시놀) DSM 포트 변경 없이 해킹 시도 차단하는 법이 있을까요?ㅠㅠ
국내, 해외 사용자에게 데이터 전송하는 용도의 서버입니다.
그리고 이 서버는 공유기를 통해 외부접속 ip를 할당 받는 것이 아니고 사설, 고정 아이피를 직접 연결하여 외부 접속 ip를 할당 받는 환경입니다.
또 하나의 문제는 DSM 포트를 바꾸고 싶지만 변경이 어려운 상황입니다 ㅜㅜ 이미 많은 클라이언트에게 서버 주소를 뿌린 상태여서요... 번복하기가 어려운 상황입니다ㅜㅜ
최근들어 접속 시도 로그가 많은데요. 이것 좀 안 뜨게 막고 싶은데 방법이 없을까요?ㅜㅜ 좀 무섭네요... 저 로그를 1분에 1천개 정도 시도를 해버리면 서버 부하되는 것은 아닐지 ㅠㅠㅠ
해외 사용자도 있어서 방화벽으로 국가 차단도 제한이 있습니다. 중국, 홍콩, 대만 이런 곳 차단할 수가 없고요.
그외 기타 나라들은 일단 다 차단 해둔 상태입니다. (근데 사실 방화벽으로 국가 차단하는게 의미가 있을지 모르겠네요... 해커들은 다 우회접속을 한다고 하니...)
* 위 스크린샷 중, 김명재, 한문 아이디 등 저런 사용자는 제가 만든 적이 없는데 저거 해커들이 대충 있을 법한 이름 대입해서 로그인 시도하는 걸까요??
이런 상태에서 할 수 있는 조처가 뭐가 있을까요?
admin, guest 이런 계정들은 다 막아 두었구요...
고견 부탁드리겠습니다...
2차 인증말고는 대안이 없을 것 같습니다.
저는 불편을 감내하고 포트를 바꾸는게 좋을 것 같습니다..
봇 돌려서 포트 찾아내면 또 공격 대상이 됩니다.
물론 역방향프록시는 사용할 수 없으며
80,443은 아예 막아야 합니다.
제가 그렇게 쓰고 있으며 지인기반 운용이라 이후 접속시도 자체가 없습니다.
해외사용자분들은 어떻게 접속하시나요?
예 랜덤은 아니고 다크웹에 뿌려져있는 정보들을 기반으로 접속시도합니다.
조치는....막는거죠 아예못들어오게 fail2ban이나 아니면 해외접속자들은 dns를 타고온다면 가능한 cloudflare으로 도메인을 옮기고 제로트러스트나 여러가지 방편이 있습니다. 포트를 바꾼다고해도 ip로 해킹시도를 하는거라면 장담하건데 10초도안되서 바뀐 포트 알고 들어올 수 있습니다. 현재 ip가 이미 노출이된 상태라면 ISP에 연락해서 ip를 바꾸지않으면 시도는 계속할겁니다.
cloudflare 에다가 캡챠 챌린지라도 운영하세요.
불편해도 이게 답이겠네요.
Security - Firewall rules 항목에서 아래 처럼 설정하면 사람인지 봇인지 확인하게 됩니다.
마지막으로 ip 입력이 아닌 도메인으로만 접근 가능하게하시면 됩니다.
방법이 없을 것 같습니다...
알려진포트(80,443,5000,5001)를 쓰는순간부터 그건 감내해야합니다
개인적인 경험으로 접속시도가 확주는건
1. 해외접속 차단
2. 기본포트 변경 입니다.
이걸 못한다면 감내할 수 밖에요
사용하시는 환경상 모든계정이 otp를 쓰는 2factor 인증사용은 필수입니다.
이거 안하시면 언젠가는 뚫린다고 생각하셔도
그리 틀린생각은 아닐겁니다.
해외사용자는 VPN 접속 후 접속가능토록 하셔도 괜찮을것같아요
외부로 오픈해야하는 서버라면 IDS/IPS는 가능한한 갖추시는게 좋습니다.
오픈소스가 되었든 상용제품이 되었든;
현재 문제는 한번도 걸러지는 부분이 없다는게 문제인것 같네요
처음내용이 조금 헷갈리기는하는데 공유기조차 거치지 않고 바로 공인아이피가 시놀로지로 들어가는부분이라면 우선 보안적으로는 이미 0점입니다.
보통 외부에 공개되는 서버의 경우 IDS/IPS를 따로 두고 허니팟을 운영하면서 제로트러스트적용을 합니다.
VPN을 쓰실경우에도 별도의 서버를 두고 운영합니다.
저의경우도 하루에도 수천건씩 포트스캔이나 실질적인 접속시도가 있지만 90퍼센트정도는 모두 방화벽에서 걸러지고 5%정도는 허니팟에서 한번 더 걸러냅니다.
그렇게까지 했는데도 시놀로지에 차단리스트에 등록되는경우에는 다시 방화벽에 해당아이피 또는 아이피대역을 추가해서 차단목록에 집어넣고 있습니다.
음 몇가지 고민을 해본다면..
- 시놀로지 옵션중 "네트워크 센터 > 보안 > 자동 차단" 을 활성화하여 사용하시길 바랍니다.
- 앞단에 프록시를 두어 도메인이 아닌 ip로 접근했을때 접속이 안되도록 막습니다.
- 해킹에 안전할 수 없다는 조건을 설정한 뒤 서비스 시놀에는 중요 자료를 보관하지 않습니다.
- 여러 failover를 고려하십시요.
창과 방패의 문제가 아닙니다.
퍼블릭 서비스는 어쩔수 없이 원치 않은 사용자의 접근 시도에 노출될 수 밖에 없습니다.
건승을 빕니다.
cmt alert