시놀로지 나스(Synology NAS, DS920+) #3- DSM 보안설정

▣ 시놀로지 나스(Synology NAS, DS920+) #3- DSM 보안설정

 

 

 

목차

 

개요

DSM설정 중 가장 초기에 해 주어야 할 것이 보안설정입니다.

가장 중요한 작업입니다. 보안설정을 가장 먼저 해 주신 후 그 다음에 파일공유등 다른 설정을 해 주시는 것을 추천드립니다. 안그러면 내 나스가 좀비가 되어서 다른 나스나 컴퓨터를 공격하는 숙주로 사용될 수있습니다.

그럼으로 나스 DSM 보안설정은 정말 중요한 설정입니다. 꼭 해 주셔야 합니다.

차례대로 따라 해 주시면 됩니다.

 

아래 보호나라에 공지된 NAS보안가이드도 꼭 참고 바랍니다. 2024-02-29 up

※ 보호나라 공지 NAS보안가이드

KISA 보호나라&KrCERT/CC

 

NAS_보안_가이드_최종.7z.001

19.00MB

NAS_보안_가이드_최종.7z.002

15.55MB

 

● 사용자계정 보안설정

 

1. 알려진 사용자계정 비활성화 및 관리자계정 생성

일반적으로 알려진 사용자계정인 admin과 guest 계정은 공격에 사용될 수 있음으로 무조건 비활성화해서 막아 놓아야 됩니다. 

제어판-사용자 및 그룹-사용자 로 가신 후 비활성화가 안되어있다면 비활성화로 변경 해 주시기 바랍니다.

최근 DSM버전에서는 기본값이 비활성화로 되어있는 것을 확인 할 수 있습니다.

변경 전 다른 관리자전용 계정을 먼저 생성해 주시면 됩니다.

이 관리자 계정은 나만 아는 계정으로 생성 해 주시기 바랍니다.

 

 

2. 고급설정에서 아래 레드박스를 확인해서 패스워드 강제변경 설정 및 강도규칙적용, 만료 활성화 등을 해 주시면 더더욱 좋습니다. 

 

 

 

● 제어판 보안설정

 

1.제어판-보안-보안 탭에서 

일반 로그아웃타이머를 설정 해 줍니다. DSM로그인 후 브라우저 자동 로그아웃되도록 타이머를 설정 해 주는 겁니다.

나머지 체크박스도 아래와 같이 확인 후 체크 해 주심 좋습니다.

수정 후 반드시 우측하단 "적용"을 클릭해서 변경된 설정을 저장 해 줍니다.

 

 

 

2. 보안-계정 탭에서 2단계인증을 체크 해 줍니다.

관리자그룹사용자 지정 해 주시고, 보안을 더욱더 강화하고 싶은 경우에는 모든사용자로 지정 해 주심 됩니다.

단, 2단계일증을 활성화 하려면 먼저 이메일알림서비스를 활성화 해 주어야 한다고 알림팝업이 나옵니다.

예 를 눌러서 이메일알림 서비스를 설정하러 이동합니다.

 

 

 

3. 제어판-알림-이메일 탭으로 이동되면

이메일알림활성화를 체크 해 주신 후 아래 캡처를 참고하셔서

보낸사람 이메일설정과 시스템알림을 받는사람에 제목접두어를 입력해서 메일수신시 구분이 편리하게 해 주시고

수신자의 이메일주소를 입력 해 주시면 됩니다. 이때 수신자 이메일주소는 스마트폰에서 동기화가 되어있으서

메일 수신시 폰에서 알림을 바로 받을 수 있도록 설정된 이메일주소를 지정 해 주시는 게 좋습니다.

가장 마지막 '새 사용자에게 환영 메시지 보내기'를 체크 해 주셔서 이메일알림서비스가 정상적으로 적용 되었는지를 확인해 볼 수있습니다.

변경 후 우측하단 "적용"을 눌러서 저장 해 줍니다.

 

 

 

 

4. 푸시서비스 탭에서도 아래와 같이 설정 해 줍니다.

모바일푸시서비스도 등록 해 주시면 좋습니다.

QR코드를 폰으로 스캔해서 DSFinder 라는 앱을 설치 해 주어서 DSM과 연결 해 줍니다.

