Différences entre versions de « Sécuriser-son serveur Synology »
| (11 versions intermédiaires par 2 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
| + | |||
| + | {{#seo: | ||
| + | |title=Sécuriser son serveur Synology | ||
| + | |title_mode=append | ||
| + | |keywords=these,are,your,keywords | ||
| + | |description=Comment sécuriser son serveur Synology | ||
| + | |image=Uploaded_file.png | ||
| + | |image_alt=Wiki Logo | ||
| + | }} | ||
| + | |||
Les NAS Synology rencontrent un succès croissant et ils sont dès lors victimes de nombreuses tentatives de piratage. | Les NAS Synology rencontrent un succès croissant et ils sont dès lors victimes de nombreuses tentatives de piratage. | ||
| − | Afin de vous prémunir au maximum contre ce risque, nous vous invitons vivement à prendre le temps pour sécuriser l’accès de votre NAS Synology. | + | Afin de vous prémunir au maximum contre ce risque, nous vous invitons vivement à prendre le temps pour sécuriser l’accès de votre [https://www.ikoula.com/fr/serveur-synology NAS Synology]. |
== Choisissez un mot de passe fort == | == Choisissez un mot de passe fort == | ||
| Ligne 19 : | Ligne 29 : | ||
* La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ; | * La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ; | ||
* La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A. | * La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A. | ||
| + | |||
| + | Vous pouvez vous assurer que les utilisateurs définissent des mots de passe forts pour réduire le risque de piratage. | ||
| + | |||
| + | Cochez Appliquer les règles de force de mot de passe aux emplacements suivants: | ||
| + | |||
| + | * Pour DSM 7.0 et versions ultérieures: accédez à <b>Panneau de configuration</b> > <b>Utilisateur et groupe</b> > <b>Avancé</b> > <b>Paramètres du mot de passe</b>. | ||
| + | * Pour DSM 6.2 et versions antérieures: accédez à <b>Panneau de configuration</b> > <b>Utilisateur</b> > <b>Avancé</b> > <b>Paramètres du mot de passe</b>. | ||
| + | |||
| + | == Activez l'authentification à double facteur == | ||
| + | |||
| + | L'authentification multifacteur offre une sécurité supplémentaire pour votre compte DSM. S'il est activé, vous devez fournir une deuxième vérification d'identité en plus de votre mot de passe lorsque vous vous connectez à DSM. | ||
| + | |||
| + | Dans l'encart en haut à droite, cliquez sur l'icône en forme de bonhomme, puis cliquez sur <b>Perso.</b>, dans l'onglet <b>Compte</b>, en bas, vous pourrez cliquez sur <b>Authentification à 2 facteurs</b> et ainsi choisir de paramétrer la méthode de double authentification désirée. | ||
| + | |||
| + | == Activez le blocage auto et la protection DOS == | ||
| + | Vous pouvez activer la protection DoS (déni de service) pour empêcher les attaques malveillantes sur Internet. | ||
| + | |||
| + | Pour ce faire, accédez à <b>Panneau de configuration</b> > <b>Sécurité</b> > <b>Protection</b>, cochez <b>Activer le blocage auto</b>. | ||
| + | |||
| + | Plus bas, développez <b>Protection DoS</b> et cochez <b>Activer la protection DoS</b>. | ||
| + | |||
| + | Validez en cliquant sur <b>Appliquer</b>. | ||
| + | |||
| + | Après avoir activé la protection DoS, votre Synology NAS ne répond qu'à un seul paquet ping ICMP par seconde. Si la fréquence est supérieure à une fois par seconde, Synology NAS ne répondra pas à la demande d'écho. | ||
| + | |||
| + | == Configurez le pare-feu == | ||
| + | |||
| + | Dans <b>Panneau de configuration</b> > <b>Sécurité</b> > <b>Pare-feu</b>, vous pouvez activer le pare-feu, créer des règles de pare-feu et configurer les paramètres du pare-feu pour empêcher les connexions non autorisées et de contrôler l'accès aux services. | ||
| + | |||
| + | Vous pouvez choisir d'autoriser ou refuser l'accès à certains ports réseaux par certaines adresses IP spécifiques. | ||
| + | |||
| + | === Activer le pare-feu === | ||
| + | |||
| + | Accédez à <b>Panneau de configuration</b> > <b>Sécurité</b> > <b>Pare-feu</b> et cochez Activer le pare-feu. | ||
| + | |||
