10 meilleurs conseils de sécurité sécuriser votre NAS SYNOLOGY


10 conseils de sécurité pour protéger vos données

Retrouvez ici  10 conseils de sécurité des données pour vous aider à sécuriser vos appareils Synology contre les menaces en ligne.

Les dernières années ont vu une escalade dramatique des menaces de cybersécurité. Selon un rapport du New York Times , plus de 200000 organisations ont été attaquées avec des ransomwares en 2019, une augmentation de 41% par rapport à l’année précédente.

Pour vous aider à vous protéger, nous avons compilé une liste de paramètres de sécurité des données importants qui sont souvent ignorés. À la fin, nous avons inclus des conseils bonus qui pourraient vous aider à garantir l’intégrité des données – un autre pilier de la protection des données.

Remarque: La plupart des paramètres répertoriés ci-dessous ne sont accessibles et modifiables que par un compte d’utilisateur disposant de droits d’administration.

Astuce 1: Restez à jour et activez les notifications

Nous publions régulièrement des mises à jour DSM pour apporter des améliorations fonctionnelles et de performances, et pour résoudre les failles de sécurité des produits.

Chaque fois qu’une vulnérabilité de sécurité survient, notre équipe de réponse aux incidents de sécurité des produits (PSIRT) mènera une évaluation et une enquête dans les 8 heures et publiera un correctif dans les 15 prochaines heures pour aider à prévenir les dommages potentiels des attaques Zero Day.

Pour la plupart des utilisateurs, nous vous recommandons fortement de configurer des mises à jour automatiques pour que les dernières mises à jour DSM soient installées automatiquement. *

Apprendre encore plus

De nombreux périphériques Synology ont la possibilité d’exécuter Virtual DSM dans Virtual Machine Manager, pour créer une version virtualisée du système d’exploitation DSM. Utilisez Virtual DSM pour créer un environnement intermédiaire, puis répliquez ou essayez de reproduire votre environnement de production à l’intérieur. Effectuez un test de mise à niveau en installant la dernière version de DSM sur votre Virtual DSM et vérifiez les fonctionnalités clés requises par votre déploiement actuel avant de procéder à la mise à jour dans votre environnement principal.

Une autre chose importante à considérer est de rester au courant des choses au fur et à mesure qu’elles se produisent. Configurez des notifications sur votre Synology NAS et recevez des notifications par e-mail, SMS, sur votre appareil mobile ou via votre navigateur Web lorsque des événements ou des erreurs spécifiques se produisent. Si vous utilisez le service DDNS de Synology, vous pouvez choisir d’être averti lorsque la connectivité réseau externe est perdue. Agir immédiatement sur les notifications pour les volumes de stockage manquant d’espace ou lorsqu’une tâche de sauvegarde et de restauration échoue est un élément important pour garantir la sécurité à long terme de vos données.

Nous vous encourageons également à configurer votre compte Synology pour recevoir nos newsletters sur les NAS et les avis de sécurité pour suivre les dernières mises à jour de sécurité et de fonctionnalités.

* La mise à jour automatique ne prend en charge que les mises à jour DSM mineures. Les mises à jour majeures nécessitent une installation manuelle.

Apprendre encore plus

Astuce 2: exécuter Security Advisor

Security Advisor est une application préinstallée qui peut analyser votre NAS pour les problèmes de configuration DSM courants, vous donnant des suggestions sur ce que vous pourriez avoir besoin de faire ensuite pour assurer la sécurité de votre Synology NAS. Par exemple, il peut détecter des choses courantes telles que laisser l’accès SSH ouvert, si des activités de connexion anormales se produisent et si des fichiers système DSM ont été modifiés.

Apprendre encore plus

Astuce 3: fonctionnalités de sécurité DSM de base à configurer

Vous pouvez configurer un certain nombre de paramètres de sécurité dans le  Panneau de configuration  >  onglet Sécurité pour sécuriser vos comptes d’utilisateurs.

