Comment sécuriser un NAS Synology ? – MAJ

24 mars 2016 Synology 6 Commentaires

Mise a jour : DSM 6 est sorti aujourd’hui : la procédure reste sensiblement la même 

Mise a jour : D’après NextInpact SynoLocker exploiterait une faille bouchée fin 2013, le DSM 5.0 ne serait pas concerné

Selon cet article de nextinpact, la faille aurait été corrigée dans les dernières versions de DSM cela rappelle la nécessité de mettre a jour systématiquement vos programmes et OS !


Comme vous le savez les NAS synology sont/ont été la cible d’un malware appelé Synolocker. Ce programme malveillant chiffre le contenu de vos disques et vous permet de déchiffrer vos données seulement après le paiement d’une rançon de 0,6 bitcoins.

 

Synology a confirmé le problème et travaille afin de trouver une solution aucune autre information n’a été diffusé, ce qui permet a certains de raconter n’importe quoi. Ce que l’on sait pour le moment :

 

Il n’existe pas de solution miracle pour se prémunir d’un hack mais il est possible de prendre des précautions afin de sécuriser un NAS Synology au maximum.

Petit recapitulatif avant toute chose

Stocker vos donnees sur un Synology ne signifie pas sauvegarder vos données ! Une sauvegarde implique que vos donnees soient disponibles sur plusieurs supports. Stocker ses donnees sur un RAID n’est en aucun cas une sauvegarde.

 

Gestion des utilisateurs et des mots de passe

Avant toute chose commencez par créer un nouvel administrateur et désactiver le compte admin. Utilisez des mots de passe considérés comme fort mais surtout faites attention a votre politique de mot de passe pour les comptes de vos utilisateurs (Panneau de configuration > Utilisateur > Avancé)

sécuriser un NAS Synology
Contrôlez aussi les droits que vous donnez a vos utilisateurs, tous vos utilisateurs n’ont pas besoin d’avoir des droits en écritures sur tous les répertoires

 

 

Bloquer les ips « exotiques » (DSM 5.0 minimum)

Avec l’arrivee de DSM 5, il est possible de bloquer / autoriser des IPs en fonction de leur pays. Je vous conseille donc de non pas faire une blacklist (puisqu’il n’est pas possible de sélectionner plus de 15 pays) mais une whitelist – seules les IPs des pays appartenant a cette liste pourront accéder a votre Synology.

Si vous souhaitez bloquer des IPs en fonction de leur pays d’origine il est indispensable d’ajouter en premier lieu une règle autorisant les connexions depuis votre réseau local.

 

Pour cela : Panneau de configuration > Sécurité > Pare-feu > Créer. Il vous est possible de choisir les ports sur lesquels cette règle s’appliquera  : il peut-être intéressant de tout sélectionner sauf votre VPN qui lui vous permettra de vous connecter depuis n’importe quel autre pays en retrouvant une IP externe française.

 

IP source : Sélectionnez région, puis cliquez sur « Sélectionnez », vous aurez ensuite accès a la liste des pays que vous souhaitez autoriser

sécuriser un NAS Synology

 

Cochez maintenant les pays que vous souhaitez autoriser a se connecter : dans notre exemple seule la France est sélectionnée. Il ne vous reste plus qu’a cliquer sur OK.

sécuriser un NAS Synology

 

Vous pouvez ensuite ajouter d’autres règles a votre firewall. N’oubliez pas ensuite de les sauvegarder. Dernier point très important pour sécuriser un nas Synology : concernant l’option « Si aucune règle n’est remplie » il faut absolument sélectionner « Refuser l’accès »  dans le cas contraire votre NAS autorisera toutes les connexions

 

 

Sécuriser un nas Synology avec une authentification forte

L’authentification deux facteurs ou authentification forte est une procédure qui, comme son nom l’indique, requiert au moins deux étapes d’authentification. Il est possible de mettre en place ce dispositif pour accéder a l’interface d’administration de votre Synology et pour vous connecter en SSH.

 

Double authentification – DSM

Commencez par installer sur votre smartphone ou sur votre navigateur internet Authy ou Google Authenticator (seulement sur smartphone).

Ensuite connectez vous sur DSM puis cliquez sur options.

securiser-synology-options-2auth

 

Puis cochez l’option « Enable 2-step verification » / « Activer la vérification en 2 étapes ». L’assistant de configuration devrait s’ouvrir, cliquez sur suivant

sécuriser un NAS Synology

 

Verifier que l’adresse e-mail qui apparait dans la fenetre suivante soit bien une adresse e-mail valide, puis validez

sécuriser un NAS Synology

 

Un QR code apparait maintenant, vous devriez ouvrir votre application (authy / google authenticator) et le scanner.

sécuriser un NAS Synology

 

Votre application génère maintenant des codes éphémères (valables 30 secondes) calculé depuis une clef numérique propre à votre utilisateur. Maintenant rentrez votre code dans la fenetre suivante afin de verifier si tout s’est correctement configuré et validez.

sécuriser un NAS Synology

 

Désormais après avoir rentre votre nom d’utilisateur et votre mot de passe pour vous connecter a DSM vous devrez indiquer ce code a 6 chiffres.

sécuriser un NAS Synology

 

 

Double authentification – Serveur SSH

Dans un precedent post j’ai détaillé les etapes d’installation d’une double authentification sur le serveur SSH afn de mieux securiser votre NAS Synology (vous devez avoir IPKG d’installé sur votre NAS)

 

 

Sécurité des applications et services Synology

Tout d’abord je vous conseille de ne pas ouvrir sur internet les ports réseaux de services que vous n’utilisez pas et de privilégier au maximum des connexions via un VPN installé sur votre réseau local.

Commencez par forcer les connexions au DSM en SSL

Ensuite sur mon reseau, mon Synology a un accès ouvert sur internet sur 3 ports seulement, 80 (serveur web http), 443 (serveur web https) et DSM SSL. (mon serveur VPN est directement géré par mon routeur)

Pour DSM Il est absolument nécessaire de modifier le port de connexion par défaut en mettant en place une redirections au niveau de votre routeur. Ci dessous un exemple :

Le Synology a pour ip 192.168.1.2 sur ce reseau local
Le port du DSM en SSL accessible localement est 5001
Si je souhaite accéder a DSM hors de mon réseau je devrai me connecter sur le port 30000

sécuriser un NAS Synology

 

Procédez de même pour le service SSH si vous en avez l’utilité et n’activez pas / désactivez le service Telnet.