[Synology NAS] 보안세팅

---

Synology NAS 보안세팅

초기세팅이 끝나면 내부에서만 IP를 주소로해서 접속할 수 있는데

NAS의 진짜 편리함을 끌어내기 위해선 외부에서도 접속이 가능하게 세팅을 해야한다

 

제어판에서 quickconnect 기능을 활성화 할 수 있는데 보안상 그리 좋은 선택같아 보이진 않는다

 

일단 외부에서의 접속을 열기 이전에 기본적인 보안세팅을 거친후 외부접속을 여는 순서로 진행한다

우리의 데이터는 소중하니깐....⭐

 

우리가 해야할 기본 보안세팅은 3가지로 아래와 같이 진행할 것이다

1. 기본 DSM 접속 포트 변경

2. 방화벽 설정

3. DDNS, HTTPS 설정

 

이 외에 OTP, 로그아웃 타이머 등의 설정은 나중에 다뤄볼 것이다

---

기본  DSM  접속 포트 변경

제어판 메인

로그인 포털

제어판 > 로그인 포털

DSM 포트가 기본 디폴트로 5000과 5001로 설정 돼있는걸 볼 수 있는데

기본포트 그대로 두고 외부접속을 열어뒀다간 '그 나라'에서 엄청난 접속 시도를 하는 광경을 볼 수 있다

 

'그 나라'뿐만 아니라 해외에서 봇을 이용해 접속시도가 자주 이뤄지므로 세팅이 필요하다

실제 접속시도 로그

세팅없이 사용하던 시절 실제로 접속시도 된 로그다

계속 IP를 바꿔가며 수백번 지속적으로 시도하는데 로그에 찍히는것도 거슬리고 상당히 심기가 불편하다

 

아무튼 기본 5000, 5001로 돼있는 임의로 well-known port를 제외하고 맘에드는 숫자로 변경한다

저장 버튼을 누르면 웹 서버 다시 시작 중.. 이라는 메시지랑 함께 DSM이 재부팅된다

 

기존에 IP:5001로 접속하지 않고 IP:지정한 포트로 접속을 시도하면된다

---

 

방화벽 설정

포트만 바꾼다고 해외에서 접속시도 하는게 해결되지는 않는다 아예 해외접속 자체를 차단하고

국내에서만 접속 가능하도록 화이트리스트 정책으로 적용해보자

제어판 > 보안 > 방화벽

방화벽 활성화를 체크하고 아래에 규칙 편집을 누른다

1. 하고싶은 프로파일 이름 작성 ex)화이트리스트

2. 생성 누르기

3. 소스 IP의 위치 > 선택 클릭

4. 남한 체크후 확인

5. 작업은 허용

6. 한 번더 생성

모두, 모두, 거부 > 확인

이렇게 설정되면 된 것

 

1. 남한 IP의 모든 포트와 프로토콜에 대해서는 허용하고

2. 다른 모든 접속은 거부한다

 

이렇게 방화벽 설정을 완료한다

 

---

 

DDNS, HTTPS 세팅

외부에서 도메인 이름으로 접속하고 SSL 통신을 하기위해 DDNS와 HTTPS를 세팅한다

제어판 > 외부 엑세스 > DDNS

 

1. 추가 클릭

2. 형식에 맞게 내용을 입력한다

서비스 공급자 - 드롭다운 박스를 누르면 여러 도메인 공급자가 보이는데 필자는 Synology로 설정했다

호스트 이름 - 원하는 호스트 이름을 작성한다 'example'이라 작성하면 example.synology.me 라는 도메인이 생성된다

사용자 이름 - 원하는 사용자 이름 작성

패스워드 - 원하는 패스워드 작성

외부주소 - 아마 자동으로 잡힐텐데 외부랑 연결돼있는 공인 IP로 설정한다

 

연결 테스트 클릭후 '정상' 이라고 표시되면 확인 클릭

추가됐음을 확인하고 항목 더블클릭

팝업창에서 Let's Encrypt에서 인증서를 가져오고 기본 인증서로 설정 체크후 확인 버튼 클릭

 

웹 서버가 다시 구동되고 

크롬기준 상단에 자물쇠 아이콘과 함께 HTTPS 연결이 정상등록된다.

---

 

마무리

기본적인 접근제어와 보안세팅은 됐다 다음글에선

포트포워딩을 작업하고 실제 외부에서 접속하도록 세팅해보쟈