MR.HARIKIRI-INSIGHTS

タグ: セキュリティ

  • [Synology] NASのセキュリティを強化する方法のリンク

    [Synology] NASのセキュリティを強化する方法のリンク

    Post Views: 329

    ID8870 [2020/02/09]

    セキュリティ

    もしも、Synology NASを自宅で稼働させていて、以下の項目についてよく分からず稼働させている場合は、是非、以下のSynologyのサイトに行って、設定方法の確認をお勧めします。

    1. はじめる前に
    2. セキュリティ アドバイザーの活用
    3. DSM のユーザー権限を構成
    4. パスワード強度の規則を設定する
    5. パスワードの有効期限
    6. 2段階認証でアカウントを保護する
    7. 自動ブロックとアカウント保護を有効にする
    8. HTTPS 接続を有効にする
    9. FTP サービスを安全に保護する
    10. ルーターで必要なサービスのパブリックポートだけを開く
    11. DoS 保護を有効にする
    12. デフォルト管理ポートの変更
    13. パブリック コンピュータで Synology NAS にアクセスするときには、ブラウザの匿名モードを有効にするか、ゲストのブラウズ機能を使う

    Synology NAS のセキュリティを強化する方法

    https://www.synology.com/ja-jp/knowledgebase/DSM/tutorial/Management/How_to_add_extra_security_to_your_Synology_NAS#t2

    サイバー脅威への備え

    Synology newsletterより (2021/05/14)

     

    共通の「admin」アカウントを無効にする  

     

    2段階認証をオンにする

     

    自分のパスワードを強化する 

     

    セキュリティ アドバイザーを実行する 

     

    最新の状態に保つ 

     

    IPブロック、アカウント保護を有効にする 

    詳細情報

    編集履歴

    2020/02/09,Mr.HARIKIRI
2021/09/04,追記(サイバー脅威への備え)
2021/11/23,追記(当サイトのセキュリティ関連記事リスト)
  • [WordPress] スパム・コメント対策にreCaptchaプラグイン – 更に、「Statify」/ 「SiteGuard WP」でログイン画面の守りを固める – セキュリティ対策

    [WordPress] スパム・コメント対策にreCaptchaプラグイン – 更に、「Statify」/ 「SiteGuard WP」でログイン画面の守りを固める – セキュリティ対策

    Post Views: 1,237

    はじめに

    自前NASにWordPressを導入してblogを発信していることを前提にしています。Synology NAS/Routerには、それぞれのマシンのログインや、Synologyが独自で提供する各種サーバーの守りは、それぞれのOS (DSM/SRM)で完結できます。しかし、WordPressは独自に守る必要があります。そのために、WordPressのためのプラグインが存在しています。

    これまで、たとえば、スパム・コメントの対策には、「Throws SPAM Away」にお世話になっていました。その役割も、僕の知識も変化・発展したことで、reCaptchaなるGoogleが提供するセキュリティ対策へと移行しています。更に、冒頭で述べたように、WordPress自体を守るために、新たなプラグインとして「Statify」、「SiteGuard WP」を更に導入しました。

    注) Throwは野球でいう「スローイング」のスロー、投げるの意。

    試したプラグイン

    reCAPTCHAで試したのは、2つ。一つ目の「reCAPTCHA in WP comments form」は、コメントの送信ができなかったので使えず、使えたのは2つ目の「reCaptcha by BestWebSoft」を稼働させることにした。

    • reCAPTCHA in WP comments form
      • 8ヶ月前のupdateで、互換性テストがされておらず、結果的には、コメントの送信ができなかったため、使用できなかった。
    • reCaptcha by BestWebSoft
      • Pro版もあり、メンテナンスはされています。Pro版でない無料版のまま使用することにした