Blocage IP automatique

Ouvrez le Panneau de configuration et accédez à  Sécurité  >  Blocage automatique . Activez le blocage automatique pour bloquer automatiquement les adresses IP des clients qui ne parviennent pas à se connecter dans un nombre et une période spécifiés. Les administrateurs peuvent également mettre sur liste noire des adresses IP spécifiques pour empêcher les attaques potentielles par force brute ou par déni de service.

Configurez le nombre d’essais en fonction de l’environnement d’utilisation et du type d’utilisateurs que votre appareil desservira régulièrement. Gardez à l’esprit que la plupart des foyers et des entreprises n’auront qu’une seule adresse IP externe pour leurs utilisateurs et que les adresses IP sont souvent dynamiques et changeront après un certain nombre de jours ou de semaines.

Apprendre encore plus

Protection de compte

Alors que le blocage automatique met sur liste noire les adresses IP qui ont échoué une fois de trop pour les tentatives d’authentification, la protection des comptes protège les comptes d’utilisateurs en bloquant l’accès des clients non approuvés.

Accédez à  Panneau de configuration  >  Sécurité  >  Protection des comptes . Vous pouvez activer la protection des comptes pour protéger les comptes des clients non approuvés après un nombre défini de connexions ayant échoué. Cela améliore la sécurité de votre DSM et réduit le risque que les comptes soient la proie d’attaques par force brute d’attaques distribuées.

Apprendre encore plus

Activer HTTPS

Avec HTTPS activé, vous pouvez crypter et sécuriser le trafic réseau entre votre Synology NAS et les clients connectés, ce qui protège contre les formes courantes d’écoute indiscrète ou d’attaques man-in-the-middle.

Accédez à  Panneau de configuration  >  Réseau  >  Paramètres DSM . Cochez la case pour rediriger automatiquement les connexions HTTP vers HTTPS. Vous allez maintenant vous connecter à DSM via HTTPS. Dans la barre d’adresse, vous remarquerez que l’URL de votre appareil commence par «https: //» au lieu de «http: //». Notez que le numéro de port par défaut pour https est 443, tandis que http utilise par défaut le port 80. Si vous aviez auparavant certains paramètres de pare-feu ou de réseau, vous devrez peut-être les mettre à jour.

Apprendre encore plus

Avancé: personnaliser les règles du pare-feu

Un pare-feu sert de barrière virtuelle qui filtre le trafic réseau provenant de sources externes selon un ensemble de règles. Accédez à Panneau de configuration  >  Sécurité  >  Pare-feu pour configurer des règles de pare-feu pour empêcher la connexion non autorisée et contrôler l’accès aux services. Vous pouvez décider d’autoriser ou de refuser l’accès à certains ports réseau par des adresses IP spécifiques, un bon moyen, par exemple, d’autoriser l’accès à distance à partir d’un bureau spécifique ou de n’autoriser l’accès qu’à un service ou un protocole spécifique.

Apprendre encore plus

Astuce 4: HTTPS Partie 2 – Let’s Encrypt

Les certificats numériques jouent un rôle clé dans l’activation du HTTPS, mais sont souvent coûteux et difficiles à maintenir, en particulier pour les utilisateurs non professionnels. DSM a une prise en charge intégrée de Let’s Encrypt, une organisation d’émission de certificats gratuite et automatisée, pour permettre à quiconque de sécuriser facilement ses connexions.

Si vous avez déjà un domaine enregistré ou utilisez DDNS, accédez à Panneau de configuration  >  Sécurité >  Certificat . Cliquez sur Ajouter un nouveau certificat > Obtenir un certificat de Let’s Encrypt , pour la plupart des utilisateurs, vous devez cocher «Définir comme certificat par défaut» *. Saisissez votre nom de domaine pour obtenir un certificat.

Une fois que vous avez un certificat, assurez-vous que tout votre trafic passe par HTTPS (comme indiqué dans le conseil n ° 3).

