Ces dernières années ont vu une escalade dramatique des menaces de cybersécurité. Selon un rapport du New York Times, plus de 200000 organisations ont été attaquées avec des ransomwares en 2019, une augmentation de 41% par rapport à l’année précédente. Pour vous aider à vous protéger, nous avons compilé une liste de paramètres de sécurité des données importants qui sont souvent négligés. À la fin, nous avons inclus des conseils supplémentaires qui pourraient vous aider à garantir l’intégrité des données – un autre pilier de la protection des données. (Remarque: la plupart des paramètres répertoriés ci-dessous ne peuvent être consultés et modifiés que par un compte utilisateur disposant de droits administratifs.)

Restez à jour et activez les notifications

Synlogy publie régulièrement des mises à jour DSM pour apporter des améliorations fonctionnelles et de performances, et pour résoudre les vulnérabilités de sécurité des produits (voir plus bas la présentation de DSM 7.0). Chaque fois qu’une faille de sécurité survient, notre équipe de réponse aux incidents de sécurité produit (PSIRT) mènera une évaluation et une enquête dans les 8 heures et publiera un correctif dans les 15 prochaines heures pour aider à prévenir les dommages potentiels des attaques zero-day. Pour la plupart des utilisateurs, nous vous recommandons vivement de configurer des mises à jour automatiques pour que les dernières mises à jour DSM soient installées automatiquement.

De nombreux périphériques Synology ont la possibilité d’exécuter Virtual DSM dans Virtual Machine Manager, pour créer une version virtualisée du système d’exploitation DSM. Utilisez Virtual DSM pour créer un environnement intermédiaire, puis répliquez ou essayez de reproduire votre environnement de production dans celui-ci. Effectuez un test de mise à niveau en installant la dernière version de DSM sur votre DSM virtuel et vérifiez les fonctionnalités clés requises par votre déploiement actuel avant de procéder à la mise à jour dans votre environnement principal.

Une autre chose importante à considérer est de rester au courant des choses au fur et à mesure qu’elles se produisent. Configurez des notifications sur votre Synology NAS et recevez une notification par e-mail, SMS, sur votre appareil mobile ou via votre navigateur Web lorsque des événements ou des erreurs spécifiques se produisent. Si vous utilisez le service DDNS de Synology, vous pouvez choisir d’être notifié lorsque la connectivité réseau externe est perdue. Agir immédiatement sur les notifications pour les volumes de stockage manquant d’espace ou lorsqu’une tâche de sauvegarde et de restauration échoue est un élément important pour garantir la sécurité à long terme de vos données. Nous vous encourageons également à configurer votre compte Synology pour recevoir notre NAS et nos bulletins d’information sur la sécurité pour vous tenir au courant des dernières mises à jour de sécurité et de fonctionnalités.

Exécutez Security Advisor

Security Advisor est une application préinstallée qui peut analyser votre NAS à la recherche de problèmes de configuration DSM courants, vous donnant des suggestions sur ce que vous devrez peut-être faire ensuite pour protéger votre Synology NAS. Par exemple, il peut détecter des choses courantes telles que laisser l’accès SSH ouvert, si des activités de connexion anormales se produisent et si les fichiers système DSM ont été modifiés.

Fonctions de base pour la sécurité DSM à configurer

Vous pouvez configurer un certain nombre de paramètres de sécurité dans l’onglet Panneau de configuration> Sécurité pour sécuriser vos comptes d’utilisateurs.

Blocage automatique IP: ouvrez le Panneau de configuration et accédez à Sécurité> Blocage automatique. Activez le blocage automatique pour bloquer automatiquement les adresses IP des clients qui ne parviennent pas à se connecter dans un nombre de fois et une période spécifiés. Les administrateurs peuvent également mettre sur liste noire des adresses IP spécifiques pour empêcher les attaques potentielles par force brute ou par déni de service. Configurez le nombre d’essais en fonction de l’environnement d’utilisation et du type d’utilisateurs que votre appareil entretiendra régulièrement. Gardez à l’esprit que la plupart des foyers et des entreprises n’auront qu’une seule adresse IP externe pour leurs utilisateurs et que les adresses IP sont souvent dynamiques et changeront après un certain nombre de jours ou de semaines.

Protection du compte: alors que le blocage automatique répertorie les adresses IP qui ont échoué à un trop grand nombre de tentatives d’authentification, la protection des comptes protège les comptes d’utilisateurs en bloquant l’accès des clients non approuvés. Accédez à Panneau de configuration> Sécurité> Protection du compte. Vous pouvez activer la protection de compte pour protéger les comptes des clients non approuvés après un nombre défini d’échecs de connexion. Cela améliore la sécurité de votre DSM et réduit le risque que les comptes soient la proie d’attaques par force brute provenant d’attaques distribuées.

