웹,NAS 보안 다들 어떻게 하시나요?
저같은경우 공유기는 53,853(adguardhome dns),443(docker npm) 그밖에 원격제어툴인 rustdesk에 쓰이는 포트등이
열려있고 nas는 gufw( ufw gui 관리툴) 로위에있는 포트들정도가 열려있습니다. 특히 ufw로 할시 도커 포트를 막아도 접속되는
증상이 있기에 고생좀하긴 했습니다만
사실 다른건 그렇다쳐도 443포트 열려있는게 참 그렇긴합니다.
물론 npm으로 리버스 프록시를 쓰고있고 화이트리스트로 관리를 하고있긴합니다. 하지만
최소 해외 ip 정도는 차단, 그리고 모니터링정도 하고싶거든요
방법이 없을까요
DDNS으로는 안됩니다 https://svrforum.com/svr/411911 요기 참고해보세요! 클라우드플레어에서 관리하는 곳만 됩니다.
만약 도메인을 구매하실 형편이 안되시면 무료 보안방책은 authelia가있는데 이건 설정이 너무 어려워요 ㅠㅠ 서버포럼 - Authelia/NPM 을 이용한 2차인증 서버 구축하기 (svrforum.com)
저의 경우 클플 제로트러스트도 적용하긴 했지만 NPM을 외부망, 내부망으로 나눠서 사용하고 있습니다.
외부망 접근 포트는 80,443과 와이어가드 포트만 열려있고 외부망 NPM에 맵핑해서 블로그나 웹하드 정도만 서비스하고 있습니다.
내부나 와이어가드를 통해서 접근하면 내부 DNS로 내부망 NPM 맵핑되로록 해서 분리를 했고 이를 통해 나스나 기타 관리 콘솔등에 접근하구요. 외부에서는 설령 도메인을 알아도 접근하지 못합니다. 물론 SSH나 RDP 등도 내부망에서만, 혹은 VPN을 통해서만 접근 가능하도록 했구요
외부에서 애드가드 DNS를 이용하는 방법은 와이어가드에 내부망 아이피대역 외에는 바이패스 하도록 설정하고 DNS서버를 구축한 DNS 아이피로 설정한 뒤에 폰의 경우 집 와이파이에서 끊어지면 자동으로 와이어가드에 연결하도록 셋팅해서 사용중입니다. 노트북은 집안에서 쓸 일이 거의 없어서 그냥 상시 VPN 연결상태이구요.
이렇게 하면 VPN 키만 잘 간수하면 상당부분을 신경 꺼도 됩니다. 웹하드 로그인 정도만 클플 2차인증 걸어두면 되는 수준이에요
근데 덕커는 공개된 포트만 포워딩이 되니까 독커 컨테이너의 포트를 공개 안하도록 하면 되요.
저도 443이랑 vpn만 열려있네요.
아마 443 아닌 포트들, https가 아닌 프로토콜은 vpn 연결후에 사용하지 않을까 싶습니다.ㅎㅎ
docker는 포트매핑 없이 npm을 통해서만 연결하는게 대부분이고, 꼭 열어야 하는 경우 화이트리스트로 사용합니다.접속하는 장치 IP가 계속 변경되는 상황이라면 VPN 쓰구요.
cmt alert