10 méthodes pour sécuriser votre NAS Synology dans un data center

Dans cet article, vous découvrirez 10 méthodes pour renforcer la sécurité de votre NAS Synology installé dans un data center ou chez vous.

Les NAS Synology rencontrent un succès croissant auprès des entreprises et des particuliers et ils peuvent être victimes de nombreuses tentatives de piratage. Afin de vous prémunir au maximum contre ce risque, prenez le temps de suivre les étapes suivantes pour sécuriser votre NAS Synology.

10 conseils pour sécuriser votre NAS Synology

1. Activez la double authentification

Activez la double authentification sur votre NAS Synology (DSM 5.2) depuis son panneau de configuration.

2. Choisissez un mot de passe fort

Le mot de passe pour accéder à votre Synology devrait être composé au minimum de 8 caractères avec des lettres majuscules & minuscules, des caractères numériques et des caractères spéciaux.

💡 Nous vous conseillons d’utiliser un gestionnaire de mot de passes comme BitWarden pour générer et stocker vos mots de passe en sécurité.

Voici comment configurer le mot de passe de connexion d’un utilisateur sur un NAS Synology.

3. Désactivez QuickConnect

En hébergeant votre Synology chez Infomaniak, vous obtenez gratuitement une IP fixe publique qui vous permet de facilement accéder à votre NAS en déplacement.

Voici comment désactiver QuickConnect sur un NAS Synology (DSM 5.2)

4. Modifiez le numéro de port http (5000) et https (5001) par défaut du DSM

Modifier les numéros de port HTTP (5000) et HTTPS (5001) par défaut pour le DSM (DiskStation Manager) de Synology permet d’améliorer la sécurité. En changeant ces ports, vous rendez moins évidente l’adresse d’accès à votre NAS pour des individus malintentionnés, réduisant ainsi le risque d’attaques ciblées.

Le numéro de port doit être compris entre 1024 et 65535.

Voici comment modifier les ports http et https par défaut pour accéder au DSM d’un NAS Synology (DSM 5.2)

5. Activez la connexion https et la redirection des connexions vers https

La connexion https chiffre les données entre un navigateur et un site web pour sécuriser les informations. La redirection vers https assure que toute connexion non sécurisée est automatiquement convertie en une connexion sécurisée.

Voici comment configurer l’accès https d’un NAS Synology (DSM 5.2)

6. Activez la protection DoS

La protection DoS prévient les surcharges de serveurs par des demandes excessives, rendant les sites inaccessibles. Chez Infomaniak, une protection Anti-DDoS professionnelle sécurise le réseau. Pour en savoir plus, consultez ce lien.

Voici comment activer la protection DoS depuis le Panneau de configuration d’ un NAS Synology (DSM 5.2)

7. Désactivez l’incorporation de DSM dans iFrame

Désactiver l’incorporation de DSM dans une iFrame empêche l’intégration de l’interface de gestion de votre NAS Synology sur d’autres sites web, protégeant ainsi contre des attaques comme le clickjacking.

Voici comment désactiver la possibilité d’intégrer le DSM dans iFrame (DSM 5.2)

8. Désactivez l’IPv6

Pour le moment, le pare-feu de Synology ne gère pas l’IPv6. Nous vous recommandons par conséquent de désactiver le support de ce protocole pour renforcer la sécurité de votre NAS.

Voici comment désactiver l’IPv6 depuis le panneau de configuration d’un NAS Synology (DSM 5.2)

9. Configurez le pare-feu de votre Synology

9.1 Les étapes de la configuration d’un pare-feu

Infomation préalable : Pour configurer un pare-feu, commencez par fermer tous vos onglets afin de bloquer toutes les connexions entrantes. Ouvrez ensuite uniquement les services spécifiques que vous souhaitez autoriser. Cela renforce la sécurité en limitant les accès possibles.

1. Dans l’onglet Sécurité du panneau de configuration, cliquez sur pare-feu puis allez dans le profil du pare-feu. Sélectionnez Gérer le profil du pare-feu.
2. Affichez le menu déroulant, cliquez sur Créer et saisissez un nom pour créer un nouveau profil.
   
