QuickConnect, VPN, redirection de ports : quelle méthode choisir ?

L'accès à distance à son NAS Synology est possible de différentes manières : QuickConnect, VPN ou encore la redirection de ports. Mais alors, quelle méthode faut-il choisir ? Dans ce chapitre, je vais vous présenter ces trois solutions afin de vous donner mon avis et mes préférences. Pour rappel, lorsque l'on parle d'un "accès à distance", cela signifie que l'on peut accéder à son NAS à partir de n'importe où, à condition d'avoir un accès à Internet. Ainsi, le NAS n'est plus accessible uniquement lorsque l'on est chez soi, à la maison. Puisque le NAS se retrouve accessible depuis n'importe où, via Internet, il est potentiellement accessible par les pirates informatiques : d'où l'intérêt de le rendre accessible à distance, mais en prenant certaines précautions. Sommaire I. Synology : c'est quoi QuickConnect ? II. Synology, DDNS et la redirection de port III. Synology et l'accès VPN IV. Conclusion

I. Synology : c'est quoi QuickConnect ?

Le système QuickConnect est clairement la solution la plus simple pour accéder à son NAS à distance. En effet, avec QuickConnect vous pouvez accéder à votre NAS et à ses applications à distance, sans avoir à effectuer de configuration particulièrement sur votre réseau. Autrement dit, il n'est pas nécessaire de configurer son routeur (sa box) pour qu'elle autorise la connexion à distance au NAS. Comment est-ce possible ? En fait, le NAS se connecte au service "Synology Relay Server" qui est un service Cloud mis à disposition par Synology, et quand vous accédez à votre NAS via QuickConnect, vous pouvez également par ce service Cloud. Ainsi, vous accédez à votre NAS via le service "Synology Relay Server" qui sert de relais, d'intermédiaire. C'est intéressant, mais ce n'est pas le mieux en termes de performances, car vous n'êtes pas connecté directement à votre NAS. Note : le service QuickConnect peut également fonctionner en direct, sans ce service de relais, en fonction de sa configuration. Pour activer le service QuickConnect, il faut ouvrir le "Panneau de configuration", cliquer sur "Accès externe" puis sur l'onglet "QuickConnect" (1) afin de cocher l'option "Activez QuickConnect" (2) et de choisir un identifiant "QuickConnect ID". Ce nom doit être unique, donc vous devez utiliser un nom qui n'est pas déjà utilisé par quelqu'un d'autre, et je vous recommande d'utiliser un nom qui n'est pas standard, afin que ce soit difficilement devinable. Ensuite, en cliquant sur le bouton "Paramètres avancés", on peut activer l'option "Activer le service de relais de QuickConnect" (4) pour que la connexion s'appuie sur les services de relais Synology. J'attire votre attention sur l'option "Créer automatiquement des règles de transmission de ports", car si elle est activée et que votre routeur est compatible UPnP, DSM va créer automatiquement des règles de redirection à votre place (visible dans l'onglet "Configuration du routeur"). C'est pratique pour les débutants, mais cela expose votre NAS directement sur Internet !

Quand la configuration sera en place, le lien pour se connecter à votre NAS depuis n'importe où via QuickConnect sera affiché dans DSM. En complément, votre ID est précisé pour que vous puissiez vous connecter à partir d'applications. Sinon, vous pouvez accéder au site quickconnect.to et saisir votre identifiant QuickConnect : la page de connexion de votre NAS s'affichera.

II. Synology, DDNS et la redirection de port

Une autre alternative consiste à utiliser un service DDNS (DNS Dynamique) couplé à de la redirection de ports afin de pouvoir accéder à son NAS à distance, en direct, en l'exposant sur Internet sur certains ports. Chaque connexion Internet est associée à une adresse IP publique, donc pour contacter son réseau à distance, il faut connaître cette adresse IP publique. En entreprise, on bénéficie généralement d'une adresse IP publique statique, tandis qu'à domicile ce n'est pas toujours le cas, en fonction des opérateurs. Ainsi, si l'adresse IP change d'un jour à l'autre, vous ne pourrez plus accéder à votre NAS : c'est là que le système DDNS intervient. Il s'agit d'un DNS dynamique proposé par un service en ligne (comme "synology. me"), ce qui va permettre d'associer un nom de domaine à votre adresse IP publique et de mettre à jour cet enregistrement DNS automatiquement, même si l'adresse IP publique de votre routeur (votre box) change ! L'activation du service DDNS s'effectue via le Panneau de configuration, "Accès externe", onglet "DDNS" puis en cliquant sur le bouton "Ajouter". Ensuite, il faut remplir le formulaire afin de choisir le service DDNS et son nom de sous-domaine, avant de valider.

Grâce au DDNS, on peut utiliser un nom de domaine afin d'être sûr d'accéder à son NAS à distance. Néanmoins, pour que le DDNS fonctionne, il faut que le routeur autorise le flux ! Autrement dit, quand vous tentez d'accéder à l'interface de DSM à distance, il faut que le routeur redirige le flux vers votre NAS. Pour cela, il faut mettre en place ce que l'on appelle une règle de redirection de port (voir le schéma dans la section suivante qui reprend ce principe). Dans le cas où l'on souhaite utiliser cette méthode, plutôt intéressante en matière de performances, mais qui expose directement le NAS sur Internet, il conviendra de respecter plusieurs règles de sécurité. Premièrement, il ne faudra pas utiliser les ports par défaut de l'interface DSM afin de "cacher" son NAS et qu'il ne soit pas facilement détectable. Nous aborderons cela, plus précisément, par la suite.

III. Synology et l'accès VPN

Terminons par l'accès VPN, qui est mon préféré, car il n'expose que légèrement le NAS Internet, car il n'y a que le service VPN qui doit être visible depuis Internet pour que l'on puisse établir la connexion VPN. Le tunnel VPN doit être monté avant que l'on puisse se connecter à DSM ou aux autres applications. Autrement dit, il faut connaître la configuration du VPN et s'authentifier au niveau du VPN avant de pouvoir afficher l'interface de DSM, et devoir s'authentifier à nouveau.

La principale contrainte réside dans le fait qu'il soit nécessaire de connecter le VPN avant de pouvoir accéder au NAS. Cela va probablement refroidir certaines personnes pour lesquelles cette notion de VPN peut paraître abstraite. C'est pour cette raison que si vous souhaitez mettre en place un serveur OpenVPN sur votre NAS, vous pouvez suivre ce tutoriel : Configurer OpenVPN Server sur un NAS Synology. Dans le même esprit, si vous souhaitez en savoir plus sur la notion de VPN : Les VPN pour les débutants. On peut aussi ne pas exposer du tout son NAS Synology sur Internet, et là c'est encore mieux, si l'on est en mesure d'établir une connexion VPN directement sur notre routeur (ou pare-feu). Ainsi, on se connecte au réseau de l'entreprise ou de son domicile via son routeur, puis on accède aux ressources du réseau, dont le NAS fait partie. C'est clairement la solution recommandée pour les entreprises équipées d'un accès VPN, car cela évite d'augmenter la surface d'attaque inutilement.

IV. Conclusion

Il est tout à fait envisageable d'exposer son NAS directement sur Internet, car c'est utile pour certains besoins, et on aura tendance à faire comme ça à la maison pour que ce soit plus simple, mais cela doit être fait uniquement si vous appliquez mes conseils en matière de sécurité. Pour cela, il vous suffit de lire la suite de ce cours. En fait, beaucoup de personnes exposent leur NAS sur Internet sans le savoir, ou sans avoir connaissance des risques, et c'est aussi cela qui m'a motivé à écrire ce cours afin de vous montrer les bonnes pratiques à respecter. Personnellement, et cela n'engage que moi, je pense que l'accès à un NAS utilisé en entreprise doit être effectué uniquement au travers d'une connexion VPN, tandis que pour la maison, on peut utiliser le VPN ou un service DDNS. À partir du moment où l'on respecte les bonnes pratiques en matière de sécurité, la compromission du NAS sera très difficile.

Protéger l’interface DSM

Un NAS Synology se configure par l'intermédiaire de son système d'exploitation DSM, qui est accessible au travers d'une interface Web. Pour accéder à cette interface Web, ou en tout cas à la page d'authentification, il suffit d'un navigateur et de connaître l'adresse IP ou le nom de domaine du NAS. Dans ce second module de ce cours sur la sécurisation d'un NAS Synology, nous allons voir comment protéger l'accès à l'interface DSM. Dans le but de protéger l'interface DSM, nous allons appliquer différentes mesures de sécurisation, notamment pour forcer l'utilisation du protocole HTTPS, utiliser des ports d'accès différents de ceux configurés par défaut ou encore agir sur l'en-tête HTTP retournée par le serveur Web Nginx qui fait tourner DSM.

Forcer le HTTPS pour l’interface DSM

À partir de maintenant, nous allons commencer à affiner la configuration de DSM dans le but d'améliorer la sécurité de notre NAS Synology. Commençons par une action simple qui va permettre de forcer l'utilisation du protocole HTTPS pour utiliser à l'interface DSM. Par défaut, l'interface Web d'un NAS Synology est accessible au travers de deux protocoles : HTTP et HTTPS. Les connexions HTTPS étant sécurisées (grâce à l'utilisation d'un certificat, qu'il soit auto-signé ou non), au contraire des connexions HTTP, je vous recommande de forcer le HTTPS pour accéder à DSM. Grâce à cette modification, vous êtes sûr que tout le monde utilisera le protocole HTTPS pour accéder à l'interface Web de votre NAS. Pour cela, ouvrez "Panneau de configuration", cliquez sur "Portail de connexion" à gauche puis cochez l'option "Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM" disponible dans l'onglet "DSM" de l'interface, sous "Services Web".

Cliquez sur "Sauvegarder". Voilà, DSM est accessible uniquement via le protocole HTTPS ! Si vous accédez à votre NAS en mettant "http://<IP du NAS>:<port HTTP>", vous allez être redirigé vers la connexion en HTTPS. Ce changement s'appliquera automatiquement, peu importe, le navigateur que vous utilisez, que ce soit sur ordinateur ou sur mobile. Chaque NAS est livré avec un certificat SSL auto-signé qui permet l'accès en HTTPS. Ce certificat n'étant pas reconnu par le navigateur (car il est auto-signé et n'émane pas d'une autorité de certification de confiance), un avertissement s'affiche au moment de la connexion. Pour ceux qui veulent aller plus loin, vous pouvez mettre en place un certificat SSL généré à partir d'une autorité de certification d'entreprise (type ADCS), ou obtenu via Let's Encrypt ou alors acheté auprès d'un service en ligne (GeoTrust, Gandi, etc.). Passons au chapitre suivant où nous allons apprendre à utiliser des ports différents pour l'accès à DSM.

Utiliser des ports différents pour DSM

Notre NAS est désormais accessible uniquement via le protocole HTTPS, même si le protocole HTTP est toujours actif. Néanmoins, l'interface DSM est accessible via les ports par défaut, que tout le monde connaît y compris les pirates informatiques : les ports 5000 et 5001. Ainsi, pour accéder à l'interface DSM d'un équipement Synology, on sait que l'on doit spécifier le port 5000 ou le port 5001 à la fin de l'URL. Afin que l'interface du NAS soit plus difficilement détectable, nous allons configurer DSM pour utiliser des ports différents de ceux par défaut ! Tout d'abord, accédez à "Panneau de configuration" puis à "Portail de connexion". Ici, au sein de l'onglet "DSM", il y a deux informations intéressantes : Port DSM (HTTP) : 5000 Port DSM (HTTPS) : 5001 Ce sont les deux ports utilisés actuellement par notre interface DSM, ce qui confirme mes propos et le fait qu'ils soient utilisés par défaut par l'ensemble des NAS Synology !

I. Changer les ports d'écoute de DSM

Pour se débarrasser des ports 5000 et 5001, il suffit de remplacer les deux valeurs actuelles par une autre valeur. Par exemple, vous pouvez utiliser 15000 et 15001, ou des ports totalement différents : 16070 et 16171. Pour cela, il suffit de modifier les deux numéros de port et de valider.

