Tuto : 5 astuces pour améliorer la protection de son Nas Synology du piratage

Le principe de fonctionnement du blocage auto est le suivant : au bout d’un certain nombres de tentatives infructueuse de connexion dans un laps de temps donné, le Nas « blacklist » l’adresse IP demandeuse pour une période fixée par l’administrateur du Nas, interdisant ainsi toute nouvelle connexion. Le système fonctionne aussi bien sur l’identification par interface Web que par email, SSH, FTP , etc …

Sous DSM-5.0, il faut se rendre dans : Panneau de configuration > Sécurité > Blocage Auto

Blocage IP sous DSM 5.0

Blocage IP sous DSM 5.0

Sous DSM-4.3 , DSM-4.2, DSM3.1 etc , il faut se rendre dans Panneau de configuration > Blocage auto

Blocage IP sous DSM 4.3

Blocage IP sous DSM 4.3

Quelque soit la version de DSM le paramétrage est très similaire. On indique un seuil de tentatives de connexions erronées en un temps donné. Si ce seuil est dépassé, l’adresse IP est bloquée pour une durée déterminée dans la case Débloquer après x jours ou pour une durée illimitée si 0 est saisi.

Pour ma part, je choisi un nombre entre 7 et 10 tentatives de connexion sous une durée entre 7 et 10 minutes pour me laisser le temps de réfléchir à ce que j’aurai pu mettre si j’ai un trou de mémoire.. ;-)

Il est possible dans les versions de DSM-4.x et supérieures de définir une liste blanche d’adresse IP qui ne déclenchera pas le blocage. Cela peut être pratique quand vous avez oublié votre mot de passe ou que vous faites quelques confusions entre différents mot de passe (ca m’arrive ;-) )  de pouvoir continuer à faire des essais indéfiniment… Mon ordinateur principal étant avec une IP fixe sur mon réseau, j’ai donc mis son adresse IP en liste blanche ce qui évite que je me bloque… ce qui serait TRÈS désagréable.
De même, ma freebox disposant d’une adresse IP fixe, j’ai saisi celle-ci dans la liste blanches des « Synology familiaux » que j’administre à distance, ce qui m’évite de me bloquer également si d’aventure j’oubliais le mot de passe.

Liste blanche IP sous DSM 4.3

Liste blanche IP sous DSM 4.3

A noter que par défaut, on reçoit un email de notification à chaque blocage d’IP ce qui peut-être pénible à force…
Pour cela dans DSM-5.0 et DSM-4.x on peut désactiver l’envoi d’email pour cet évènement dans a rubrique Système ligne Adresse IP bloquée.
Dans DSM-3.1, c’est directement dans la rubrique blocage auto qu’il ne faut pas cocher Activer la notification par courriel .

Synology propose sur son site des idées supplémentaires comme par exemple une double authentification par exemple. C’est très bien dans un cadre professionnel, mais pour le particulier cela me semble un peu lourd…

Rien que d’appliquer les conseils ci-dessus devrait déjà vous préserver grandement…

Articles en relation avec celui-ci

Cette entrée a été publiée dans Astuces/Tips, Informatique, Nas, Tutoriels, avec comme mot(s)-clef(s) , , , , , . Vous pouvez la mettre en favoris avec ce permalien.

22 réponses à Tuto : 5 astuces pour améliorer la protection de son Nas Synology du piratage

  1. Chris dit :

    Bonjour,

    Perso, je ne me pense pas parano, pourtant j’ai fixé la limite à 3 tests en 5 minutes. Sachant que je n’ai aucune chance de perdre le mot de passe.
    Et si je me plante vraiment (ça m’est effectivement arrivé une fois, sans doute un verrouillage majuscule, ou un changement de langue du clavier), il me suffit de changer de PC pour débloquer ce PC là.

    Sinon pour info, comme je ne voulais pas désactiver les mails de notification de blocage d’IP à cause de tentatives en échec, j’ai décidé de couper le mal à la source et de diminuer le nombre de personne pouvant exécuter ces tentatives.

    Pour cela, j’ai mis en place le blocage d’IP par pays : http://www.nextinpact.com/news/87922-dsm-5-0-synology-mise-a-jour-securite-et-meilleure-stabilite-raid-5.htm

    Je suis passé d’une moyenne de 4 notifications par jour, à 2 notifications par mois, depuis avril !! :)

    Bref, que du bon, avec en plus une bonne dose de sécurité en plus.
    Un tuto à faire de plus ? :P

    Cordialement,
    Christophe.

    • Merci pour ces informations. Pourquoi ne pas, comme certains utilisateurs l’on fait sur d’autres sujets, réaliser ce tuto que je publierai pour vous avec plaisir ?

