Mise a jour : DSM 6 est sorti aujourd’hui : la procédure reste sensiblement la même
Mise a jour : D’après NextInpact SynoLocker exploiterait une faille bouchée fin 2013, le DSM 5.0 ne serait pas concerné
Selon cet article de nextinpact, la faille aurait été corrigée dans les dernières versions de DSM cela rappelle la nécessité de mettre a jour systématiquement vos programmes et OS !
Comme vous le savez les NAS synology sont/ont été la cible d’un malware appelé Synolocker. Ce programme malveillant chiffre le contenu de vos disques et vous permet de déchiffrer vos données seulement après le paiement d’une rançon de 0,6 bitcoins.
Synology a confirmé le problème et travaille afin de trouver une solution aucune autre information n’a été diffusé, ce qui permet a certains de raconter n’importe quoi. Ce que l’on sait pour le moment :
- Les cas recensés semblent se concentrer sur DSM 4.3 (ce qui ne veut absolument pas dire que le simple fait d’etre en DSM 5.0 est une protection suffisante)
- Des utilisateurs indiquent avoir connu un nombre anormal de brute-force sur le port SSH
- Un utilisateur indique sur twitter avoir été victime de synolocker avec seulement 3 services activés : AFP, SMB et la connexion au DSM via le port 5000
- Vous pouvez retrouvez l’acces a DSM via une manipulation décrite sur le forum officiel de Synology
Il n’existe pas de solution miracle pour se prémunir d’un hack mais il est possible de prendre des précautions afin de sécuriser un NAS Synology au maximum.
Petit recapitulatif avant toute chose
Stocker vos donnees sur un Synology ne signifie pas sauvegarder vos données ! Une sauvegarde implique que vos donnees soient disponibles sur plusieurs supports. Stocker ses donnees sur un RAID n’est en aucun cas une sauvegarde.
Gestion des utilisateurs et des mots de passe
Avant toute chose commencez par créer un nouvel administrateur et désactiver le compte admin. Utilisez des mots de passe considérés comme fort mais surtout faites attention a votre politique de mot de passe pour les comptes de vos utilisateurs (Panneau de configuration > Utilisateur > Avancé)
Contrôlez aussi les droits que vous donnez a vos utilisateurs, tous vos utilisateurs n’ont pas besoin d’avoir des droits en écritures sur tous les répertoires
Bloquer les ips « exotiques » (DSM 5.0 minimum)
Avec l’arrivee de DSM 5, il est possible de bloquer / autoriser des IPs en fonction de leur pays. Je vous conseille donc de non pas faire une blacklist (puisqu’il n’est pas possible de sélectionner plus de 15 pays) mais une whitelist – seules les IPs des pays appartenant a cette liste pourront accéder a votre Synology.
Pour cela : Panneau de configuration > Sécurité > Pare-feu > Créer. Il vous est possible de choisir les ports sur lesquels cette règle s’appliquera : il peut-être intéressant de tout sélectionner sauf votre VPN qui lui vous permettra de vous connecter depuis n’importe quel autre pays en retrouvant une IP externe française.
IP source : Sélectionnez région, puis cliquez sur « Sélectionnez », vous aurez ensuite accès a la liste des pays que vous souhaitez autoriser
Cochez maintenant les pays que vous souhaitez autoriser a se connecter : dans notre exemple seule la France est sélectionnée. Il ne vous reste plus qu’a cliquer sur OK.
Vous pouvez ensuite ajouter d’autres règles a votre firewall. N’oubliez pas ensuite de les sauvegarder. Dernier point très important pour sécuriser un nas Synology : concernant l’option « Si aucune règle n’est remplie » il faut absolument sélectionner « Refuser l’accès » dans le cas contraire votre NAS autorisera toutes les connexions
Sécuriser un nas Synology avec une authentification forte
L’authentification deux facteurs ou authentification forte est une procédure qui, comme son nom l’indique, requiert au moins deux étapes d’authentification. Il est possible de mettre en place ce dispositif pour accéder a l’interface d’administration de votre Synology et pour vous connecter en SSH.
Double authentification – DSM
Commencez par installer sur votre smartphone ou sur votre navigateur internet Authy ou Google Authenticator (seulement sur smartphone).
Ensuite connectez vous sur DSM puis cliquez sur options.
Puis cochez l’option « Enable 2-step verification » / « Activer la vérification en 2 étapes ». L’assistant de configuration devrait s’ouvrir, cliquez sur suivant
Verifier que l’adresse e-mail qui apparait dans la fenetre suivante soit bien une adresse e-mail valide, puis validez
Un QR code apparait maintenant, vous devriez ouvrir votre application (authy / google authenticator) et le scanner.
Votre application génère maintenant des codes éphémères (valables 30 secondes) calculé depuis une clef numérique propre à votre utilisateur. Maintenant rentrez votre code dans la fenetre suivante afin de verifier si tout s’est correctement configuré et validez.