Désormais, pour accéder au NAS : https://<ip-du-nas>:<nouveau port HTTPS>

II. La redirection automatique sur les ports 80 et 443

Nous venons de changer les ports d'accès à DSM, c'est très bien. Par contre, si l'on accède au NAS en HTTP ou HTTPS sans spécifier le port, il va nous rediriger vers le nouveau port, ce qui est un peu dommage ! Donc, si l'on veut aller jusqu'au bout de notre démarche et qu'un accès en HTTPS et HTTP ne retourne aucun résultat (sauf sur nos ports personnalisés), il y a trois solutions : Bloquer les deux ports dans le pare-feu DSM (attention si vous souhaitez héberger un site Web sur le port HTTPS/443 sur votre NAS) Modifier les fichiers de configuration du NAS (mais ce sera perdu à chaque fois que le NAS se mettra à jour) Accepter l'existence de cette redirection, mais ne pas exposer les ports 80 et 443 sur Internet (uniquement le port HTTPS de DSM) afin de ne pas permettre ce flux Nous verrons par la suite comment configurer le pare-feu de façon détaillée, car un chapitre lui est réservé. À titre d'information, je vous donne la méthode qui consiste à modifier les fichiers de configuration du NAS (ce qui peut vous empêcher d'utiliser certains services comme la génération d'un certificat Let's Encrypt, Web Station ou encore Photo Station). Nous devons modifier trois fichiers de configuration en ligne de commande via l'accès SSH. J'insiste sur le fait que vous n'êtes pas obligé d'appliquer cette partie (notamment si vous n'êtes pas très à l'aise avec l'utilisation de la ligne de commande). Sinon, pour ceux qui souhaitent le faire, vous devez activer temporairement l'accès SSH sur le NAS (Panneau de configuration > Terminal & SNMP > Activer le service SSH), puis vous connecter en SSH sur le NAS via un logiciel tel que PuTTY. A partir du moment où vous êtes connecté, voici les deux commandes à exécuter : sudo sed -i -e 's/80/81/' -e 's/443/444/' /usr/syno/share/nginx/server. mustache /usr/syno/share/nginx/DSM.mustache /usr/syno/share/nginx/WWWService.mustache sudo systemctl restart nginx La première commande va remplacer la valeur "80" par "81" et la valeur "443" par "444" (vous pouvez utiliser autre chose que 81 et 444) dans trois fichiers de configuration du serveur Nginx de Synology : server. mustache, DSM.mustache et WWWService.mustache. La seconde commande va recharger le serveur Web Nginx. Voilà ! L'interface DSM ne sera plus accessible si l'on accède à "http://<ip du nas>" ou "https://<ip du nas>", car il faudra impérativement préciser le numéro de port.

Désactiver l’en-tête « Server » dans les réponses HTTP

Dans ce chapitre, nous allons voir comment désactiver l'en-tête "Server" dans les réponses HTTP de DSM, et nous verrons pourquoi c'est intéressant de le faire du point de vue de la sécurité. Partons du constat suivant : lorsque l'on interroge un serveur Web, en l'occurrence ici celui qui tourne pour héberger l'interface de DSM, la réponse HTTP envoyée aux clients contient différentes informations dans son en-tête (header). Parmi ces informations, il y a le type de serveur, par exemple "nginx" ou "apache" le type de serveur tout en sachant que c'est Nginx sur Synology. En fait, si l'on se positionne à la place d'un attaquant, c'est une information intéressante, car on sait si l'on cible un serveur Nginx ou Apache. Grâce à cette information, l'attaquant en sait un peu plus sur notre configuration et peut orienter la suite de son attaque. Afin d'éviter de communiquer cette information, on peut désactiver l'en-tête "Server" ou utiliser une autre valeur (faire croire que c'est un serveur Apache alors que c'est un Nginx, par exemple ;-)). Dans le but de désactiver l'en-tête "Server", accédez au "Panneau de configuration", cliquez sur "Réseau" puis sur l'onglet "Connectivité". Ensuite, décochez l'option "Activer l'en-tête "Server" dans les réponses HTTP" et sauvegardez ! Dans le cas où vous souhaitez utiliser une autre valeur que "nginx", l'option doit être cochée et vous devez remplacer la valeur par celle que vous souhaitez.

Pour vous montrer la différence, j'ai utilisé l'outil Curl pour requêter l'interface de DSM (http://<ip synology>:<port>) avant et après la modification. curl -I http://<ip synology>:<port> Avant la modification, nous pouvons voir la présence de la ligne "Server: nginx", tandis qu'après la modification, l'information "Server" n'est plus du tout présente ! Excellente nouvelle !

Pour conclure, je dirais qu'un attaquant qui interroge la page de notre serveur Web ne sera pas en mesure de savoir, au premier abord, s'il s'agit d'un serveur Apache, Nginx, IIS, etc. Puisque l'information n'est pas communiquée : la prise d'empreinte sera plus difficile ! Les mises à jour automatiques de DSM La sécurité d'un système d'exploitation, au-delà de la configuration, passe par l'installation des mises à jour, en particulier les mises à jour liées à la sécurité. C'est pour cette raison qu'il me semble évident de consacrer à chapitre à la gestion des mises à jour DSM. Pour bénéficier des derniers correctifs de sécurité, il est indispensable de maintenir à jour le système DSM et les différents paquets que vous utilisez. Cependant, je ne pense pas que ce soit nécessaire d'installer automatiquement toutes les mises à jour. En fait, je ne crois pas que ce soit appréciable que le NAS passe de DSM 6 à DSM 7 du jour au lendemain, car nous ne sommes jamais à l'abri d'un incident pendant la mise à niveau donc il vaut mieux garder le contrôle un minimum. La bonne nouvelle, c'est que DSM est capable d'installer automatiquement les mises à jour importantes associées à des problèmes de sécurité. Pour les paquets, c'est pareil. De ce fait, nous allons voir comment effectuer cette configuration. Premièrement pour DSM, ouvrez "Panneau de configuration", cliquez sur "Mises à jour et restauration" (1) puis "Options de mise à jour" (2) dans l'onglet "Mise à jour du DSM". Ensuite, choisissez l'option "Installer automatiquement les mises à jour importantes qui ont résolu les problèmes de sécurité et les bogues critiques (recommandé)". Définissez un jour et une heure à laquelle effectuer l'éventuelle installation puis cliquez sur "OK" pour valider (4).

Deuxièmement pour les paquets, ouvrez "Centre de paquets", cliquez sur "Paramètres" (1) puis sur "Mises à jour auto" (2). Quand vous êtes dans cet onglet, cochez l'option "Mettre à jour les paquets automatiquement" et sélectionnez "Mettre à jour automatiquement les versions importantes de tous les paquets". En sélectionnant l'option "Uniquement les paquets ci-dessous", vous pouvez effectuer une configuration encore plus fine (par exemple : activer toutes les màj sur certains paquets et uniquement les màj importantes sur d'autres paquets).

Pour finir, cliquez sur "OK" pour valider la configuration des mises à jour de paquets. Grâce à cette configuration, vous vous assurez d'être protégé rapidement lorsqu'une mise à jour importante est disponible. Dans le prochain chapitre, nous verrons comment configurer les notifications afin de recevoir un e-mail lorsqu'une mise à jour importante est publiée. Enfin, sachez que sur le site de Synology, vous pouvez retrouver les différents bulletins de sécurité mis en ligne par le fabricant : Synology - Bulletins de sécurité. Conseils de sécurité -->

Configurer les notifications sur DSM

Dans ce chapitre, nous allons voir que DSM est capable d'envoyer une notification par e-mail lorsque certains événements se produisent, notamment quand il y a une mise à jour importante pour DSM ou pour un paquet. Dans le cas où il y a une mise à jour disponible pour DSM ou pour un paquet, notamment une mise à jour "non importante", ce serait bien d'être informé par l'intermédiaire d'une notification. De plus, les notifications peuvent être envoyées pour d'autres types d'événements (adresse IP bloquée par le NAS, etc.). Pour répondre à ce besoin, le système DSM intègre la possibilité d'envoyer des notifications par e-mail, ainsi que par SMS et service push. Dans le but de configurer les notifications par e-mail, nous devons ouvrir "Panneau de configuration", cliquer sur "Notifications" à gauche puis configurer l'onglet "E-mail". Tout d'abord, nous devons activer les notifications e-mail via l'option "Activer la notification par e-mail". Ensuite, il faut indiquer l'adresse e-mail sur laquelle vous souhaitez recevoir les notifications, puis configurer la partie "Expéditeur". En ce qui concerne la partie expéditeur, il y a plusieurs choix : Gmail, Outlook, QQ ou un serveur SMTP personnalisé. A la maison, je pense que vous allez être nombreux à sélectionner "Gmail" pour utiliser votre compte Google pour envoyer les e-mails. Donc, pour utiliser cette méthode, il faut choisir le fournisseur de service "Gmail" puis cliquer sur "Connecter" et suivre l'assistant. A l'inverse, en entreprise on va plutôt utiliser un serveur SMTP personnalisé pour s'appuyer sur son serveur de messagerie interne, sur les servies d'Office 365 voire même sur un compte e-mail chez OVH. Dans ce cas, vous devez renseigner les différentes informations correspondantes à votre configuration (serveur SMTP, identifiant et mot de passe, etc.).

Dès lors que la connexion à Gmail est établie, si l'on prend ce fournisseur comme exemple, l'adresse du compte Google s'affiche. Pour finir et valider que la configuration est opérationnelle, nous pouvons cliquer sur "Envoyer un courriel de test" : si tout va bien, vous allez recevoir un e-mail ! ߙ⊊

Pour finir la configuration des notifications, nous devons sélectionner les événements pour lesquels nous souhaitons recevoir un e-mail. Afin d'effectuer cette configuration, cliquez sur l'onglet "Règles" et sélectionnez les événements que vous voulez. Tout en sachant qu'il y en a déjà de sélectionné par défaut. Tout d'abord, pour le suivi des mises à jour de paquets, vous pouvez sélectionner les événements suivants :

Ensuite, toujours dans l'onglet "Règles", il y a des événements que vous pouvez sélectionner pour le suivi des mises à jour de DSM :

C'est fait ! Nous venons de configurer les notifications sur DSM ! Si besoin d'informations supplémentaires, voici la documentation Synology sur ce sujet. Configurer les notifications

Désactiver l’intégration iframe de DSM

Pour finir avec ce module sur la protection de l'interface DSM, nous allons désactiver la possibilité d'intégrer l'interface de DSM dans une iframe. En fait, on peut imaginer qu'un site web intègre sur sa page l'interface de DSM en le chargeant au sein de ce que l'on appelle une iframe. Si l'on veut prendre un exemple un peu plus parlant, on peut prendre celui d'une vidéo YouTube qui est intégrée au sein d'une page Web, notamment comme je le fais sur IT-Connect. Pour des raisons de sécurité, il est recommandé de désactiver cette fonctionnalité, ou au pire, de limiter son utilisation à certains sites web (personnellement, je n'ai jamais eu besoin de cette fonctionnalité). Dans le but de configurer cette option, ouvrez le "Panneau de configuration", cliquez sur "Sécurité" (1) puis dans l'onglet "Sécurité" (2), cochez l'option "Ne pas permettre que DSM soit incorporé dans iFrame" (3).

Il ne reste plus qu'à valider et la modification sera immédiatement prise en compte. Ce premier module touche à sa fin. Grâce à ces différentes modifications, nous avons renforcé la sécurité de l'interface DSM en elle-même ! Pour rappel, nous avons vu comment forcer le HTTPS sur l'interface DSM, comment modifier les ports d'accès à DSM pour ne pas utiliser les ports par défaut, mais aussi comment gérer l'en-tête HTTP "Server" ainsi que la gestion des mises à jour et des notifications. Désormais, nous allons renforcer l'authentification dans le but de protéger les comptes des utilisateurs.

Renforcer l’authentification sur son NAS

Dans ce module, nous allons apprendre à renforcer l'authentification d'un NAS Synology en activant et configurant différentes fonctionnalités, notamment la politique de mots de passe, la double authentification, ou encore la fonctionnalité de blocage automatique pour lutter contre les attaques de type de brute force. Grâce à la configuration que nous allons mettre en place, il sera plus difficile pour un attaquant de compromettre un compte utilisateur. D'une part, la double authentification va permettre de lutter contre le vol d'identifiants, et d'autre part la fonction de blocage automatique va permettre de lutter contre les robots qui effectuent des tentatives de connexion en boucle sur le NAS. Puisque le compte "admin" créé par défaut représente la cible idéal, nous allons le désactiver afin de le remplacer par un autre compte "admin" et ainsi éliminer ce risque. Si vous êtes prêt, nous pouvons rentrer dans le vif du sujet avec justement un chapitre sur la gestion du compte "admin" par défaut.

Désactiver le compte « admin » par défaut de DSM

Lors de la mise en place d'un NAS Synology, le système d'exploitation DSM est accompagné par un compte par défaut nommé "admin" qui est administrateur du système. Afin de renforcer la sécurité du NAS, il est fortement recommandé de désactiver ce compte et d'utiliser un compte administrateur avec un autre login. Grâce à cette modification, la sécurité du compte administrateur est renforcée, car le login n'est pas facilement devinable. En fait, c'est un principe de sécurité classique qui s'applique à tous les systèmes, comme j'ai pu l'expliquer récemment pour PfSense. Remarque : Il est impératif de créer un nouveau compte administrateur (si vous n’en avez pas déjà un autre) avant de désactiver le compte "admin" par défaut. Premièrement, pour créer un compte Administrateur sur le NAS, suivez la procédure suivante : ouvrez "Panneau de configuration", cliquez sur "Utilisateur et groupe" (1) à gauche, puis au sein de l'onglet "Utilisateur", cliquez sur le bouton "Créer" (2). Suivez l'assistant, en définissant l'identifiant de ce nouveau compte administrateur, donc n'utilisez pas "administrateur", "adm" ou "administrator", choisissez quelque chose de plus original, de moins évident. Lorsque l'étape "Rejoindre les groupes" va apparaître, vous devez impérativement cocher la case correspondante au groupe "Administrators" pour que ce soit un compte "admin du NAS" qui soit créé !

