カテゴリー
security Synology WordPress

[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- ID16720 [2020/06/06]

brute-force-attachによるUID/PW情報を破る試行行為が数日間に渡って静かに行われていた。対処策はあるが、安定するまではLog Centerの日常な監視と設定により、その有効性を高める必要がある。Warning情報から怪しいIPアドレスはブロックリストに登録、更に、効果的な自動ブロックはアクセス制限の設定値にかかっている。

[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- ID16720 [2020/06/06]
スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID24747
  • by Google Ads ID23293
スポンサーリンク
by Google Ads ID8603

はじめに

NASやRouterには、必要なセキュリティ機能が装備されています。ローカルネットワークの外からのアクセスを許可している場合は、適切に設定しておかなければ、不正アクセスの踏み台になったり、データを失ったりすることもあり得ます。NAS/Routerには、それぞれで、なにがしかのサーバーが構築されているはずです。Synology のNAS/Routerには、サーバーに対して行われる不正ログインやアタックを阻止する機能があるので、適切に設定しましょう。

今回、MailPlus Serverに対する不正ログインによるアクセス試行 (frute-force-attach)を偶然に発見しました。今日まで半年の間、四六時中、ログイン試行を許していたのでした。

ターゲットとなったサーバーは、MailPlus Serverですが、今回紹介する方法は、外部からのアクセスを許しているサーバー全般に対して、ログイン試行 (brute-force-attack)を共通に阻止することができます。

ログセンターをまだインストールしていない場合は、パッケージセンターからインストールを済ませておきます。インストールできていれば、下図のように「ロクセンター」が表示されるはずです。

図1. ログセンターは毎日確認

Log Center

これまで、Log Center (ログセンター)のログは、時折確認していました。しかし、Warningに関しては、重要視していませんでした

スポンサーリンク
by Google Ads ID19417

たまたま、今日(2020/06/05)、Warningをしっかり見てみたところ、3分間隔で、MailPlus Serverに対するログイン試行を繰り返していることに気づきました。しかも、3日間に渡ってです。Logを遡って見てみると、以下のことがわかりました。

  • 一回の攻撃は、約3日間をひとまとまりとして行われていた
  • その約3日間が数日間の間隔を置いて、同様の攻撃が行われていました
  • これを大きな「かたまり」として1つと勘定すると、まとまった攻撃の回数は半年間で、5回を確認できました
  • 3日間でのやり口は、約3分間隔でログインの試行をユーザー名を色々と変えながら行っていました。
    • ユーザーIDは、home、ad, user, user0など、よく使われるものでした(図1)

この攻撃を許していたことに冷や汗です。

図1. MailPlus Serverへのログイン試行ログ
スポンサーリンク
by Google Ads ID8603
スポンサーリンク
  • Synology DS517 by Amazon ID:22173
  • Synology DS920+ by Amazon ID:22172
  • オムロン BY50S用パック by Amazon ID:22171
  • オムロン BY50S by Amazon ID22170
  • Synology 高機能無線ルーター 800Mbps + 1,733Mbps(11a/b/g/n/ac対応) 高セキュリティ VPN Plus対応 RT2600ac by Amazon ID24327
  • エレコム LANケーブル CAT6A 5m 爪折れ防止コネクタ ホワイト LD-GPA/WH5 by Amazon ID24327

対策

スポンサーリンク
by Rakuten ID:15895

DS918+のアクセス制限の適切な設定

アクセス回数によるログインの制限を、以下のような考え方によって適切に設定します。

  • 3分間隔のログイン間隔を前提にします
  • 3回のログイン・ミスが生じた場合にブロックするようにします
  • 3 x 3 =9 分間で、3回のミスが生じた場合をブロックできれば良いことになります
  • 時間に余裕を持たせて例えば、12分を設定します
  • 回数は、3回を設定します

コントロールパネル→セキュリティ→アカウント

図2. ログイン制限の設定

設定例

当初の設定では、時間の設定を1分にしていました。早めに検知できた方が良いと直感的に考えたからでしたが、その設定は間違いでした。1分以内で実行できるログイン試行数は、それほど多くありません。時間は、10分から60分程度が、検知するには必要です。更に、自分がログインしてすることと、不正アクセス者がログイン試行することを考えると、60分の時間内でのログイン試行数が設定の鍵になります。

