*저는 보안 전문가가 아니라서 단순하게 제가 사용하는 방법만을 공유합니다;;;; 책임은 못져요
** 2022. 10. 11 현재, 약 1년간. 역방향 프록시를 사용한 이후 쓸데없는 로그인 시도 로그가 아예 안찍힙니다.
좀더 자세한 설명은 맨 아래의 링크를 확인해주세요.
최근 시놀로지 기기의 해킹시도가 많이 늘어났다는 글이 커뮤니티에 많이 올라오고 있습니다.
기본설정을 하셨다면 admin, guest 계정은 막혀있으니 큰 문제가 없다고 볼 수 도 있는데, 나스이름과 관리자계정을 동일하게 쓰는 경우도 시도할 수 있고, IP차단 방식은 당장은 효과가 있지만 언젠가는 뜷릴 수 밖에 없는 방법입니다.
그래서 저는 이 방법을 사용합니다.
1. 방화벽 설정
80/443 외 모든 포트는 차단합니다. 그 외 꼭 써야만 하는 포트만 열어둡니다.
내부망은 모두 허용, 그 외 FTP같은걸 외부에서 쓴다면 해당 외부아이피와 포트만 허용.
2. 역방향 프록시 설정
시놀로지에서 기본 제공하는 서비스는 대부분 서브도메인을 할당하여 접속이 가능합니다. 모두 그렇게 해 둡니다.
그 외 다른 서비스 역시 가능하면 역방향프록시를 이용해 서브도메인 할당합니다.
1,2를 거치면 80/443 포트 외 다른 포트로 접속이 불가능합니다. 즉, 내가 설정한 서브도메인으로만 접속이 가능하며, IP:5000 등 시놀로지 기본 포트로의 접근이 차단됩니다.
이렇게 하는 이유는 단순합니다.
단순 역방향 프록시만 설정하는 경우 IP:포트로 접속이 됩니다. CNAME에 *.도메인 을 설정한 경우 어떠한 서브도메인으로 들어와도 됩니다.
위 방법을 사용하면 IP를 알아도 볼 수 있는건 시놀로지 web station의 화면뿐입니다.
포트 변경을 해도 스캔하면 나옵니다. 6만개 남짓 되는 포트를 변경하는게 안전할까요.. 경우의 수가 사실상 무한한 서브도메인 할당이 안전할까요?
자세한 설정은 아래 글을 참고하시면 될 것 같아요. 스크린샷은 DSM 6.2인데, 7.0도 크게 다르지 않아요.
2021.05.27 - [Synology] 시놀로지 NAS에서 도메인으로만 접속하기(포트번호 숨기기, 역방향 프록시)
DSM 7.x 기준 설정은 아래 방법을 참고해주시면 좋을 것 같습니다.
2022.07.29 - [Synology, NAS] 시놀로지 나스 설정 #3 방화벽 설정과 포트포워딩
2022.07.29 - [Synology, NAS] 시놀로지 나스 설정 #4 역방향 프록시 설정 webdav 설정과 레이드라이브 연결
'취미, 관심 > NAS, Server' 카테고리의 다른 글
[Synology] 시놀로지에서 클라우드플레어 DDNS 설정하고 와일드카드 인증서 받기 #1 [22.02.15 API토큰 추가] (13) | 2021.10.01 |
---|---|
[Synology] 시놀로지 도커 아카이브박스(Archive Box) 설치 및 관리자계정 생성 (2) | 2021.09.03 |
[Synology] 시놀로지 와일드카드 인증서 갱신 실패로 인한 수동갱신 (6) | 2021.08.03 |
[Synology] DSM 7.0 Video Station에서 EAC3, DTS 재생하기 (0) | 2021.06.29 |
[Synology] RAID 5, RAID 6과 SHR의 차이 (0) | 2021.05.31 |
[Synology] DS920+ 에서 DS1821+로.. (0) | 2021.05.28 |
[Synology] 시놀로지 NAS에서 도메인으로만 접속하기(포트번호 숨기기, 역방향 프록시) (3) | 2021.05.27 |