3. Choisissez le profil souhaité dans le menu déroulant et cliquez sur Sélectionner.
4. Cliquez sur le bouton Modifier la règle à droite, et cliquez sur Créer pour créer des règles de pare-feu pour le profil souhaité.
   
5. Répétez les étapes ci-dessus jusqu’à ce que vous ayez créé tous les profils et les règles de pare-feu dont vous avez besoin.

9.2 Créer une règle de pare-feu

1. Dans la section Profil du pare-feu, sélectionnez un profil de pare-feu dans le menu déroulant et cliquez sur le bouton Modifier la règle, à droite.
2. Sélectionnez une interface réseau dans les menus déroulants dans le coin supérieur droit.
3. Cliquez sur Créer.
   
4. Dans la section Ports, sélectionnez l’une des règles suivantes :

• Sélectionnez Tous pour appliquer ces règles de pare-feu à tous les ports.
• Choisissez Sélectionner dans une liste d’applications intégrées et cliquez sur Sélectionner. Sélectionnez les applications intégrées que vous voulez appliquer à cette règle de pare-feu.
• Choisissez Personnalisé et cliquez sur Personnalisé. Entrez jusqu’à 15 ports séparés par un point ou spécifiez une plage de ports pour appliquer cette règle de pare-feu.
  

5. Dans la section IP source, sélectionnez l’une des règles suivantes :

• Sélectionnez Tous pour appliquer cette règle de pare-feu à toutes les adresses IP.
• Sélectionnez IP spécifique et cliquez sur Sélectionner. Vous pouvez spécifier une adresse IP ou une plage d’IP pour appliquer cette règle de pare-feu.
• Choisissez Emplacement et ensuite spécifiez jusqu’à 15 lieux auxquels appliquer cette règle de pare-feu.

6. Dans la section Action, sélectionnez l’une des règles suivantes :

• Choisissez Autoriser pour autoriser l’accès par les ports et les adresses IP source que vous avez spécifiés.
• Choisissez Refuser pour refuser l’accès par les ports et les adresses IP source que vous avez spécifiés.

 

Vous pouvez voir les règles de pare-feu LAN et PPPoE en sélectionnant ces interfaces à partir de la case dans le coin supérieur droit. En bas de la liste de règle, vous pouvez sélectionner Autoriser l’accès ou Refuser accès pour autoriser ou refuser les demandes d’accès qui ne correspondent pas à une règle de pare-feu existante pour l’interface respective.

10. Recommandations de sécurité supplémentaires

1. Utilisez toujours la dernière version de DiskStation Manager (DSM)
2. Mettez régulièrement à jour les applications que vous utilisez
3. Désinstallez les paquets des applications que vous n’utilisez pas et supprimez les autorisations correspondantes du pare-feu Synology
4. Consultez le centre des journaux pour détecter d’éventuelles anomalies/alertes/erreurs
5. Activez des notifications par email ou par sms pour les alertes importantes (Panneau de configuration > Notification > …)

Pour plus de sécurité: le serveur VPN de Synology

Vous devez être conscient que même en appliquant tous les conseils de sécurité de cet article, tous les services du Synology restent accessibles via un simple navigateur Internet. Cela veut dire que si des applications Synology ont des failles, elles peuvent être exploitées à travers le Web.

Dans cet autre article, vous verrez comment se prémunir contre cette dernière éventualité en restreignant l’accès de votre NAS Synology au seul service VPN.

Pour aller plus loin

• En savoir plus sur les offres Synology d’Infomaniak.
• Que peut-on faire avec un NAS ? Bien démarrer avec son Synology
• La nécessité de sécuriser son NAS Synology : résumé
• Comment connecter un NAS Synology à un VPN ?
• Comment créer un VPN en Suisse avec un NAS Synology hébergé chez Infomaniak ?
  
• Installer un certificat SSL Let’s Encrypt sur un NAS Synology