例1

12分間の間で、3回~(最大4回)のログインを試行して失敗した場合、自動的にブロックします。4分間隔以下を検出できます。この場合、12分間で3回間違えるとブロックされます。自分がログインする場合も同様なので、少ない回数の3回については注意が必要です。

  • ログイン試行回数(Login Attempts) : 3 回
  • その時間範囲 (Within) : 12 分

例2

例1は、4分間隔のログイン思考を前提にしましたが、不正アクセス者は検知をさせるためには、間隔を更に長くすることも考えられます。

そこで修正して、各値を約3倍にを考えてみます。60分間の間で、10回のログイン試行のブロックを考えます。この場合、60分間以内に、10回ミスするとブロックできます。自分がアクセスする場合、10もミスはしないと思います。また、不正アクセス者が、10回の限られた回数でID/PWを破れるとは考えられません。妥当な設定だと思います。ただし、この設定では、不正ログイン試行を6分に1以上のアタックに対しては、自動ブロックができません。

この自動ブロックができない状態がそのまま続いたとして24時間経過後には、240回のログイン試行がおこなわれてしまいます。

  • ログイン試行回数(Login Attempts) : 10 回
  • その時間範囲 (Within) : 60分
  • 自動ブロックができない最悪のケースでは、24時間後には、240回のログイン試行を許してしまう
スポンサーリンク
スポンサーリンク Synology 高機能無線ルーター 800Mbps + 1,733Mbps(11a/b/g/n/ac対応) 高セキュリティ VPN Plus対応 RT2600ac – ID14283
スポンサーリンク
Synology DiskStation DS918+ [クアッドコアCeleron J3455 1.5GHz CPU搭載] 4ベイNASキット by AMAZON – ID14279

例3

例2の、10回、60分の設定では、最悪の場合、24時間後には、240回のログイン試行を許します。

そこで、10回のミスは、自分もあり得ると許容して、時間をもう少し考えます。24時間以内に10回ミスしたら、自動ブロックするようにすればどうでしょうか。

自分がログインする時、1日の内に連続して10回もミスはしません。10回、24 x 60 =1440分の設定を最終案として考えてみましょう。

不正ログイン試行が、この設定を最悪逃れられた場合、1日(24時間、1440分)で10回を許すことになります。1日で10回ということは、1週間で70回の試行回数になります。

Log Centerの確認を毎日行えば、10回の試行回数で発見できます。1週間毎の確認であれば、70回の試行回数で発見できることになります。なかなか、リーズナブルな設定値になってきました。これを最終提案とします。

  • ログイン試行回数(Login Attempts) : 10 回
  • その時間範囲 (Within) : 1440分
  • 自動ブロックができない最悪のケースでは、24時間後には10回、1週間では70回ののログイン試行を許します。それ以外は、自動ブロックできます。
  • 妥当な設定であると判断しました。
スポンサーリンク
by Google Ads ID8603

設定の効果

ログイン制限の設定は、12分-3回に設定してみました。今、まだ、不正ログイン施工を実行中(bot)ですが、以下の様に、3回のログイン試行により、自動的にブロックされたことが、Log Centerのログから確認できました。

図3. 自動ブロックされたことを確認
スポンサーリンク
by Google Ads ID8603

メール通知

NASシステムの通知方法として、メールアドレスを設定しているなら、前述の設定で、自動ブロックされた時には、メールで通知がきます。

図4. 自動ブロックされたると携帯に通知がくる
スポンサーリンク
by Google Ads ID8603

永遠にブロックする

自分がブロックされることもあると思います。そこで、自動ブロック期間は、1日にしています。

自動ブロックの通知が届いた場合は、設定から永遠にブロックしておきます。

コントロールパネル → セキュリティ→ アカウント→ブロックリスト

ブロックリストには、自動的にブロックしたIPアドレスがリストされていので、そのIPアドレスを控えておき、作成したブロックリストを改めて作成します。上書きするか聞いてきますが、気にせず上書きして、永遠にブロックします。

自動ブロックの通知が届いた場合は、設定から永遠にブロックしておきます。

図5. ブロックリストに永遠にリストしておく
スポンサーリンク
by Google Ads ID8603

まとめ

今回のBrute-force-attackについは、新型コロナウイルスのため、自宅待機していたことで気が付けましたが、これまでの少なくとも6ヶ月間、気付きませんでした。

