Noobunbox

Mise a jour : DSM 6 est sorti aujourd’hui : la procédure reste sensiblement la même 

Mise a jour : D’après NextInpact SynoLocker exploiterait une faille bouchée fin 2013, le DSM 5.0 ne serait pas concerné

Selon cet article de nextinpact, la faille aurait été corrigée dans les dernières versions de DSM cela rappelle la nécessité de mettre a jour systématiquement vos programmes et OS !


Comme vous le savez les NAS synology sont/ont été la cible d’un malware appelé Synolocker. Ce programme malveillant chiffre le contenu de vos disques et vous permet de déchiffrer vos données seulement après le paiement d’une rançon de 0,6 bitcoins.

 

Synology a confirmé le problème et travaille afin de trouver une solution aucune autre information n’a été diffusé, ce qui permet a certains de raconter n’importe quoi. Ce que l’on sait pour le moment :

 

Il n’existe pas de solution miracle pour se prémunir d’un hack mais il est possible de prendre des précautions afin de sécuriser un NAS Synology au maximum.

Petit recapitulatif avant toute chose

Stocker vos donnees sur un Synology ne signifie pas sauvegarder vos données ! Une sauvegarde implique que vos donnees soient disponibles sur plusieurs supports. Stocker ses donnees sur un RAID n’est en aucun cas une sauvegarde.

 

Gestion des utilisateurs et des mots de passe

Avant toute chose commencez par créer un nouvel administrateur et désactiver le compte admin. Utilisez des mots de passe considérés comme fort mais surtout faites attention a votre politique de mot de passe pour les comptes de vos utilisateurs (Panneau de configuration > Utilisateur > Avancé)

sécuriser un NAS Synology
Contrôlez aussi les droits que vous donnez a vos utilisateurs, tous vos utilisateurs n’ont pas besoin d’avoir des droits en écritures sur tous les répertoires

 

 

Bloquer les ips « exotiques » (DSM 5.0 minimum)

Avec l’arrivee de DSM 5, il est possible de bloquer / autoriser des IPs en fonction de leur pays. Je vous conseille donc de non pas faire une blacklist (puisqu’il n’est pas possible de sélectionner plus de 15 pays) mais une whitelist – seules les IPs des pays appartenant a cette liste pourront accéder a votre Synology.

Si vous souhaitez bloquer des IPs en fonction de leur pays d’origine il est indispensable d’ajouter en premier lieu une règle autorisant les connexions depuis votre réseau local.

 

Pour cela : Panneau de configuration > Sécurité > Pare-feu > Créer. Il vous est possible de choisir les ports sur lesquels cette règle s’appliquera  : il peut-être intéressant de tout sélectionner sauf votre VPN qui lui vous permettra de vous connecter depuis n’importe quel autre pays en retrouvant une IP externe française.

 

IP source : Sélectionnez région, puis cliquez sur « Sélectionnez », vous aurez ensuite accès a la liste des pays que vous souhaitez autoriser

sécuriser un NAS Synology

 

Cochez maintenant les pays que vous souhaitez autoriser a se connecter : dans notre exemple seule la France est sélectionnée. Il ne vous reste plus qu’a cliquer sur OK.

sécuriser un NAS Synology

 

Vous pouvez ensuite ajouter d’autres règles a votre firewall. N’oubliez pas ensuite de les sauvegarder. Dernier point très important pour sécuriser un nas Synology : concernant l’option « Si aucune règle n’est remplie » il faut absolument sélectionner « Refuser l’accès »  dans le cas contraire votre NAS autorisera toutes les connexions

 

 

Sécuriser un nas Synology avec une authentification forte

L’authentification deux facteurs ou authentification forte est une procédure qui, comme son nom l’indique, requiert au moins deux étapes d’authentification. Il est possible de mettre en place ce dispositif pour accéder a l’interface d’administration de votre Synology et pour vous connecter en SSH.

 

Double authentification – DSM

Commencez par installer sur votre smartphone ou sur votre navigateur internet Authy ou Google Authenticator (seulement sur smartphone).

Ensuite connectez vous sur DSM puis cliquez sur options.

securiser-synology-options-2auth

 

Puis cochez l’option « Enable 2-step verification » / « Activer la vérification en 2 étapes ». L’assistant de configuration devrait s’ouvrir, cliquez sur suivant

sécuriser un NAS Synology

 

Verifier que l’adresse e-mail qui apparait dans la fenetre suivante soit bien une adresse e-mail valide, puis validez

sécuriser un NAS Synology

 

Un QR code apparait maintenant, vous devriez ouvrir votre application (authy / google authenticator) et le scanner.

sécuriser un NAS Synology

 

Votre application génère maintenant des codes éphémères (valables 30 secondes) calculé depuis une clef numérique propre à votre utilisateur. Maintenant rentrez votre code dans la fenetre suivante afin de verifier si tout s’est correctement configuré et validez.

sécuriser un NAS Synology

 

Désormais après avoir rentre votre nom d’utilisateur et votre mot de passe pour vous connecter a DSM vous devrez indiquer ce code a 6 chiffres.

sécuriser un NAS Synology

 

 

Double authentification – Serveur SSH

Dans un precedent post j’ai détaillé les etapes d’installation d’une double authentification sur le serveur SSH afn de mieux securiser votre NAS Synology (vous devez avoir IPKG d’installé sur votre NAS)

 

 

Sécurité des applications et services Synology

Tout d’abord je vous conseille de ne pas ouvrir sur internet les ports réseaux de services que vous n’utilisez pas et de privilégier au maximum des connexions via un VPN installé sur votre réseau local.

