パスワードリスト攻撃
- 攻撃概要 : 不正入手したID・パスワード情報によるログイン試行して権限を奪取
- 攻撃手段 : ID・パスワード情報(ネットにはリストが出回っている)によるログイン試行
- 攻撃対象 : ログインが可能な全てのサーバー
- 被害内容 : 不正アクセスによる情報漏洩、改竄、データ破壊
- 対策 : Synology NAS、Routerには、ログインの失敗について、同じIPアドレスからのものは、その失敗回数と期間を指定してロックアウトすることができます
ブルートフォースアタック(総当たり攻撃)
- 攻撃概要 : ID・パスワードによるユーザー認証を手当たりしだいに試行して権限を奪取
- 攻撃手段 : 手当たりしだいのログイン試行
- 攻撃対象 : ログインが可能な全てのサーバー
- 被害内容 : 不正アクセスによる情報漏洩、改竄、データ破壊
- 対策 : SynologyのNAS製品およびRouter製品には、ログインの失敗について、同じIPアドレスからのものは、その失敗回数と期間を指定してブロックすることができます。
Webセキュリティ対策
一般論の脆弱性とその対応・知識
- ローカルネットワークに、htmlサーバーをインストールしてほったらかしにしているNASやPCはないか
- デフォルトのindex.htmlの存在は脆弱性がある → サーバーのuninstall
- ただし、Haney potとして、攻撃者の手口をLogから知るために、あえて設定しておくこともできる
- デフォルトのindex.htmlの存在は脆弱性がある → サーバーのuninstall
- 例えば、Haney potののLog
- editBlackAndWhiteList : サーバーのAPI
- NVR, DVR, IPC機器などの脆弱性に関連
- NVR, DVR, IPC機器などの脆弱性に関連
- 遠隔でsetup.phpの起動を試みている
- 権限を設定できていないと遠隔でSetupが起動されてしまう。
- 起動されると初期設定される
- DBのphpMyAdminの起動がされると危険
- その他setup.phpも当然、起動されると危険
- editBlackAndWhiteList : サーバーのAPI
状況の把握
不正アクセスを仕掛けているIPアドレスから、その住所や会社名などを調べます。
対策 – アクセス拒否の設定
- ローカル・アドレスへのアクセスを拒否 (ドメインのみにする)
- NGINXの場合の設定
location / { root /user/share/nginx/html; index index.html index.htm;}
を
location / { return 444;} - Apache HTTP Server 2.4の場合の設定
<VirtualHost _default_:80>内にある
<Location /> </Location>の中に
Require all deniedを挿入する
- NGINXの場合の設定
- 実行ファイルをURL経由で実行させない設定にする
- アクセス拒否する設定
- 代替の実行ファイルを実行させる設定
- Webの公開ディレクトリはデフォルトにしない
- redirect
- 実行ファイルは公開ディレクトリの外に置く
参考 : Webサーバーに対するアタックについて、以下のサイトの記事を参考にさせて頂きました
https://www.cman.jp/network/support/ip.html
対策 – SSLの設定
- SSLとは通信情報の暗号化に関する仕組み
- ヒトが読むことができるコードで通信、すなわち平文では、第三者に傍受されて内容が把握されるリスクがある(パケットキャプチャ)
- そこで、通信内容を暗号化すれば、パケットキャプチャのリスクは、その分低くなる(通信元、通信先、通信プロトコルなど一部確認は可能)
- 一般的に使われている暗号化手法(プロトコル)にSSLがある
- Webサーバでは、httpにsが付いた「https://」がSSL対応になっています。
- 自宅のNASにWordPressを立ち上げている場合、SSL対応にするには、第三者の証明書の取得が必要
- Synology NAS, Router製品では、Webサーバにhttpsを強制的に使用するように設定が可能です。また、httpsを使えるようにするには、第三者証明書が必要です。無料である「Let’s Encrypt」が世界中で数億が発行されています。有料版は、個人では必要ない時代になりました。
対策 – ファイアウォール (FW)
- ファイアウォールというプログラムのサーバーをネットワークの出入り口(ポート)に設置
- 防御に有効な攻撃
- ポートスキャン
- 設定したルールに基づいて許可する通信、不許可による制御の実施
- この制御をパケットフィルタリングという
- このルールを記述したものをACL(Access Control List)と呼ぶ
- 指定したサイトやソフトウェアによるネットワーク接続について、拒否・許可が可能
- ルールで許可したもの以外は、接続できないため、組織のネットワーク利用ポリシーに反する(仕事に必要でない)通信(P2P,etc)を防ぐことが可能
- 通信ルールの範囲でのサイバー攻撃は可能なため、「なりすまし」の不正アクセスは当然可能
- ファイアウォール以外の対応も必要
- IDS/IPS(不正通信防御/検知システム)やWAFなどの併用
- SynologyのNAS/Router製品での設定
- Fire Wallの設定により地域をフィルターする
- ファイアウォール・プロファイルの「規則の編集」
- 安全を期するために、「可能」の設定として、全てのポート、全てのプロトコルに対して、可能な地域を「日本」に設定。ただ、これでは、その他全てを拒否したことにはなりません
- 更に、日本以外の設定を「拒否」にする
- SMBで使用するポート445 (そのほか137~139)にアタックするパケットは非常に多いref。Synology RT2600acのアプリであるThreat Preventionは、SMBでのアクセスを自動でドロップ(排除)してくれる。Fire Wallでの設定でも可能。
- ポート転送の設定でも対応できます
- プライべートでの通信では、ポート設定は自由に行えるので、例えば、ポート80は内部だけに通じるようにしておき、インターネットでは8080やその他、なんでも良いので、ポート番号を設定することで、あるサービスが、デフォルトでないポート番号となり、アタックされにくくはなります。
- Fire Wallの設定により地域をフィルターする
対策 – IDS/IPS
参考 : 「WAFとIPS/IDSのちがいとは?, CyberSecurityTIMES」source
- ローカルネットワークとインターネットの通信をリアルタイム監視する
- 防御に有効な攻撃
- SQLインジェクション
- 不正アクセスを検知すれば、それを防御する
- 防御方法
- ネットワーク型
- ホスト型
RT2600acによる対処
Synology Router RT2600acを使用しているなら、「Threat Prevention」パッケージを導入すれば、初期設定で危険なアクセスは、自動的にドロップしてくれます。
この機能は、一般的に言うと以下でも紹介している「IPS」と言います。
- IDS : Intrusion Detection System; 不正侵入検知システム
- IPS : Intrusion Prevention System; 不正侵入防止システム
対策 – WAF
参考 : 「攻撃遮断くん」source
WAF ; Web Application Firewall
- 送信されるリクエストを解析し、不正な文字列を監視する
- 防御に有効な攻撃
- SQLインジェクション
- パスワードリスト攻撃
- クロスサイトスクリプティング
- 「攻撃遮断くん」という有料のソフトがあります。
- Synologyでこの機能に相当する無料のパッケージがあります。RT2600acに適用する「Safe Access」です。