3日間で3分間隔の不正ログイン試行では、その総試行回数は、3 × 24 × 60 ÷ 3 = 1,440回です。

それをこの半年間で、少なくとも5回行われていたので、1,440 x 5 = 7,200回の不正ログイン試行を許してしまったことになります。

Log Centerは、週に2回は見ていましたが、今思えば、なんの基準もなく漫然と見ていました。今回は、それでも偶然見つけた訳ですが、大事になる前で良かったと思います。

Log Centerは、設定を最初にした時や設定を変更した時には、しばらくは、できれば毎日見た方が良いですし、今回の教訓から特にWarningは、文字通り注意して見る必要があります。同じIPアドレスは要注意です。

今回の例3の設定では、24時間で10回以上、または、1週間で70回以上のログイン試行を自動ブロックできます。

もしも、自動ブロックが出来ない間隔で不正ログイン試行をされた場合でも、毎週1回のLog Centerの確認によリ、最悪でも70未満の試行回数で発見できます。もちろん、毎日のLog Centerの確認により、10回未満の試行回数で発見できます。

勿論、少ない回数で鍵を開けられない程度の複雑なPW設定を前提にしています。攻撃者に対して、決して、宝くじの当たる確率を上げないように運用していきたいものです。

Synology Routerの設定

以上の設定は、Synology Routerにも同様に設定できるので、それぞれがターゲットとなっても大事に至らないよう、同様に設定しておきます。

  • ネットワークセンター → セキュリティ → 自動プロック
スポンサーリンク
by Google Ads ID8603

まとめ

レンタルサーバーを使わず、自前のマシンを使っってBlogをしたり、ホームサーバーとして構築していたとしても、外部からのアクセスを許して運用している御同輩の皆さんは、一般ユーザーとは異なり、私もそうですが、茨の道を進んでいるのです。

防御能力は攻撃能力よりも重要です。しっかり「マイホーム」を守れるように日々精進したいと思います。

以上

スポンサーリンク
スポンサーリンク Synology 高機能無線ルーター 800Mbps + 1,733Mbps(11a/b/g/n/ac対応) 高セキュリティ VPN Plus対応 RT2600ac – ID14283
スポンサーリンク
Synology DiskStation DS918+ [クアッドコアCeleron J3455 1.5GHz CPU搭載] 4ベイNASキット by AMAZON – ID14279
スポンサーリンク
by Google Ads ID8603

編集履歴

2020/06/05 はりきり(Mr)
2020/06/06 追記(例3)
2021/01/22 文言整備、図の追加
スポンサーリンク
  • by Amazon ID13339
  • by Amazon ID13211
スポンサーリンク
  • 【Amazon.co.jp 限定】HP USBメモリ 128GB USB 3.1 スライド式 金属製 HPFD796L-128 GJP by Amazon - ID 24751
  • 3Dプリンター ダヴィンチ Jr. 1.0(造形サイズ15×15×15cm) - 環境に優しい土に返るPLAフィラメント - ダビンチ Jr. 1.0 XYZプリンティングジャパン by AMAZON ID21513
  • 3Dプリンター|ダヴィンチ1.0 pro|オートキャリブレーション機能付|オープンフィラメント可|ABS対応|造形サイズ20×20×20cm|レーザー刻印機能拡張可|積層ピッチ0.02mm~|3F1AWXJP00F - XYZプリンティングジャパン by AMAZON ID21511
  • ABS使用可 造形サイズ175×175×175mm オープンフィラメント可 オートキャリブレーション機能付き レーザー刻印機能拡張可 金属系PLA拡張可 3FJSPXJP00G - ダビンチ Jr.Pro X+ XYZプリンティングジャパン by AMAZON ID21509
  • zedela 5-in-1 USB-Cハブ【3ポート5Gbps by Amazon - ID 24751
スポンサーリンク

用語の解説、関連タグ付き投稿の抽出

brute-force-attack

[Synology] Threat Preventionとファイヤーフォールの連携 – ID28980 [2021/03/22]
[Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – ID22342 [2020/12/31]
[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- ID16720 [2020/06/06]
[Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある- ID12353 [2021/04/09]
[Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する – ID3611 [2020/03/20]

DS918+

DS920+

injection

[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- ID16720 [2020/06/06]
[Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは – ID3801