De ce fait, et puisqu'il appartient au groupe "administrators", cet utilisateur aura un accès à toutes les applications et fonctionnalités du NAS. Une fois que le compte est créé, je vous invite à vous connecter sur le NAS avec ce compte pour vérifier que c'est OK. Deuxièmement, et une fois que vous avez testé votre nouveau compte, vous pouvez désactiver le compte "admin" créé par défaut. Toujours dans "Panneau de configuration", et toujours dans la section "Utilisateur et groupe" (1), sélectionnez le compte "admin" dans la liste (2) puis cliquez sur le bouton "Modifier" (3). Ici, cochez l'option "Désactiver ce compte" (4) immédiatement et cliquez sur "Sauvegarder" (5) pour valider.

En un mot, nous venons de nous débarrasser du compte "admin" par défaut de DSM en le désactivant puisqu'il n'est pas possible de le supprimer complètement (tel qu'expliqué dans la documentation officielle).

Définir une politique de mots de passe DSM

Sur un NAS Synology, comme sur les autres systèmes, un compte utilisateur est associé à un mot de passe. Au moment de choisir son mot de passe, l'utilisateur doit respecter la politique de mots de passe de DSM. En fait, la politique de mots de passe par défaut de DSM est relativement souple donc je vous propose que l'on effectue des modifications pour durcir la politique de mots de passe de votre NAS. Afin d'accéder à la politique de mots de passe, ouvrez "Panneau de configuration", cliquez sur "Utilisateur et groupe" puis sur l'onglet "Avancé". Ensuite, vous devriez avoir accès à la section "Configuration du mot de passe" où l'on peut retrouver un ensemble d'options. Selon vos besoins, vous pouvez ajuster ces différentes options, tout en sachant qu'il faut absolument activer l'option "Appliquer les règles de force de mot de passe" parce que sinon ce sera open-bar, sans aucune règle. Pour bien définir votre politique de mots de passe DSM, vous pouvez prendre connaissance de mon guide "Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ?", mais dans tous les cas, je vous invite à cocher les options suivantes pour éviter l'utilisation de mots de passe faibles : Exclure du mot de passe le nom et la description de l'utilisateur Exclure un mot de passe faible Longueur minimale du mot de passe : 10 Il est vrai que la politique de mots de passe ne sera pas forcément la même si vous utilisez le NAS pour stocker seulement des sauvegardes, ou s'il sert de serveur de fichiers dans une entreprise ou d'espace de stockage à la maison. Malgré tout, je vous recommande de définir une politique de mots de passe afin d'assurer que les mots de passe utilisés respectent certaines règles de sécurité.

Dès que votre choix est fait, vous pouvez sauvegarder les changements. A cet instant, il vous sera proposé de forcer le changement de mot de passe à la prochaine connexion pour tous les utilisateurs : vous pouvez cliquer sur "Ignorer" pour ne pas imposer le changement du mot de passe.

La politique de mot de passe est en place sur le système DSM ! Désormais, les comptes utilisateurs vont devoir utiliser des mots de passe qui respectent cette politique. Finalement, en utilisant des mots de passe robuste et en activant les différentes fonctionnalités de protection de compte que nous allons voir ensemble, vous renforcerez grandement les comptes utilisateurs. Enfin, si vous souhaitez creuser le sujet des mots de passe, vous pouvez consulter le guide de l'ANSSI à ce sujet en complément de mon article.

Activer la double authentification sur DSM

Continuons à renforcer l'authentification et l'accès aux comptes utilisateurs en ajoutant l'authentification à 2 facteurs (MFA) aux comptes de notre NAS. Pour s'authentifier sur DSM, l'utilisateur a plusieurs solutions : - Utiliser son mot de passe - Utiliser son mot de passe et un deuxième facteur d'authentification - Utiliser l'authentification sans mot de passe Pour améliorer la sécurité, il est recommandé d'utiliser l'authentification à 2 facteurs (ou l'authentification sans mot de passe) sur tous les comptes où cela est possible. En effet, selon les usages, vous pouvez rencontrer des contraintes (par exemple : un logiciel qui se connecte sur le partage du NAS pour stocker des données ne prendra pas toujours en charge le MFA). Sur un NAS Synology, l'utilisateur a le choix entre plusieurs solutions pour le second facteur d'authentification : Code de vérification (TOTP) c'est-à-dire un code de connexion unique, généré à partir de l'application mobile Clé de sécurité matérielle (FIDO2 et U2F) selon la liste de compatibilité fournie par Synology I. Configurer la double authentification Passons maintenant à la configuration du MFA sur le système DSM de Synology. Tout d'abord, ouvrez le "Panneau de configuration", cliquez sur "Sécurité" (1) puis sur l'onglet "Compte" (2). À cet endroit, vous devez cocher l'option "Appliquer l'authentification à 2 facteurs pour les utilisateurs suivants". Ensuite, le choix vous appartient puisqu'il faut choisir les utilisateurs (ou les groupes) où le MFA doit s'appliquer : Utilisateurs du groupe administrateur : c'est à minima ce que vous devez faire pour protéger les comptes avec des privilèges élevés Tous les utilisateurs : sûrement l'idéal, mais pas forcément applicable ! Utilisateurs ou groupes spécifiques : un bon compromis, vous pouvez créer un groupe "MFA" et ajouter dedans tous les utilisateurs où vous souhaitez activer le MFA

Donc, une fois que vous avez fait votre choix, il ne reste plus qu'à sauvegarder via le bouton "Appliquer". À ce moment précis, DSM va vous proposer de configurer le MFA dès maintenant sur votre compte. Soyons fous et cliquons sur "Configurer maintenant".

Un assistant se lance. Et on commence par vous rappeler que pour vous connecter sur le NAS, il faudra saisir votre mot de passe et le code d'authentification à usage unique généré par l'application sur votre smartphone. Cliquez sur "Démarrer".

Pour générer ce code à usage unique, vous devez utiliser une application compatible : Synology Secure SignIn, Google Authenticator, Microsoft Authenticator ou encore FreeOTP. En fait, vous n'êtes pas obligé d'utiliser Synology SignIn, mais vous pouvez utiliser une application équivalente que vous utilisez déjà. En fait, le code QR qui s'affiche à l'écran sert à ouvrir le store afin de télécharger l'application Synology donc vous pouvez cliquer sur "Suivant" sans forcément scanner le code.

Pour vous permettre de voir à quoi ressemble l'application Synology, je l'ai installée sur mon mobile. Concrètement, son utilisation est simple puisqu'il suffit de cliquer sur "Ajouter" pour créer un nouveau profil puis de cliquer sur "Autoriser l'accès à la caméra" afin de pouvoir scanner le code QR qui s'affiche sur DSM.

Pour être précis, c'est le code QR ci-dessous qu'il faut scanner depuis l'application mobile. Ensuite, sur le mobile, un code à usage unique va s'afficher donc vous devez le saisir au niveau du champ "Code de vérification (OTP)" et cliquer sur "Suivant".

Quand je fais référence au code à usage unique, c'est celui-ci :

À l'étape suivante, vous devez définir une adresse e-mail de secours sur laquelle sera envoyé un code de secours dans le cas où l'application mobile est défaillante, ou que votre mobile est inaccessible. Autrement dit, c'est très important pour avoir une solution de secours et ne pas perdre l'accès à son compte. À ce sujet, voici ce que dit Synology : "Si vous perdez votre périphérique jumelé ou que vous n'y avez pas accès, vous pouvez tout de même vous connecter à votre compte à l'aide du code de vérification d'urgence envoyé à cette adresse e-mail de secours." Remarque : avant de mettre en place l'authentification à deux facteurs, veillez à ce que votre NAS soit capable d'envoyer des notifications par e-mail (comme vu précédemment). Sinon, l'e-mail ne pourra pas être envoyé sur votre adresse e-mail de secours, dans le cas où le besoin se présente. Dès que c'est fait, cliquez sur "Suivant".

Pour finir, un résumé s'affiche : cliquez sur "Effectué".

II. Tester le MFA sur DSM Dans le but de voir ce que cela donne en pratique, vous pouvez vous déconnecter et vous reconnecter à DSM. Dans un premier temps, le mot de passe sera demandé, puis dans la foulée, le code de vérification doit être indiqué. Pour être précis, c'est à ce moment-là que vous devez ouvrir l'application sur mobile afin de récupérer un nouveau code.

À tout moment il est possible de revenir sur la configuration de l'authentification à 2 facteurs d'un compte utilisateur. Pour cela, il faut cliquer sur l'icône utilisateur en haut à droite, puis sur "Perso" et accéder à la section "Méthode de connexion". Ici, il est possible de configurer l'authentification sans mot de passe (ce qui nécessite de désactiver le MFA) ou d'ajouter une clé de sécurité physique, par exemple.

Enfin, sachez qu'il est tout à fait possible d'accéder à un partage en SMB (ou un autre protocole) via un lecteur réseau sous Windows (par exemple), en s'authentifiant à partir d'un compte où le MFA est actif. Félicitations ! Le MFA est en place sur votre NAS Synology ! Nous pouvons passer à la mesure de sécurisation suivante.

La fonctionnalité « Blocage auto » pour bloquer les attaques brute force

Intéressons-nous au blocage des attaques par brute force dans le but d'éviter qu'une personne malveillante puisse compromettre un compte utilisateur. Si DSM n'est pas configuré pour bloquer les attaques de ce type, un attaquant pourrait tenter de se connecter en boucle sur votre NAS jusqu'à trouver un identifiant et un mot de passe lui permettant d'accéder à DSM. Alors, oui, nous avons mis en place l'authentification multifacteurs (MFA) précédemment, ce qui représente une barrière supplémentaire et efficace. Néanmoins, le MFA n'est peut-être pas appliqué sur tous les comptes du NAS, donc il vaut mieux mettre en place cette mesure de précaution supplémentaire. Rappel : une attaque par brute force consiste à essayer de se connecter en boucle sur un service, par exemple l'interface du NAS, en essayant des dizaines, des centaines, voire des milliers ou des dizaines de milliers de combinaisons "identifiants / mots de passe" différentes, jusqu'à trouver une combinaison qui fonctionne. I. Activer la fonction "Blocage auto" sur DSM Dès maintenant, nous allons configurer la fonctionnalité "Blocage auto" de DSM. Tout d'abord, ouvrez le "Panneau de configuration", cliquez sur "Sécurité" (1) puis sur l'onglet "Protection" (2). Ensuite, cochez l'option "Activer le blocage auto" (3) et configurez les options suivantes (4) : Tentatives de connexion : 10 Sous (minutes) : 15 Qu'est-ce que cela signifie ? Cela veut dire que si une machine effectue 10 tentatives de connexion en échecs dans un intervalle de temps de 15 minutes, alors l'adresse IP sera bannie définitivement (vous pouvez utiliser d'autres valeurs). Dans le cas où vous souhaitez débannir les adresses IP au bout d'un moment, activez l'option "Débloquer après".

En complément, vous pouvez cliquer sur le bouton "Autoriser/Bloquer la liste" dans le but d'accéder à deux listes : Liste des permissions pour ajouter une ou plusieurs adresses IP, voire même un sous-réseau, en liste blanche Personnellement, je vous recommande de partir du principe que l'on ne fait pas confiance à la moindre adresse IP, sait-on jamais ! Liste des blocages pour bannir une adresse IP spécifique, ou visualiser les adresses IP actuellement bannies, voire même supprimer un bannissement Comme le montre l'image ci-dessous, lorsque vous décidez de bannir une adresse IP manuellement, vous pouvez le faire définitivement ou pour une durée spécifique.

Dans le cas où une adresse IP est bloquée, que ce soit une adresse IP privée ou publique, il y a plusieurs informations : l'adresse IP, la date et l'heure du blocage, la durée du blocage et le lieu.

II. Importer une liste d'adresses IP à bannir

Pour finir, je vais vous parler de cette possibilité d'importer une liste d'adresses IP à bannir ! Que cette liste provienne d'Internet ou d'un autre de vos outils, vous pouvez importer une liste d'IP sur votre NAS afin de bloquer des adresses IP qui ont la réputation d'être malveillantes. Pour cela, toujours dans le menu "Autoriser/Bloquer la liste", vous devez cliquer sur "Liste des blocages", sur la petite flèche à côté de "Créer" puis sur "Importer une liste d'adresses IP".

Ensuite, sélectionnez votre fichier : la liste des adresses IP qu'il contient va s'afficher. J'attire votre attention sur l'option "Ecraser les adresses IP existantes sur la Liste des blocages et la Liste des permissions" que je vous recommande de cocher. En fait, si une adresse IP est dans votre liste des permissions, mais qu'elle est dans votre fichier que vous souhaitez importer, elle sera retirée des permissions pour être ajoutée à la liste des IP bloquées. L'inverse est vrai également puisque l'on peut importer une liste d'adresses IP à autoriser.