| + | Cliquez sur <b>Appliquer</b> pour enregistrer les paramètres. | ||
| + | |||
| + | === Configurer un profil de pare-feu === | ||
| + | |||
| + | Dans la section <b>Profil du pare-feu</b>, cliquez sur l'icône <b>+</b> dans le menu déroulant et saisissez un nom pour créer un nouveau profil. | ||
| + | |||
| + | Choisissez le profil souhaité dans le menu déroulant et cliquez sur Sélectionner. | ||
| + | |||
| + | Cliquez sur le bouton <b>Modifier la règle</b> à droite, et cliquez sur <b>Créer</b> pour créer des règles de pare-feu pour le profil souhaité. | ||
| + | |||
| + | Répétez les étapes ci-dessus jusqu'à ce que vous ayez créé tous les profils et les règles de pare-feu dont vous avez besoin. | ||
| + | |||
| + | === Gérer un profil de pare-feu === | ||
| + | |||
| + | Dans la section <b>Profil du pare-feu</b>, cliquez sur les boutons correspondants dans le menu déroulant pour créer, supprimer, renommer ou cloner le profil choisi. | ||
| + | |||
| + | === Créer un profil de pare-feu === | ||
| + | |||
| + | * Dans la section <b>Profil du pare-feu</b>, sélectionnez un profil de pare-feu dans le menu déroulant et cliquez sur le bouton <b>Modifier la règle</b>, à droite. | ||
| + | * Sélectionnez une interface réseau dans les menus déroulants dans le coin supérieur droit. | ||
| + | * Cliquez sur <b>Créer</b>. | ||
| + | * Dans la section <b>Ports</b>, sélectionnez l'une des règles suivantes : | ||
| + | ** Sélectionnez <b>Tous</b> pour appliquer ces règles de pare-feu à tous les ports. | ||
| + | ** Choisissez <b>Sélectionner dans une liste d'applications intégrées</b> et cliquez sur <b>Sélectionner</b>. Sélectionnez les applications intégrées que vous voulez appliquer à cette règle de pare-feu. | ||
| + | ** Choisissez <b>Personnalisé</b> et cliquez sur <b>Personnalisé</b>. Entrez jusqu'à 15 ports séparés par un point ou spécifiez une plage de ports pour appliquer cette règle de pare-feu. | ||
| + | * Dans la section <b>IP source</b>, sélectionnez l'une des règles suivantes : | ||
| + | ** Sélectionnez <b>Tous</b> pour appliquer cette règle de pare-feu à toutes les adresses IP. | ||
| + | ** Sélectionnez <b>IP spécifique</b> et cliquez sur <b>Sélectionner</b>. Vous pouvez spécifier une adresse IP ou une plage d'IP pour appliquer cette règle de pare-feu. | ||
| + | ** Choisissez <b>Lieu</b> et ensuite spécifiez jusqu'à 15 lieux auxquels appliquer cette règle de pare-feu. | ||
| + | * Dans la section Action, sélectionnez l'une des règles suivantes : | ||
| + | ** Choisissez <b>Autoriser</b> pour autoriser l'accès par les ports et les adresses IP source que vous avez spécifié. | ||
| + | ** Choisissez <b>Refuser</b> pour refuser l'accès par les ports et les adresses IP source que vous avez spécifié. | ||
| + | |||
| + | Vous pouvez voir les règles de pare-feu LAN et PPPoE en sélectionnant ces interfaces à partir de la case dans le coin supérieur droit. En bas de la liste de règle, vous pouvez sélectionner <b>Autoriser l'accès</b> ou <b>Refuser l'accès</b> pour autoriser ou refuser les demandes d'accès qui ne correspondent pas à une règle de pare-feu existante pour l'interface respective. | ||
| + | |||
| + | === Appliquer un profil de pare-feu === | ||
| + | |||
| + | Dans la section <b>Profil du pare-feu</b>, choisissez le profil souhaité dans le menu déroulant. | ||
| + | |||
| + | Cliquez sur <b>Appliquer</b> pour enregistrer les modifications. Le profil de pare-feu choisi est appliqué et utilisé comme profil actif. | ||
| + | |||
| + | DSM Firewall correspondra aux règles selon la priorité. <u>Une fois qu'une règle correspond, elle sera renforcée et le pare-feu DSM ne continuera pas à correspondre aux règles restantes</u>. Si aucune règle ne correspond, le pare-feu DSM effectuera l'action par défaut spécifiée dans chaque interface. | ||
| + | |||
| + | == Activez la connexion HTTPS et la redirection des connexions vers HTTPS == | ||
| + | Lorsque HTTPS est activé, la connexion à DSM, Web Station, Photo Station, File Station, Audio Station et Surveillance Station est chiffrée à l'aide de SSL / TLS, ce qui sécurise votre connexion au Synology NAS. | ||
