アタックが止まらなかったのもあって、対策を練る為に色々と調べたり勉強したりしながら、ある程度分かったので、まとめておきます。
知っている人なら簡単なことなのでしょうが、自分はネットワーク技術者ではないので、いろんな方のやり方を参考にさせてもらいながら、セキュリティを高めさせてもらっています。
なので、今回のようにブルートフォースアタックのようなことがあると、正直ビクビクしますね。ハイ。怖いです
怖いので、納得するまで勉強するという厄介な性格なので、繰り返しトライしています。
ここまでで一番、分かりやすかったのは、Synologyの機能にあるセキュリティアドバイザーを参考にすることではないでしょうか。
というのも、設定が甘いとダメ出ししてくれるので、セキュリティアドバイザーでOKが出るように設定すれば一安心ということだと思います。
通常、良好になっているものだと思ってました。
たしか以前はOKだったはずなんですが、ブルートフォースアタックをされているので、確認したら設定が甘いことが分かりました。
セキュリティアドバイザーも日々更新されて変わっているということなんでしょうね。
で、内容を見るとまさしくネットワーク設定が甘いことを指摘されていました。
詳細を見てみると、LANサービスはインターネットからアクセス可能です。となっています。
どういうことかな?と表示の所を押すと詳細が見れます。
Windowsファイルサービス、Macファイルサービスなどが外部からアクセスできるよ。と言っています。
要するに外部からアクセスできるポートを閉じなさいよといっているようです。
SMBは自分にとって非常に便利なので、使わないという選択はありません。
なので、使いながらSMBを外部から保護しなければならない。
ということは、ファイアウォールを利用して設定しなおさないとならないということですね。
今まで、余りファイアウォール設定は知らなかったのですが、今回、このおかげで少しスキルがアップしました。
今回、分かりやすかった記事はこの方の記事が分かりやすくて、参考にさせて頂きました。
では、参考にさせて頂いた記事をもとにファイアウォールの設定を書いておきます。
まずはファイアウォールサービスを有効にします。
ここは基本的に有効になっているのではないかと思います。
自分も有効にはしていました。
「規則の編集」を押して中身を見ると、Synologyで自動的に生成される設定が出来ていました。
その辺、便利ではありますが、「ふ~ん」くらいにしか思っていませんでした。
知らないということは怖い事ですね。その時の自分を叱ってやりたいくらいです。
↓ 設定したファイアウォールのルール
まずはSynology自体のアクセスの許可設定 ↓
IPアドレスはSynology DS1621+ を差しています。
そして、DS1621+は4つLANポートを持っているので、それぞれ設定します。
↑ 次に、ローカルネットワークのデバイスからのアクセスは全てOKと設定します。
範囲はそれぞれのネットワーク環境に基づいて設定してくださいね。
続いてIPV6設定 ↓
↑ こちらはV6のローカル(リンクローカル)
↑ こちらはV6のグローバル
参考にさせて頂いた記事だとDockerとVPNを設定されていますが、自分は使用していないので設定しません。
ブログなどを書いている場合は80と443を開いておかないとならないので、ここはへのアクセスは全て許可とします。
↑ 続いてスマホなどで、ネットワークを介して接続するときの許可ですね。
スマホアプリのDS note、DS finder、Drive、Photos、DS fileなどを許可する意味です。
許可するポートと発信元を日本として、縛っています。
最後に上記設定以外のアクセスを拒否する。
これを最後に設定するのが一番大事です。
というのが、下の図のファイアウォールのルールの並びですが、
上から順に優先許可するルールを設定して許可していき、最後にそれ以外をすべて拒否するというルールを入れておくのが安全とのことです。
まぁ、それがセオリーということなのでしょうね。
ということで、ファイアウォールの設定でした。
最後にセキュリティアドバイザーにてスキャンしてオールOKになると安心です。
さぁ、これで良くなるかな~。と思いますが、ブルートフォースアタックはどうなるでしょうかね。
色々、今回は勉強になった回でした。また、何かあれば報告します。