    プラグイン

    reCAPTCHA in WP comments form

    reCAPTCHA in WP comments form

    reCaptcha by BestWebSoft

    reCaptcha by BestWebSoft

    Throws SPAM Away

    日本語が含まれないコメントは、強制的にコメント送信しても廃棄するプラグインです。現在は使用していません。

    Statify

    Statifyの機能

    「Statify」は、サイトのアクセス数をカウントしてくれるプラグインです。純粋なページへのアクセスに関して「Google Analytics」は、詳細なレポートを示してくれます。Statifyを導入する意義を確認するためにStatifyとの比較をしたところ、結果が異なっていました。Statifyでは、/login/へのアクセスがカウントされていたのに、Google Analyticsではカウントされていなかったのです。

    /login/へのアクセスは、私が知らないアクセスでした。不正なアクセスを試みているものと判断できました。Statifyをインストールして約半日の集計で、すごい勢いでアクセス数が増えるのが観察されました。その反日での結果、/login/のアクセス数は、200を超えました(下図に205とある項目)。少し愕然としました。そんなにアクセスを試みるハッカーがいるものだと。「Statify」を、セキュリティ対策プラグインとして採用することにしました。

    わかったこと

    • Google Analyticsは、善意の第三者がページを閲覧することを前提にしたページモニタリング・ツールである。すなわち、Statifyがカウントするログインページのカウントはない。
    • Statifyは、アクセスした数を実直にカウントしてくれる。すなわち、ログインページのカウントもしてくれるので、セキュリティ対策としてのモニタリング・プラグインとして使用が可能と判断した。

    SiteGuard WP

    SiteGuardの機能

    Statifyが示した愕然する程のログイン画面への多数のアクセス数、この結果を受けて調べました。デフォルトのログイン・リンクは変更すべきなのです。プラグインを使用せずに、PHPファイルにコードを加える方法でも可能なのですが、30行から50行程度のコード追加が必要です。メンテナンスが大変そうなので、プラグインで対応することにしました。

    「SiteGuard WP」は、デフォルトである/login/を、安易に想像できないパーマ・リンクに設定する機能を持っています。SiterGuard WPをインストールした途端、即時に/login/をランダムな数で修正するので、当然ですが、その瞬間から/login/へのアクセスの増加は無くなりました。変更後のパーマ・リンクのアクセスのカウントもモニターされていません。「SiteGuard WP」を、セキュリティ対策プラグインとして採用することにしました。

    図1. 設定項目

    上記の機能と説明について、以下に捕捉します。

    • ログインページ変更
      • /login/のデフォルトから変更
    • 画像認証
      • bot対策です。かな文字を画像として表示して、それを入力するように促す機能

    以上のSiteGuardによるログイン・ページの変更だけで不正ログインを試みる事例は、一時期極端に減少しました。しかし、運用開始から1週間後の夜中から今日の朝方にかけて約8時間程度で、3つのIPアドレスからの3,000回以上で、WordPressログイン画面に対してアタックを受けました。このログは、SiteGuardの「ログイン履歴」からわかったことです(下図参照)。Google Analyticsではカウントされ無いものです。

    • XMLRPC防御
      • XMLRPC (XML形式のデータを使いHTTPの通信、RPC: remote procedure call)は、WordPressが開発された当時が実装されているログインしたりリモート制御したりするときに使用する通信機能の1つですが、現在ではREST APIというものに置き換えられています。
      • XMLRPCには全弱性があるため無効にすべきです。
      • XMLRPCにある1つの機能であるピンバック機能のみを無効化するか、XMLRPC全体を無効にするか、いずれかを選ぶことができます。

    WordPressのxmlrpc.php詳細ガイド(xmlrpc.phpとは、セキュリティリスク、無効にする方法)- kinsta –

    https://kinsta.com/jp/blog/xmlrpc-php/

    ロックは完璧

    以下の図は、ログ画面の一部です。内容を確認してみると、3つのIPアドレスからの不正なログインアタックが記録されているのが分かりました。下図の例では、3回失敗した後は、ロックされる設定にしているため、その後のアクセスはロックされているのが分かります。

    次の対策

    念の為、危険なIPアドレスを知った後の処置です。自前のSynology NASまたはSynology RouterがGeteになっているなら、ファイアウォールの設定をしておきます。完全に「出禁」に設定してしまうのです。

