Activer la double authentification sur un NAS Synology (DSM 5.2) Synology DS218+
Table des matières
Sécuriser l'accès de votre NAS Synology
1. Activez la double authentification
2. Choisissez un mot de passe fort
4. Modifiez le numéro de port http (5000) et https (5001) par défaut du DSM
5. Activez la connexion https et la redirection des connexions vers https
7. Désactivez l’incorporation de DSM dans iFrame
9. Configurez le pare-feu de votre Synology
9.1 Autorisez les ports http et https du DSM
9.2 Définissez une politique restrictive du pare-feu par défaut
9.3 Régler son pare-feu pour un usage local du NAS
10. Recommandations de sécurité supplémentaires
Comment connecter un NAS Synology à un VPN
4. Accéder à votre NAS Synology
Avec une Freebox (Toutes versions)
Le mot de passe pour accéder à votre Synology devrait être composé d’au moins 8 caractères avec des lettres majuscules & minuscules, des caractères numériques et des caractères spéciaux.
En hébergeant votre Synology chez Infomaniak, vous obtenez gratuitement une IP fixe publique qui vous permet de facilement accéder à votre Synology en déplacement.
Le numéro de port doit être compris entre 1024 et 65535.
Pour le moment, le pare-feu de Synology ne gère pas l’IPv6.
Pour configurer le pare-feu de votre Synology, ouvrez le Panneau de configuration et depuis le menu Sécurité, cliquez sur l’onglet Pare-feu.
Effectuez ensuite les actions suivantes dans l’ordre afin de renforcer la sécurité de votre Synology:
Cliquez ici pour voir les étapes à effectuer (DSM 5.2)
•.cliquez sur le bouton Créer
•.sous Ports, cochez les deux cases qui correspondent à l’Interface de Gestion du Synology (http & https)
•.sous IP Source, vous pouvez limiter l’accès au Synology depuis une région ou une IP fixe si vous en avez une
•.cliquez sur le bouton Sauvegarder
•.cochez la case Refuser accès
•.cliquez sur le bouton Sauvegarder
Désormais, seuls les accès http et https au DSM de Synology seront autorisés. Vous devrez autoriser manuellement les ports des applications que vous souhaitez utiliser.
Image
Image
Image
Image
Image
Image1.utilisez toujours la dernière version de DiskStation Manager (DSM)
2.mettez régulièrement à jour les applications que vous utilisez
3.désinstallez les paquets des applications que vous n’utilisez pas et supprimez les autorisations correspondantes du pare-feu Synology
4.consultez le centre des journaux pour détecter d’éventuelles anomalies/alertes/erreurs
5.activez des notifications par email ou par sms pour les alertes importantes (Panneau de configuration > Notification > …)
À l’issue de cette procédure, vous pourrez accéder à votre NAS distant comme s’il faisait partie du réseau local de votre entreprise ou de votre domicile. Ce guide est également adapté pour connecter un NAS Synology à des services VPN commerciaux.
Il est important de garder à l’esprit que lorsqu’un NAS Synology est connecté à un VPN, son adresse IP est remplacée par celle du VPN en lieu et place de l’IP fixe fournie par Infomaniak ou votre fournisseur d’accès Internet. Afin d’assurer l’accès à votre Synology, il faut soit connaître l’adresse IP attribuée par le serveur VPN soit créer une adresse d’accès dynamique qui prendra en compte le changement d’adresse IP. Dans ce deuxième cas, nous recommandons l’activation de QuickConnect, une solution fournie par Synology permettant de contourner facilement la complexité des paramètres de réseau.
Commencez par activer QuickConnect depuis les paramètres de votre Synology. En cas de besoin, vous serez invité à créer un compte Synology et vous pourrez ensuite librement personnaliser votre QuickConnect ID. L’adresse en rouge ci-dessus correspond à la nouvelle adresse que vous devrez utiliser pour accéder à votre NAS.
Dans les options de QuickConnect, activez ensuite les permissions correspondantes à l’image.
Dans la rubrique Réseau (Network) des paramètres, choisissez OpenVPN comme méthode de connexion.