Enfin, sachez que si vous utilisez un routeur Synology, vous avez la possibilité d'importer cette liste d'adresses IP directement au niveau du routeur. Pour le moment, et cela peut-être une piste d'amélioration pour Synology, il ne me semble pas qu'il y ait la possibilité de synchroniser les listes d'adresses IP bannies entre plusieurs NAS, ou entre un routeur Synology et un NAS Synology. Suite à l'activation de la fonctionnalité "Blocage auto", votre NAS est capable de bloquer les adresses IP malveillantes ! L'activation de cette fonction est d'autant plus justifiée que les NAS sont souvent la cible d'attaques par brute force, et je pense notamment au botnet StealthWorker qui a fait parler de lui en août 2021. Désormais, nous allons voir qu'il est possible d'aller encore plus loin. Le verrouillage des comptes utilisateurs avec DSM Synology a intégré à DSM une fonctionnalité de protection des comptes utilisateurs qui va intervenir en complément de la fonctionnalité "Blocage auto". En effet, cette fonctionnalité va permettre de verrouiller l'utilisation d'un compte utilisateur lorsqu'il y a trop de tentatives de connexions malveillantes sur ce compte. Ainsi, si une adresse IP s'attaque au compte "florian" du NAS, elle risque d'être bloquée au bout d'un certain nombre de tentatives en échecs (compte tenu de la configuration effectuée à l'étape précédente), et le compte "florian" sera temporairement inaccessible pour une durée limitée (sauf depuis un appareil dit fiable) afin de le protéger complètement. Dans la suite de cette partie, nous allons configurer la fonctionnalité "Protection du compte" de DSM. Premièrement, accédez au "Panneau de configuration", cliquez sur "Sécurité" (1) puis sur "Compte" (2). Ici, vous allez trouver la fonctionnalité "Protection du compte" (sous "Authentification à 2 facteurs") que vous pouvez activer via la case à cocher "Activer la protection du compte" (3). Deuxièmement, nous pouvons remarquer la présence de deux zones : clients non fiables et clients fiables. En fait, il est possible d'apporter un peu plus de souplesse aux clients fiables puisque l'on peut estimer qu'il y a moins de chance qu'une attaque soit émise depuis une machine connue que depuis une machine inconnue. Ainsi, nous pouvons définir la configuration suivante :

Dans cet exemple, s'il y a 5 tentatives de connexion en échecs sur un compte dans un intervalle de 1 minute, alors le compte sera protégé (verrouillé) pendant une durée de 30 minutes. En complément, on peut voir qu'on bloque à 10 tentatives au lieu de 5 tentatives sur un appareil fiable afin d'éviter les fausses alertes (exemple : un utilisateur qui galère un peu à se rappeler de son mot de passe). Remarque importante : si l'attaque est émise à partir d'un client non fiable, le compte devra être déverrouillé par un compte administrateur. Par contre, si le verrouillage fait suite à une tentative émise depuis un client fiable, le compte peut être déverrouillé via un autre client fiable associé à ce compte. À partir du moment où un compte est protégé, nous pouvons le retrouver à partir du bouton "Gérer les comptes protégés" de l'interface DSM, ou dans "Gérer les clients fiables". Pour être plus précis, c'est utile de connaître l'emplacement de ces deux listes pour être capable de lever un blocage manuellement. Voici un exemple :

La question que l'on peut se poser, c'est "comment Synology fait la différence entre un client non fiable et un client fiable ?". Bonne question ! Pour cela, cliquez sur l'icône "utilisateur" en haut à droite de l'interface DSM, puis dans l'onglet "Compte", cliquez sur "Protection du compte" (lien en haut, à droite du nom). Ici, vous pouvez voir l'état du compte, par exemple "Compte verrouillé" ou "Protection du compte activée". En fait, on remarque aussi deux boutons : Faire confiance au client actuel (qui devient ensuite "Client actuel fiable") : permets de définir le client actuel comme étant, en l'identifiant par son adresse IP et la méthode d'accès, par exemple le navigateur Firefox. Si vous utilisez la même machine avec le navigateur Chrome, c'est considéré comme un autre client. Gérer les clients fiables : permets de voir et gérer les clients fiables associés à ce compte utilisateur. Pour être précis, un compte utilisateur peut avoir plusieurs clients fiables. En complément, on peut voir le bouton "Annuler la protection" qui permet de déverrouiller le compte utilisateur sans attendre que la protection soit levée automatiquement (30 minutes, selon notre configuration).

Note : lorsqu'un compte est verrouillé, une notification par e-mail est envoyée afin d'informer de l'incident de sécurité. En conclusion, on peut dire que la fonctionnalité de "Protection de compte" offre la possibilité de mettre en "quarantaine" pendant une durée limitée un compte utilisateur qui serait victime d'une attaque informatique afin de le rendre accessible uniquement sous certaines conditions. Ce module est à présent terminé mais nous avons encore du travail pour sécuriser notre NAS Synology, avec la gestion des flux réseaux pour terminer.

Gérer les flux réseaux pour protéger son NAS

Puisque le NAS Synology est connecté au réseau et qu'il est susceptible d'exposer différents services sur le réseau, que ce soit des services Web ou des services de partage de fichiers, nous devons contrôler ces flux et réduire autant que possible l'exposition du NAS sur le réseau. À ce titre, plusieurs améliorations sont possibles pour renforcer encore un peu plus la sécurité du NAS. Tout d'abord, nous verrons comment protéger notre NAS contre les attaques DoS notamment celles de type "ping flood". Ensuite, nous allons désactiver les services inutiles même si cela dépend de vos besoins, puis nous verrons comment désactiver la découverte réseau pour masquer notre NAS sur le réseau. Cela ne s'arrête pas là, car je vais également vous parler du SMBv1 et de la configuration du pare-feu sur notre NAS Synology.

Protéger son NAS des attaques DoS

Les attaques par déni de service (DoS soit Denial of Service) sont très fréquentes et consiste à rendre indisponible une machine cible (ou un service) en le surchargeant avec un grand nombre de requêtes. En effet, chaque machine à ses propres limites, notamment parce qu'elle dispose d'un processeur plus ou moins performant, de plus ou moins de RAM, etc. Ainsi, si une machine arrive à saturation parce qu'elle a trop de requêtes à traiter, elle peut planter. Pour répondre à cette problématique, Synology a intégré à DSM une fonctionnalité nommée "Protection DoS" que je vous propose d'activer sans plus attendre ! Ouvrez le "Panneau de configuration", cliquez sur "Sécurité" (1), puis sur l'onglet "Protection" sous "Protection DoS (Denial-of-Service)", choisissez l'interface réseau à protéger (2) et cochez l'option "Activer la protection DoS" (3). En fait, vous devez répéter l'opération pour l'ensemble des interfaces réseau de votre NAS, y compris s'il y en a une qui n'est pas utilisée pour le moment. Ainsi, le jour où vous allez l'utiliser la protection sera déjà activée et vous n'avez aucune chance d'oublier ! ߙ⊊

Pour valider, cliquez sur "Appliquer". De ce fait, la protection DoS est active sur le NAS Synology ! Il n'y a rien de plus à faire ! Terminons par quelques précisions sur cette fonctionnalité. Bien que Synology ne soit pas très bavard au sujet des bienfaits de cette fonctionnalité, c'est tout de même précisé qu'avec cette fonctionnalité activée, le NAS répondre à seulement un paquet ICMP par seconde. Dans le cas où il y en a beaucoup plus d'envoyé à destination du NAS, les paquets seront ignorés. Concrètement, cela répond à une méthode d'attaque précise : les attaques DoS qui emploie la technique "ICMP flood" (ou ping flood) où l'objectif est d'inonder la machine cible de requêtes ICMP.

Désactiver les services inutiles sur DSM

Au fil des années, les NAS sont devenus beaucoup plus que de simples serveurs de fichiers. Ils sont accessibles par l'intermédiaire de différents protocoles afin de répondre à un maximum de besoins et d'être compatible avec un maximum d'appareils. Cependant, il n'est pas utile de laisser actif des services que l'on utilise pas au quotidien, ou que l'on a besoin que très ponctuellement. Par exemple, l'accès SSH sur le NAS peut-être utile pour de la configuration avancée comme nous l'avons vu précédemment, mais ce n'est pas nécessaire de le laisser actif constamment. Dans le but de désactiver SSH (et Telnet), ouvrez "Panneau de configuration", cliquez sur l'onglet "Terminal" et veillez à ce que les deux options soient décochées. Libre à vous d'activer et désactiver l'accès SSH quand vous en avez besoin. Par contre, si vous souhaitez le laisser actif, utilisez un port différent (et donc pas le port 22). Par contre, Telnet est un protocole qui n'est pas sécurisé, alors vous devez absolument éviter de l'utiliser : il n'utilise pas de chiffrement, donc vos identifiants transitent en clair sur le réseau.

Plus largement, je vous recommande de passer en revu les différents services du NAS, pour désactiver ceux que vous n'utilisez pas. Pour cela, ouvrez le "Panneau de configuration", cliquez sur "Services de fichiers" et parcourez les différents onglets. Donc, si vous n'avez pas de Mac et que vous n'utilisez pas le service AFP pour échanger des fichiers, vous devez veiller à ce que le service AFP ne soit pas activé.

Dans une grande majorité des cas, on utilise le protocole SMB pour partager des fichiers avec un NAS ou un serveur de fichiers sous Windows Server, donc ce n'est pas utile d'activer les autres services. Par la suite, si vous avez besoin d'utiliser un autre service, vous pouvez l'activer à ce moment-là sans aucune difficulté.

Désactiver la découverte réseau pour cacher le NAS sur le réseau

En fonction de l'usage que l'on fait de son NAS, on peut souhaiter qu'il soit visible sur le réseau et facilement accessible, tout comme on peut souhaiter qu'il soit masqué, car il sert à stocker des sauvegardes, par exemple. De ce fait, pour masquer le NAS sur le réseau et qu'il ne réponde pas aux différents services de découverte, nous devons désactiver plusieurs fonctionnalités. Dans l'onglet "Avancé" de la section "Services de fichiers", il y a deux options à décocher : Pour les Mac : "Activer la découverte du service Bonjour pour localiser Synology NAS Pour Windows : "Activer la découverte des réseaux Windows pour autoriser l'accès via des navigateurs Web"

Pour finir, il y a une troisième option à désactiver pour en finir avec la découverte réseau. Cette fois-ci, rendez-vous dans l'onglet "SMB" de la section "Services de fichiers" afin de décocher l'option "Activer la découverte de réseaux Windows pour autoriser l'accès aux fichiers via SMB". Il ne reste plus qu'à cliquer sur "Appliquer". Note : si vous désactivez cette option, le NAS Synology n'apparaîtra plus dans la découverte réseau de Windows, notamment dans la section "Réseau" de l'explorateur de fichiers. A la maison, pour que le NAS soit facilement accessible par toute la famille, cela peut avoir un intérêt.

Grâce à cette modification, le NAS ne sera pas visible par les services de découverte réseau, notamment l'onglet "Réseau" de Windows accessible via l'explorateur de fichiers. Dans le cadre d'une utilisation à la maison, on peut apprécier que le NAS soit facilement accessible pour faciliter l'utilisation par tous les membres de la famille.

En conclusion, je tiens à préciser que la désactivation de la découverte réseau peut avoir un impact sur certains services et applications qui exploitent cette fonctionnalité pour être détectables sur le réseau. Libre à vous de réactiver par la suite cette fonctionnalité si cela est perturbant à l'usage.

Désactiver la prise en charge du SMBv1 dans DSM

Le protocole SMB est très populaire pour le partage de fichiers, que ce soit à la maison ou en entreprise. Par contre, il ne faut pas utiliser n'importe quelle version de ce protocole, notamment le SMBv1 qui contient diverses failles de sécurité. Je vous recommande de désactiver le SMBv1 en suivant ces quelques étapes. Tout d'abord, ouvrez le "Panneau de configuration" et cliquez sur "Services de fichiers" (1), puis dans l'onglet "SMB" (2), cliquez sur "Paramètres avancés" (3). Ensuite, au sein de la fenêtre qui s'ouvre, accédez à l'onglet "Général" (4) et veillez à ce que l'option "Protocole SMB minimum" soit définit sur "SMB2" (5). Grâce à cela, le NAS Synology refusera d'utiliser le SMBv1. Enfin, cliquez sur "Sauvegarder" (6).