| + | |||
| + | Allez dans <b>Panneau de configuration</b> > <b>Réseau</b> > <b>Paramètre de DSM</b> | ||
| + | |||
| + | Cochez <b>Activer la connexion HTTPS</b>, puis cochez <b>Rediriger automatiquement les connexions HTTP vers le HTTPS</b> | ||
== Désactivez QuickConnect == | == Désactivez QuickConnect == | ||
En hébergeant votre Synology chez Ikoula, vous obtenez gratuitement une adresse IP fixe qui vous permet de facilement accéder à votre Synology en déplacement. | En hébergeant votre Synology chez Ikoula, vous obtenez gratuitement une adresse IP fixe qui vous permet de facilement accéder à votre Synology en déplacement. | ||
| − | + | ||
| + | Allez dans <b>Panneau de configuration</b> > <b>Quickconnect</b> et décochez <b>Activez Quickconnect</b>. | ||
[[Catégorie:NAS]] | [[Catégorie:NAS]] | ||
[[Catégorie:Synology]] | [[Catégorie:Synology]] | ||
[[Catégorie:Serveur dédié]] | [[Catégorie:Serveur dédié]] | ||
Version actuelle datée du 15 septembre 2021 à 14:21
Les NAS Synology rencontrent un succès croissant et ils sont dès lors victimes de nombreuses tentatives de piratage.
Afin de vous prémunir au maximum contre ce risque, nous vous invitons vivement à prendre le temps pour sécuriser l’accès de votre NAS Synology.
Choisissez un mot de passe fort
Pour protéger vos informations, il est nécessaire de choisir et d’utiliser des mots de passe robustes, c’est-à-dire difficiles à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne.
Voici quelques recommandations :
- Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;
- Ne demandez jamais à un tiers de générer pour vous un mot de passe ;
- Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque.
- La robustesse d’un mot de passe dépend en général d’abord de sa complexité, mais également de divers autres paramètres, expliqués en détail dans le document Recommandations de sécurité relatives aux mots de passe.
Si vous souhaitez une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).
Deux méthodes pour choisir vos mots de passe :
- La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;
- La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.
Vous pouvez vous assurer que les utilisateurs définissent des mots de passe forts pour réduire le risque de piratage.
Cochez Appliquer les règles de force de mot de passe aux emplacements suivants:
- Pour DSM 7.0 et versions ultérieures: accédez à Panneau de configuration > Utilisateur et groupe > Avancé > Paramètres du mot de passe.
- Pour DSM 6.2 et versions antérieures: accédez à Panneau de configuration > Utilisateur > Avancé > Paramètres du mot de passe.
Activez l'authentification à double facteur
L'authentification multifacteur offre une sécurité supplémentaire pour votre compte DSM. S'il est activé, vous devez fournir une deuxième vérification d'identité en plus de votre mot de passe lorsque vous vous connectez à DSM.
Dans l'encart en haut à droite, cliquez sur l'icône en forme de bonhomme, puis cliquez sur Perso., dans l'onglet Compte, en bas, vous pourrez cliquez sur Authentification à 2 facteurs et ainsi choisir de paramétrer la méthode de double authentification désirée.
Activez le blocage auto et la protection DOS
Vous pouvez activer la protection DoS (déni de service) pour empêcher les attaques malveillantes sur Internet.
Pour ce faire, accédez à Panneau de configuration > Sécurité > Protection, cochez Activer le blocage auto.
Plus bas, développez Protection DoS et cochez Activer la protection DoS.
Validez en cliquant sur Appliquer.
Après avoir activé la protection DoS, votre Synology NAS ne répond qu'à un seul paquet ping ICMP par seconde. Si la fréquence est supérieure à une fois par seconde, Synology NAS ne répondra pas à la demande d'écho.
Configurez le pare-feu
Dans Panneau de configuration > Sécurité > Pare-feu, vous pouvez activer le pare-feu, créer des règles de pare-feu et configurer les paramètres du pare-feu pour empêcher les connexions non autorisées et de contrôler l'accès aux services.
