Sécurité des accès depuis l'Internet

[Amyco35]

Bonjour,

Je viens d'acquérir un DS215J qui est connecté à ma LiveBox Orange.

J'ai configuré un accès QuickConnect et je souhaite connaitre les protections à mettre en place pour éviter les malwares et autres accès indésirés depuis l'Internet.

J'ai lu quelque part qu'il y avait eu un problème en 2014 sur les ports 5000 et 5001. Qu'en est-il aujourd'hui ?

Merci de vos réponses.

Cordialement

[Fenrir]

Avant d'ouvrir l'accès a ton nas depuis Internet (ce que tu as déjà fait avec QuickConnect), il faut :

1. mettre des vrais mots de passe sur tous les comptes : rien à moins de 10 caractères, avec mélange de majuscules/minuscules/chiffres, caractères spéciaux par exemple (on peut aussi faire des mots de passe plus simple à retenir et plus long qui sont tout aussi sécurisés)
2. faire un tour dans la section sécurité du nas, il y a plein d'options (tu peux tout cocher, mais il faut tout de même régler le firewall)
3. configurer les notifications par mail (ou sms ou ...)
4. configurer les mises à jour (installation automatique des mises à jour de sécurité, ou au moins notification en cas de nouvelle version)
5. utiliser en priorité les versions chiffrées des différents protocoles (http->https, 5000->5001, ftp->ftps, telnet->ssh, ...)
6. ne pas utilise EZinternet (configuration du routeur)
7. éviter d'utiliser QuickConnect si on sait correctement configurer un routeur
8. il y a aussi un assistant de sécurité qui scan certains paramètres et propose des recommandations
9. et enfin, surtout, le plus important : faire des sauvegardes de son NAS -> ailleurs (disque externe par exemple)

Pour ce qui est malware &co, il y a peu de risques qu'un Syno se fasse infecter (ce n'est pas un Windows ou un Mac), mais c'est possible. Le problème dont tu parles est surement synolocker, ce n'était pas directement lié aux ports, mais à l'application DSM (l'interface des synology). Il y avait une faille (corrigée 6mois avant l'attaque) sur des anciennes versions du DSM, seuls ceux qui n'avaient pas mis à jour leur Synology ont été touchés => il faut faire les mises à jours de sécurité et des sauvegardes

Ensuite, il faut réfléchir aux applications que l'on souhaite rendre accessible depuis Internet et à la manière dont on veut le faire (en direct, via vpn, via quickconnect, limité à certaines IP/pays, ...).

Pour finir, il y a tout ce qu'il faut dans le syno pour arriver à un très bon niveau de protection, il faut juste prendre le temps de bien lire, de bien comprendre et accepter d'apprendre de nouvelles choses (on voit bcp de personne partir en courant dès qu'on écrit les lettres VPN, alors que ça prend 2 minutes à configurer sur un synology).

ps : au cas où, pense à faire des sauvegardes

[Amyco35]

Merci Fenrir pour ta réponse détaillée.

Je m'aperçois que j'ai déjà suivi une partie de tes recommandations. Mais je vais encore plus sécuriser mes mots de passe.

Pour ce qui est de l'utilisation des protocoles sécurisés "utiliser en priorité les versions chiffrées des différents protocoles (http->https, 5000->5001, ftp->ftps, telnet->ssh, ...", où et comment fixe-t-on cela sur le NAS ? Peut-on interdire l'accès par des protocoles NON chiffrés ?

Je pense que ce que tu appelles routeur désigne la LiveBox. Que faut-il paramétrer là-dedans ? Connais-tu un lien qui explique sa configuration ?

Enfin, j'ai mis en route l'appli Synology Cloud Station afin de sauvegarder mes données en synchronisant un répertoire de mon PC avec le NAS. A ce propos, je n'ai pas encore trouvé (pas assez cherché) les règles de synchro qui sont appliquées par défaut. Au cas où un fichier serait modifié sur le NAS voire même supprimé, cela serait-il reporté sur le PC ? 

Merci beaucoup pour ton aide.

Bien cordialement

[gaetan.cambier]

Si tu ouvre sur ta livebox que le port 5001, et pas le 5000, ça règle le problème pour l'interface web deja

[Fenrir]

pour le chiffrement :

• Control Panel : File Services => FTP : Enable FTP SSL/TLS ...
• Control Panel : File Services => WebDAV : Enable WebDAV HTTPS ...
• Control Panel => Network => DSM Settings : Enable HTTPS ...
• Control Panel => Web Services => Web Services : Enable HTTPS ....
• Control Panel => Terminal & SNMP : Enable SSH

Pour la conf du router/de la box, il faut regarder comment faire une "redirection de ports" (forward de port), si tu cherche ces termes dans la doc ou sur un moteur de recherche, tu devrais trouver ta réponse (je n'ai pas de box chez moi).

CloudStation en permet pas (encore, c'est prévu en 6.0) de faire des sauvegardes, c'est un outil de synchronisation (ce qui est supprimé d'un coté l'est aussi de l'autre). Au mieux tu peux historiser les changements (dans les options de cloudstation sur le syno)