Attention, si vous effectuez du "scan vers partage" à partir d'une ou plusieurs imprimantes, vérifiez qu'elle supporte bien le SMBv2 au minimum. Sinon, le "scan vers partage" ne fonctionnera plus. Dans le même esprit, si vous avez une machine sous Windows XP qui doit accéder à un partage hébergé sur votre NAS Synology, elle ne pourra plus y accéder sans le SMBv1. Récemment, Microsoft a annoncé que le SMBv1 sera complètement supprimé des prochaines versions de Windows et Windows Server. Enfin, si vous souhaitez en savoir plus sur le protocole SMB, je vous recommande la lecture mon article "Le protocole SMB pour les débutants". Protocole SMB

Configurer le pare-feu de DSM

Le pare-feu de DSM est un élément clé lorsque l'on cherche à sécuriser son NAS puisqu'il va permettre de déterminer quels sont les flux que l'on autorise ou non, et ainsi filtrer les accès. Celui intégré à DSM est relativement simple à configurer, et il va permettre de créer des règles afin d'autoriser ou non l'accès sur certains ports, certaines applications et certains services. Par ailleurs, il permet de créer des règles d'autorisation basée sur une source spécifique, où cette source peut correspondre à une machine, à un réseau voire même à une zone géographique (un ou plusieurs pays). I. Autoriser l'accès à DSM dans le pare-feu Pour commencer, et à titre d'exemple, nous allons activer le pare-feu et autoriser l'accès à l'interface DSM : une règle indispensable pour ne pas perdre l'accès à son NAS. Le pare-feu est intégré nativement à DSM, et par défaut il autorise tous les flux. Tout d'abord, ouvrez le "Panneau de configuration", cliquez sur "Sécurité" (1), puis sur l'onglet "Pare-feu" (2) afin de cocher l'option "Activer le pare-feu" (3). L'option "Activer les notifications du pare-feu" me semble aussi pertinente ! En fait, quand vous allez activer un service ou installer une nouvelle application, une notification apparaître à l'écran pour vous demander si DSM doit créer la règle pour autoriser le flux dans le pare-feu.

Le pare-feu prend en charge une gestion de profils, où chaque profil contient ses propres règles et il ne peut y avoir qu'un seul profil actif à la fois. Pour savoir quel est le profil de pare-feu actif, il faut cliquer sur la liste de profils et sur le bouton "Gérer le profil du pare-feu".

Afin de créer une règle et de rendre le profil "custom" actif comme sur l'image ci-dessus, sélectionnez le profil du pare-feu "custom" (1), puis cliquez sur "Modifier les règles" (2).

La configuration du profil va s'afficher. Pour créer une règle, cliquez sur le bouton "Créer" (1) dans le but d'ouvrir l'assistant de création d'une règle. Une règle est décomposée en trois zones : le port (ou le service), la source et l'action (autoriser ou bloquer). Pour autoriser le DSM, cochez "Sélectionner dans une liste d'applications intégrées" (2) et cliquez sur "Sélectionnez" (3). Au sein de la fenêtre qui s'ouvre, cochez la ligne correspondante à "DSM (HTTPS)" (4), et accessoirement, celle correspondante à "DSM (HTTP)" pour que la redirection HTTP vers HTTPS fonctionne. Cliquez sur "OK" (5) pour valider. En sélectionnant ces règles, l'avantage c'est que si vous modifiez les ports d'écoute de DSM par la suite, la règle se mettra à jour avec les nouveaux numéros de ports automatiquement.

Dans le même esprit, afin d'autoriser les transferts de fichiers via le protocole SMB, vous pouvez cocher cette application. On peut voir qu'une même règle peut contenir plusieurs applications, mais on peut aussi le faire dans des règles séparées : tout dépend de la source, car ce ne sera peut-être pas toujours la même selon les accès, ce qui peut nous contraindre à faire plusieurs règles.

À partir du moment où vous avez choisi les ports / les applications, vous devez vous intéresser à la partie "IP source". Ce n'est pas obligatoire, mais vous pouvez affiner la règle pour autoriser uniquement votre réseau local à accéder à l'interface DSM. Par exemple :

Veillez à ce que l'action soit "Autoriser" et validez pour créer la règle. Vous obtenez ceci :

Dans le cas où l'on souhaite accéder à l'interface de DSM quand on est en dehors de son réseau local (que ce soit chez un ami, à l'hôtel, un restaurant, etc. ), il faut créer une seconde règle dans laquelle nous allons sélectionner les ports DSM une nouvelle fois. Néanmoins, cette fois-ci la source sera différente puisque l'on va sélectionner la "France" comme pays source. Ainsi, la connexion sera possible depuis la France, mais pas depuis les autres pays : une manière de se protéger contre certaines attaques informatiques.

II. Bloquer tous les flux Actuellement, nous avons créé deux règles sur le pare-feu afin d'autoriser certains flux. Cependant, ces règles n'ont pas trop d'intérêt puisque par défaut, le pare-feu autorise tous les flux ! Nous devons donc adapter la configuration du pare-feu pour bloquer tous les flux qui ne sont pas explicitement autorisés. Modifiez de nouveau le profil "custom" du pare-feu, puis sélectionnez l'interface LAN qui est actuellement utilisée. Pour ma part, c'est l'interface "LAN 2" (1). Une fois que c'est fait, cochez la valeur "Refuser l'accès" (2) comme sur la copie d'écran ci-dessous et cliquez sur "OK".

Pour que le pare-feu entre en action et qu'il applique la nouvelle configuration, sélectionnez le profil "custom" et cliquez sur "Appliquer". C'est bien le profil sélectionné dans la liste qui devient le profil actif au moment où l'on clique sur le bouton "Appliquer".

Protéger ses données

Pour le dernier module de ce cours, nous allons parler de la protection des données en évoquant deux sujets : la sauvegarde des données stockées sur le NAS Synology et l'analyse antivirus des données également stockées sur le NAS. Pour finir ce cours, nous allons utiliser l'application "Conseiller de sécurité" pour savoir si notre NAS est désormais configuré ou s'il nous reste des éléments à ajuster !

Protéger ses données

Dès que l'application est installée, cliquez sur "Ouvrir". Vous devez choisir une destination pour la sauvegarde : de nombreux choix sont possibles, et ils font échos aux services que j'ai mentionnés précédemment. Choisissez "Synology C2 Storage" et cliquez sur "Suivant".

Une fenêtre dans le navigateur va s'ouvrir, car vous devez vous authentifier avec un compte Synology, afin de vous connecter sur l'espace C2 Storage. Cliquez sur "Bénéficier maintenant de l'évaluation gratuite".

Le plan "Basic" est proposé à 59,99 euros pour une année complète, ou 5,99 euros par mois, pour un espace de stockage de 1 To. La version "Advanced" intègre des fonctions supplémentaires comme la sauvegarde horaire et la déduplication des données afin d'économiser de l'espace disque sur l'espace de sauvegarde. Ce forfait peut s'avérer avantageux si vous avez besoin d'un peu plus de 1 To, car la déduplication permet d'économiser de l'espace de stockage donc peut-être que 1 To pourra suffire.

A l'étape d'après, il faut accepter les conditions d'utilisation du service en cochant les deux options avant de continuer.

Indiquez vos coordonnées bancaires pour bénéficier de 30 jours d'essai. Au bout de 30 jours, la carte bancaire sera débitée, sauf si vous résiliez votre abonnement sur l'interface de C2 Storage (cela s'effectue en quelques clics, sans difficulté).

Cliquez sur "Autoriser" pour que votre NAS puisse sauvegarder des données au sein de cet abonnement C2 Storage.

Donnez un nom à cette tâche de sauvegarde. Sachez que ce nom sera visible sur le portail C2 Storage donc utilisez un nom parlant si vous envisager de créer plusieurs tâches.

Sélectionnez les données à sauvegarder dans le Cloud. Si l'on coche "Volume 1", on sauvegarde toutes les données du NAS situées sur ce volume ! Néanmoins, on peut cocher uniquement certains dossiers, et même appliquer des filtres via le lien "Créer des filtres de fichier". Avec les filtres, on peut exclure ou inclure certaines extensions, ou même certains noms de fichiers.

Sélectionnez les applications à sauvegarder, afin de sauvegarder la configuration des applications installées sur votre NAS. Au-delà de sauvegarder vos données, Hyper Backup peut vous permettre de restaurer facilement vos paramètres d'applications, ce qui est un petit plus intéressant.

La dernière étape consiste à planifier la sauvegarde et à gérer quelques paramètres additionnels. Tout d'abord, vous pouvez nommer cette tâche en remplaçant la valeur "Synology C2" par une autre valeur. Ensuite, voici quelques informations pour vous guider : Limite de bande passante : limite l'utilisation de la bande passante du réseau pendant que la sauvegarde est en cours d'exécution Activer le calendrier de sauvegarde : quels jours et à quelle heure souhaitez-vous exécuter la sauvegarde ? Activer le chiffrement côté client : une option intéressante pour chiffrer les données avec de l'AES 256 bits avant qu'elles ne soient envoyées sur l'espace de sauvegarde Cloud. Ainsi, il n'est pas possible de lire les données (ni de les restaurer) si l'on ne connaît pas la clé de chiffrement.

À la fin de l'assistant, il est possible de lancer la sauvegarde immédiatement : à vous de choisir ! Pour ma part, je l'ai fait pour essayer dans le cadre de cette démo.

À partir d'un navigateur et du compte Synology lié à la tâche de sauvegarde, on peut visualiser l'état de ses tâches de sauvegardes Hyper Backup. C'est un bon moyen de voir l'espace de stockage utilisé par les sauvegardes, mais aussi de gérer son abonnement. Pour information, si vous annulez votre abonnement pendant la période d'essai pour ne pas être débité, vous pouvez tout de même en profiter pendant 30 jours : "Le renouvellement automatique de votre abonnement à C2 Storage a été annulé. Vous continuerez à bénéficier d'un accès complet jusqu'au 21-05-2022 (GMT) et ne serez pas facturé à la prochaine date de facturation.". Malgré tout, le coût me semble raisonnable vis-à-vis du service rendu.

III. Comment restaurer ses données ? La restauration des données peut-être effectuée de deux manières : à partir du NAS Synology actuel, voire même d'un nouveau NAS, mais également à partir de l'interface Cloud de Synology. Les deux méthodes peuvent s'avérer utiles, car tout dépend de la situation dans laquelle on se trouve : NAS HS, erreur de manipulation, etc. A. À partir de C2 Storage Sur l'interface, nous pouvons sélectionner une tâche et parcourir le contenu de la sauvegarde correspondante à cette tâche en cliquant sur le bouton en forme d'horloge.

Sur l'interface en ligne, on retrouve la même arborescence qu'en local sur le NAS, avec le nom des fichiers, le poids, etc.

Si besoin, on peut télécharger un fichier à restaurer grâce au bouton situé à droite. Cependant, et c'est bien dommage, cette interface ne permet pas de restaurer directement un dossier complet.

Grâce à la partie inférieure de l'interface, il est tout à fait possible de naviguer entre les sauvegardes pour rechercher la version spécifique d'un fichier.

Passons maintenant à la restauration de données à partir de l'interface du NAS B. À partir du NAS via Hyper Backup À partir de DSM et de l'application Hyper Backup, on peut restaurer les données de deux façons : 1 - Via le bouton "Restaurer" afin de restaurer des données et la configuration du système (applications) 2 - Via le bouton "Backup Explorer" pour parcourir les sauvegardes existantes et restaurer une arborescence, un dossier, un fichier ou plusieurs fichiers On voit déjà que l'on peut aller plus loin via l'interface intégrée au NAS qu'à partir de la solution Cloud, même si au final le NAS récupère les données à partir du Cloud.

Tout d'abord, cliquez sur le bouton "Restaurer" (1) afin de démarrer l'assistant. La première étape consiste à sélectionner la tâche de sauvegarde. Remarque : l'option "Restaurer à partir des référentiels existants" est très intéressante si vous souhaitez restaurer des données sur un nouveau NAS ! En effet, on imagine qu'un NAS vierge, sur lequel on installe Hyper Backup, et grâce à cette fonctionnalité, on va pouvoir restaurer les données à partir de Synology C2 Storage (ou d'une autre source) ! Plus d'infos ici.

Ensuite, il faut choisir si l'on souhaite restaurer ou non la configuration du système (utilisateurs, groupes, partages, etc.), de façon complète, granulaire ou pas du tout.

Puis, bien sûr, il faut choisir quels sont les éléments à restaurer et à partir de quelle sauvegarde. Lorsqu'il y a un point d'exclamation rouge, c'est que le dossier peut être restauré, mais que le dossier source existe donc attention à l'écrasement de fichiers existants en cas de conflit.

Pour finir, il suffit d'aller jusqu'à la fin de l'assistant pour démarrer la tâche. D'un autre côté, nous avons accès à la fonctionnalité "Backup Explorer" (2). C'est différent, car on peut explorer précisément les sauvegardes, et même si les deux fonctionnalités peuvent être utilisées de manière indépendante, elles restent complémentaires. Ici, on peut sélectionner un fichier ou un dossier et le télécharger, le restaurer à son emplacement d'origine ou le copier vers un autre dossier (pratique !). Dans le même esprit qu'avec le menu "Restaurer", on peut naviguer d'une version de sauvegarde à une autre grâce au calendrier dans le bas de la fenêtre.