* Si vous avez configuré votre appareil pour fournir des services via plusieurs domaines ou sous-domaines, vous devrez configurer le certificat utilisé par chaque service dans Panneau de configuration  >  Sécurité >  Certificat > Configurer

Vidéo tutoriel Youtube

Astuce 5: désactivez le compte administrateur par défaut

Les noms d’utilisateur d’administrateur communs peuvent rendre votre Synology NAS vulnérable aux parties malveillantes qui utilisent des attaques par force brute qui utilisent des combinaisons de nom d’utilisateur et de mot de passe communes. Évitez les noms communs tels que «admin», «administrateur», «root» * lors de la configuration de votre NAS. Nous vous recommandons également de définir un mot de passe fort et unique juste après la configuration de votre Synology NAS et de désactiver le compte administrateur par défaut du système **.

Si vous vous connectez actuellement à l’aide du compte d’utilisateur «admin», accédez à Panneau de configuration > Utilisateur et créez un nouveau compte administratif. Connectez-vous ensuite en utilisant le nouveau compte et désactivez «admin» par défaut du système.

* «Root» n’est pas autorisé en tant que nom d’utilisateur.
** Si configuré avec un nom d’utilisateur autre que «admin», le compte par défaut sera déjà désactivé.

Apprendre encore plus

Astuce 6: Force du mot de passe

Un mot de passe fort protège votre système contre les accès non autorisés. Créez un mot de passe complexe qui incorpore des lettres, des chiffres et des caractères spéciaux à majuscules d’une manière dont vous seul pouvez vous souvenir.

L’utilisation d’un mot de passe commun pour de nombreux comptes est également une invitation aux pirates. Si un compte est compromis, les pirates peuvent facilement prendre le contrôle de vos autres comptes. Cela se produit régulièrement pour les sites Web et autres fournisseurs de services. Nous vous recommandons de vous inscrire auprès de services de surveillance publics tels que Have I Been Pwned ou Firefox Monitor .

Si vous avez du mal à mémoriser des mots de passe complexes et uniques pour différents comptes, un gestionnaire de mots de passe (tel que 1Password, LastPass ou Bitwarden) pourrait être votre meilleure solution. Vous n’avez qu’à mémoriser un seul mot de passe – un mot de passe principal – et le gestionnaire de mots de passe vous aidera à créer et à remplir des informations d’identification pour tous vos autres comptes.

Si vous administrez un Synology NAS qui gère l’authentification *, vous pouvez personnaliser la stratégie de mot de passe utilisateur pour resserrer les exigences de sécurité par mot de passe pour tous les nouveaux comptes utilisateur. Accédez à Panneau de configuration  >  Utilisateur  >  Avancé et cochez la case Appliquer les règles de résistance du mot de passe dans la section Paramètres de mot de passe. La politique sera appliquée à tout utilisateur qui crée un nouveau compte.

* Des options similaires sont également disponibles dans les packages LDAP Server et Directory Server.

Apprendre encore plus

Astuce 7: vérification en 2 étapes

Si vous souhaitez ajouter une couche de sécurité supplémentaire à votre compte, nous vous recommandons vivement d’activer la vérification en deux étapes. Pour appliquer la vérification en deux étapes sur votre compte DSM et votre compte Synology, vous aurez besoin d’un appareil mobile et d’une application d’authentification prenant en charge le protocole TOTP (Time-based One-Time Password). La connexion nécessitera à la fois vos informations d’identification d’utilisateur et un code à 6 chiffres limité dans le temps récupéré à partir de Microsoft Authenticator, Authy ou d’autres applications d’authentification pour empêcher tout accès non autorisé.

Pour le compte Synology, si vous avez perdu votre téléphone avec l’application d’authentification *, vous pouvez utiliser les codes de sauvegarde fournis lors de la configuration de l’authentification en 2 étapes pour vous connecter. Il est important de conserver ces codes en toute sécurité en les téléchargeant quelque part ou en les imprimant. N’oubliez pas de garder ces codes sûrs mais accessibles.

Sur DSM, si vous perdez votre authentificateur, vous pouvez réinitialiser la vérification en deux étapes en dernier recours. Les utilisateurs appartenant au groupe d’administrateurs peuvent réinitialiser la configuration.