      • Chris dit :

        C’est une idée, mais là je pars en vacances… ^^

        Sinon, merci pour votre blog ! :)
        J’y ai appris pleiiin de choses très intéressantes.

        Au plaisir de vous lire.

        • Excellentes vacances avec plein de soleil alors … et la proposition reste d’actualité au retour ;-) . Merci pour le compliment et heureux d’apprendre que ce blog rends des services …

  2. kissatoi dit :

    Bonjour ,

    Content de te retrouver après absence :)
    On ne sera jamais assez prudent il est bon de le rappeler , perso pas été touché par le pb qu’il y a eu ,pourtant j’avais 90 tentatives jours pour se connecter :( .
    Certes ce pb m’a permis de revoir certains points ou il pouvait avoir une faille !!
    Par contre j’ai du approfondir un peu trop mes réglages il me semble :) car plus d’accès à mon station photo personnel
    Ai tout les droits sur le Nas en tant qu’admin et ???
    Une idée ??
    Merci

    • Bonjour. Content de ta nouvelle visite également ;-) … Le « soutient » au site était peu nombreux malheureusement et c’était une des raisons de « l’absence d’articles ».
      Pour ton problème, difficile à dire sans davantage d’informations sur ce qui a été fait. Mais il est probable que tu as été trop « restrictif » , il faut donc rechercher parmi les règles mises en place. Bon courage.

      • kissatoi dit :

        Restrictif non je ne pense pas vu que j’ai enlevé toute les règles pour test niveau pare feu le station personnel est furtif grisé quand je veux l’activer via le DSM en haut à droite sur les options , et quand je veux passer via Synology Photo Station Uploader il me dit désactivé veuillez activé comment faire si il est grisé ??

  3. kissatoi dit :

    Super arrive plus à me connecter GRRRRR !!!!!
    Ce que je veux c’est un accès à mes paramètres de réglages pour mes users
    Je crois que je vais accepter ton aide avec joie car ça tourne en rond là et risque de grosse bêtises tu me diras quand et si dispo pour RDV
    Merci

  4. Passerby dit :

    Perso j’ai toujours activé la notification par mail en cas d’échec de connexion et la seule fois où il y a eu un blocage d’IP accompagné d’une notification c’est quand un nouvel utilisateur s’est planté de mot de passe.
    J’avais justement mis la notification pour détecter des tentatives malveuillantes, mais je n’en ai jamais eu (NAS connecté 24/7 depuis les 6 dernières années!)
    J’en déduis que le paramétrage du routeur fait déjà un gros tri en amont.

  5. GuCas dit :

    Bonjour Sam, bonjour les gens,

    J’essaye de configurer un DS415+ fraichement déballé et de comprendre toutes les subtilités du paramétrage de DSM, de la Freebox et de tous ces acronymes… Bref, je suis un peu (beaucoup, mais passionnément ) paumé pour l’instant et j’ai notamment un message d’erreur : System detected that external IP has been changed to [mon-ip], port-mapping must be re-added.

    Qu’est-ce que c’est et qu’ai je encore raté ? Snif ;)

    Merci de votre aide.

    • Bonjour. Peut-être faudrait-il préciser ce que vous cherchez à faire… Si c’est un accès externe , le tuto se trouve par là : http://sam.web.free.fr/blog/?p=155

      • GuCas dit :

        J’ai vu votre tuto, mais j’avais déjà utilisé EZ-internet pour l’accès externe et ça semble fonctionner. En fait, tout à l’air de fonctionner, mais ce message d’erreur apparait dans le journal apparement à chaque fois que le NAS démarre et je ne comprends pas ce qu’il ne lui plait pas et ce qu’il me demande ?
        Merci

        • Je n’ai jamais apprécié EzInternet depuis son existence… mais probablement parceque j’aime bien gérer la sécurité moi-même plutôt que de m’en remettre à un automatisme… Je ne saurai donc quoi dire à propos de ce message… peut être qu’un autre lecteur pourra le faire.

          • GuCas dit :

            Et apparement vous n’êtes pas le seul à ne pas apprécier cet assistant… Dés que ce sera un peu moins flou, je formate et passe aussi en manuelle.

            Ma question reste en suspens. Je ne trouve rien sur aucun forum, si quelqu’un a une idée ?

            Merci quand même Sam :)

          • Formater ne me parait pas nécessaire… c’est même un peut trop radical me semble-t-il. Desactiver Ez-internet et faire la configuration manuellement est je pense suffisant.

  6. greg dit :

    Hello et merci pour ces tutos sur les Synology.
    Perso je me pose des questions sur les possibles accès depuis l’extérieur, non pas en direct (rien n’est configuré explicitement au niveau du routeur), mais soit via une ouverture upnp soit via le système de connexion extérieure (utilisé notamment par CloudStation et autres).
    Y a-t-il de la doc sur le sujet ?