Pour conclure, un mot sur la rotation des sauvegardes. Elle est bien sûr proposée, en fonction des services, mais pour Synology C2 Storage c'est personnalisable uniquement si vous prenez l'offre "Advanced" et non l'offre Basic. Pour être plus précis, voici ce qui est indiqué sur le site de Synology à ce sujet : Synology C2 Storage "Basic" : la politique de conservation fixe stocke 11 versions de sauvegarde pendant 30 jours. Seule la taille des données sources situées sur un NAS Synology est prise en compte pour le quota du stockage. Synology C2 Storage "Advanced" : alors que toutes les versions de sauvegarde sont prises en compte dans votre quota de stockage, grâce à la déduplication qui élimine les doublons de données des différentes versions de sauvegarde, vous économisez énormément d'espace. Je vous laisse en compagnie de ma vidéo complète sur la sécurisation d'un NAS Synology et avec la suite de ce cours !

Installer l’antivirus Synology

En général, un NAS est amené à manipuler énormément de données, et cela est d'autant plus vrai s'il joue le rôle de serveurs de fichiers, que ce soit en entreprise ou à la maison pour toute la famille. Par conséquent, et même si les machines clientes sont protégées par un antivirus, il me semble pertinent d'installer un antivirus sur le NAS Synology dans le but de scanner les données stockées. Afin de répondre à ce besoin, le DSM prend en charge deux solutions : Antivirus Essential qui est gratuit et proposé par Synology Antivirus by McAfee qui est payant et proposé par Synology également En ce qui me concerne, je vous propose d'utiliser la solution gratuite : Antivirus Essential. Afin d'installer ce paquet qui n'est pas installé par défaut sur DSM, ouvrez le "Centre de paquets" et recherchez simplement "antivirus". Enfin, cliquez sur le bouton "Installer".

Dès que l'installation est effectuée, l'icône "Antivirus Essential" prend place dans le menu principal de DSM. Ouvrez l'application que l'on puisse effectuer la prise en main. Premièrement, cliquez sur "Mettre à jour" (1) dans le menu à gauche afin de mettre à jour la base de signatures des virus via le bouton "Mettre à jour maintenant" (2). En fait, cette opération n'est pas systématique suite à l'installation du paquet. Patientez pendant la mise à jour. Note : la prochaine fois, la base de signatures sera mise à jour au moment où une analyse sera lancée, à condition que l'option "Mettre à jour la définition des virus avant l'analyse" soit cochée dans les paramètres de l'application. C'est également dans les paramètres que l'on peut affiner les paramètres de l'analyse (liste blanche, filtre sur extensions).

Ensuite, cliquez sur "Analyse programmée" à gauche (1), puis sur le bouton "Créer" (2) afin de programmer une tâche d'analyse du NAS en complétant le formulaire qui s'affiche à l'écran (3). Il y a le choix entre différents types d'analyse (complète, système, personnalisée) et vous pouvez choisir à quelle fréquence et à quelle heure exécuter cette tâche.

Honnêtement, l'analyse complète ne doit pas être systématique, ou alors ponctuellement, car elle peut durer longtemps et l'analyse sollicite fortement le NAS. À titre d'exemple, sur mon NAS, qui pour rappel est un DS220+, la RAM monte à 88% et le CPU oscille entre 42% et 60% pendant l'analyse. Cependant, il est important de préciser que lors des prochaines analyses, le NAS va analyser seulement les nouveaux fichiers ou les fichiers modifiés. Enfin, sachez que ce paquet est disponible sur une très grande partie des modèles de NAS (voir la liste sur le site Synology) AntiVirus, y compris de l'entrée de gamme comme le DS120j.

Analyser sa configuration avec le « Conseiller de sécurité »

Afin de clôturer de la meilleure des manières ce guide sur la sécurisation d'un NAS Synology, nous allons utiliser l'application "Conseiller de sécurité" intégrée à DSM. En fait, le but de cette application est d'analyser la configuration du NAS pour voir s'il répond aux recommandations en matière de sécurité. Donc, c'est un très bon moyen de voir si nos efforts ont porté leurs fruits ! Tout d'abord, cliquez sur le bouton en haut à gauche dans l'interface de DSM pour ouvrir le menu et cliquez sur "Conseiller de sécurité".

Ensuite, et dans le but d'établir un profil de sécurité sur votre NAS, choisissez si vous l'utilisez à titre privé ou pour le travail, puis cliquez sur "Démarrer.

Le conseiller de sécurité va comparer les bonnes pratiques en matière de sécurité avec la configuration actuelle du DSM. Si l'on a bien travaillé, tous les feux devraient être au vert : ce qui est le cas ! J'espère que vous n'en avez jamais douté ! ߘ銊

Je dois vous avouer que si vous avez suivi l'intégralité de mes conseils, vous avez tout bon, que ce soit pour une utilisation en entreprise ou à la maison. D'ailleurs, vous pouvez vous amuser à créer un profil personnalisé pour cocher l'ensemble des règles, puis relancer une analyse pour le vérifier.

En ce qui me concerne, j'ai pris la décision de vous présenter le conseiller de sécurité à la fin de ce cours sur la sécurisation d'un NAS Synology, mais j'aurais pu aussi commencer par lui au tout début, afin de faire un avant/après. Néanmoins, cette analyse de fin devrait vous rassurer et mettre en évidence les éventuelles règles que vous auriez pu oublier. Peut-être que des petits malins vont commencer ce cours en jetant un coup d'œil à ce chapitre, ce qui permettra de faire un état des lieux de la configuration au lieu de passer en revue chaque conseil de ce cours.

Conclusion

En suivant et en appliquant ces conseils sur votre NAS Synology (ou en adaptant pour une autre marque), vous venez d'améliorer de façon conséquente la sécurité de votre appareil et des données qu'il contient ! Même si toutes les règles ne sont pas applicables en l'éta Pour aller plus loin, je vous invite à réviser les permissions sur les différentes applications, mais aussi les permissions sur les dossiers partagés afin que chaque utilisateur accède uniquement aux dossiers et applications auxquels il doit réellement accéder. Il y a également un point que je n'ai pas abordé, c'est l'intégration au domaine Active Directory de votre NAS Synology. À mon sens, cela ne doit pas être systématique, mais il faut le faire s'il y a un réel intérêt. Si l'on utilise le NAS Synology pour stocker des sauvegardes de serveurs et de données, il est préférable de ne pas l'intégrer au domaine pour créer une rupture au niveau de l'authentification. Sinon, si un attaquant parvient à compromettre votre annuaire Active Directory, il pourrait compromettre plus facilement votre NAS Synology et altérer vos sauvegardes. Ce cours sera susceptible d'évoluer dans le temps, en fonction des nouvelles fonctionnalités ajoutées par Synology, mais aussi de mes éventuelles découvertes !

RustDesk, l’alternative open source à TeamViewer que l’on peut auto-héberger

rustdesk Sommaire [-] I. Présentation A. Les fonctionnalités de RustDesk B. Les ports utiles pour RustDesk II. Héberger RustDesk sur Debian 11 avec Docker III. Héberger RustDesk sur un NAS Synology A. Installer Docker B. Télécharger l'image RustDesk Server C. Créer le container hbbs D. Créer le container hbbr IV. Prise en main à distance avec RustDesk IV. Configurer automatiquement l'hôte et la clé publique I. Présentation Dans ce tutoriel, nous allons découvrir RustDesk, une solution de prise en main à distance gratuite et open source (licence GPL-3. 0), dans le même esprit que TeamViewer, AnyDesk et consort. RustDesk est utilisable en s'appuyant sur les serveurs publics, mais il est également possible d'auto-héberger sa propre instance en montant un serveur RustDesk : particulièrement intéressant, d'autant plus qu'il n'y a pas besoin de payer de licence. Le serveur RustDesk est installable sur une machine Linux, une machine Windows ou via Docker. Sa compatibilité avec Docker va nous permettre de le mettre en place sur un NAS Synology de façon relativement simple. Dans cet article, nous allons voir comment héberger RustDesk Server sur un NAS Synology mais aussi comment le faire tourner sur un serveur Debian 11 avec Docker. D'après le GitHub de RustDesk, il y a trois serveurs gratuits pour gérer les connexions et ils sont situés à Séoul, Singapour et Dallas. Cette liste va probablement évoluer avec le temps, mais cela doit vous inciter à utiliser votre propre serveur, car il n'y a pas encore de relais public en Europe ou en France. Voici quelques liens utiles : Le site officiel de RustDesk Le GitHub de RustDesk où il y a tout le code source Téléchargement des différentes versions de RustDesk Il y a également un Discord et un Reddit pour les échanges et l'aspect communautaire. A. Les fonctionnalités de RustDesk Principalement codé en Rust, d'où son nom, RustDesk va se permettre de se connecter à distance sur un appareil, par exemple à partir d'un ordinateur A vers un ordinateur B, afin de prendre la main et effectuer une tâche d'administration ou intervenir dans le cadre d'une opération de support informatique. Cet outil est disponible sur les différentes plateformes : Windows, macOS, Linux (deb / rpm), Android et iOS, ce qui va permettre de l'utiliser aussi bien sur un poste de travail que sur une tablette ou un smartphone. Il y a une autre alternative qui consiste à utiliser son navigateur pour se connecter sur un hôte distant via le site http://web. rustdesk.com. Cette fonctionnalité est actuellement en Beta et fonctionne en HTTP, donc il vaut mieux attendre. Cette solution présente l'avantage de pouvoir être auto-hébergée, ce qui est important d'un point de vue du respect de la vie privée. Ensuite, les connexions entre l'hôte qui contrôle et l'hôte qui est contrôlé sont sécurisées grâce à du chiffrement de bout en bout (il s'appuie notamment sur la librairie sodiumoxide basée sur NaCl pour Rust). De manière générale, voici les fonctionnalités principales de RuskDesk lorsque l'on se connecte sur une machine : Connexion à partir d'un ID et acceptation manuelle de la connexion ou via un mot de passe Prise en main à distance complète : écran (prise en charge de plusieurs écrans), souris, clavier, audio Transfert de fichiers entre les deux hôtes Historique des connexions récentes et gestion d'une liste de favoris Communication via un chat B. Les ports utiles pour RustDesk Pour qu'une connexion soit établie entre deux appareils, ils doivent pouvoir se connecter au serveur RustDesk. Si l'on utilise RustDesk par l'intermédiaire du réseau local uniquement, cela se gère assez facilement, car il n'y aura que les règles de pare-feu au sein même du réseau local à gérer. Par contre, si l'on veut que les machines se connectent au serveur RustDesk depuis n'importe où, il y a deux options pour contacter le serveur RustDesk : Au travers d'une connexion VPN Au travers d'Internet directement, ce qui va impliquer d'ouvrir certains ports Ce que l'on peut imaginer, c'est monter son propre serveur RustDesk sur un serveur VPS chez OVH ou un autre hébergeur, afin de le rendre accessible facilement, depuis n'importe où. Peu importe le scénario qui sera retenu, il faut savoir que RustDesk s'appuie sur plusieurs ports pour fonctionner. TCP : 21115, 21116, 21117, 21118, 21119 UDP : 21116 Le port 21116 est le seul qui doit être impérativement autorisé en TCP et UDP. Pour être plus précis, et d'après la documentation: 21115 est utilisé pour tester le type de NAT, 21116/UDP est utilisé pour l'enregistrement de l'ID et le service heartbeat 21116/TCP est utilisé pour le service de connexion 21117 est utilisé pour les services de relais 21118 et 21119 sont utilisés pour les clients Web, donc ces deux ports ne sont pas forcément nécessaires II. Héberger RustDesk sur Debian 11 avec Docker Sur une machine Debian 11 où Docker est déjà en place, le lancement des deux containers va être assez rapide et facile. On commence par récupérer l'image officielle du container via un classique "docker image pull" comme ceci : sudo docker image pull rustdesk/rustdesk-server Ensuite, on va créer un dossier et se positionner à l'intérieur avant de démarrer le container (pour qu'il crée ses données dans ce dossier) : mkdir /srv/rustdeskserver cd /srv/rustdeskserver Il ne reste plus qu'à démarrer les deux containers en s'inspirant des commandes indiquées dans la documentation : sudo docker run --name hbbs -p 21115:21115 -p 21116:21116 -p 21116:21116/udp -p 21118:21118 -v `pwd`:/root -it --net=host --rm rustdesk/rustdesk-server hbbs -r 192. 168.100.14:21117 sudo docker run --name hbbr -p 21117:21117 -p 21119:21119 -v `pwd`:/root -it --net=host --rm rustdesk/rustdesk-server hbbr Les commandes ci-dessus vont permettre de voir ce qui se passe au lancement de chaque container. Pour les démarrer en arrière-plan, il suffit d'ajouter l'option "-d" comme ceci : sudo docker run --name hbbs -d -p 21115:21115 -p 21116:21116 -p 21116:21116/udp -p 21118:21118 -v `pwd`:/root -it --net=host --rm rustdesk/rustdesk-server hbbs -r 192. 168.100.14:21117 sudo docker run --name hbbr -d -p 21117:21117 -p 21119:21119 -v `pwd`:/root -it --net=host --rm rustdesk/rustdesk-server hbbr A partir de là, les deux containers tournent et nous pouvons le vérifier avec cette commande : docker ps Voyons comment mettre en place un serveur RustDesk sur un NAS Synology avant de passer à l'étape des tests. III. Héberger RustDesk sur un NAS Synology Pour installer RustDesk sur un NAS Synology, nous allons devoir installer le paquet Docker afin de monter deux containers : hbbs (serveur de rendez-vous et gestion des ID) et hbbr (serveur relais). Synology Docker - NAS compatibles

A. Installer Docker

Connectez-vous à l'interface DSM afin d'installer Docker, sauf si vous l'avez déjà. Ouvrez le Centre de paquets, recherchez "Docker" et cliquez sur "Installer".