RT2600ac

[Synology] 高速WiFiルーター RT2600ac – VPN Plus Server – 暗号化技術によりローカル環境を擬似的に作り上げる – ID37 [2021/01/05]
[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- ID16720 [2020/06/06]
[Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは – ID3801
[Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件 – ID2861
[Synology] NASのネットワークツールからWOLを発信してと思ったが、ルーターはRT2600acなので、iPhone用のアプリDS ROUTERの wake on lan から自宅のPCを起動する – ID508 [2020/08/09]
スポンサーリンク
  • by Google Ads ID23293
  • by Google Ads ID24747
  • by Google Ads ID:11145
スポンサーリンク
by Google Ads ID8603

Update ID21920

WordPress
[WP] UMをSimple WP Membershipに変更 – ID29745 [2021/05/13]

Post Views: 0 目次1 はじめに2 編集履歴 はじめに WordPressサイトでメンバーシップ機能を実現するプラグインの話です。Ultimate Member (UM) プラグインについては、当サイトをいず […]

AAV, BIOLOGICS, drug
[遺伝子治療薬] ZOLGENSMA – AveXis-Novartis社が開発した筋萎縮性側索硬化症 (SMA)治療薬 – UM-ID23165 [2020/07/27]

Post Views: 115 目次1 筋萎縮性側索硬化症2 ZOLGENESMA2.1 薬価収載3 詳細 筋萎縮性側索硬化症 筋萎縮性側索硬化症(Spinal Muscular Atrophy (SMA))は、10万人 […]

スポンサーリンク
by Google Ads ID19417
KNOWLEDGE
[Kw] Soft Bankの2020年度の最終利益が4.99兆円と発表 – 今、昔を思うこと – ID29721 [2021/05/12]

Post Views: 0 Soft Bankで思うこと もう35年も前のことです。Soft Bankは書籍を出していました。シャープが開発したApple Computerを目指す意欲的なPC、X68000です。Soft […]

更新された投稿の最新順

スポンサーリンク
  • by Amaozn ID13196
  • by Amazon ID19245
スポンサーリンク

スポンサーリンク
  • by Google Ads ID24747
  • by Google Ads ID23293
  • by Google Ads ID:11145
スポンサーリンク
by Google Ads ID8603

最新記事(WordPress, ID:14681)

WordPress
[WP] UMをSimple WP Membershipに変更 – ID29745 [2021/05/13]

Post Views: 0 目次1 はじめに2 編集履歴 はじめに WordPressサイトでメンバーシップ機能を実現するプラグインの話です。Ultimate Member (UM) プラグインについては、当サイトをいず […]

security, Synology, WordPress
[Synology] Threat Preventionとファイヤーフォールの連携 – ID28980 [2021/03/22]

Post Views: 2 目次1 はじめに2 ルーチンワークの概要3 ルーチンワークの詳細3.1 Threat Preventionの操作3.2 ネットワークセンターの操作4 まとめ5 Alert5.1 ET POLI […]

スポンサーリンク
by Google Ads ID19417
plugin, site setting, WordPress
Plugin Maintenance – AMPサイトでのプラグインの運用評価を記録 – ID28378 [2021/04/04]

Post Views: 16 All in One SEOプラグイン (2021/03/13) メタディスクリプション記述のみに使用していたが、このプラグインから依存を完全になくすために、まずは、その記述内容を抜き出し、 […]

site setting, WordPress
[Synology] DS920+のblog server – 15時間のアクセス普通について、今回の原因とは、そしてその対応 – ID27934 [2021/02/22]

Post Views: 28 目次1 はじめに2 対応した作業3 編集履歴 はじめに なぜか、RT2600acのポート転送にWeb Serverへの設定が消えていたことで、HARIKIRI-INSIGHTのBlogへのア […]

adsense, plugin, WordPress
[WordPress] CLS; Cumulative Layout Shift – 2021/03からGoogle検索評価のスコアに加わる – ID26235 [2020/12/23]

Post Views: 27 目次1 はじめに2 Cumulative Layout Shift3 ページのレスポンスを測定するツールサイト4 編集履歴5 関連記事 はじめに 当サイトを立ち上げた頃には、もっぱらplug […]

Page: 1 2 23
スポンサーリンク

スポンサーリンク
  • by Google Ads ID24747
  • by Google Ads ID23293
  • by Google Ads ID:11145
スポンサーリンク
by Google Ads ID8603

