[Synology] RT2600ac – Threat Prevention ユーティリティで重大度が高いパケットのドロップ設定、ポリシー設定でローカルネットワークを守る – [2021/05/15] ID3461

ID3461

Synology Router RT2600ac

Synology社は、台湾の企業です。個人レベルのNASから、ラック収納するタイプの大規模サーバー製品も作っており、世界的な企業になってきました。独自開発のパッケージ製品の性能が高いことが特徴です(by Mr.HARIKIRI, 2020/12/10)。

Synology RT2600ac
Synology RT6600ax
2022/8にRT2600acからRT6600axに変更しましたが,Synologyのルーター製品では,同じユーザーインターフェースのSRMが使用されているので,使い勝手は同じです.

RT2600acには、Synology製のインターネットからのアタックからローカルネットワークを守るThreat Preventionというセキュリティ・パッケージが提供されています。

Synologyのテストによる接続性ですが、RT2600acへの同時接続は、100台までならフル速度で接続できたとしています。個人で使用するRouterとしては十分な性能であり、僕みたいに自宅のNASにblogを立ち上げているようなパワーユーザーである個人使用としても十分に役割を果たしてくれるRouterです。

その他にも、RT2200acというルーターも提供されていますが、「Threat Prevention」はサポートされていません。セキュリティを高めたいなら、RT2600acを選択すべきです(2021/0515, MR.HARIKIRI)。

Synology Routerの比較 – Synology site –

https://www.synology.com/ja-jp/products/compare/routers

Rule Set

Threat Preventionのプロックする基準は、脅威のルールセットを元にしています。設定にソースを選ぶところでは、ET Open/ET Proを選べるようになっていますが、ET Openがオープンソースです。ET Proは$900の費用が必要であるとネットには記載がありました。

Proofpoint Emerging Threats Rules

http://rules.emergingthreats.net

Threat Prevention

Synology RouterのSRMからThreat Preventionユーティリティを起動する。

  1. 概要 > 潜在的な脅威のあるデバイス > 詳細クリック
  2. 定期的に重大度(高)を探して、「ポリシー追加」ボタン > ポリシーの編集 > 造作:ドロップ、に設定しておく。
  3. 起動には、外付けのUSB メモリ にシステムデータベースの構築が必要
    • 当初、余っていたUSB メモリ4GBを使っていました
    • ログの最大を2GBにしていたため、余りが2GBの計算となっていたが、残り3GBは必要との記載があった
    • SRM 1.2.4-8081 Update 2にアップデートしてから、Threat Preventionが途中停止していることが数回あった。
    • そこで、USB メモリ 4GBを16GBに交換することにした

攻撃からの防衛ポリシー管理は、自己定義ポリシーのページで行います。

  • 自己定義ポリシー > ポリシー > 「クラスポリシー」項目

最も脆弱性があり被害のインパクトが高いものは、重大度: 高として、Web Application AttachやPotential Corporate Privacy Violationなど、いくつもクラスがあります。代表的なクラスは、以下の「Web Application Attackとは」を参照してください。これらを監視するかの設定は、

  • 自己定義ポリシー > クラス署名
  • 各クラスごと個別に有効/無効を設定できます。

少なくとも重大度(高)については、有効になっていることを確認しておきます。

  1. Web Application Attack : 重大度 (高)
  2. Potentially Bad Traffic : 重大度 (中)
  3. Misc Attack : 重大度 (中)
  • 自己定義ポリシー > ポリシー > 「著名ポリシー」項目

署名ポリシーは、どれかのクラスに属する個別の分類です。Web Application Attachクラスに含まれるのが、下図でいうとET WEB_SERVER 401TRG GENERIC WebShell Request – POST with whet in bodyです。これは当然に重大度(高)です。

ここで、wgetはLinux OS系では一般的に知られいるコマンド型のユーフィリティ、urlを指定すれば、そのサイト全部をゲットできる強力ツールです。

  • 設定 > 全般 > 「ハイリスクなパケットは自動でドロップ」項目にチォック

してあれば、その都度ドロップされるようですが、そのようなログないので、以下のように、特定のアドレスも含めてドロップの設定にしておいた方が無難です。

  • イベント > 「ポリシー追加」ボタン

その他、

  • 概要 > 潜在的な脅威のあるデバイス > 詳細クリック

からも同様に、特定のアドレスのパケット・イベントをドロップ指定することもできます。

Web Application Attackとは(参考1)

1. Web Applicationの仕組み

一般的に、3層のWebアプリケーションモデルが有名です。すなわち、ユーザーの接点は、ネットブラウザのことです。その先にJaveがあり、データベース(Data Base)があってはじめて機能しているのです。

Web Applicationに対応するServerは、Webサイトへのアクセスを公開する必要があるため、基本的に保護されていません。ポートを規定値から変更していたとしてもポートスキャンなどで知られる危険性はなお残ります。

  • 最初の層: Webブラウザーまたはユーザーインターフェイス
  • 2番目の層: Javaサーブレット(JSP)やActive Server Pages(ASP)などの動的コンテンツ生成技術ツール
  • 3番目の層: データベース。コンテンツ(ニュースなど)と顧客データ(ユーザー名とパスワード、ソーシャルなど)を含む
  • すなわち、Web Applicationは、データベースのゲートウェイと言えます

2. Web Application Attack (Webアプリケーション攻撃)

RouterやServerのセキュリティ上の脆弱性により、外部から、そのデータベースに直接および一般からアクセスして、保護されているバスのデータを大量に取得する、これをWeb Application Attackといいます。

企業のWebサイトを改ざんするような破壊行為(いわゆるスクリプトキディ (script kiddie)によって実行されることが多い)は今でも一般的ですが、今日では、攻撃者は、利益目的のためにデータベースサーバー(Data Base Server)にある機密データへのアクセスを志向しています。

  • データベースを直接標的とするSQLインジェクション攻撃
  • ユーザーをだましてフィッシングサイトにリダイレクトするクロスサイトスクリプティング(XSS攻撃)
  • その他

重大度が高の統計結果

参考

1) scientists,”What Is a Web Application Attack and how to Defend Against It

2) Understanding IPS Policy, JUNIPER NETWORKS, Techlibrary

3) Learn more about Policy Violation, ScienceDirect

4) ET Open vs ET Pro : いずれも脅威をブロックするためのルールセットであり、ET Openはオーブン製品、ET Proは商用製品($900)であることが説明されている。「Threat Prevention」の「設定」にある「ステータス更新」には、「ET Open」がデフォルトになっているが、商用製品も使用できるようになっている。

編集履歴

2011/11/22 Mr.HARIKIRI
2020/12/10 追記 (Synology社についての紹介文、および2020/11/11~2020/12/10の期間 (1ヶ月)でプロックしたパケット地図)
2022/11/20 追記 (RT6600axについて)