Activer HTTPS: avec HTTPS activé, vous pouvez crypter et sécuriser le trafic réseau entre votre Synology NAS et les clients connectés, ce qui vous protège contre les formes courantes d’écoute clandestine ou d’attaques man-in-the-middle. Accédez à Panneau de configuration> Réseau> Paramètres DSM. Cochez la case Rediriger automatiquement les connexions HTTP vers HTTPS. Vous allez maintenant vous connecter à DSM via HTTPS. Dans la barre d’adresse, vous remarquerez que l’URL de votre appareil commence par « https: // » au lieu de « http: // ». Notez que le numéro de port par défaut pour https est 443, tandis que http utilise par défaut le port 80. Si vous aviez déjà en place certains paramètres de pare-feu ou de réseau, vous devrez peut-être les mettre à jour.

Personnaliser les règles du pare-feu (avancé): Un pare-feu sert de barrière virtuelle qui filtre le trafic réseau à partir de sources externes selon un ensemble de règles. Accédez à Panneau de configuration> Sécurité> Pare-feu pour configurer des règles de pare-feu pour empêcher la connexion non autorisée et contrôler l’accès aux services. Vous pouvez décider d’autoriser ou de refuser l’accès à certains ports réseau par des adresses IP spécifiques, un bon moyen, par exemple, d’autoriser l’accès à distance depuis un bureau spécifique ou de n’autoriser l’accès qu’à un service ou un protocole spécifique.

HTTPS partie 2 > crypter: les certificats numériques jouent un rôle clé dans l’activation de HTTPS, mais sont souvent coûteux et difficiles à maintenir, en particulier pour les utilisateurs non professionnels. DSM prend en charge Let’s Encrypt, une organisation de délivrance de certificats gratuite et automatisée, pour permettre à quiconque de sécuriser facilement ses connexions. Si vous possédez déjà un domaine enregistré ou utilisez DDNS, accédez à Panneau de configuration> Sécurité> Certificat. Cliquez sur Ajouter un nouveau certificat> Obtenir un certificat de Let’s Encrypt. Pour la plupart des utilisateurs, vous devez cocher « Définir comme certificat par défaut » *. Entrez votre nom de domaine pour obtenir un certificat. – Une fois que vous avez obtenu un certificat, assurez-vous que tout votre trafic passe par HTTPS.

Désactivez le compte administrateur par défaut

Les noms d’utilisateur d’administrateur communs peuvent rendre votre Synology NAS vulnérable aux parties malveillantes qui utilisent des attaques par force brute utilisant des combinaisons de nom d’utilisateur et de mot de passe communes. Évitez les noms courants tels que «admin», «administrateur», «root»  lors de la configuration de votre NAS. Nous vous recommandons également de définir un mot de passe fort et unique juste après la configuration de votre Synology NAS et de désactiver le compte administrateur par défaut du système. Si vous vous connectez actuellement à l’aide du compte utilisateur «admin», allez dans Panneau de configuration> Utilisateur et créez un nouveau compte administratif. Ensuite, connectez-vous en utilisant le nouveau compte et désactivez le système par défaut «admin».

Force du mot de passe

Un mot de passe fort protège votre système contre tout accès non autorisé. Créez un mot de passe complexe qui incorpore des lettres, des chiffres et des caractères spéciaux à casse mixte d’une manière dont vous seul pouvez vous souvenir. L’utilisation d’un mot de passe commun pour de nombreux comptes est également une invitation aux pirates. Si un compte est compromis, les pirates peuvent facilement prendre le contrôle de vos autres comptes. Cela se produit régulièrement pour les sites Web et autres fournisseurs de services. Nous vous recommandons de vous inscrire à des services de surveillance publics tels que Have I Been Pwned ou Firefox Monitor. Si vous rencontrez des difficultés pour mémoriser des mots de passe complexes et uniques pour différents comptes, un gestionnaire de mots de passe (tel que Password, LastPass ou Bitwarden) pourrait être votre meilleure solution. Vous n’avez qu’à mémoriser un mot de passe – un mot de passe principal – et le gestionnaire de mots de passe vous aidera à créer et à remplir les informations de connexion pour tous vos autres comptes. Si vous administrez un Synology NAS qui gère l’authentification, vous pouvez personnaliser la politique de mot de passe utilisateur pour renforcer les exigences de sécurité de mot de passe pour tous les nouveaux comptes utilisateur. Accédez à Panneau de configuration> Utilisateur> Avancé et cochez la case Appliquer les règles de résistance du mot de passe dans la section Paramètres de mot de passe. La politique sera appliquée à tout utilisateur qui crée un nouveau compte.