Une fois que c'est fait, lancez l'application afin que l'on puisse monter nos conteneurs.

B. Télécharger l'image RustDesk Server Au sein de Docker, cliquez sur "Registre" à gauche pour parcourir le catalogue des containers et recherchez "rustdesk-server" afin de trouver l'image officiel : rustdesk/rustdesk-server Sélectionnez cette image et cliquez sur "Télécharger".

Une fenêtre apparait, conservez la valeur "latest" et cliquez sur "Sélectionnez".

L'image va être téléchargée (85 Mo) et elle va s'afficher dans l'onglet "Image" de Docker. Nous allons pouvoir créer des containers basés sur cette image.

C. Créer le container hbbs Pour créer un premier container, double-cliquez sur l'image RustDesk Server dans Docker afin de créer un nouveau container. Pour la première étape nommée "Réseau", sélectionnez "Utiliser le même réseau que Docker Host" et continuez.

Nommez ce container "hbbs", cochez l'option "Activer le redémarrage automatique" afin qu'il démarre automatiquement (et redémarre en cas de crash) et cliquez sur le bouton "Paramètres avancés".

Passez directement à l'onglet "Commande d'exécution" où vous devez configurer l'option "Commande" afin de lancer le serveur RustDesk. Indiquez la valeur suivante : hbbs -r <votre adresse IP> Si vous envisagez d'utiliser RustDesk uniquement sur le LAN (ou via un VPN), vous pouvez indiquer l'adresse IP privée de votre NAS. Sinon, il faut indiquer l'adresse IP publique. Voici un exemple : hbbs -r 192.168.1.149

Cliquez sur "Sauvegarder" et continuez. Cliquez sur le bouton "Ajouter un dossier", par exemple "docker/RustDesk-Server" et puis indiquez "/root" comme chemin d'accès au niveau du container. Dans ce dossier, RustDesk va stocker plusieurs fichiers, notamment sa clé publique.

Cliquez sur "Suivant" puis sur "Effectué" pour terminer la création de ce premier container.

D. Créer le container hbbr Vous devez créer un second container, basé sur la même image, mais avec le nom "hbbr". Ensuite, indiquez la même configuration que pour le premier container, notamment au niveau du réseau, du dossier, etc. Mais veillez à utiliser simplement cette commande dans l'onglet "Commande d'exécution" : hbbr

En résumé, cela donne cette configuration pour ce second container :

Quand c'est bon pour vous, cliquez sur "Effectué" pour créer le container. Désormais, nous avons deux containers actifs, comme ceci :

À partir de là, le serveur RustDesk est en ligne et opérationnel, grâce aux deux containers Docker. IV. Prise en main à distance avec RustDesk Pour tester RustDesk en passant par notre serveur, nous avons besoin de deux clients avec RustDesk. Pour rappel, le client RustDesk est téléchargeable directement sur GitHub. Sous Windows, il se présente sous la forme d'un exécutable. Il peut-être installé ou simplement utilisé en mode portable. Une fois lancé, il faut que l'on configure le client RustDesk pour lui dire d'utiliser notre serveur auto-hébergé. Pour cela, cliquez sur le menu avec les trois points à côté de l'ID, puis sur l'option "ID/Serveur Relais".

Renseignez simplement le champ "Serveur ID" en indiquant l'adresse IP du serveur à contacter (ou le nom de domaine DNS). Cela signifie que vous devez indiquer l'adresse IP privée ou publique selon votre configuration. Vous devez également renseigner le champ "Key" afin d'indiquer la clé publique générée par votre serveur RustDesk. Sans cela, la connexion ne sera pas chiffrée, mais pourra fonctionner. Quand c'est fait, cliquez sur "Confirmer".

Pour récupérer la valeur de votre clé publique, retournez sur l'interface de DSM (ou le dossier "/srv/rustdeskserver/" si vous utilisez la solution Debian) et à l'aide de l'explorateur de fichiers, accédez au dossier monté dans les containers. Pour ma part, il s'agissait de "docker/RustDesk". Dans ce dossier, téléchargez le fichier "id_ed25519.pub" afin de l'ouvrir et copier-coller la valeur dans le champ "Key" du client RustDesk.

Effectuez la configuration du client RustDesk sur les deux hôtes. Ensuite, vous pouvez tester la connexion pour se connecter d'un hôte A vers un hôte B. Normalement, le client RustDesk doit afficher le statut "Prêt" s'il s'est bien connecté à votre serveur.

Saisissez l'ID de l'hôte distant dans le client RustDesk et validez. La connexion va être établie, et il faudra saisir le mot de passe pour se connecter (accessible depuis l'interface de l'hôte distant). L'alternative consiste à accepter la connexion manuellement, ce qui sera possible si un utilisateur est devant l'ordinateur. D'ailleurs, il vaut mieux utiliser ce principe lorsque l'on se connecte sur un poste d'un utilisateur afin d'avoir son approbation manuelle.

Lorsque l'on se connecte sans avoir renseigné la clé publique dans les paramètres, on voit qu'un bouclier rouge s'affiche en haut de l'interface. Cela indique que la connexion n'est pas sécurisée.

À l'inverse, quand le client est correctement configuré, la connexion est bien sécurisée et chiffrée.

Voilà, vous n'avez plus qu'à profiter de RustDesk ! IV. Configurer automatiquement l'hôte et la clé publique Plutôt que de configurer chaque machine avec l'adresse IP du serveur et la clé publique, il est possible de jouer sur le nom de l'exécutable. En fait, d'après la documentation officielle, il faut renommer l'exécutable comme ceci (en adaptant avec vos valeurs) : rustdesk-host=192.168.1.149,key=xYzAbCdEfGhIjKlMn0123.exe De ce fait, lorsqu'on lance RustDesk et que l'on accède à la section "About RustDesk", on peut voir s'afficher la clé publique et l'hôte. Grâce à cela, RustDesk va utiliser ces informations pour fonctionner et donc on évite de devoir configurer les options de serveur comme nous l'avons fait précédemment.

Gratuite et open source, RustDesk est une solution intéressante qu'il va falloir suivre de près dans les prochains mois, d'autant plus que l'on peut l'auto-hébeger : un avantage en comparaison des autres solutions telles que TeamViewer et AnyDesk. Même si la solution doit encore mûrir pour réellement concurrencer les ténors du marché, c'est un outil à suivre ! Le fait de pouvoir l'héberger permet de prendre la main à distance sur un appareil sans pour autant s'appuyer sur une infrastructure tierce. N'hésitez pas à tester de votre côté et à me faire un retour en commentaire !

NAS Synology – Installer Uptime Kuma dans un conteneur Docker pour surveiller vos services Web

Restaurer un- container docker Installer uptime kuma Sommaire [-] I. Présentation II. Déployer Uptime Kuma avec Docker III. Conclusion I. Présentation Dans ce tutoriel, nous allons apprendre à installer l'application Uptime Kuma sur un NAS Synology. L'installation sera effectuée dans un conteneur Docker, à partir du paquet "Container Manager" développé et maintenu par Synology. Uptime Kuma est une solution de supervision simple et auto-hébergeable que vous pouvez utiliser pour surveiller vos sites web et conteneurs Docker. Cette solution se distingue par sa simplicité d'utilisation et son efficacité pour surveiller l’état en ligne de services web (blog, application métier, service SaaS, etc.). Vous pourriez même l'utiliser pour surveiller l'état de votre Home Lab. Avec une interface moderne et intuitive, Uptime Kuma permet de surveiller divers services via des protocoles tels que HTTP, HTTPS, TCP, ou encore des serveurs de jeux Steam. Il propose également des fonctionnalités avancées, comme la surveillance des certificats TLS et l'envoi d'alertes via plus de 90 services (Telegram, Discord, Slack, etc.). De plus, nous avons mis en ligne un article de présentation et de configuration complet sur Uptime Kuma. Voici les liens vers cet article et vers le GitHub du projet : Uptime Kuma : une application simple et efficace pour le monitoring de sites web Uptime Kuma GitHub - Uptime Kuma GitHub Ici, nous aborderons la phase de déploiement sur un NAS Synology à l'aide de Container Manager (Docker).

II. Déployer Uptime Kuma avec Docker

Avant toute chose, vous devez installer l'application "Container Manager" sur votre NAS, si ce n'est pas déjà fait. Puis, vous devez créer un dossier pour ce conteneur. Pour ma part, il s'agit du répertoire "uptime-kuma" créé sous "docker". Guide d'utilisation complet de Synology Container Manager Dans ce répertoire nouvellement créé, vous devez créer un sous-dossier nommé "data" qui sera monté dans le conteneur. Nous obtenons le résultat suivant :

Ensuite, ouvrez "Container Manager" puis cliquez sur "Projet" afin de créer un nouveau projet en cliquant sur le bouton nommé "Créer". Vous devez donner un nom à ce projet, sélectionner le répertoire créé précédemment, à savoir "/docker/uptime-kuma" et indiquer le code de configuration Docker Compose. Ce qui donne :

Voici le code Docker Compose : services: uptime-kuma: image: louislam/uptime-kuma:1 container_name: uptime-kuma volumes: - /volume1/docker/uptime-kuma/data:/app/data ports: - 3001:3001 restart: always version: "3.8" services: uptime-kuma: image: louislam/uptime-kuma:latest container_name: uptime-kuma restart: unless-stopped ports: - 3001:3001 volumes: - /volume1/docker/uptime-kuma/data:/app/data Dans le cas présent, l'application sera joignable en HTTP sur le port 3001. Veillez à vérifier également le chemin vers le dossier "data", sous l'instruction "volumes".

Quand la configuration est prête, poursuivez jusqu'à la fin et lancez la création du projet. Patientez pendant le téléchargement de l'image Docker et la création du conteneur associé. Ceci peut nécessiter plusieurs minutes, en fonction de votre débit Internet. Dès à présent, vous pouvez accéder à l'application Uptime Kuma de cette façon : http://<adresse IP de votre NAS>:3001 Remarque : si le pare-feu de votre NAS est actif et que sa configuration est stricte, vous devez créer une règle pour autoriser les connexions sur le port 3001. Vous avez désormais accès à l'application Uptime Kuma hébergée sur votre NAS ! Il ne reste plus qu'à passer à la phase de configuration : pour cela, référez-vous à l'article mentionné en introduction.

III. Conclusion En moins de 5 minutes, l'application Uptime Kuma peut être déployée sur votre NAS Synology grâce à Docker ! Il ne faudra pas beaucoup plus de temps pour effectuer la configuration. En fonction du nombre de services à surveiller. Lorsque l'application sera configurée, la fonction de monitoring va surveiller chaque service associé à une sonde. Par la suite, vous pouvez publier l'application à l'aide du reverse proxy de DSM et d'un certificat TLS. Pour cela, si vous avez besoin d'aide, référez-vous à ces deux tutoriels : Utiliser un nom de domaine synology.me sur son NAS Synology NAS Synology - Publier une application avec le reverse proxy Voici la configuration à utiliser pour le reverse proxy (à adapter) et qui permettrait d'accéder à Uptime Kuma via l'URL "https://uptimekuma.mon-nas.synology.me:6001".