最新記事(Synology, ID:14676)

security, Synology, WordPress
[Synology] Threat Preventionとファイヤーフォールの連携 – ID28980 [2021/03/22]

Post Views: 2 目次1 はじめに2 ルーチンワークの概要3 ルーチンワークの詳細3.1 Threat Preventionの操作3.2 ネットワークセンターの操作4 まとめ5 Alert5.1 ET POLI […]

スポンサーリンク
by Google Ads ID19417
network, Synology
[Synology] DS918+/DS920+の2つのネットワークインターフェースを一つに束ねると通信速度を早くできるらしい – でも、Windowsとのファイル転送(SMB)で遅くなったのはなぜ? – ID29535 [2021/05/01]

Post Views: 4 目次0.1 はじめに0.1.1 Bondの作成0.1.2 SMBによる転送速度が遅くなった!?1 解決1.1 まとめと今後1.2 編集履歴 はじめに Bondの作成 DS918+/DS920+ […]

folder, Synology
[WP] ブログにおけるメタディスクリプションの意義と設定方法 – ID28775 [2021/03/14]

Post Views: 19 目次1 はじめに2 メタディスクリプションの機能3 メタディスクリプションの設定4 お勧めのプラグイン5 編集履歴 はじめに メタディスクリプションは、検索エンジンで表示されるページの1つの […]

Raid, re-install, security, Synology
[Synology] 写真の管理 / Photo Station & Moments – ID26326 [2020/12/31]

Post Views: 29 目次1 はじめに1.1 必要なもの2 補完的に活用する3 バックアップ4 Windows10のiCloudフォトからバックアップを取る5 MomentsからPhoto Stationのフォル […]

plugin, Synology, WordPress
[WordPress] 高速化プラグイン「AMP」と定期的に全てのページの静的キャッシュ作成プラグイン「WP Super Cache」で再構成した- ID22640 [2020/12/11]

Post Views: 20 目次1 はじめに2 ページのAMP化のみでもレスポンス改善は十分高い3 キャッシュプラグインを追加する4 プラグインは専用機能がいい4.1 WP Super Cacheの設定のほんとのところ […]

Synology
[Synology] 以前からeo光(1Gコース)なのに速度が遅く感じられていた(100Mbps) – 6A型(CAT6)のネットケーブルで改善 (300 ~ 500Mpbs) – ID24316 [2021/03/30]

Post Views: 22 目次1 eo光の速度の測定2 コースごとの測定3 ケーブル交換前の速度4 ケーブル交換後の速度5 その他のコースで測定6 使用したケーブル7 回線テスト eo光の速度の測定 もう数年以来、ネ […]

Page: 1 2 21
スポンサーリンク

スポンサーリンク
  • by Google Ads ID:11145
  • by Google Ads ID24747
  • by Google Ads ID23293
スポンサーリンク
by Google Ads ID8603

その他記事(ALL-RANDOM, ID:16786)

restaurant, TRIP
[Trip] カリフォルニア・Napa Valleyを行く – イタリアン・レストラン、Bistro Don Giovanniで昼食 – ID13402 [2020/04/13]

Post Views: 24 目次1 Napaだ〜2 レストランだ〜3 Giovanniは、道すがらにあります4 Giovanniの店内5 Giovanniでの食事6 Giovanni Cafe Napaだ〜 Napa […]

HEALTH, key-word
[用語] BUN; blood urea nitrogen – ID18723

Post Views: 25 BUN 尿素窒素; blood urea nitrogen, 基準値: 7~23 mg/dl 編集履歴 2020/07/11 Mr.HARIKIRI

スポンサーリンク
by Google Ads ID19417
BIOLOGICS, education, production
[Bio-Edu] タンパク質サンプルを得るまでのフローと装置 : 培養→精製→分析→保管 – ID9802 [2019/12/08]

Post Views: 27 目次1 原材料2 精製3 分析4 保管 原材料 タンパク質の原材料 : 以下の記事に詳細があります。 培養 浮遊培養(バッチ式) 培地 連続培養 培養するための原材料 media nutri […]

スポンサーリンク

スポンサーリンク
by Google Ads ID:11143(2)

- 以下のツールに敬意を示します -
Support to AMP (Accelerated Mobile Pages) by official AMP plugin for WordPress, and compatible powered by
Post viewing : Flex Posts - Widget and Gutenberg Block