연결 되면 장치관리에서 연결된 장치를 확인 할 수 있습니다.

 

 

 

5. 제어판-보안-계정 탭으로 다시 이동하셔서

2단계인증 설정을 계속 해 줍니다. 아래 캡처를 참고하셔서 비슷하게 또는 같게 설정 해 주시는 게 가장 좋습니다.

계정보호활성화를 해 주시면 특정 계정이 노출되었을 경우 이상적인 로그인시도로 부터 계정을 보호할 수 있습니다.

여기서 로그인시도횟수와 시간은 적절하게 설정 해 주시는 게 좋습니다.

계정보호취소 시간은 최대(999)로 설정 해 주시는 게 좋습니다.

 

 

 

6. 적용을 눌러서 저장을 해 주면 아래와 같이 뜨면 지금설정을 클릭해 주세요

 

 

 

● 2단계 인증 설정

1.시작을 눌러서 진행합니다.

 

 

 

2. 인증앱을 폰에 설치해 줍니다.

인증앱은 두가지를 사용할 수 있습니다.

시놀로지 SecureSignIn 과 Google Authenticator 중에서 편한걸로 선택하심 됩니다.

처음 사용하시는 분은 시놀로지꺼로....기존에 인증앱을 사용하셨던 분은 구글꺼로 사용하심 편하실 수 있습니다.

저는 이미 구글꺼 인증앱을 사용해서 다른 앱들도 2단계인증보안을 설정 해 놓은 상태여서

그냥 구글 인증앱을 나스에서도 사용하려고 합니다.

*보안구분을 위해서 헤놀로지나스는 Google인증앱을 사용하고 시놀로지 나스는 시놀로지 인증앱을 사용하는 것도 좋을 것 같습니다.

폰에 인증앱이 없다면 QR코드를 스캔해서 설치 해 주면 됩니다.

 

 

3. 폰에 설치된 인증앱을 실행 하신 후 다음단계에서 나오는 QR코드를 스캔하여 검증코드를 등록해 주시면

인증앱에 DSM로그인 계정에서 사용되는 OTP가 등록이 됩니다.

 

 

4. 2단계인증활성화를 위해서 백업이메일을 설정하도록 되어있습니다.

이메일주소를 입력 하시면 차후 이 이메일로 백업코드를 받을 수 있습니다.

이 백업코드는 계정복구나 비번재설정에 사용됩니다.

백업이메일은 앞에서 이메일알림서비스에 등록한 이메일을 지정해 주심 됩니다.

 

 

● 방화벽 보안설정

1.제어판-보안-방화벽 설정을 진행합니다.

방화벽을 활성화 해 주시고, 알림활성화도 해 줍니다.

방화벽프로필에 기본 프로필인 default가 지정되어있습니다.

규칙편집을 눌러서 기본방화벽 프로필 규칙을 변경설정 해 줍니다.

 

 

2. 방화벽 규칙설정을 진행해 줍니다.포트는 모두를 선택하지 마시고, 내장된 응용프로그램을 목록에서 선택해서

주로 사용하는 응용프로램을 선택해서 해당 포트가 방화벽에서 열릴 수 있도록 설정 해 줍니다.

사용하지 않는 포트까지 다 열어 놓으면 그만큼 해킹 위험이 높아지는 겁니다.

집에서 안쓰는 문을 닫아 놓는 것과 비슷합니다.

저는 우선 주로 사용할 예정인 관리,파일스테이션,오디오스테이션과 웹스테이션 응용프로그램을 선택 해서 열어 줬습니다. 이렇게 설정 해 놓아도 나중에 선택이 안된 응용 프로그램을 사용하려고 하면 방화벽알림으로 허용해 주도록 알려 주니 상관없습니다.

 

 

 

3. 포트를 허용해 주었으면 이어서 소스ip를 차단 또는 허 용 해 주는 설정을 해 주시면 됩니다.

위에서 내장된 응용프로그램포트로 접근하는 소스ip(출발지IP라고도 함)를 모두 허용해주는 설정을 활성화 해 주는 규칙이 들록됩니다.

