Le malware SynoLocker a récemment démontré par A+B que laisser son Synology accessible depuis internet, et pas très à jour, présentait un risque majeur pouvant aller jusqu'à la perte totale des données du NAS.

synology_ssh_block

Il existe une méthode très simple pour se prémunir des attaques malveillantes et tentatives de connexions, voyons comment faire.

WAN to LAN

Vous avez ouvert l'accès à votre NAS depuis l'extérieur, parce que vous avez besoin d'y accéder à distance, de l'utiliser comme serveur SSH, serveur VPN ou encore partager vos distributions Linux préférées avec vos amis.

La première chose à faire est suivre mon guide des 8 méthodes pour sécuriser un NAS, comme le filtre sur l'IP source. Néanmoins ce n'est pas toujours possible, tout le monde n'ayant pas une ip fixe... et c'est bien dommage.

Les attaques

Il faut comprendre que de nombreux bots informatiques scannent le web entier, à la recherche de victimes. Ainsi si votre Synology est accessible depuis l'extérieur il sera détecté comme cible potentielle car un ou plusieurs ports particuliers répondent positivement aux flux. Pour cette raison il ne faut jamais utiliser les ports standards tels que le 22 (ssh), 80,443 ou 8080 pour le web, 1194 pour le VPN, etc. Encore moins 5000 et 5001 qui sont les ports par défaut d'accès à DSM, l'interface de gestion de votre NAS Synology.

La plupart des bots pratiquant ces scans sont situés à l'étranger, rarement dans l'union européenne. Voici la provenance des 10 dernières attaques reçues sur un Synology volontairement ouvert sur le port 22 SSH :

  • Chine (6)
  • Moldavie
  • USA (2)
  • Vietnam

Ce n'est pas représentatif des pays, il s'agit d'un exemple. Mais il est plus rare de voir des IP françaises tentant de se connecter sur le NAS test.

La France ou rien

Nous allons autoriser uniquement les adresses IP françaises à atteindre l'authentification du NAS, que se soit via SSH, web, rsync ou que sais-je.

Pour y parvenir accéder au pare-feu depuis l'interface DSM :

  • panneau de config > sécurité > pare-feu
  • cliquer sur le bouton créer
  • choisir IP spécifique :
    synology_fw_add
  • choisir sous-réseau puis remplir avec l'adresse de votre réseau local :
    synology_fw_sublan
    Rappel des plages IP privées :

    • 10.0.0.0/8 (255.0.0.0)
    • 172.16.0.0/12 (255.240.0.0)
    • 192.168.0.0/16 (255.255.0.0)
  • valider avec OK
  • cliquer à nouveau sur créer
  • choisir IP source :
    synology_fw_add_region
  • sélectionner le pays souhaité, la france dans notre cas :
    synology_fw_add_region_fr
  • valider avec OK
  • choisir "refuser l'accès" si aucune règle n'est remplie :
    synology_fw_refuser
  • enfin, sauvegarder

Et voilà, vous venez de franchir un étape de plus dans la sécurité et l'accès à votre NAS depuis l'extérieur. Vous pouvez toujours avoir des scans ou tentatives de connexion depuis la france, mais à côté des attaques provenant du monde entier ce sera une goute d'eau. En effet, la sécurité informatique fonctionne par paliers. On empile, couche après couche, des mesures de sécurité qui ensemblent forment une stratégie de protection personnalisée.

Cela ne vous empêche pas de maintenir DSM à jour car Synology déploie régulièrement des patchs, y compris pour les NAS ne bénéficiant pas de la dernière version de DSM.

Bien sûr vous pouvez limiter selon les pays comme bon vous semble, si vous êtes belge inutile de choisir la france comme pays source, cela va de soit. La limite est fixée à 15 pays ou régions par règle.

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter