by Google Ads ID24747 by Google Ads ID:11145 by Google Ads ID23293
目次
はじめに
NASやRouterには、必要なセキュリティ機能が装備されています。ローカルネットワークの外からのアクセスを許可している場合は、適切に設定しておかなければ、不正アクセスの踏み台になったり、データを失ったりすることもあり得ます。NAS/Routerには、それぞれで、なにがしかのサーバーが構築されているはずです。Synology のNAS/Routerには、サーバーに対して行われる不正ログインやアタックを阻止する機能があるので、適切に設定しましょう。
今回、MailPlus Serverに対する不正ログインによるアクセス試行 (frute-force-attach)を偶然に発見しました。今日まで半年の間、四六時中、ログイン試行を許していたのでした。
ターゲットとなったサーバーは、MailPlus Serverですが、今回紹介する方法は、外部からのアクセスを許しているサーバー全般に対して、ログイン試行 (brute-force-attack)を共通に阻止することができます。
ログセンターをまだインストールしていない場合は、パッケージセンターからインストールを済ませておきます。インストールできていれば、下図のように「ロクセンター」が表示されるはずです。
図1. ログセンターは毎日確認
Log Center
これまで、Log Center (ログセンター)のログは、時折確認していました。しかし、Warningに関しては、重要視していませんでした。
たまたま、今日(2020/06/05)、Warningをしっかり見てみたところ、3分間隔で、MailPlus Serverに対するログイン試行を繰り返していることに気づきました。しかも、3日間に渡ってです。Logを遡って見てみると、以下のことがわかりました。
- 一回の攻撃は、約3日間をひとまとまりとして行われていた
- その約3日間が数日間の間隔を置いて、同様の攻撃が行われていました
- これを大きな「かたまり」として1つと勘定すると、まとまった攻撃の回数は半年間で、5回を確認できました
- 3日間でのやり口は、約3分間隔でログインの試行をユーザー名を色々と変えながら行っていました。
- ユーザーIDは、home、ad, user, user0など、よく使われるものでした(図1)
この攻撃を許していたことに冷や汗です。
図1. MailPlus Serverへのログイン試行ログ
Synology DS517 by Amazon ID:22173 Synology DS920+ by Amazon ID:22172 オムロン BY50S用パック by Amazon ID:22171 オムロン BY50S by Amazon ID22170 Synology 高機能無線ルーター VPN Plus対応 日本正規代理店アスク サポート対応 保証2年 NT934 RT2600ac by Amazon ID24327 エレコム LANケーブル CAT6A 5m 爪折れ防止コネクタ ホワイト LD-GPA/WH5 by Amazon ID24327
対策
DS918+のアクセス制限の適切な設定
アクセス回数によるログインの制限を、以下のような考え方によって適切に設定します。
- 3分間隔のログイン間隔を前提にします
- 3回のログイン・ミスが生じた場合にブロックするようにします
- 3 x 3 =9 分間で、3回のミスが生じた場合をブロックできれば良いことになります
- 時間に余裕を持たせて例えば、12分を設定します
- 回数は、3回を設定します
コントロールパネル→セキュリティ→アカウント
図2. ログイン制限の設定
設定例
当初の設定では、時間の設定を1分にしていました。早めに検知できた方が良いと直感的に考えたからでしたが、その設定は間違いでした。1分以内で実行できるログイン試行数は、それほど多くありません。時間は、10分から60分程度が、検知するには必要です。更に、自分がログインしてすることと、不正アクセス者がログイン試行することを考えると、60分の時間内でのログイン試行数が設定の鍵になります。
例1
12分間の間で、3回~(最大4回)のログインを試行して失敗した場合、自動的にブロックします。4分間隔以下を検出できます。この場合、12分間で3回間違えるとブロックされます。自分がログインする場合も同様なので、少ない回数の3回については注意が必要です。
- ログイン試行回数(Login Attempts) : 3 回
- その時間範囲 (Within) : 12 分
例2
例1は、4分間隔のログイン思考を前提にしましたが、不正アクセス者は検知をさせるためには、間隔を更に長くすることも考えられます。
そこで修正して、各値を約3倍にを考えてみます。60分間の間で、10回のログイン試行のブロックを考えます。この場合、60分間以内に、10回ミスするとブロックできます。自分がアクセスする場合、10もミスはしないと思います。また、不正アクセス者が、10回の限られた回数でID/PWを破れるとは考えられません。妥当な設定だと思います。ただし、この設定では、不正ログイン試行を6分に1以上のアタックに対しては、自動ブロックができません。