 

 

 

4. 가장 많이 접근하는 소스IP인 나스를 연결하고 있는 공유기 내부IP대역도 허용IP범위로 추가해 줍니다.

해당 IP는 공유기가  할당해 주는 사설IP입니다.관리용으로 사용됨으로 반드시 허용 해 주시면 됩니다.

이 IP대역은 공유기마다 다름으로 사용하는 공유기에 맞는 IP대역을 허용해 주시면 됩니다.

CMD-IPCONFIG 명령으로 확인 하시면

기본gateway ip로 나오는 게 바로 공유기의 관리ip입니다. 그 대역으로 확인 하시면 됩니다.

 

 

 

 

5. 소스ip에서 위치를 선택한 후 특정지역(-해킹시도가 많은 지역 등)을 차단 해 주시면 됩니다.

위치 선택 클릭 후 검색창에서 차단하고자하는 지역을 검색한 후 리스트에 나오면 체크한 후 선택 해 주신 후 차단으로 등록 해 주시면 됩니다. 해킹시도가 유난히 많은 중국지역을 차단에 등록 했습니다.

이렇게 해 놓으면 IP주소가 중국으로 된 IP는 접근을 차단 해 줍니다.

단, vpn등으로 ip를 우회하는 경우에는 차단이 안됩니다.

 

 

 

6. 이렇게 기본 방화벽 규칙에 대한 설정이 완료 되었습니다.

프로파일 편집 초기화면에서 설정된 규칙을 확인 할 수 있습니다.

확인을 눌러서 규칙을 적용해 줍니다.

규칙이 여러개일 경우 상단부터 차례로 우선순위가 주어지면서 적용이 됨으로 이점을 주의 하시기 바랍니다.

*규칙설명-관리UI,FileStation등 포트를 허용해 주고, 공유기 ip대역을 허용하고, 중국지역ip는 거부합니다.

 

 

● 방화벽 보호설정

제어판-보안-보호 탭에서

1. 자동차단 활성화를 체크설정 합니다 -로그인 시도가 많은 ip를 차단 해 줍니다.

. 보안강화를 위해서  로그인시도횟수와 시간을 적절하게 설정 해 주시고,

차단만료일 활성화는 해제 해 줍니다.

Dos보호활성화도 체크해서 DDOs공격으로부터 나스를 보호합니다.

 

 

2. "허용/차단 목록"을 클릭 하면 방화벽에 등록된 허용/차단 ip목록을 확인할 수 있으며 생성을 눌러서 특정 ip를 차단/허용하거나 파일로 만들어진 목록파일을 이용해서 등록 해 줄 수 있습니다. 또한 내보내기 기능을 이용해서 이미 등록된 허용/차단 목록을 관리할 수 있습니다.

 

 

3. 이전 헤놀로지 나스DSM에 등록했던 허용/차단 목록을 시놀로지 나스에 적용해 보도록 하겠습니다.

허용목록을 선택 후 생성옆에 화살표를 눌러서 'IP주소 목로가져오기'를 선택 합니다.

 

 

 

4. 내보내기로 저정해 놓은 허용목록파일을 찾아보기를 눌러서 지정 해 줍니다.

 

 

 

5. 허용목록 등록 후 차단목록도 같은 방법으로 등록 해 줍니다.

아래와 같이 차단목록이 등록되었습니다. 차단목록ip는 공개합니다. 알려지거나 공격에 사용된 ip임으로 꼭 차단 목록에 등록해서 관리해 주시는 게 좋습니다. 그래야 무차별로그인공격으로 부터 나스를 지킬 수 있습니다.

차단목록은 이전부터 사용중인 헤놀로지나스에서 내보내기 해서 시놀로지 나스에도 그대로 적용해 놓았습니다.

 

 

 

6. 인증서 확인

시놀로지 인증서와 Quickconnent.to 인증서가 등록되어있습니다.

이 인증서는 보안연결에 사용됩니다.

차후 DDNS를 새로 등록하는 경우 안정적인 보안연결을 위해서 인증서를 꼭 발급해서 등록해 놓으셔야 합니다.

 

 

이상으로 시놀로지 나스 DSM에 대한 보안설정을 마칩니다.

이후 필요한 보안설정은 추가 또는 수정 해 주시면 되겠습니다.