Désormais après avoir rentre votre nom d’utilisateur et votre mot de passe pour vous connecter a DSM vous devrez indiquer ce code a 6 chiffres.
Double authentification – Serveur SSH
Dans un precedent post j’ai détaillé les etapes d’installation d’une double authentification sur le serveur SSH afn de mieux securiser votre NAS Synology (vous devez avoir IPKG d’installé sur votre NAS)
Sécurité des applications et services Synology
Tout d’abord je vous conseille de ne pas ouvrir sur internet les ports réseaux de services que vous n’utilisez pas et de privilégier au maximum des connexions via un VPN installé sur votre réseau local.
Commencez par forcer les connexions au DSM en SSL
Ensuite sur mon reseau, mon Synology a un accès ouvert sur internet sur 3 ports seulement, 80 (serveur web http), 443 (serveur web https) et DSM SSL. (mon serveur VPN est directement géré par mon routeur)
Pour DSM Il est absolument nécessaire de modifier le port de connexion par défaut en mettant en place une redirections au niveau de votre routeur. Ci dessous un exemple :
Le Synology a pour ip 192.168.1.2 sur ce reseau local
Le port du DSM en SSL accessible localement est 5001
Si je souhaite accéder a DSM hors de mon réseau je devrai me connecter sur le port 30000
Procédez de même pour le service SSH si vous en avez l’utilité et n’activez pas / désactivez le service Telnet.
Bonjour,
Très intéressant!
Le NAS ne m’accepte pas l’IP source France à la sauvegarde, j’ai un message d’erreur comme quoi ceci ne remplissait pas les conditions d’utilisation de l’administrateur. Or je suis bien en France.
Mon fournisseur d’accès est free.
Bonjour,
Peux tu stp faire un screenshot ou indiquer quel est exactement le message d’erreur ?
Bonne soiree
Nova
Bonjour,
Le message exacte est le suivant :
« L’ordinateur de l’administrateur a été bloqué par une nouvelle règle du pare-feu. Les règles du pare-feu précédentes ont été restaurées. Si vous avez sélectionner « refuser accès » si aucune règle ne correspond veuillez vous assurer de créer une règle pour exclure l’ordinateur de l’administrateur ».
Je confirme avoir bien sélectionner France et cocher autoriser.
Puis avoir cocher « refuser » si aucune règle n’est remplie.
Merci de ton aide
Bonjour,
Essaye d’ajouter auparavant une premiere regle autorisant toutes les IPs de ton réseau local.
Nouvelle regle : tous les protocoles
IP source : IP specifique > Plage IP :
De : 192.168.0.1 A: 192.168.0.255
Action autoriser
Maintenant dis moi si tu arrives a ajouter la regle n’autorisant que les IPs francaises.
Ça fonctionne !
Mais pourquoi ? Y a t-il besoin d’une règle qui autorise avant de mettre une règle qui refuse ?
Merci pour ton aide.
Il faut mettre en place des exceptions sinon ton NAS refusera toutes les connexions. La raison pour laquelle cela ne fonctionnait pas est la suivante : tu te connectes a ton NAS depuis ton réseau local (ton NAS voit une IP en 192.168.x.x) , tu ajoutes une regle n’autorisant que les IPs francaise et tu indiques que si une connexion ne respecte pas cette regle elle devrait etre refusee. Probleme : Une IP locale n’est pas une IP francaise. Si tu t’étais connecte a ton NAS depuis internet pour le configurer cela aurait fonctionne mais tu n’aurais pas pu t’y… Lire la suite »
Bonjour,
C’est très bien dit : pour sauvegarder ses données, les centraliser sur le NAS Synology est une bonne idée,
Une fois cette étape remplie, il est recommandé de mettre en place une sauvegarde physiquement éloignée : http://synology.pc-fute.com/2015/10/sauvegarde-du-nas-synology-vers-un-serveur-rsync/ soit vers un serveur loué ou vers un ordinateur qui exécute dans les 2 cas le logiciel Rsync et on est tout de suite bien plus rassuré 😉
Il existe aussi Amazon Glacier, Hubic, etc pour ceux qui ne veulent pas le réaliser manuellement. 😉
Salut Ludo,
Effectivement le must reste deux backups : un local et un distant. Par contre concernant Hubic je déconseille, les vitesses de transferts sont affreuses. Amazon Cloud Drive, le client synology est mauvais…Glacier, je n’ai jamais testé.
Pour sauvegarder mes données j’utilise Amazon Cloud Drive avec rclone depuis un serveur tiers sur lequel mes partages syno sont montés
Bonjour,
J’ai essayé la technique de la création d’un compte mis dans le groupe des admin, puis désactivation du compte « admin » mais je me heurte à un pb que je n’arrive pas a résoudre. Le package « Cloud Sync » qui permet de faire des synchronisations de sites distants (Google drive, SeedBox par ex.) en Webdav notamment ne fonctionne plus.
Lorsque je réactive le compte « admin », « Cloud Sync » refonctionne.
Quelqu’un aurait des idées.
Merci par avance