시놀로지 NAS - 보안 강화하기!
시놀로지 ds720+를 구매하고 DSM까지 설치했는데 아무것도 안하고 있었다가.. 계정과 비밀번호가 생각이 안나 오늘 admin 계정을 초기화 시키고 우선 보안설정부터 변경해줬습니다.
아직은 포트포워딩 설정도 안한 상태라 외부에서 접속이 불가능해 접속할 수 있는 환경이 공유기에 접속되어있어야 하고 계정과 비밀번호를 알아야 하는상태라 보안을 할 필요는 없지만 포트포워딩 설정을 한 후 외부에서 접속을 하는 환경을 만들어 준다면 당연히 흔한 admin, guest 같은 계정을 비활성화 시키고 새로운 계정을 만들어 주는 것이 가장 쉬운 방법의 하나 입니다.
admin, guest 사용 안함 상태로 변경
DSM세팅을 할때 새로운 사용자와 비밀번호를 설정하게 되는데 admin이 아닌 새로운 사용자 계정으로 접속해줍니다. 사용자 계정은 제어판 -> 사용자 에서 새로운 계정을 추가할 수 있습니다.
admin 계정을 사용중이라면 admin계정을 로그아웃 한뒤 새롭게 생성한 다른 계정으로 로그인을 해줍니다!
로그인 후 제어판 -> 사용자에 들어와 admin 목록에서 오른쪽 마우스 -> 편집에 들어가줍니다.
admin 계정의 "이 계정 비활성화" 옵션 "즉시"를 선택한후 확인을 눌러줍니다.
admin 계정의 상태가 "사용 안함"으로 변경 된 것을 확인 하실 수 있습니다 .
※ "이 계정 비활성화" 버튼이 활성화가 안되어 있다면 admin계정으로 로그인 되어있는지 확인하시기 바랍니다.
NAS에 로그인을 시도하려면 아이디와 비밀번호를 알고 있어야 하는데 쉬운 admin과 guest의 ID를 사용한다면 무차별 대입 방식의 해킹시도에 취약할 수 있기 때문에 admin 아이디를 비활성화 해주는 것이 보안에 좋습니다.
로그인 시도 횟수 초과시 자동 차단 !
다음으로 제어판 -> 보안 -> 계정 탭에 들어가셔서 이번에는 자동 차단 기능을 활성화 시켜줍니다. (적용)
저는 10분 이내로 로그인 실패 5회가 되면 IP주소를 차단하도록 설정하였습니다. 개인홈페이지를 하나 개설하여 운영하고 있는데.. 생각보다 국내, 해외 가릴거 없이 무차별 로그인을 시도하는 경우가 많이있습니다.
해외 로그인 차단
저는 해외에 나가서 NAS에 접속할 일이 없습니다.. 해외를 간다면 목적은 여행일테니... 따라서 해외에서 NAS에 로그인을 할 필요가 없기때문에 방화벽을 활성화 한뒤에 국내에서만 로그인이 가능하도록 변경해주었습니다.
제어판 -> 보안 -> 방화벽 탭으로 이동해 "방화벽 활성화"를 클릭해줍니다.
다음으로 아래쪽 "방화벽 프로파일"에서 "규칙 편집"을 눌러 들어갑니다.
이제 "규칙 편집" 화면이 켜졌습니다. 여기서 이제 "생성"버튼을 눌러 각각의 IP접근을 허용하거나 거부할 수 있게됩니다.
"생성" 버튼을 눌러보면 별거 없습니다. 허용&거부할 포트와 IP를 지정해주면 되는데요. 먼저 공유기로 접속되어지는 IP에 대해서는 접근이 가능하도록 설정을 먼저 해보겠습니다.
제가 사용중인 SKB 공유기에 연결된 모든 포트의 접속을 허용하는 규칙을 만들었습니다.
"소스 IP"에서 "특정 IP"의 설정에 들어가 IP범위를 공유기의 IP번호로 지정해주고 "확인" 그리고 설정에서 다시 "확인"
ipTime(아이피타임) 공유기를 사용한다면 대부분
192.168.0.1 ~ 192.168.0.255로 공유기 내부 IP가 설정될 수 있고
SKB 공유기를 사용한다면
192.168.55.1 ~ 192.168.0.255까지 설정합니다.
각각의 공유기 IP주소에 맞게 설정해주시면 됩니다.
공유기 접속 허용을 해주었다면 다음으로는 국내 IP만 로그인 할 수 있도록 국가를 좁혀줍니다.
다시 새로운 규칙 생성 -> "소스 IP"에서 "위치" 설정 "남한" 또는 "KR"을 검색합니다. 다음 왼쪽의 체크박스를 선택!!
각각 생성된 규칙은 단일 규칙으로 실행되어 집니다. 위에서 부터 OR 개념정도로 보면 될 것 같네요.
확인 후 제어판에서 적용을 해주면 끝나게 됩니다!!!
이제 보안설정은 대충 한 것 같고 다음은 외부에서 접속할 수 있도록 포트포워딩 작업을 해줘야겠네요.