Comment sécuriser un NAS Synology ? – MAJ

Mise a jour : DSM 6 est sorti aujourd’hui : la procédure reste sensiblement la même 

Mise a jour : D’après NextInpact SynoLocker exploiterait une faille bouchée fin 2013, le DSM 5.0 ne serait pas concerné

Selon cet article de nextinpact, la faille aurait été corrigée dans les dernières versions de DSM cela rappelle la nécessité de mettre a jour systématiquement vos programmes et OS !

Comme vous le savez les NAS synology sont/ont été la cible d’un malware appelé Synolocker. Ce programme malveillant chiffre le contenu de vos disques et vous permet de déchiffrer vos données seulement après le paiement d’une rançon de 0,6 bitcoins.

Synology a confirmé le problème et travaille afin de trouver une solution aucune autre information n’a été diffusé, ce qui permet a certains de raconter n’importe quoi. Ce que l’on sait pour le moment :

• Les cas recensés semblent se concentrer sur DSM 4.3 (ce qui ne veut absolument pas dire que le simple fait d’etre en DSM 5.0 est une protection suffisante)
• Des utilisateurs indiquent avoir connu un nombre anormal de brute-force sur le port SSH
• Un utilisateur indique sur twitter avoir été victime de synolocker avec seulement 3 services activés : AFP, SMB et la connexion au DSM via le port 5000
• Vous pouvez retrouvez l’acces a DSM via une manipulation décrite sur le forum officiel de Synology

Il n’existe pas de solution miracle pour se prémunir d’un hack mais il est possible de prendre des précautions afin de sécuriser un NAS Synology au maximum.

Gestion des utilisateurs et des mots de passe

Avant toute chose commencez par créer un nouvel administrateur et désactiver le compte admin. Utilisez des mots de passe considérés comme fort mais surtout faites attention a votre politique de mot de passe pour les comptes de vos utilisateurs (Panneau de configuration > Utilisateur > Avancé)

Contrôlez aussi les droits que vous donnez a vos utilisateurs, tous vos utilisateurs n’ont pas besoin d’avoir des droits en écritures sur tous les répertoires

Bloquer les ips « exotiques » (DSM 5.0 minimum)

Avec l’arrivee de DSM 5, il est possible de bloquer / autoriser des IPs en fonction de leur pays. Je vous conseille donc de non pas faire une blacklist (puisqu’il n’est pas possible de sélectionner plus de 15 pays) mais une whitelist – seules les IPs des pays appartenant a cette liste pourront accéder a votre Synology.

Pour cela : Panneau de configuration > Sécurité > Pare-feu > Créer. Il vous est possible de choisir les ports sur lesquels cette règle s’appliquera  : il peut-être intéressant de tout sélectionner sauf votre VPN qui lui vous permettra de vous connecter depuis n’importe quel autre pays en retrouvant une IP externe française.

IP source : Sélectionnez région, puis cliquez sur « Sélectionnez », vous aurez ensuite accès a la liste des pays que vous souhaitez autoriser

Cochez maintenant les pays que vous souhaitez autoriser a se connecter : dans notre exemple seule la France est sélectionnée. Il ne vous reste plus qu’a cliquer sur OK.

Vous pouvez ensuite ajouter d’autres règles a votre firewall. N’oubliez pas ensuite de les sauvegarder. Dernier point très important pour sécuriser un nas Synology : concernant l’option « Si aucune règle n’est remplie » il faut absolument sélectionner « Refuser l’accès »  dans le cas contraire votre NAS autorisera toutes les connexions

Sécuriser un nas Synology avec une authentification forte

L’authentification deux facteurs ou authentification forte est une procédure qui, comme son nom l’indique, requiert au moins deux étapes d’authentification. Il est possible de mettre en place ce dispositif pour accéder a l’interface d’administration de votre Synology et pour vous connecter en SSH.

Double authentification – DSM

Commencez par installer sur votre smartphone ou sur votre navigateur internet Authy ou Google Authenticator (seulement sur smartphone).

Ensuite connectez vous sur DSM puis cliquez sur options.

Puis cochez l’option « Enable 2-step verification » / « Activer la vérification en 2 étapes ». L’assistant de configuration devrait s’ouvrir, cliquez sur suivant

Verifier que l’adresse e-mail qui apparait dans la fenetre suivante soit bien une adresse e-mail valide, puis validez

Un QR code apparait maintenant, vous devriez ouvrir votre application (authy / google authenticator) et le scanner.

Votre application génère maintenant des codes éphémères (valables 30 secondes) calculé depuis une clef numérique propre à votre utilisateur. Maintenant rentrez votre code dans la fenetre suivante afin de verifier si tout s’est correctement configuré et validez.

Désormais après avoir rentre votre nom d’utilisateur et votre mot de passe pour vous connecter a DSM vous devrez indiquer ce code a 6 chiffres.

Double authentification – Serveur SSH

Dans un precedent post j’ai détaillé les etapes d’installation d’une double authentification sur le serveur SSH afn de mieux securiser votre NAS Synology (vous devez avoir IPKG d’installé sur votre NAS)

Sécurité des applications et services Synology

Tout d’abord je vous conseille de ne pas ouvrir sur internet les ports réseaux de services que vous n’utilisez pas et de privilégier au maximum des connexions via un VPN installé sur votre réseau local.

Commencez par forcer les connexions au DSM en SSL

Ensuite sur mon reseau, mon Synology a un accès ouvert sur internet sur 3 ports seulement, 80 (serveur web http), 443 (serveur web https) et DSM SSL. (mon serveur VPN est directement géré par mon routeur)

Pour DSM Il est absolument nécessaire de modifier le port de connexion par défaut en mettant en place une redirections au niveau de votre routeur. Ci dessous un exemple :

Le Synology a pour ip 192.168.1.2 sur ce reseau local
Le port du DSM en SSL accessible localement est 5001
Si je souhaite accéder a DSM hors de mon réseau je devrai me connecter sur le port 30000

Procédez de même pour le service SSH si vous en avez l’utilité et n’activez pas / désactivez le service Telnet.