この自動ブロックができない状態がそのまま続いたとして24時間経過後には、240回のログイン試行がおこなわれてしまいます。
- ログイン試行回数(Login Attempts) : 10 回
- その時間範囲 (Within) : 60分
- 自動ブロックができない最悪のケースでは、24時間後には、240回のログイン試行を許してしまう
例3
例2の、10回、60分の設定では、最悪の場合、24時間後には、240回のログイン試行を許します。
そこで、10回のミスは、自分もあり得ると許容して、時間をもう少し考えます。24時間以内に10回ミスしたら、自動ブロックするようにすればどうでしょうか。
自分がログインする時、1日の内に連続して10回もミスはしません。10回、24 x 60 =1440分の設定を最終案として考えてみましょう。
不正ログイン試行が、この設定を最悪逃れられた場合、1日(24時間、1440分)で10回を許すことになります。1日で10回ということは、1週間で70回の試行回数になります。
Log Centerの確認を毎日行えば、10回の試行回数で発見できます。1週間毎の確認であれば、70回の試行回数で発見できることになります。なかなか、リーズナブルな設定値になってきました。これを最終提案とします。
- ログイン試行回数(Login Attempts) : 10 回
- その時間範囲 (Within) : 1440分
- 自動ブロックができない最悪のケースでは、24時間後には10回、1週間では70回ののログイン試行を許します。それ以外は、自動ブロックできます。
- 妥当な設定であると判断しました。
設定の効果
ログイン制限の設定は、12分-3回に設定してみました。今、まだ、不正ログイン施工を実行中(bot)ですが、以下の様に、3回のログイン試行により、自動的にブロックされたことが、Log Centerのログから確認できました。
図3. 自動ブロックされたことを確認
メール通知
NASシステムの通知方法として、メールアドレスを設定しているなら、前述の設定で、自動ブロックされた時には、メールで通知がきます。
図4. 自動ブロックされたると携帯に通知がくる
永遠にブロックする
自分がブロックされることもあると思います。そこで、自動ブロック期間は、1日にしています。
自動ブロックの通知が届いた場合は、設定から永遠にブロックしておきます。
コントロールパネル → セキュリティ→ アカウント→ブロックリスト
ブロックリストには、自動的にブロックしたIPアドレスがリストされていので、そのIPアドレスを控えておき、作成したブロックリストを改めて作成します。上書きするか聞いてきますが、気にせず上書きして、永遠にブロックします。
自動ブロックの通知が届いた場合は、設定から永遠にブロックしておきます。
図5. ブロックリストに永遠にリストしておく
まとめ
今回のBrute-force-attackについは、新型コロナウイルスのため、自宅待機していたことで気が付けましたが、これまでの少なくとも6ヶ月間、気付きませんでした。
3日間で3分間隔の不正ログイン試行では、その総試行回数は、3 × 24 × 60 ÷ 3 = 1,440回です。
それをこの半年間で、少なくとも5回行われていたので、1,440 x 5 = 7,200回の不正ログイン試行を許してしまったことになります。
Log Centerは、週に2回は見ていましたが、今思えば、なんの基準もなく漫然と見ていました。今回は、それでも偶然見つけた訳ですが、大事になる前で良かったと思います。
Log Centerは、設定を最初にした時や設定を変更した時には、しばらくは、できれば毎日見た方が良いですし、今回の教訓から特にWarningは、文字通り注意して見る必要があります。同じIPアドレスは要注意です。
今回の例3の設定では、24時間で10回以上、または、1週間で70回以上のログイン試行を自動ブロックできます。
もしも、自動ブロックが出来ない間隔で不正ログイン試行をされた場合でも、毎週1回のLog Centerの確認によリ、最悪でも70未満の試行回数で発見できます。もちろん、毎日のLog Centerの確認により、10回未満の試行回数で発見できます。
勿論、少ない回数で鍵を開けられない程度の複雑なPW設定を前提にしています。攻撃者に対して、決して、宝くじの当たる確率を上げないように運用していきたいものです。
Synology Routerの設定
以上の設定は、Synology Routerにも同様に設定できるので、それぞれがターゲットとなっても大事に至らないよう、同様に設定しておきます。
- ネットワークセンター → セキュリティ → 自動プロック
まとめ
レンタルサーバーを使わず、自前のマシンを使っってBlogをしたり、ホームサーバーとして構築していたとしても、外部からのアクセスを許して運用している御同輩の皆さんは、一般ユーザーとは異なり、私もそうですが、茨の道を進んでいるのです。
防御能力は攻撃能力よりも重要です。しっかり「マイホーム」を守れるように日々精進したいと思います。
以上
編集履歴
2020/06/05 はりきり(Mr) 2020/06/06 追記(例3) 2021/01/22 文言整備、図の追加
by Amazon ID13211 by Amazon ID19245
