Tuto : 5 astuces pour améliorer la protection de son Nas Synology du piratage

Logo SynologyAprès avoir connu un première faille de sécurité de son système DSM où une application s’installait à l’insu du propriétaire d’un Nas Synology et minait des bitcoins, le constructeur doit faire face actuellement à un nouveau problème lié à un « ransomware » baptisé SynoLocker et qui invite l’administrateur du Nas infecté à payer pour récupérer l’usage de son appareil infecté…
Évidemment, Synology prend très au sérieux le problème et invite les utilisateurs touchés par le problème à prendre contact avec son support technique.
A priori seules certaines versions de DSM seraient touchées par le problème, mais comme il vaut prévenir que guérir, je vous propose dans la suite de ce tutoriel quelques précautions que l’on peut prendre pour protéger son appareil…

Disons le tout de suite, d’après Synology, le DSM 5.0 ne présenterait pas ce problème (aucun Nas sous DSM 5.0 n’aurait été répertorié à ce jour comme ayant subi ce ransomware) et seules des versions du DSM 4.3-3810 et antérieures présenteraient une faille permettant à SynoLocker d’être installé. En tout état de cause, si vous êtes touchés, ne payez rien, et contactez Synology par leur formulaire de support dédié .

Néanmoins comme une nouvelle faille est toujours possible, voici ce que personnellement j’applique depuis des années pour me protéger « un peu » pour les serveurs et Nas que j’administre au quotidien. Cela diminue les risques mais ne le réduit jamais à zéro ….

 

1ere suggestion  : Tout d’abord , on ne garde pas de compte Administrateur avec un mot de passe trivial du type admin/admin.
C’est bête à dire , mais cela existe encore tellement que de le rappeler n’est peut-être pas inutile.  De même si l’appareil s’appelle par exemple : Nas_de_Sam , on ne choisira pas le couple identifiant admin/sam… Choisir un mot de passe avec des lettres en majuscules et minuscules , ainsi que des chiffres et pourquoi pas des caractères spéciaux est plus que recommandé pour un compte administrateur… et souhaitable pour un compte utilisateur.


2eme suggestion : On n’ouvre sur un routeur que les ports vraiment nécessaires !!!
Ne pas mettre son Nas Synology directement en DMZ parce que c’est « plus simple à configurer… » Je vous propose pour cela de relire un de mes tutoriels qui explique comment donner accès à son Nas Synology depuis Internet. Pour renforcer la sécurité, et si c’est pour un accès à un nombre très restreint de personnes que l’on connait bien , on peut utiliser en plus des ports non standards pour la redirection en faisant du PAT (Port Address Translation). Ainsi, au lieu d’autoriser l’administration sur le port 5001, pourquoi ne pas utiliser le port 5551 depuis l’extérieur, afin d’éviter les « bots » qui scannent les ports de services standards.

3eme suggestion : utiliser la version firmware la plus récente.
Tous les constructeurs « sérieux » font évoluer les programmes qui animent leurs matériels. Synology n’échappe évidemment pas à cette règle car c’est un constructeur « sérieux ». Néanmoins , par le passé , certaines mises à jour n’ont pas été un franc succès ( j’ai démarré avec un des premiers Synology baptisé DS-101g en 2005 et j’ai connu quelques déconvenues de mise à jour imputable à une mauvaise finalisation de la part de Synology ) et depuis j’attends toujours quelques semaines sur les NAS en production après la sortie officielle… Je remarque néanmoins que leurs processus de publication s’est nettement amélioré ses derniers temps car TRÈS peu ou pas de désagrément se sont révélés après des mises à jour.  Il suffit d’ailleurs de suivre l’actualité des mises à jour sur le site de Synology pour se rendre compte que dorénavant peu de mise à jour viennent corriger des bugs d’une précédente.
Cela permet ainsi, outre d’accéder à de nouvelles fonctionnalités, de combler également des failles de sécurité qui ont été détectées par Synology lui-même ou par les utilisateurs. Ainsi, dans le cas de SynoLocker, Synology annonce que les mises à jour réalisées avec les versions DSM depuis Décembre 2013 évitent la « contamination » par ce ransomware.


4eme suggestion : n’utiliser que des protocoles cryptés pour s’identifier à distance.
Que ce soit pour accéder à l’interface Web d’administration de son Nas ou en FTP ou en ligne de commande ou encore WebDAV , etc … on n’utilisera que les version « S » (sécurisation par cryptage) de ces protocoles . Ainsi , pas d’interrogation de l’interface d’administration en HTTP mais plutôt en HTTPS, pas de FTP mais du FTPS , pas  de Telnet mais du SSH, etc … Seuls les protocoles où il est nécessaire d’utiliser un mot de passe sont concernés. En effet, si vous héberger votre site perso sur votre Nas, il est inutile de faire un accès en HttpS pour seulement du contenu public sans authentification.

5eme suggestion : utiliser le dispositif de blocage automatique des connexions.
C’est ce dispositif sur lequel je vais m’attarder dans la suite de ce tutoriel, qui à défaut d’éviter complètement les piratages, permet de les freiner  voire de décourager les pirates.

Voyons en détail la mise en oeuvre dans la page suivante.

Articles en relation avec celui-ci

Cette entrée a été publiée dans Astuces/Tips, Informatique, Nas, Tutoriels, avec comme mot(s)-clef(s) , , , , , . Vous pouvez la mettre en favoris avec ce permalien.