Renseignez votre nom d’utilisateur et votre mot de passe (ceux de votre VPN) puis importez le fichier de configuration .ovpn fournit par votre administrateur réseau ou par le site Internet du service VPN de votre choix.
Activez les trois options ci-dessus pour assurer la connectivité.
Si la fenêtre du firewall (pare-feu) s’affiche, autorisez les protocoles mentionnés ci-dessus.
Maintenant qu’OpenVPN et l’accès au NAS Synology sont configurés, vous êtes prêts à connecter votre NAS au VPN.
Sélectionnez la connexion VPN nouvellement créée et cliquez sur le bouton Connecter.
La connexion apparaîtra après quelques instants et vous devrez à nouveau vous authentifier à votre Synology.
Saisissez l’URL d’accès QuickConnect (indiquée dans la première illustration de ce guide) dans votre navigateur et connectez-vous à l’aide du nom d’utilisateur et du mot de passe habituel de votre NAS Synology. En cas d’erreur, videz le cache de votre navigateur et redémarrez-le avant de vous authentifier à nouveau.
Avoir un NAS, c’est bien, mais combien parmi vous n’arrivent pas à se connecter depuis un autre endroit que de son canapé ? Quid alors de la sécurité de nos données personnelles ? Comment s’y prendre que ça marche ?
Vous l’avez compris, le but de ce tuto est de pouvoir vous permettre une connexion depuis « ailleurs » mais pas n’importe comment. Je vais essayer d’être le plus clair possible pour les néophytes. Bien entendu, si vous avez une configuration « particulière » cela ne sera pas fonctionnel. N'hesitez pas à demander, j’intégrerai au fur et à mesure les cas.
Étant donné que je n’ai pas de Mac, ni Livebox, ni Bbox, je serai ravi de recevoir des captures d’écrans pour les intégrer.
Vocabulaire simplifié:
•.Ailleurs / Extérieur : Quand j’évoque ces idées, bien entendu, je ne parle pas de notion géographique, mais en dehors du réseau où se trouve ledit NAS. ;o)
•.Ports : Il faut imaginer ça comme les fenêtres d’une maison. Il y en a plein, mais dès qu’on met une ouverture possible sur l'une d'elles, c’est un risque supplémentaire que vous courrez. Alors imaginez, si vous faites cela à toutes vos fenêtres
•.Adresse Mac : Référence constructeur propre à son équipement.
•.Adresse IP locale : Adresse sur votre réseau (en général 192.168.x.y)
•.Adresse Ip Publique : C’est comme votre adresse postale : c’est celle de votre box. Il existe 2 types d’adresses IP publique. La statique (ou fixe) et la dynamique. A l’opposé de la statique, la dynamique change fréquemment (lors d’un redémarrage, au bout d’un certain nombre jours…). Chez Orange, elles sont dynamiques (voire statique si on paye l’option…)
•.Un NAS Synology avec DSM 6.2
•.Une Box ou un routeur
•.Smartphone ou un ordinateur (ailleurs)
Pour se connecter de l’extérieur, vous avez plusieurs possibilités:
•.Soit la méthode en ouvrant les ports qui vont être utiles pour telles ou telles utilisations (parfois ouvrir un port permet d’utiliser plusieurs choses).
•.Soit la methode VPN (plus securisée). Pour cette dernière méthode, j’ai dejà fait un tuto. viewtopic.php?f=56&t=7233
On va voir ici la première méthode qui fait « moins » peur pour M. et Mme Toutlemonde.
Voici le listing des ports nécessaires pour chacun des services souhaités : https://www.synology.com/fr-fr/knowledg ... y_services
Nous allons prendre le cas le plus « commun » : Accéder à DSM lorsque l’on n’est pas chez soi.
Vous noterez dans le listing que vous avez le choix entre le port 5000 (http) ou le 5001(https). Je DÉCONSEILLE très fortement le port 5000. (Vous avez remarqué qu’il manque le petit « s » dans http. Le « s » veut dire « sécure »
Connectez-vous avec votre compte administrateur depuis votre réseau local à DSM.