    Synology NAS/Routerの場合は、下図を参考にして、以下の通りで設定します。

    1. コントロールパネル (Synology Routerの場合; ネットワークセンター)→ セキュリティ → ファイアウォール (タグ)
    2. ファイアウォール プロファイル → 規則の編集
    3. 「作成」をクリック
      • 全てのポート
      • 特定IP → ソースIP → 単一ホスト(を設定)
      • 拒否
    4. OKで登録

    以上の手順で、危険と思われるIPアドレスをファイアウォールに登録しました。しばらくは、この方法で運用して様子を見てみます。

    まとめ

    コメントのスパム対策から始めたこの記事でしたが、それではサイトの守りはままならないことがわかってきました。AMPプラグインとの相性の問題から、一部のページの守りには、reCaptcha を使えています。しかし、ログイン・ページの守りは、これまでは不十分でした。純粋にアクセス数をカウントする「Statify」プラグインの導入をきっかけに、「SiteGuard WP」プラグインと併用することで、ログイン・ページの守りを強固なものにすることができます。確認された危険なIPアドレスはファイアウォールに拒否リストとして登録します。しばらくは、この運用で様子を見てみます。

    編集履歴

    2019/12/25,はりきり(Mr)
2021/01/07,追記(Statify, SiteGuard WPをセキュリティ対策プラグインとして採用)
2021/01/23,追記(WPへの不正アクセス試行を発見し対処する方法)
2021/09/17,追記(XMLRPC防御について),文言整備
  • [Synology] RT2600ac – Threat Prevention ユーティリティで重大度が高いパケットのドロップ設定、ポリシー設定でローカルネットワークを守る – [2021/05/15]

    [Synology] RT2600ac – Threat Prevention ユーティリティで重大度が高いパケットのドロップ設定、ポリシー設定でローカルネットワークを守る – [2021/05/15]

    Post Views: 481

    ID3461

    Synology Router RT2600ac

    Synology社は、台湾の企業です。個人レベルのNASから、ラック収納するタイプの大規模サーバー製品も作っており、世界的な企業になってきました。独自開発のパッケージ製品の性能が高いことが特徴です(by Mr.HARIKIRI, 2020/12/10)。

    Synology RT2600ac
    Synology RT6600ax
    2022/8にRT2600acからRT6600axに変更しましたが,Synologyのルーター製品では,同じユーザーインターフェースのSRMが使用されているので,使い勝手は同じです.

    RT2600acには、Synology製のインターネットからのアタックからローカルネットワークを守るThreat Preventionというセキュリティ・パッケージが提供されています。

    Synologyのテストによる接続性ですが、RT2600acへの同時接続は、100台までならフル速度で接続できたとしています。個人で使用するRouterとしては十分な性能であり、僕みたいに自宅のNASにblogを立ち上げているようなパワーユーザーである個人使用としても十分に役割を果たしてくれるRouterです。

    その他にも、RT2200acというルーターも提供されていますが、「Threat Prevention」はサポートされていません。セキュリティを高めたいなら、RT2600acを選択すべきです(2021/0515, MR.HARIKIRI)。

    Synology Routerの比較 – Synology site –

    https://www.synology.com/ja-jp/products/compare/routers

    Rule Set

    Threat Preventionのプロックする基準は、脅威のルールセットを元にしています。設定にソースを選ぶところでは、ET Open/ET Proを選べるようになっていますが、ET Openがオープンソースです。ET Proは$900の費用が必要であるとネットには記載がありました。

    Proofpoint Emerging Threats Rules

    http://rules.emergingthreats.net

    Threat Prevention

    Synology RouterのSRMからThreat Preventionユーティリティを起動する。

    1. 概要 > 潜在的な脅威のあるデバイス > 詳細クリック
    2. 定期的に重大度(高)を探して、「ポリシー追加」ボタン > ポリシーの編集 > 造作:ドロップ、に設定しておく。
    3. 起動には、外付けのUSB メモリ にシステムデータベースの構築が必要
      • 当初、余っていたUSB メモリ4GBを使っていました
      • ログの最大を2GBにしていたため、余りが2GBの計算となっていたが、残り3GBは必要との記載があった
      • SRM 1.2.4-8081 Update 2にアップデートしてから、Threat Preventionが途中停止していることが数回あった。
      • そこで、USB メモリ 4GBを16GBに交換することにした