22 réponses à Tuto : 5 astuces pour améliorer la protection de son Nas Synology du piratage

  1. Chris dit :

    Bonjour,

    Perso, je ne me pense pas parano, pourtant j’ai fixé la limite à 3 tests en 5 minutes. Sachant que je n’ai aucune chance de perdre le mot de passe.
    Et si je me plante vraiment (ça m’est effectivement arrivé une fois, sans doute un verrouillage majuscule, ou un changement de langue du clavier), il me suffit de changer de PC pour débloquer ce PC là.

    Sinon pour info, comme je ne voulais pas désactiver les mails de notification de blocage d’IP à cause de tentatives en échec, j’ai décidé de couper le mal à la source et de diminuer le nombre de personne pouvant exécuter ces tentatives.

    Pour cela, j’ai mis en place le blocage d’IP par pays : http://www.nextinpact.com/news/87922-dsm-5-0-synology-mise-a-jour-securite-et-meilleure-stabilite-raid-5.htm

    Je suis passé d’une moyenne de 4 notifications par jour, à 2 notifications par mois, depuis avril !! :)

    Bref, que du bon, avec en plus une bonne dose de sécurité en plus.
    Un tuto à faire de plus ? :P

    Cordialement,
    Christophe.

  2. kissatoi dit :

    Bonjour ,

    Content de te retrouver après absence :)
    On ne sera jamais assez prudent il est bon de le rappeler , perso pas été touché par le pb qu’il y a eu ,pourtant j’avais 90 tentatives jours pour se connecter :( .
    Certes ce pb m’a permis de revoir certains points ou il pouvait avoir une faille !!
    Par contre j’ai du approfondir un peu trop mes réglages il me semble :) car plus d’accès à mon station photo personnel
    Ai tout les droits sur le Nas en tant qu’admin et ???
    Une idée ??
    Merci

    • Bonjour. Content de ta nouvelle visite également ;-) … Le « soutient » au site était peu nombreux malheureusement et c’était une des raisons de « l’absence d’articles ».
      Pour ton problème, difficile à dire sans davantage d’informations sur ce qui a été fait. Mais il est probable que tu as été trop « restrictif » , il faut donc rechercher parmi les règles mises en place. Bon courage.

      • kissatoi dit :

        Restrictif non je ne pense pas vu que j’ai enlevé toute les règles pour test niveau pare feu le station personnel est furtif grisé quand je veux l’activer via le DSM en haut à droite sur les options , et quand je veux passer via Synology Photo Station Uploader il me dit désactivé veuillez activé comment faire si il est grisé ??

  3. kissatoi dit :

    Super arrive plus à me connecter GRRRRR !!!!!
    Ce que je veux c’est un accès à mes paramètres de réglages pour mes users
    Je crois que je vais accepter ton aide avec joie car ça tourne en rond là et risque de grosse bêtises tu me diras quand et si dispo pour RDV
    Merci

  4. Passerby dit :

    Perso j’ai toujours activé la notification par mail en cas d’échec de connexion et la seule fois où il y a eu un blocage d’IP accompagné d’une notification c’est quand un nouvel utilisateur s’est planté de mot de passe.
    J’avais justement mis la notification pour détecter des tentatives malveuillantes, mais je n’en ai jamais eu (NAS connecté 24/7 depuis les 6 dernières années!)
    J’en déduis que le paramétrage du routeur fait déjà un gros tri en amont.

  5. GuCas dit :

    Bonjour Sam, bonjour les gens,

    J’essaye de configurer un DS415+ fraichement déballé et de comprendre toutes les subtilités du paramétrage de DSM, de la Freebox et de tous ces acronymes… Bref, je suis un peu (beaucoup, mais passionnément ) paumé pour l’instant et j’ai notamment un message d’erreur : System detected that external IP has been changed to [mon-ip], port-mapping must be re-added.

    Qu’est-ce que c’est et qu’ai je encore raté ? Snif ;)

    Merci de votre aide.

    • Bonjour. Peut-être faudrait-il préciser ce que vous cherchez à faire… Si c’est un accès externe , le tuto se trouve par là : http://sam.web.free.fr/blog/?p=155

      • GuCas dit :

        J’ai vu votre tuto, mais j’avais déjà utilisé EZ-internet pour l’accès externe et ça semble fonctionner. En fait, tout à l’air de fonctionner, mais ce message d’erreur apparait dans le journal apparement à chaque fois que le NAS démarre et je ne comprends pas ce qu’il ne lui plait pas et ce qu’il me demande ?
        Merci

        • Je n’ai jamais apprécié EzInternet depuis son existence… mais probablement parceque j’aime bien gérer la sécurité moi-même plutôt que de m’en remettre à un automatisme… Je ne saurai donc quoi dire à propos de ce message… peut être qu’un autre lecteur pourra le faire.

          • GuCas dit :

            Et apparement vous n’êtes pas le seul à ne pas apprécier cet assistant… Dés que ce sera un peu moins flou, je formate et passe aussi en manuelle.

            Ma question reste en suspens. Je ne trouve rien sur aucun forum, si quelqu’un a une idée ?

            Merci quand même Sam :)

          • Formater ne me parait pas nécessaire… c’est même un peut trop radical me semble-t-il. Desactiver Ez-internet et faire la configuration manuellement est je pense suffisant.

  6. greg dit :

    Hello et merci pour ces tutos sur les Synology.
    Perso je me pose des questions sur les possibles accès depuis l’extérieur, non pas en direct (rien n’est configuré explicitement au niveau du routeur), mais soit via une ouverture upnp soit via le système de connexion extérieure (utilisé notamment par CloudStation et autres).
    Y a-t-il de la doc sur le sujet ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>