【Amazon.co.jp 限定】HP USBメモリ 128GB USB 3.1 スライド式 金属製 HPFD796L-128 GJP by Amazon - ID 24751 
3Dプリンター ダヴィンチ Jr. 1.0(造形サイズ15×15×15cm) - 環境に優しい土に返るPLAフィラメント - ダビンチ Jr. 1.0 XYZプリンティングジャパン by AMAZON ID21513 
3Dプリンター|ダヴィンチ1.0 pro|オートキャリブレーション機能付|オープンフィラメント可|ABS対応|造形サイズ20×20×20cm|レーザー刻印機能拡張可|積層ピッチ0.02mm~|3F1AWXJP00F - XYZプリンティングジャパン by AMAZON ID21511 
ABS使用可 造形サイズ175×175×175mm オープンフィラメント可 オートキャリブレーション機能付き レーザー刻印機能拡張可 金属系PLA拡張可 3FJSPXJP00G - ダビンチ Jr.Pro X+ XYZプリンティングジャパン by AMAZON ID21509 
zedela 5-in-1 USB-Cハブ【3ポート5Gbps by Amazon - ID 24751
用語の解説、関連タグ付き投稿の抽出
brute-force-attack
DS918+
DS920+
injection
RT2600ac
by Google Ads ID23293 by Google Ads ID24747 by Google Ads ID:11145
Update ID21920
[アニメ]「Dr.STONE」より,化石の世界から携帯電話をつくる・・・語録,ワインの樽に付着したピンクの粒 + 焼いた海草 + お湯に溶かす → ロッシェル塩; 音を電気に変える/1年後、2期の放送が開始された – ID4383 [2021/01/16]
Post Views: 6 目次1 Dr.STONE2 2期3 1期4 編集履歴 Dr.STONE 2期 2021/01から二期が始まりました。少し撮りためてから視聴しようと思っています。 1期 サイエンティストの血を騒 […]
[アニメ] 涼宮ハルヒの憂鬱 — ID27927 [2021/02/21]
Post Views: 0 目次1 涼宮ハルヒの憂鬱2 編集履歴 涼宮ハルヒの憂鬱 高校1年生達の話です。涼宮ハルヒを中心にして物語は進む。序盤は、今後の展開に必要な登場人物が集まっていく。そして、事件が起こり始める。後 […]
[Synology] DS920+のblog server – 15時間のアクセス普通について、今回の原因とは、そしてその対応 – ID27934 [2021/02/22]
Post Views: 4 目次1 はじめに2 対応した作業3 編集履歴 はじめに なぜか、RT2600acのポート転送にWeb Serverへの設定が消えていたことで、HARIKIR-INSIGHTのBlogへのアクセ […]
[Gear-Soft] Flexcil – iOSアプリ – 学生における勉強、仕事での資料のまとに活躍するPDFファイルを素材にしてノートを取れる学習ツール – 電子ダイアリーにも使用可能な応用も – ID1377 [2021/01/23]※
Post Views: 10 目次1 Flexcil2 Flexcilの応用3 Flexcilの機能概要3.1 annotationアプリ4 Flexcilの開発アプローチ5 Flexcilの機能詳細5.1 バックアップ […]
[Synology] グローバルな証明書である「 Let’s Encription 」取得のための設定の要点 – ID1947 [2021/01/02]
Post Views: 39 目次1 はじめに2 証明書3 Let’s Encription証明書の取得3.1 設定の注意点4 教訓5 その他情報6 編集履歴 はじめに httpsのページとして公開可能にするには、証明書 […]
[Gear] iPad Pro 11で使用できるSDカードリーダー – 標準のフォルダー・アプリにSDメモリを表示して、写真データを移動 – ID26190 [2020/12/21]
iPad Pro 11に使用できるSDカードリーダーとClass 10 min SDカードの組み合わせでその挙動を確認した
by Amazon ID13339 by Amaozn ID13196
by Google Ads ID23293 by Google Ads ID24747 by Google Ads ID:11145
最新記事(WordPress, ID:14681)
[WordPress] CLS; Cumulative Layout Shift – 2021/03からGoogle検索評価のスコアに加わる – ID26235 [2020/12/23]
Post Views: 8 目次1 はじめに2 Cumulative Layout Shift3 ページのレスポンスを測定するツールサイト4 関連記事5 参考サイト はじめに 当サイトを立ち上げた頃には、もっぱらplug […]
[WordPress] Widget Logic プラグイン – ID26082 [2020/12/17]
