de désactiver le compte "admin" par défaut. Nous vous conseillons d'en créer un second, avec tous les droits d’administration, mais en le nommant différemment. Oubliez les "admin", "administrateurs", "sysadmin", "nomdunas", "prenom", "nom123" et choisissez des identifiants forts !

Rendez-vous dans :

Panneau de configuration > Utilisateur et groupe > Utilisateur

Conseil 1 : désactivez le compte admin

2

Choisir des identifiants forts

C'est un peu la base, mais beaucoup utilisent encore des identifiants faibles. Il est d'usage de recommander un mot de passe avec un minimum de 8 caractères dont des majuscules, minuscules, chiffres et caractères spéciaux, mais vous pouvez aller plus loin avec 12 à 15 caractères et choisir également des noms d'utilisateurs complexes. Ceci est valable pour tous les comptes et nous allons d'ailleurs le rendre obligatoire pour tous.

Si vous avez du mal à retenir vos mots de passe, utilisez un gestionnaire de mots de passe tel que Dashlane, LastPass ou NordPass.

Rendez-vous dans :

Panneau de configuration > Utilisateur et groupe > Avancé

Conseil 2 : choisissez des identifiants forts

3

Mettre en place une double authentification (2FA)

La double authentification (2FA) est devenue incontournable et Synology propose une application dédiée nommée Secure SignIn. A utiliser sans modération !

Rendez-vous dans :

Panneau de configuration > Sécurité > Compte > Authentification à 2 facteurs

Conseil 3 : activez la double authentification 2FA sur NAS Synology

4

Protéger votre compte Synology

Toujours sur le même écran, juste en dessous, DSM vous propose de détecter les échecs de connexion trop fréquents pour être normaux. Une option à cocher afin de protéger vos comptes Synology, et donc votre NAS, des attaques de clients indésirables.

Rendez-vous dans :

Panneau de configuration > Sécurité > Compte

Conseil 4 : protéger votre compte Synology

5

Activer le pare-feu

Comme sur votre ordinateur, un pare-feu est indispensable pour bien protéger votre NAS Synology. Ce firewall vous permet de définir des règles d'accès plus ou moins strictes, d'autoriser ou non la connexion à certains services, de bloquer les adresses IP indésirables, ou encore de limiter l'accès à certaines de votre choix.

Rendez-vous dans :

Panneau de configuration > Sécurité > Pare-feu

Conseil 5 : activer le pare-feu de Synology DSM pour protéger votre NAS des attaques

6

Blocage automatique et protection DoS

C'est le pendant du pare-feu, une autre option incontournable qui permet de bloquer automatiquement les adresses effectuant trop de tentatives de connexions. Juste en dessous sur DSM 7, nous vous invitons également à activer la protection DoS qui permet de vous protéger des attaques par déni de service (DDoS).

Rendez-vous dans :

Panneau de configuration > Sécurité > Protection

Conseil 6 : activer le blocage automatique

7

Activer HTTPS / SSL

Lorsque HTTPS est activé, les connexions sont chiffrées à l'aide de SSL/TLS, ce qui sécurise l'accès à votre NAS Synology. Vous pouvez également personnaliser les ports par défaut, cibles de choix, afin de réduire le nombre de tentatives de connexion malveillantes.

Rendez-vous dans :

Panneau de configuration > Sécurité > Compte

Activer HTTPS et SSL sur Synology NAS

8

Désactiver SSH et Telnet

Bien que nous nous en servions régulièrement dans nos tutoriels domotiques DIY, en particulier avec Home Assistant et Jeedom, nous vous conseillons vivement de désactiver SSH quand vous ne l'utilisez pas. Les ports par défaut étant des cibles de choix, n'hésitez pas à en changer lorsque vous le réactivez. De la même façon, vous pouvez désactiver Telnet ou encore le service de fichiers AFP.

Rendez-vous dans :

Panneau de configuration > Terminal & SNMP > Terminal

Conseil 8 : désactiver SSH et Telnet

9

Activer QuickConnect

Maintenant que nous avons à peu près tout bloqué, il nous faut bien conserver un moyen de se connecter à notre NAS depuis Internet. Pour ce faire, Synology propose un service nommé QuickConnect. C'est la solution la plus simple pour accéder à son NAS et à ses applications à distance, sans avoir à se lancer dans une configuration plus pointue nécessitant d'intervenir sur votre routeur ou box.

