Ben à partir du moment où tu veux accèder à une ressource de l'extérieur, tu es obligé d'ouvrir des portes. Donc c'est forcément moins secure que si tu restes dans un environnement cloisonné... Après voilà, c'est comme tout, si tu restes chez toi, tu es sûr de pas te faire écraser par un bus mais en même tps t'avanceras pas bcp ds la vie lol.
Donc ouais, faut limiterles risques du coup, à savoir:
- authoriser seulement le https (en http les logins/mtp passent en clair sur le réseau) avec certificat pour ne pas avoir le message du browser qui dit que le certificat ne correspond pas (Par défaut c'est celui de Synology, il faut le changer en prenant une autorité de certification reconnue par les browsers (Comodo fait ça) et avec un certificat lié au nom de domaine que tu utilises (mojomuseflo.com pour moi par exemple). Forcement à chaque montée de version du Syno, faut rééditer les paramètres SSL du syno car il sont RAZ à chaque fois...
- Ne pas avoir de compte invité et maitriser totalement les utilisateurs enregistrés
- Avoir une bonne politique de mot de passe (qui ne soit pas cassable par brute force), genre 10 caractères alphanumérique+caractères spéciaux+ majuscules...
- Faire du forwarding de ports sur ton routeur sur les seuls ports qui t'intéressent
- Faire des règles fines d'authorisation avec le fw avec du deny all à la fin (attention à pas te couper la main)
- Eviter d'utiliser le compte admin de base, mais créer un utilisateur admin par exemple
- Activer le ssh et oublier le telnet.
- Ne pas utiliser le port 22 (qui est le port de base pour le ssh) pour joindre ton NAS en ssh de l'extérieur.
- Si tu fais tu FTP, permettre la connexion SSL/TLS uniquement
- Pareil pour le Webdav, faut activer juste le Webdav https
- Ne pas utiliser son compte perso pour le mail de notification parce que bien sur Synology n'a pas bougé son c... et le login/mtp se retrouve en clair sur un fichier de conf ds /etc sur le syno
...etc...
La seule limite aujourd'hui avec les fonctions https concerne le streaming de video via dsfile sur android qui ne fonctionne pas. Mais bon...
Voilà, il y a sûrement d'autres choses à faire pour sécuriser toujours plus mais bon, j'avoue que sur les préco mentionnées ci-dessus, certaines relèvent presque de la paranoia :-)