Post Views: 5 目次1 Widget Logicプラグイン2 条件の例 Widget Logicプラグイン 2020/12現在、updateがされておらず、WordPress の最新Version ではテスト […]
[WordPress] 高速化プラグイン「AMP」と定期的に全てのページの静的キャッシュ作成プラグイン「WP Super Cache」で再構成した- ID22640 [2020/12/11]
Post Views: 4 目次1 はじめに2 ページのAMP化のみでもレスポンス改善は十分高い3 キャッシュプラグインを追加する4 プラグインは専用機能がいい4.1 WP Super Cacheの設定のほんとのところ5 […]
by Google Ads ID:11145 by Google Ads ID23293 by Google Ads ID24747
最新記事(Synology, ID:14676)
[Synology] 写真の管理 / Photo Station & Moments – ID26326 [2020/12/31]
Post Views: 7 目次1 はじめに1.1 必要なもの2 補完的に活用する3 バックアップ4 Windows10のiCloudフォトからバックアップを取る5 MomentsからPhoto Stationのフォルダ […]
[WordPress] 高速化プラグイン「AMP」と定期的に全てのページの静的キャッシュ作成プラグイン「WP Super Cache」で再構成した- ID22640 [2020/12/11]
Post Views: 4 目次1 はじめに2 ページのAMP化のみでもレスポンス改善は十分高い3 キャッシュプラグインを追加する4 プラグインは専用機能がいい4.1 WP Super Cacheの設定のほんとのところ5 […]
[Synology] 以前からeo光なのに速度が遅く感じられていた(100Mbps) – A6のネットケーブルで改善(300~500Mpbs) [2020/10/19]
Post Views: 6 目次1 eo光の速度の測定2 コースごとの測定3 ケーブル交換前の速度4 ケーブル交換後の速度5 その他のコースで測定6 使用したケーブル eo光の速度の測定 もう数年以来、ネットの速度が遅い […]
[Synology – Plex] Plex Serverに繋がらなくなったときの対処法 – ID24032 [2020/10/04]
Post Views: 8 目次1 はじめに2 課題3 対処方法4 Plexの管理画面でできること5 まとめ はじめに Plexは、自宅のサーバーにあるメディア(音楽、動画)をインターネット経由でもストリーム配信できるメ […]
by Google Ads ID23293 by Google Ads ID24747 by Google Ads ID:11145
その他記事(ALL-RANDOM, ID:16786)
今日の英語 – as well as- and 接続詞の類型と考える – と応用も広がる – ID15360 [2020/05/07]
Post Views: 6 A and B are compatible.AとBは、同等である。 as well as は、接続詞と考えれは、用途が広がります。「and」の代わりに、より情報を盛り込んだ、接続詞として使用 […]
[Bio-Equipment] Transfection for Plasmid to cells – ID23809
Post Views: 9 遺伝子導入装置 バイオ医薬品の目的タンパク質をコードする遺伝子を産生細胞株に注入する装置 MaxCyte ExPERT 遺伝子導入装置 (MaxCyte) https://kiko-tech. […]
Synology NASのセキュリティを強化する方法のリンク – ID8870
Post Views: 5 もしも、Synology NASを自宅で稼働させていて、以下の項目についてよく分からず稼働させている場合は、是非、以下のSynologyのサイトに行って、設定方法の確認をお勧めします。 はじめ […]
[Cafe] 神戸屋ブレッドラブ 豊中店 – ID21502
Post Views: 7 神戸屋ブレッドラブ 豊中店 モーニングセットもボリュームがあり、以前はよく車を飛ばして来ていました。 大阪から新御堂道を車で江坂へ向かい、江坂手前で川を渡ってすぐに側道を降りて直ぐの信号を左折 […]
[ゲノム編集] デュアルAAVデリバリーシステムによるマウスのデュシェンヌ型筋ジストロフィーの治療研究 (CRISPR-Cas9を補助する) – ID9877 [2020/08/22]※
Post Views: 3 目次1 概要2 参考 概要 デュシェンヌ型筋ジストロフィー(DMD)は、ジストロフィン遺伝子(DMD)に変異を持つ。これまでは、CRISPR-Cas9を介した「シングルカット」ゲノム編集を適用 […]
[用語] Chromosome; 染色体 – ID7720
chromosome DNAとHistoneからなる。分裂期には姉妹染色分体がみられ、およそ中央部の強固結合部分をセントロメア、末端がテロメア。https://ja.wikipedia.org/wiki/染色体