Nous allons fixer l’adresse IP du NAS, cela évitera des ennuis plus tard. La méthode que nous allons voir ne sert pas uniquement aux NAS. Chez moi par exemple tous le matériel du réseau est administre de cette façon. L’avantage est que ca me permets d’avoir toujours les mêmes IP sur chacun des équipements. C’est bien plus facile à gérer aussi.
Une façon est de la fixer est via l’adresse mac du NAS.
Attention : Si vous avez déjà une ip fixée manuellement, vous pouvez passer cette étape.
Rendez-vous dans la fenêtre suivante et notez sur un papier le code sous la forme XX-XX-XX-XX-XX-XX.
Elle sera utile pour le paramétrage coté box/routeur.
1.jpg (82.51 Kio) Consulté 64241 fois
2.jpg (74.33 Kio) Consulté 64241 fois
3.jpg (58.55 Kio) Consulté 64241 fois
Dans panneau de configuration :
4.jpg (105.84 Kio) Consulté 64241 fois
Vous auriez pu mettre un port « exotique » mais il y a peu d’incidence d’un point de vu sécurité (si ce n’est que psychologiquement) et cela évite de s’emmêler les pinceaux.
D'ailleurs voici une liste des ports utilisés pour vous aider à en trouver qui sont libres : https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels
Si vous souhaitez fixer une IP et/ou faire des redirections pour d'autres équipements, le principe est le même.
Ci dessous, voici des façons de procéder en fonction du matériel que vous avez. je compléterai la liste au fur et à mesure, merci de bien vouloir me faire suivre vos captures d'ecran. ;o)
Connectez-vous à la console free : https://subscribe.free.fr/login/
Paramétrer l’adresse Mac qui avait été écrite sur notre papier.
Attention a bien respecter la forme XX :XX :XX :XX :XX :XX
Puis choisir une adresse IP qui servira à l’avenir à vous connecter à votre nas.
=> Sauvegarder les changements.
5.jpg (84.05 Kio) Consulté 64241 fois
Tant qu’on est là, nous allons en profiter pour faire la redirection du port 5001.
Cela revient à dire à la box : Quand quelqu’un frappe à la fenêtre 5001, tu le laisse entrer uniquement pour aller vers l’IP du nas sur le port 5001. Comme evoqué precedemment, vous pourriez mettre dans les champs du port externe autre chose que 5001. Certains le font pour éviter les attaques. Mais les outils des hackers permettent de vous détecter quand même. C’est une affaire de quelques secondes de différences. Mais encore une fois, si cela vous rassure, allez y. ;o)
6.jpg (92.74 Kio) Consulté 64241 fois
Et puis on sauvegarde. (NE PAS OUBLIER DE CLIQUER SUR "AJOUTER" AVANT) -> Merci @agassi
Upnp
Et tant qu’à faire, pour une question de sécurité, on peut désactiver Upnp… et bien sûr on sauvegarde.
7.jpg (68.68 Kio) Consulté 64241 fois
Vous pouvez egalement passer par freeboxOS : http://mafreebox.freebox.fr
freebox-accueil-660x456.png (244.74 Kio) Consulté 52987 fois
freebox-acces.png (50 Kio) Consulté 52987 fois
Fixer l'IP du NAS
freebox-menu2.png (49.21 Kio) Consulté 52987 fois
freebox-revolution-dhcp-assigner-une-ip-fixe-15.jpg (29.16 Kio) Consulté 52987 fois
REDIRECTION
freebox-menu.png (56.97 Kio) Consulté 52987 fois
freebox-redirection.png (19.96 Kio) Consulté 52987 fois
Merci @Invité pour ses captures d'ecran
On remplit les cases... ;o)
Capture2.PNG (44.06 Kio) Consulté 64225 fois
Capture3.PNG (67.85 Kio) Consulté 64225 fois
Vous pouvez maintenant REDEMARRER la box/routeur et le NAS.
Vous allez maintenant vous connecter au NAS avec l’adresse IP inscrite et configurée via l’adresse mac dans votre box/routeur.
Ceci est une étape importante du paramétrage. Cela permets de designer qui/comment/depuis où, il est possible d’accéder au nas.
8.jpg (87.83 Kio) Consulté 64241 fois
Voici un exemple de configuration de Pare-feu (les regles ont un ordre)
Ici on va :
•.Bloquer la chine pour tous les services (on peut aussi bloquer d’autres pays)
•.Autoriser les IP locales en 192.168.1.x
•.Autoriser de France les accès uniquement en TCP vers le port 5001 (si vous avez mis un port exotique, à vous de modifier)
•.On bloque tout le reste
9.jpg (71.47 Kio) Consulté 64241 fois
Et puis comme on est dans le coin, pour une question de securité :
10.jpg (71.67 Kio) Consulté 64241 fois
Pour accéder sur votre nas, on a besoin de de se rendre informatiquement sur le lieu où se trouve le NAS.
On va utiliser un des 2 cas suivant:
Pour la connaitre son IP Publique www.whatismyIP.com depuis votre reseau local.
Dans ce cas rien de plus simple pour se connecter de l’extérieur :
https://@IPpublique:5001
Et vous voilà chez vous.
Comme elle change fréquemment, il existe une « parade » pour eviter de se demander quelle est l'ip que l'on doit utiliser. Il s'agit du DDNS – Cette mise en application peut tres bien se faire si vous avez une IP statique: Ca évitera d’apprendre une succession de chiffre. ;o)
Pour ce faire, on pourrait utiliser autre chose que synology.me. Par exemple OVH ou no-IP ou d'autres, proposent des services intéressants alors si cela vous intéresse, allez y.
Cependant, pour M. et Mme Toutlemonde, un compte synology fonctionnera très bien… et en plus, c’est gratuit.
On va commencer par se rendre sur https://account.synology.com/fr-fr pour creer un compte. Je vous laisse suivre les pages les unes après les autres… rien d’extraordinaire.
10bis.jpg (36.59 Kio) Consulté 64241 fois
Ensuite il va falloir mettre en liaison notre NAS avec ledit compte tout juste créé.
Rien de plus simple :
20.jpg (80.29 Kio) Consulté 64241 fois
21.jpg (28.24 Kio) Consulté 64241 fois
Après le tuto, vous pourrez aller faire un saut sur votre compte (pas bancaire hein... ;o))et vous verrez que votre nas y est inscrit et qu’il est actif. ;o)
Ensuite :
11.jpg (59.88 Kio) Consulté 64241 fois
On configure et on teste avant de valider. Le statut doit être en « normal ».
12.jpg (69.95 Kio) Consulté 64241 fois
On valide,
12bis.jpg (17.42 Kio) Consulté 64241 fois
12ter.jpg (34.98 Kio) Consulté 64241 fois
Retenez bien le nom que vous avez mentionné. C’est grâce à lui que vous pourrez vous connecter.
Pour une question de sécurité, je déconseille l’utilisation de Quickconnect. Donc comme on est dans le coin…
13.jpg (80.82 Kio) Consulté 64241 fois
Voilà, il ne vous restera plus qu’à vous connecter de l’extérieur avec : https://UnNomFacile.synology.me:5001 ou https://UnNomFacile.synology.me:Port_Exotique
Vous pouvez utiliser les applications mobiles également avec votre nom de domaine : UnNomFacile.synology.me
Une dernière chose : Je vous conseille de créer un compte du groupe utilisateur pour vos accès du quotidien, cela évitera que le login/password du compte administrateur tombe entre de mauvaises mains…
Accès externe à un NAS Synology
Se connecter à distance sur son serveur NAS Synology
Synology – Accès à distance (freebox)
synology-dsm5.2-ports-http-https
aa
synology-dsm5.2-protection-dos
aa
synology-pare-feu
Comment définir par défaut une politique restrictive du pare-feu de Synology (DSM 5.2)
1.jpg
2.jpg
3.jpg
4.jpg
5.jpg
6.jpg
7.jpg
freebox-accueil-660x456.png
freebox-acces.png
freebox-menu2.png
freebox-revolution-dhcp-assigner-une-ip-fixe-15.jpg
freebox-menu.png
freebox-redirection.png
Capture2.PNG
Capture3.PNG
8.jpg
9.jpg
10.jpg
10bis.jpg
20.jpg
21.jpg
11.jpg
12.jpg
12bis.jpg
12ter.jpg
13.jpg