Vous pouvez choisir d'autoriser ou refuser l'accès à certains ports réseaux par certaines adresses IP spécifiques.
Activer le pare-feu
Accédez à Panneau de configuration > Sécurité > Pare-feu et cochez Activer le pare-feu.
Cliquez sur Appliquer pour enregistrer les paramètres.
Configurer un profil de pare-feu
Dans la section Profil du pare-feu, cliquez sur l'icône + dans le menu déroulant et saisissez un nom pour créer un nouveau profil.
Choisissez le profil souhaité dans le menu déroulant et cliquez sur Sélectionner.
Cliquez sur le bouton Modifier la règle à droite, et cliquez sur Créer pour créer des règles de pare-feu pour le profil souhaité.
Répétez les étapes ci-dessus jusqu'à ce que vous ayez créé tous les profils et les règles de pare-feu dont vous avez besoin.
Gérer un profil de pare-feu
Dans la section Profil du pare-feu, cliquez sur les boutons correspondants dans le menu déroulant pour créer, supprimer, renommer ou cloner le profil choisi.
Créer un profil de pare-feu
- Dans la section Profil du pare-feu, sélectionnez un profil de pare-feu dans le menu déroulant et cliquez sur le bouton Modifier la règle, à droite.
- Sélectionnez une interface réseau dans les menus déroulants dans le coin supérieur droit.
- Cliquez sur Créer.
- Dans la section Ports, sélectionnez l'une des règles suivantes :
- Sélectionnez Tous pour appliquer ces règles de pare-feu à tous les ports.
- Choisissez Sélectionner dans une liste d'applications intégrées et cliquez sur Sélectionner. Sélectionnez les applications intégrées que vous voulez appliquer à cette règle de pare-feu.
- Choisissez Personnalisé et cliquez sur Personnalisé. Entrez jusqu'à 15 ports séparés par un point ou spécifiez une plage de ports pour appliquer cette règle de pare-feu.
- Dans la section IP source, sélectionnez l'une des règles suivantes :
- Sélectionnez Tous pour appliquer cette règle de pare-feu à toutes les adresses IP.
- Sélectionnez IP spécifique et cliquez sur Sélectionner. Vous pouvez spécifier une adresse IP ou une plage d'IP pour appliquer cette règle de pare-feu.
- Choisissez Lieu et ensuite spécifiez jusqu'à 15 lieux auxquels appliquer cette règle de pare-feu.
- Dans la section Action, sélectionnez l'une des règles suivantes :
- Choisissez Autoriser pour autoriser l'accès par les ports et les adresses IP source que vous avez spécifié.
- Choisissez Refuser pour refuser l'accès par les ports et les adresses IP source que vous avez spécifié.
Vous pouvez voir les règles de pare-feu LAN et PPPoE en sélectionnant ces interfaces à partir de la case dans le coin supérieur droit. En bas de la liste de règle, vous pouvez sélectionner Autoriser l'accès ou Refuser l'accès pour autoriser ou refuser les demandes d'accès qui ne correspondent pas à une règle de pare-feu existante pour l'interface respective.
Appliquer un profil de pare-feu
Dans la section Profil du pare-feu, choisissez le profil souhaité dans le menu déroulant.
Cliquez sur Appliquer pour enregistrer les modifications. Le profil de pare-feu choisi est appliqué et utilisé comme profil actif.
DSM Firewall correspondra aux règles selon la priorité. Une fois qu'une règle correspond, elle sera renforcée et le pare-feu DSM ne continuera pas à correspondre aux règles restantes. Si aucune règle ne correspond, le pare-feu DSM effectuera l'action par défaut spécifiée dans chaque interface.
Activez la connexion HTTPS et la redirection des connexions vers HTTPS
Lorsque HTTPS est activé, la connexion à DSM, Web Station, Photo Station, File Station, Audio Station et Surveillance Station est chiffrée à l'aide de SSL / TLS, ce qui sécurise votre connexion au Synology NAS.
Allez dans Panneau de configuration > Réseau > Paramètre de DSM
Cochez Activer la connexion HTTPS, puis cochez Rediriger automatiquement les connexions HTTP vers le HTTPS
Désactivez QuickConnect
En hébergeant votre Synology chez Ikoula, vous obtenez gratuitement une adresse IP fixe qui vous permet de facilement accéder à votre Synology en déplacement.
Allez dans Panneau de configuration > Quickconnect et décochez Activez Quickconnect.