Commencez par forcer les connexions au DSM en SSL

Ensuite sur mon reseau, mon Synology a un accès ouvert sur internet sur 3 ports seulement, 80 (serveur web http), 443 (serveur web https) et DSM SSL. (mon serveur VPN est directement géré par mon routeur)

Pour DSM Il est absolument nécessaire de modifier le port de connexion par défaut en mettant en place une redirections au niveau de votre routeur. Ci dessous un exemple :

Le Synology a pour ip 192.168.1.2 sur ce reseau local
Le port du DSM en SSL accessible localement est 5001
Si je souhaite accéder a DSM hors de mon réseau je devrai me connecter sur le port 30000

sécuriser un NAS Synology

 

Procédez de même pour le service SSH si vous en avez l’utilité et n’activez pas / désactivez le service Telnet.

 

Catégories : Synology

Novakin

Passionné d'informatique depuis de longues années je me suis tourné vers Linux et des solutions de virtualisation il y a peu. Ce blog est une sorte de carnet de web où je partage mes mémos.

8
Poster un Commentaire

3 Fils de commentaires
5 Réponses de fil
0 Abonnés
 
Commentaire avec le plus de réactions
Le plus populaire des commentaires
4 Auteurs du commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

  S’abonner  
plus récent plus ancien Le plus populaire
Notifier de
nico

Bonjour,

Très intéressant!
Le NAS ne m’accepte pas l’IP source France à la sauvegarde, j’ai un message d’erreur comme quoi ceci ne remplissait pas les conditions d’utilisation de l’administrateur. Or je suis bien en France.
Mon fournisseur d’accès est free.

Bonjour,

Peux tu stp faire un screenshot ou indiquer quel est exactement le message d’erreur ?

Bonne soiree
Nova

nico

Bonjour,

Le message exacte est le suivant :
« L’ordinateur de l’administrateur a été bloqué par une nouvelle règle du pare-feu. Les règles du pare-feu précédentes ont été restaurées. Si vous avez sélectionner « refuser accès » si aucune règle ne correspond veuillez vous assurer de créer une règle pour exclure l’ordinateur de l’administrateur ».

Je confirme avoir bien sélectionner France et cocher autoriser.
Puis avoir cocher « refuser » si aucune règle n’est remplie.

Merci de ton aide

Bonjour,

Essaye d’ajouter auparavant une premiere regle autorisant toutes les IPs de ton réseau local.

Nouvelle regle : tous les protocoles
IP source : IP specifique > Plage IP :
De : 192.168.0.1 A: 192.168.0.255

Action autoriser

Maintenant dis moi si tu arrives a ajouter la regle n’autorisant que les IPs francaises.

nico

Ça fonctionne !
Mais pourquoi ? Y a t-il besoin d’une règle qui autorise avant de mettre une règle qui refuse ?
Merci pour ton aide.

Il faut mettre en place des exceptions sinon ton NAS refusera toutes les connexions. La raison pour laquelle cela ne fonctionnait pas est la suivante : tu te connectes a ton NAS depuis ton réseau local (ton NAS voit une IP en 192.168.x.x) , tu ajoutes une regle n’autorisant que les IPs francaise et tu indiques que si une connexion ne respecte pas cette regle elle devrait etre refusee. Probleme : Une IP locale n’est pas une IP francaise. Si tu t’étais connecte a ton NAS depuis internet pour le configurer cela aurait fonctionne mais tu n’aurais pas pu t’y… Lire la suite »

Bonjour,

C’est très bien dit : pour sauvegarder ses données, les centraliser sur le NAS Synology est une bonne idée,

Une fois cette étape remplie, il est recommandé de mettre en place une sauvegarde physiquement éloignée : http://synology.pc-fute.com/2015/10/sauvegarde-du-nas-synology-vers-un-serveur-rsync/ soit vers un serveur loué ou vers un ordinateur qui exécute dans les 2 cas le logiciel Rsync et on est tout de suite bien plus rassuré 😉

Il existe aussi Amazon Glacier, Hubic, etc pour ceux qui ne veulent pas le réaliser manuellement. 😉

Salut Ludo,

Effectivement le must reste deux backups : un local et un distant. Par contre concernant Hubic je déconseille, les vitesses de transferts sont affreuses. Amazon Cloud Drive, le client synology est mauvais…Glacier, je n’ai jamais testé.

Pour sauvegarder mes données j’utilise Amazon Cloud Drive avec rclone depuis un serveur tiers sur lequel mes partages syno sont montés