Vérification en 2 étapes

Si vous souhaitez ajouter une couche de sécurité supplémentaire à votre compte, nous vous recommandons vivement d’activer la vérification en deux étapes. Pour appliquer la vérification en deux étapes sur votre compte DSM et votre compte Synology, vous aurez besoin d’un appareil mobile et d’une application d’authentification prenant en charge le protocole TOTP (Time-based One-Time Password). La connexion nécessitera à la fois vos informations d’identification d’utilisateur et un code à 6 chiffres limité dans le temps récupéré à partir de Microsoft Authenticator, Authy ou d’autres applications d’authentification pour empêcher tout accès non autorisé. Pour Synology Account, si vous avez perdu votre téléphone avec l’application d’authentification *, vous pouvez utiliser les codes de secours fournis lors de la configuration de l’authentification en 2 étapes pour vous connecter. Il est important de garder ces codes en sécurité en les téléchargeant quelque part ou en les imprimant. N’oubliez pas de garder ces codes sûrs mais accessibles.

Sur DSM, si vous perdez votre identificateur, vous pouvez réinitialiser la validation en deux étapes en dernier recours. Les utilisateurs appartenant au groupe des administrateurs peuvent réinitialiser la configuration. Si tous les comptes d’administrateur ne sont plus accessibles, vous devrez réinitialiser les informations d’identification et les paramètres réseau de votre appareil. Maintenez le bouton de réinitialisation du matériel sur votre NAS pendant environ 4 secondes (vous entendrez un bip), puis lancez Synology Assistant pour reconfigurer votre appareil.

Changer les ports par défaut

Bien que la modification des ports HTTP (5000) et HTTPS (5001) par défaut de DSM en ports personnalisés ne puisse pas empêcher les attaques ciblées, elle peut dissuader les menaces courantes qui n’attaquent que des services prédéfinis. Pour modifier les ports par défaut, accédez à Panneau de configuration> Réseau> Paramètres DSM et personnalisez les numéros de port. C’est aussi une bonne idée de changer le port SSH (22) par défaut si vous utilisez régulièrement l’accès shell.

Vous pouvez également déployer un proxy inverse pour réduire les vecteurs d’attaque potentiels à des services Web spécifiques uniquement pour une sécurité accrue. Un proxy inverse agit comme un intermédiaire pour les communications entre un serveur (généralement) interne et des clients distants, cachant certaines informations sur le serveur, telles que son adresse IP réelle.

Désactivez SSH / telnet lorsqu’il n’est pas utilisé

Si vous êtes un utilisateur expérimenté qui nécessite souvent un accès au shell, n’oubliez pas de désactiver SSH / telnet lorsqu’il n’est pas utilisé. Comme l’accès root est activé par défaut et que SSH / telnet ne prend en charge que les connexions à partir de comptes d’administrateur, les pirates peuvent forcer brutalement votre mot de passe pour obtenir un accès non autorisé à votre système. Si vous avez besoin d’un service de terminal pour être disponible à tout moment, nous vous recommandons de définir un mot de passe fort et de modifier le numéro de port SSH par défaut (22) pour augmenter la sécurité. Vous pouvez également envisager de tirer parti des VPN et de limiter l’accès SSH aux seules adresses IP locales ou de confiance.

Crypter les dossiers partagés

DSM prend en charge le chiffrement AES-256 de vos dossiers partagés pour empêcher l’extraction de données des menaces physiques. Les administrateurs peuvent chiffrer les dossiers partagés nouvellement créés et existants. Pour crypter les dossiers partagés existants, accédez à Panneau de configuration> Dossier partagé et modifiez le dossier. Configurez une clé de chiffrement sous l’onglet Chiffrement et DSM commencera à chiffrer le dossier. Nous vous recommandons vivement d’enregistrer le fichier de clé généré dans un emplacement sécurisé, car les données chiffrées ne peuvent pas être récupérées sans la phrase de passe utilisée ou le fichier de clé.

Conseil bonus: intégrité des données

La sécurité des données est inextricablement liée à la cohérence et à l’exactitude de vos données – l’intégrité des données. La sécurité des données est une condition préalable à l’intégrité des données, car un accès non autorisé peut entraîner une falsification ou une perte de données, rendant vos données critiques inutiles. Vous pouvez prendre deux mesures pour garantir l’exactitude et la cohérence de vos données: l’activation de la somme de contrôle des données et l’exécution de S.M.A.R.T. teste régulièrement. Nous avons parlé de ces deux méthodes de sécurité dans nos précédents articles de blog. Consultez-les pour plus d’informations. Plus important que jamais: les menaces en ligne sont en constante évolution et la sécurité des données doit être tout aussi multiforme. À mesure que de plus en plus d’appareils connectés sont introduits à la maison et au travail, il devient plus facile pour les cybercriminels d’exploiter les failles de sécurité et d’accéder à votre réseau. Rester en sécurité n’est pas quelque chose que vous faites une fois et que vous oubliez ensuite, c’est un processus continu.

Laisser un commentaire