設定の効果
ログイン制限の設定は、12分-3回に設定してみました。今、まだ、不正ログイン施工を実行中(bot)ですが、以下の様に、3回のログイン試行により、自動的にブロックされたことが、Log Centerのログから確認できました。
図3. 自動ブロックされたことを確認
メール通知
NASシステムの通知方法として、メールアドレスを設定しているなら、前述の設定で、自動ブロックされた時には、メールで通知がきます。
図4. 自動ブロックされたると携帯に通知がくる
永遠にブロックする
自分がブロックされることもあると思います。そこで、自動ブロック期間は、1日にしています。
自動ブロックの通知が届いた場合は、自分に関係しないIPアドレスは,設定から永遠にブロックしておきます。
コントロールパネル → セキュリティ→ アカウント→ブロックリスト
ブロックリストには、自動的にブロックしたIPアドレスがリストされていので、そのIPアドレスを控えておき、作成したブロックリストを改めて作成します。上書きするか聞いてきますが、気にせず上書きして、永遠にブロックします。
自動ブロックの通知が届いた場合は、設定から永遠にブロックしておきます。
図5. ブロックリストに永遠にリストしておく
まとめ
1回目の「Brute-force-attack」と思われる不正アクセスの心込みについは、新型コロナウイルスのため、自宅待機していたことで気が付けましたが、これまでの少なくとも6ヶ月間、不正アタックを放置していたことになります。
ざっくり計算してみると,3日間で3分間隔の不正ログイン試行では、その総試行回数は、3 × 24 × 60 ÷ 3 = 1,440回です。
それをこの半年間で、少なくとも5回行われていたので、1,440 x 5 = 7,200回の不正ログイン試行を許してしまったことになります。
Log Centerは、週に2回は見ていましたが、今思えば、なんの基準もなく漫然と見ていました。今回は、それでも偶然見つけた訳ですが、大事になる前で良かったと思います。
Log Centerは、最初に設定した時や設定を変更した時には、しばらくは、できれば毎日見た方が良いですし、今回の教訓から特にWarningは、文字通り注意して見る必要があります。特に,同じIPアドレスが何度も記録されていることは要注意です。
前述した「例3」の設定では、24時間で10回以上、または、1週間で70回以上のログイン試行を同じIPアドレスからされた場合に自動ブロックできます。
もしも、自動ブロックが出来ない間隔で不正ログイン試行をされた場合でも、毎週1回のLog Centerの確認によリ、最悪でも70未満の試行回数で発見できます。もちろん、毎日のLog Centerの確認により、10回未満の試行回数で発見できます。
勿論、少ない回数で鍵を開けられない程度の複雑なPW設定を前提にしています。攻撃者に対して、決して、宝くじの当たる確率を上げないように運用していきたいものです。
Synology Routerの設定
以上の設定は、Synology Routerにも同様に設定できるので、それぞれがターゲットとなっても大事に至らないよう、同様に設定しておきます。
- ネットワークセンター → セキュリティ → 自動プロック
まとめ
レンタルサーバーを使わず、自前のマシンを使っってBlogをしたり、ホームサーバーとして構築していたとしても、外部からのアクセスを許して運用している御同輩の皆さんは、一般ユーザーとは異なり、私もそうですが、茨の道を進んでいるのです。
防御能力は攻撃能力よりも重要です。しっかり「マイホーム」を守れるように日々精進したいと思います。
以上
編集履歴
2020/06/05 はりきり(Mr) 2020/06/06 追記(例3) 2021/01/22 文言整備、図の追加 2022/11/20 文言整備