Utiliser un certificat SSL Let’s Encrypt avec Synology DDNS

certificat-ssl Sommaire I. Présentation II. Dans quels cas utiliser Let's Encrypt sur un NAS Synology ? III. Configuration de Let's Encrypt avec Synology DDNS A. Choisir le nom Synology DDNS B. Vérifier l'état DDNS et le certificat SSL IV. Synology DDNS : résolution locale et ouverture de ports I. Présentation Dans ce tutoriel, nous allons voir comment ajouter un certificat Let's Encrypt sur un NAS Synology sous DSM 7 en utilisant le service Synology DDNS ("synology. me"). Dans le cas où votre NAS Synology est accessible de l'extérieur par différents utilisateurs et que vous souhaitez éviter d'avoir l'avertissement de sécurité à cause du certificat Synology par défaut qui n'est pas reconnu, alors Let's Encrypt représente une solution gratuite à cette problématique. Pour passer au HTTPS avec un certificat SSL sur un NAS Synology, il y a plusieurs possibilités : Let's Encrypt : certificat SSL gratuit Sectigo, Verisign, Digicert, GeoTrust, Gandi, Ionos, etc : certificat SSL payant Autorité de certification d'entreprise (type ADCS) : généré directement par vos soins (un CSR peut-être généré sur DSM) Pour cette démo, je vais utiliser un Synology DS220+ sous DSM 7, et le certificat Let's Encrypt sera positionné sur un domaine "synology. me" via le système DDNS Synology, et non sur un nom de domaine personnalisé, même si cela reste possible. Note : je vous rappelle que le système DDNS correspond au "DNS Dynamique", c'est-à-dire que l'enregistrement DNS est mis à jour automatiquement si l'adresse IP associée à l'enregistrement venait à changer. Par exemple, si vous utilisez un DDNS sur votre box ou sur un NAS, et que votre box change d'adresse IP publique, l'enregistrement DDNS se mettra à jour automatiquement pour prendre la nouvelle adresse IP publique. Ainsi, le nom de domaine DDNS continue de fonctionner, car il résout toujours vers la bonne adresse IP publique, même si elle change. II. Dans quels cas utiliser Let's Encrypt sur un NAS Synology ? À mon avis, l'installation d'un certificat SSL Let's Encrypt sur un NAS Synology ne doit pas être systématique, d'autant plus si vous envisagez d'utiliser un domaine personnalisé. Vous allez me dire : pourquoi ? En fait, le certificat SSL Let's Encrypt est valide uniquement 90 jours, donc il doit être renouvelé assez fréquemment en comparaison d'un certificat SSL "classique" qui peut être valide 1 an (ou plus). Donc, même si ce renouvellement est automatique, il n'est pas sans contrainte ! En effet, pour le renouvellement du certificat, le NAS Synology doit être joignable depuis Internet (sur le port 80) par les serveurs correspondants à l'autorité de certification Let's Encrypt sinon l'opération échouera. Dans le cas où le NAS n'a pas d'intérêt à être joignable sur Internet, je trouve que c'est dommage de l'exposer uniquement pour une histoire de renouvellement de certificat via Let's Encrypt. Cependant, cette contrainte s'applique uniquement dans le cas où vous utilisez un domaine personnalisé (mon-domaine. fr, par exemple) et non avec le DDNS Synology, c'est-à-dire avec une adresse telle que "mon-nas.synology.me" (d'autres extensions sont possibles). Note - Dans sa documentation, Synology précise : "Pour renouveler un certificat Let's Encrypt d'un domaine personnalisé, veuillez vous assurer que le port 80 a été transmis à votre Synology NAS. Synology DDNS n'a pas cette limitation." Avec "synology.me", pas besoin de mettre en place une ouverture de ports pour renouveler le certificat, ce qui est appréciable ! Prenons deux cas concrets : Un NAS Synology connecté au réseau d'une entreprise dont l'objectif est de stocker les sauvegardes des serveurs : il n'y a pas d'intérêt à mettre en place un certificat SSL Let's Encrypt, d'autant plus que ce NAS n'aura peut-être pas un accès constant à Internet ߘ銕n NAS Synology utilisé à la maison pour stocker les données de la famille, et qui doit être accessible depuis des ordinateurs, des smartphones, etc. : il peut y avoir un intérêt pour éviter les erreurs de certificat lors de la connexion à DSM et d'autres applications, notamment s'il y a des accès nécessaires en dehors de la maison (sans passer par un VPN) Pour conclure, on pourrait dire que pour un NAS lié à l'infrastructure IT d'une entreprise, ce n'est pas nécessaire (ou alors un autre type de certificat), mais pour un NAS utilisé par des utilisateurs finaux (ou la famille), cela à tout son sens d'utiliser un certificat SSL (Let's Encrypt ou autre). En fait, cela peut perturber les utilisateurs d'avoir un avertissement lié au certificat, d'autant plus qu'on essaie de les éduquer à faire attention et se méfier de ce type d'alertes donc il vaut mieux rester cohérent. III. Configuration de Let's Encrypt avec Synology DDNS A. Choisir le nom Synology DDNS Le service DDNS de Synology est gratuit et permet de choisir un sous-domaine de "synology.me" (ou d'un autre sous-domaine, car Synology en propose plusieurs), par exemple "fb-caen.synology.me" que je vais utiliser dans ce tutoriel. Tout d'abord, il faut se connecter à l'interface de DSM, ouvrir le "Panneau de configuration", cliquer sur "Accès externe" à gauche (1), puis sur l'onglet "DDNS" (2). Ensuite, il faut cliquer sur le bouton "Ajouter" (3) pour ajouter un nom de domaine DDNS sur son NAS.

Pour remplir ce formulaire, suivez les instructions suivantes : 1 - Fournisseur de service : choisissez le service "Synology" pour utiliser "synology.me" ou un autre domaine (choix dans la liste déroulante en dessous). 2 - Nom d'hôte : indiquez le sous-domaine que vous souhaitez utiliser, en précisant "fb-caen" avec le domaine "synology.me", mon NAS sera accessible via l'adresse "fb-caen.synology.me". 3 - Obtenez un certificat auprès de Let's Encrypt et définissez-le comme certificat par défaut : cochez cette option pour obtenir un certificat SSL Let's Encrypt pour ce nom de domaine. 4 - Activer Hearbeat : cochez cette option pour recevoir une notification en cas de perte de connexion sur votre NAS Avant de continuer, vous pouvez cliquer sur le bouton "Test de connexion" pour tester la connectivité et vérifier que le test retourne bien "Normal" comme statut. Enfin, cliquez sur "OK".

Ici, un avertissement s'affiche pour vous indiquer que le certificat sera utilisé par défaut sur le NAS. En fait, si vous utilisez le FTPS, c'est-à-dire le FTP sécurisé par un certificat, ce sera ce nouveau certificat qui sera utilisé donc l'accès peut-être perturbé temporairement. Par la suite, nous verrons que l'on peut choisir un certificat différent pour chaque service du DSM afin d'éliminer cette contrainte. Pour continuer, cliquez sur "OK".

Pendant la configuration (enregistrement du nom de domaine et obtention du certificat), patientez. De mon côté, cette opération a duré environ 1 minute, mais cela peut être un peu plus long. Sachez également que le serveur Web va redémarrer à la fin du processus, donc une petite interruption de service est à prévoir.

B. Vérifier l'état DDNS et le certificat SSL Puisque la configuration est terminée, nous devrions avoir notre certificat SSL Let's Encrypt sur notre NAS ! Afin de le vérifier, ouvrez le "Panneau de configuration", cliquez sur "Sécurité" puis sur l'onglet "Certificat". Comme le montre l'exemple ci-dessous, le certificat pour "fb-caen.synology.me" est bien là et valide pour une durée de trois mois (jusqu'au 12/07/2022). En complément, nous pouvons voir que le certificat est utilisé pour "FTPS, Synology Storage Console Server, VPN Server, etc.", mais c'est personnalisable.

Afin de déterminer quel est le certificat que vous souhaitez utiliser pour chaque service, il suffit de cliquer sur le bouton "Paramètres" de l'onglet "Certificat" pour ensuite choisir le certificat. Pour rappel, le certificat par défaut est "Synology". Remarque : Si vous utilisez Synology Drive Server, et que vous changez le certificat associé, alors il faudra revalider la connexion sur les clients Synology Drive.

Enfin, avant de passer à la suite, si vous accédez au "Panneau de configuration", puis "Accès externe" et ensuite à "DDNS", vous devez voir votre nom de domaine DDNS avec le statut "Normal". Désormais, nous allons regarder ce qu'il se passe dans le navigateur : le certificat est-il reconnu ? La réponse est oui ! Donc, pour le vérifier il suffit d'ouvrir un navigateur puis de se connecter à l'adresse "https://fb-caen.synology.me:<port DSM>" et de constater qu'il n'y a plus d'erreur liée au certificat. En complément, on peut voir le cadenas, et si l'on regarde les détails on voit la date de validité du certificat et qui l'a délivré, en l'occurrence ici "Let's Encrypt".

Voilà, félicitations ! Le certificat SSL Let's Encrypt est en place sur le NAS ! Avant de se quitter, j'ai encore quelques informations à partager avec vous. IV. Synology DDNS : résolution locale et ouverture de ports Certains d'entre vous ont probablement constaté que je n'ai pas parlé de la nécessité d'effectuer une ouverture de ports sur la Box (routeur) pour que le NAS Synology soit joignable depuis l'extérieur. Même si j'en ai déjà parlé, j'insiste sur le fait qu'avec le DDNS Synology, il n'est pas nécessaire d'exposer son NAS sur Internet pour obtenir un certificat, ce qui est un gros avantage ! En fait, Synology doit jouer le rôle d'intermédiaire avec Let's Encrypt afin de permettre l'obtention du certificat malgré tout. Néanmoins, si vous mettez en place le DDNS c'est probablement pour vous connecter à distance à votre NAS. Donc, il sera indispensable de créer une règle de redirection de port sur votre box/routeur afin de rediriger les flux vers le NAS. Dans l'exemple ci-dessous, j'utilise le port "14000", car mon DSM est accessible en HTTPS sur le port 14000, et l'adresse IP du NAS est "192.168.1.149". Grâce à cette règle, je peux accéder à mon NAS même sans être à la maison.

Cette ouverture de port sera également une réponse à une problématique : la résolution locale de l'adresse "synology.me" ! Bien que dans ce cas, il n'y ait pas de réponse magique, car cela dépend de votre routeur/box. En effet, dans certains cas l'accès à votre NAS via l'adresse "synology.me" ne fonctionnera pas depuis une machine connectée sur le même réseau que votre NAS. Ce blocage est lié à un problème de NAT loopback qui ne fonctionne pas sur certaines box ou routeur ! Pour contourner cette limitation, il y a plusieurs solutions : Créer une règle de NAT comme celle ci-dessus pour ouvrir le flux (fonctionne pour l'accès local et l'accès distant) sur votre routeur : la solution dans mon cas Créer une entrée dans votre serveur DNS que vous utilisez sur cette connexion pour associer "fb-caen.synology.me" à l'adresse IP "192.168.1.149" En entreprise, cela s'annonce particulièrement facile s'il y a un serveur DNS local, lié à un Active Directory, par exemple À la maison, vous pouvez monter un serveur DNS local sur le NAS Synology Autoriser le NAT loopback sur votre routeur/box, car certains modèles permettent d'activer la fonctionnalité Si vraiment vous ne parvenez pas à trouver une solution, postez un commentaire sur cet article ߙ⊊Si vous êtes amateur de matériel Synology, il faut savoir que le NAT loopback fonctionne très bien avec les routeurs Synology. Voilà, j'en ai fini avec mes fameuses informations supplémentaires à partager avec vous ! Pour en savoir plus sur les certificats sur un NAS Synology, et en attendant d'éventuels articles supplémentaires sur le sujet, voici un lien vers la documentation Synology.

Comment sécuriser son NAS Synology en entreprise ou à la maison ?

Accéder à distance à son NAS Synology

QuickConnect, VPN, redirection de ports : quelle méthode choisir ?

I. Synology : c'est quoi QuickConnect ?

II. Synology, DDNS et la redirection de port

III. Synology et l'accès VPN

IV. Conclusion

Protéger l’interface DSM

Forcer le HTTPS pour l’interface DSM

Utiliser des ports différents pour DSM

I. Changer les ports d'écoute de DSM

II. La redirection automatique sur les ports 80 et 443

Désactiver l’en-tête « Server » dans les réponses HTTP

Configurer les notifications sur DSM

Désactiver l’intégration iframe de DSM

Renforcer l’authentification sur son NAS

Désactiver le compte « admin » par défaut de DSM

Définir une politique de mots de passe DSM

Activer la double authentification sur DSM

La fonctionnalité « Blocage auto » pour bloquer les attaques brute force

II. Importer une liste d'adresses IP à bannir

Gérer les flux réseaux pour protéger son NAS

Protéger son NAS des attaques DoS

Désactiver les services inutiles sur DSM

Désactiver la découverte réseau pour cacher le NAS sur le réseau

Désactiver la prise en charge du SMBv1 dans DSM

Configurer le pare-feu de DSM

Protéger ses données

Protéger ses données

Installer l’antivirus Synology

Analyser sa configuration avec le « Conseiller de sécurité »

Conclusion

RustDesk, l’alternative open source à TeamViewer que l’on peut auto-héberger

A. Installer Docker

NAS Synology – Installer Uptime Kuma dans un conteneur Docker pour surveiller vos services Web

II. Déployer Uptime Kuma avec Docker

Utiliser un certificat SSL Let’s Encrypt avec Synology DDNS

NAS Synology + Calibre Web (Automated) : créez votre propre bibliothèque numérique !

Florian BURNEL