시놀/헤놀 DSM7 보안 강화를 위한 방화벽 설정하기.

시놀/헤놀 DSM7 보안 강화를 위한 방화벽 설정하기.

안녕하세요. 달소입니다.

오늘은 시놀로지/헤놀로지를 운영하시면서 진행하면 좋을만한 보안설정입니다.

기본적으로 NAS라는걸 운영하기위해서는 외부에서 내부서버에 접속이 필요하고 외부에 포트를 오픈하게됩니다.

이렇게 오픈된 포트는 해커들의 좋은 먹잇감이 되죠.

보통은 알려진포트(DSM의경우 5000,5001)번으로 무작위 대입공격으로 계정을 뚫고 랜섬웨어를 배포해서 안에있는파일들을 암호화시키고 뭐 그런식으로 공격들이 있습니다.

이러한 공격에서 운영하는 NAS의 보안을 유지하기위해서는 몇가지 보안설정을 진행하면 좋은데요.
여기서는 방화벽 설정을 통해서 한국에서의 접근외에는 모두 차단하는 설정을 진행해보겠습니다.

image.png.jpg

활성화 후 규칙 편집을 통해 방화벽 룰을 설정할 수 있습니다.

image.png.jpg

여기부터는 간단하게 설명을 하고 넘어가겠습니다.

image.png.jpg

포트

포트는 말그대로 접근 포트입니다. 시놀로지의 경우 기본 DSM이 5000/5001을 사용하고
SSH는 22번 기타 다른 서비스들의경우 커스텀 포트를 사용합니다.

마찬 가지로 방화벽에서 특정 포트들에 대해 거부할수도있고 All Deny후 특정 포트만 허용해줄 수 있습니다.

소스 IP

소스 IP의 경우 보통 클라이언트 IP라고도 부릅니다.
내부 ip의 경우 사설ip인 192.168.x.x 이런 대역으로 많이사용하며 공인 ip의 경우가 보통 통신사 IP를 사용합니다.

자신의 공인 ip를 알고싶다면 ip.pe.kr 같은 사이트에서 확인 가능합니다.

시놀(헤놀)에서는 단일 ip와 서브넷을 통한 ip대역, ip 범위등으로 제한이 가능합니다.

위치는 사진으로 설명드리는게 좋을것같아서 첨부했습니다.

기본적으로 정책은 항상 Top -> Down 형태입니다.

위에서 올 Deny라면,, 밑에있는 정책도 안통하기 때문에

상단에 허용시켜줄것을 정하고 최하단을 All deny로 해주시면 되겠습니다.

그러니 먼저 내부망에대한 허용룰을 최상단에 걸고 그 외에 접근 IP들에대해서 차단룰을 조합해서 거시는것을 추천드립니다.

한국에서만 사용하신다면 모두 차단하고 한국만 허용하면 되겠죠..?

내부 접속 허용 룰 설정하기

앞서 말씀드린것처럼 소스 IP를 내부 IP대역으로 설정해주고 최상단에 넣어주시면

내부망에서는 모든 서비스와 포트로 접근이 가능합니다.

image.png.jpg
image.png.jpg

이제 차단룰을 걸기전에 외부에서도 분명 내부로 접속을 시도할테니 남한을 추가로 허용 IP등록을 진행해줍니다.

북한이 KP인건 처음알았네요.

image.png.jpg

위에서 설명드린것들을 조합에서 방화벽 정책을 짜주시면됩니다.

예를들어 정책하나만 보여드리자면

SSH포트로 접근하는 외국 ip를 모두 차단하고자한다면 아래처럼

SSH에 남한 IP허용을 맨위에 전체 차단을 그 아래 놓아주시면되겠습니다.

*이건 예일 뿐이고 그냥 다 차단거시면됩니다 ㅋㅋ

image.png.jpg

권장드리는 정책조합은 외부로의 포트는 80/443만 오픈해서 사용하시고(리버스프록시 이용)

방화벽 룰은 아래처럼 내부/남한만 허용, 나머지는 all deny해주시는걸 추천드립니다.

image.png.jpg

이정도만하셔도 이상한접근의 대부분은 차단할 수 있습니다.