Comment sécuriser votre synology
Aujourd’hui je vais aborder la sécurité sur le synology. Étant l’heureux possesseur d’un DS413J, au début j’ai eu pas mal de soucis de sécurité et d’interrogation et oui quand on débute, pas facile de si retrouver.
Table of Contents
Compte admin
Il est impossible de supprimer le compte admin, mais pour raison de sécurité il est préférable de le désactivé. En effet, pas besion de chercher un nom d’utilisateur on le connais déjà par défaut « admin ».
Port par défaut
Le port par défaut pour accéder au synology et 5000 pour le http et 5001 pour le https. Il est préférable de changer les ports par défaut dans la box lors du routage pour accéder de l’extérieure. Dans la section « NAT/PAT » lui définir en port externe un port différent du port par défaut : exemple 2745 sur le port extérieur qui se redirige vers le port 5000 interne. Comme ça vous gardez la configuration par défaut tout en ayant une sécurité.
Le HTTPS
Il est préférable d’utiliser une connexion sécurisée pour se connecter a votre NAS quand vous êtes à l’extérieure du réseau local, afin que personne puisse voir votre mot de passe, ou même que la NSA espionne vos activités, on est jamais trop prudent. Pour ma part je n’ai activé que le port HTTPS sur ma box.
DDNS
Le service de DDNS de synology est à bannir de préférence. Utilisé plutôt un service alternatif comme no-ip, ou … un qui est aussi gratuit. Pourquoi pas synology.me ? car en tapant par exemple toto.synology.me:5000 (désoler à la personne qui possédé cette adresse si elle est utilisé). Ainsi les adresses valide sont beaucoup plus facile à trouver avec moins de possibilités que de tapé une adresse au pif sur le web et de tomber sur un synology, car avec ce préfixe en « synology.me » on réduit considérablement la liste des possibilités.
Google autentifier
Google autentifier permet la validation en 2 étapes, on télécharge sur son smartphone l’application puis on la lie à son compte. Une fois que vous, vous loggerais cela demandera votre vos mots de passe habituel + un autre mot de passe a validé très réduite (15 seconde) que l’application de votre smartphone vous aura donné.
Désactiver le compte admin
Le compte admin et par défaut, si jamais un hacker trouve votre adresse, il essaiera d’abord avec le compte admin donc compliqué lui la tâche.
Blocage auto
Le blocage automatique permet de bloquer une adresse IP si il se trompe x fois dans un temps y (x et y a définir) personnellement je conseil x=3 et y 2min. Vous serez avertis immédiatement. Cela rebutera les apprentis hackeurs :p
Mot de passe fort
Les mots de passe azerty, chien, 1234 sont à bannir, il est très facile de craquer ce genre de mot de passe. Préférez donc les mots de passe <#motdepasseTRESfort843> faite de même avec vos utilisateurs en cochant les cases de sécurité sur votre synology dans l’onglet utilisateur et propriété.
Service minimum
Activer sur votre NAS que les services que vous, vous servez et pas plus. Cela réduira le risque des attaques possibles contre les services., et ouvrez pas des ports inutile non plus.
Etre à jour
Ce n’est pas tellement une astuce, mais être à jours permet d’avoir les derniers patchs de sécurité et corriger les failles.
Personnes de confiances
Donner l’adresse de votre serveur aux personnes de confiance.
Quick Connect
Service assez obscure de synology qui permet juste avec un nom particulier que l’on souhaite de se connecter au différents services, sans même avec une adresse à rentrer. Personnellement je trouve ce système vraiment pratique, mais pour des raisons obscure comme je cite plus haut j’ai désactivé cette fonctionnalité. On à aucune information dessus.
Option liens partagés
On peut partager des liens avec votre nas préféré, en faisant un clique droit, propriété, puis partage le lien. Préféré un lien avec une validée dans le temps comme ça, si jamais il fuite vous aurais pas la terre en tiers qui téléchargera votre fichier.
Filtré par adresse IP
Dans le pare-feu du synology, on filtre uniquement les services dont on a besoin et on peut même affiné par filtrage IP :
- Tous
- Ip spécifique (plage d’adresses ou unique)
- Région
Ainsi, on peut faire un filtrage pour les adresses disponibles en France. Ca enlevé pas mal de hackeurs ;). Pour cela, il suffit d’aller dans pare-feu, cliquer sur le service que l’on veut puis modifier, une fenêtre s’affiche et dans IP source on choisit se que l’on veut. Simple comme bonjour.
Edit : mise a jour du 6/01/2015
Je me suis aidé de ce guide http://blog.e-nnov.fr/synology-dsm/quickconnect/ pour configurer QuickConnect et ca marche niquel !!