Comment ça marche ? Votre NAS va se connecter à "Synology Relay Server", un service cloud gratuit qui agit tel un intermédiaire entre votre client et votre serveur. Il y a mieux en termes de performance, c'est vrai, mais c'est une solution simple et efficace.

Rendez-vous dans :

Panneau de configuration > Accès externe > QuickConnect

Conseil 9 : activer le service Synology QuickConnect

10

Activer les mises à jour

Bien que nous l'évoquions en dernier, c'est finalement peut-être la première des choses à faire ! Maintenir son système à jour est la première des sécurité. En effet, outre de nouvelles fonctionnalités, les mises à jour apportent fréquemment des correctifs de sécurités.

Rendez-vous dans :

Panneau de configuration > Mise à jour et restauration

Conseil 10 : activez les mises à jour

Ingrédients

Instructions

1

Désactiver le compte admin

La première des choses à faire sur un NAS Synology est de désactiver le compte "admin" par défaut. Nous vous conseillons d'en créer un second, avec tous les droits d’administration, mais en le nommant différemment. Oubliez les "admin", "administrateurs", "sysadmin", "nomdunas", "prenom", "nom123" et choisissez des identifiants forts !

Rendez-vous dans :

Panneau de configuration > Utilisateur et groupe > Utilisateur

Conseil 1 : désactivez le compte admin

2

Choisir des identifiants forts

C'est un peu la base, mais beaucoup utilisent encore des identifiants faibles. Il est d'usage de recommander un mot de passe avec un minimum de 8 caractères dont des majuscules, minuscules, chiffres et caractères spéciaux, mais vous pouvez aller plus loin avec 12 à 15 caractères et choisir également des noms d'utilisateurs complexes. Ceci est valable pour tous les comptes et nous allons d'ailleurs le rendre obligatoire pour tous.

Si vous avez du mal à retenir vos mots de passe, utilisez un gestionnaire de mots de passe tel que Dashlane, LastPass ou NordPass.

Rendez-vous dans :

Panneau de configuration > Utilisateur et groupe > Avancé

Conseil 2 : choisissez des identifiants forts

3

Mettre en place une double authentification (2FA)

La double authentification (2FA) est devenue incontournable et Synology propose une application dédiée nommée Secure SignIn. A utiliser sans modération !

Rendez-vous dans :

Panneau de configuration > Sécurité > Compte > Authentification à 2 facteurs

Conseil 3 : activez la double authentification 2FA sur NAS Synology

4

Protéger votre compte Synology

Toujours sur le même écran, juste en dessous, DSM vous propose de détecter les échecs de connexion trop fréquents pour être normaux. Une option à cocher afin de protéger vos comptes Synology, et donc votre NAS, des attaques de clients indésirables.

Rendez-vous dans :

Panneau de configuration > Sécurité > Compte

Conseil 4 : protéger votre compte Synology

5

Activer le pare-feu

Comme sur votre ordinateur, un pare-feu est indispensable pour bien protéger votre NAS Synology. Ce firewall vous permet de définir des règles d'accès plus ou moins strictes, d'autoriser ou non la connexion à certains services, de bloquer les adresses IP indésirables, ou encore de limiter l'accès à certaines de votre choix.

Rendez-vous dans :

Panneau de configuration > Sécurité > Pare-feu

Conseil 5 : activer le pare-feu de Synology DSM pour protéger votre NAS des attaques

6

Blocage automatique et protection DoS

C'est le pendant du pare-feu, une autre option incontournable qui permet de bloquer automatiquement les adresses effectuant trop de tentatives de connexions. Juste en dessous sur DSM 7, nous vous invitons également à activer la protection DoS qui permet de vous protéger des attaques par déni de service (DDoS).