Si tous les comptes d’administrateur ne sont plus accessibles, vous devrez réinitialiser les informations d’identification et les paramètres réseau sur votre appareil. Maintenez le bouton de réinitialisation matérielle de votre NAS pendant environ 4 secondes (vous entendrez un bip), puis lancez Synology Assistant pour reconfigurer votre appareil. **

* Certaines applications d’authentification prennent en charge les méthodes de sauvegarde et de restauration basées sur un compte tiers. Évaluez vos exigences de sécurité par rapport aux options de commodité et de reprise après sinistre.

** SHA, VMM, montage automatique de dossier partagé chiffré, plusieurs paramètres de sécurité, comptes d’utilisateur et paramètres de port seront réinitialisés. En savoir plus sur le processus de réinitialisation

Apprendre encore plus

Astuce 8: Modifier les ports par défaut

Bien que la modification des ports HTTP (5000) et HTTPS (5001) par défaut de DSM en ports personnalisés ne puisse pas empêcher les attaques ciblées, elle peut dissuader les menaces courantes qui n’attaquent que les services prédéfinis. Pour modifier les ports par défaut, accédez à Panneau de configuration  >  Réseau  >  Paramètres DSM et personnalisez les numéros de port. C’est également une bonne idée de changer le port SSH (22) par défaut si vous utilisez régulièrement l’accès au shell.

Vous pouvez également déployer un proxy inverse pour réduire les vecteurs d’attaque potentiels à des services Web spécifiques uniquement pour une sécurité accrue. Un proxy inverse agit comme un intermédiaire pour les communications entre un serveur interne (généralement) et des clients distants, cachant certaines informations sur le serveur, telles que son adresse IP réelle.

Apprendre encore plus

Astuce 9: désactivez SSH / Telnet lorsqu’il n’est pas utilisé

Si vous êtes un utilisateur expérimenté qui nécessite souvent un accès shell, n’oubliez pas de désactiver SSH / telnet lorsqu’il n’est pas utilisé. Comme l’accès root est activé par défaut et que SSH / telnet ne prend en charge que les connexions à partir des comptes d’administrateur, les pirates peuvent forcer votre mot de passe par brute brute pour obtenir un accès non autorisé à votre système. Si vous avez besoin que le service de terminal soit disponible à tout moment, nous vous recommandons de définir un mot de passe fort et de modifier le numéro de port SSH par défaut (22) pour augmenter la sécurité. Vous pouvez également envisager de tirer parti des VPN et de limiter l’accès SSH aux seules adresses IP locales ou approuvées.

Apprendre encore plus

Astuce 10: crypter les dossiers partagés

DSM prend en charge le cryptage AES-256 de vos dossiers partagés pour empêcher l’extraction de données des menaces physiques. Les administrateurs peuvent crypter les dossiers partagés nouvellement créés et existants.

Pour crypter les dossiers partagés existants, accédez à Panneau de configuration  >  Dossier partagé et modifiez le dossier. Configurez une clé de cryptage sous l’onglet Cryptage et DSM commencera à crypter le dossier. Nous vous recommandons vivement d’enregistrer le fichier de clé généré dans un emplacement sécurisé, car les données chiffrées ne peuvent pas être récupérées sans la phrase secrète utilisée ou le fichier de clé.

Apprendre encore plus

Astuce bonus: l’intégrité des données

La sécurité des données est inextricablement liée à la cohérence et à l’exactitude de vos données – l’intégrité des données. La sécurité des données est une condition préalable à l’intégrité des données, car un accès non autorisé pourrait entraîner une falsification ou une perte de données, rendant vos données critiques inutiles.

Vous pouvez prendre deux mesures pour garantir la précision et la cohérence de vos données: activer la somme de contrôle des données et exécuter régulièrement des tests SMART . Nous avons écrit sur ces deux méthodes de sécurité dans nos précédents articles de blog – allez les vérifier pour plus d’informations.

Plus important que jamais

Les menaces en ligne sont en constante évolution et la sécurité des données doit être tout aussi multiforme. Comme de plus en plus d’appareils connectés sont introduits à la maison et au travail, il devient plus facile pour les cybercriminels d’exploiter les failles de sécurité et d’accéder à votre réseau. Rester en sécurité n’est pas quelque chose que vous faites une fois, puis oubliez, c’est un processus continu.

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.