Rendez-vous dans :

Panneau de configuration > Sécurité > Protection

Conseil 6 : activer le blocage automatique

7

Activer HTTPS / SSL

Lorsque HTTPS est activé, les connexions sont chiffrées à l'aide de SSL/TLS, ce qui sécurise l'accès à votre NAS Synology. Vous pouvez également personnaliser les ports par défaut, cibles de choix, afin de réduire le nombre de tentatives de connexion malveillantes.

Rendez-vous dans :

Panneau de configuration > Sécurité > Compte

Activer HTTPS et SSL sur Synology NAS

8

Désactiver SSH et Telnet

Bien que nous nous en servions régulièrement dans nos tutoriels domotiques DIY, en particulier avec Home Assistant et Jeedom, nous vous conseillons vivement de désactiver SSH quand vous ne l'utilisez pas. Les ports par défaut étant des cibles de choix, n'hésitez pas à en changer lorsque vous le réactivez. De la même façon, vous pouvez désactiver Telnet ou encore le service de fichiers AFP.

Rendez-vous dans :

Panneau de configuration > Terminal & SNMP > Terminal

Conseil 8 : désactiver SSH et Telnet

9

Activer QuickConnect

Maintenant que nous avons à peu près tout bloqué, il nous faut bien conserver un moyen de se connecter à notre NAS depuis Internet. Pour ce faire, Synology propose un service nommé QuickConnect. C'est la solution la plus simple pour accéder à son NAS et à ses applications à distance, sans avoir à se lancer dans une configuration plus pointue nécessitant d'intervenir sur votre routeur ou box.

Comment ça marche ? Votre NAS va se connecter à "Synology Relay Server", un service cloud gratuit qui agit tel un intermédiaire entre votre client et votre serveur. Il y a mieux en termes de performance, c'est vrai, mais c'est une solution simple et efficace.

Rendez-vous dans :

Panneau de configuration > Accès externe > QuickConnect

Conseil 9 : activer le service Synology QuickConnect

10

Activer les mises à jour

Bien que nous l'évoquions en dernier, c'est finalement peut-être la première des choses à faire ! Maintenir son système à jour est la première des sécurité. En effet, outre de nouvelles fonctionnalités, les mises à jour apportent fréquemment des correctifs de sécurités.

Rendez-vous dans :

Panneau de configuration > Mise à jour et restauration

Conseil 10 : activez les mises à jour

10 étapes pour sécuriser un NAS Synology

Autres recommandations de sécurité

Comme nous le disions en début d’article, il existe encore d’autres paramètres permettant d’accroître encore votre niveau de sécurité, mais nous reviendrons en détails sur plusieurs de ces points dans les prochaines semaines.

En attendant, vous pouvez :

  • Activer le Conseiller de sécurité : Security Advisor est une application intégrée à DSM qui analyse votre NAS Synology, vérifie vos paramètres et vous signale les éventuelles les faiblesses de sécurité. Un outil très utile qui vous permet de visualiser d’un coup d’oeil
  • Maintenir à jour vos applications : qu’il s’agisse de Home Assistant, Jeedom, Mosquitto MQTT, Zigbee2MQTT, ou de n’importe quel paquet DSM, faites les mises à jour dès que possible (sauf peut-être pour Home Assistant… 😅 ).
  • Installer un antivirus : bien que votre NAS soit désormais sécurisé, il pourrait vous arriver d’y héberger des fichiers vérolés. Synology proposant deux antivirus, un gratuit nommé Antivirus Essential et un payant répondant au nom Antivirus by McAfee, pourquoi s’en priver ? En ce qui nous concerne, nous nous contentons du premier qui remplit, a priori, parfaitement son rôle. Vous les retrouvez dans le Centre de paquets en tapant « antivirus ».
  • Configurer un VPN sur NAS Synology : c’est la façon la plus sécurisée d’accéder à son NAS et aux autres périphériques de son réseau de l’extérieur…
Fasciné par Alexa depuis le jour où je l'ai reçue en bêta test, je me suis peu à peu passionné pour le sujet, avant de me décider à aller plus loin en créant un site avec Jean-Christophe. Une activité qui me permet d'étancher ma soif de nouvelles technologies et de partager mes découvertes sur la plus sympathique des communautés : Les Alexiens.