    攻撃からの防衛ポリシー管理は、自己定義ポリシーのページで行います。

    • 自己定義ポリシー > ポリシー > 「クラスポリシー」項目

    最も脆弱性があり被害のインパクトが高いものは、重大度: 高として、Web Application AttachやPotential Corporate Privacy Violationなど、いくつもクラスがあります。代表的なクラスは、以下の「Web Application Attackとは」を参照してください。これらを監視するかの設定は、

    • 自己定義ポリシー > クラス署名
    • 各クラスごと個別に有効/無効を設定できます。

    少なくとも重大度(高)については、有効になっていることを確認しておきます。

    1. Web Application Attack : 重大度 (高)
    2. Potentially Bad Traffic : 重大度 (中)
    3. Misc Attack : 重大度 (中)
    • 自己定義ポリシー > ポリシー > 「著名ポリシー」項目

    署名ポリシーは、どれかのクラスに属する個別の分類です。Web Application Attachクラスに含まれるのが、下図でいうとET WEB_SERVER 401TRG GENERIC WebShell Request – POST with whet in bodyです。これは当然に重大度(高)です。

    ここで、wgetはLinux OS系では一般的に知られいるコマンド型のユーフィリティ、urlを指定すれば、そのサイト全部をゲットできる強力ツールです。

    • 設定 > 全般 > 「ハイリスクなパケットは自動でドロップ」項目にチォック

    してあれば、その都度ドロップされるようですが、そのようなログないので、以下のように、特定のアドレスも含めてドロップの設定にしておいた方が無難です。

    • イベント > 「ポリシー追加」ボタン

    その他、

    • 概要 > 潜在的な脅威のあるデバイス > 詳細クリック

    からも同様に、特定のアドレスのパケット・イベントをドロップ指定することもできます。

    Web Application Attackとは(参考1)

    1. Web Applicationの仕組み

    一般的に、3層のWebアプリケーションモデルが有名です。すなわち、ユーザーの接点は、ネットブラウザのことです。その先にJaveがあり、データベース(Data Base)があってはじめて機能しているのです。

    Web Applicationに対応するServerは、Webサイトへのアクセスを公開する必要があるため、基本的に保護されていません。ポートを規定値から変更していたとしてもポートスキャンなどで知られる危険性はなお残ります。

    • 最初の層: Webブラウザーまたはユーザーインターフェイス
    • 2番目の層: Javaサーブレット(JSP)やActive Server Pages(ASP)などの動的コンテンツ生成技術ツール
    • 3番目の層: データベース。コンテンツ(ニュースなど)と顧客データ(ユーザー名とパスワード、ソーシャルなど)を含む
    • すなわち、Web Applicationは、データベースのゲートウェイと言えます

    2. Web Application Attack (Webアプリケーション攻撃)

    RouterやServerのセキュリティ上の脆弱性により、外部から、そのデータベースに直接および一般からアクセスして、保護されているバスのデータを大量に取得する、これをWeb Application Attackといいます。

    企業のWebサイトを改ざんするような破壊行為(いわゆるスクリプトキディ (script kiddie)によって実行されることが多い)は今でも一般的ですが、今日では、攻撃者は、利益目的のためにデータベースサーバー(Data Base Server)にある機密データへのアクセスを志向しています。

    • データベースを直接標的とするSQLインジェクション攻撃
    • ユーザーをだましてフィッシングサイトにリダイレクトするクロスサイトスクリプティング(XSS攻撃)
    • その他

    重大度が高の統計結果

    2020/11/11 ~ 2020/12/10までの統計結果。Threat Preventionは、重大度が高であるパケット内容は、自動でブロックしてくれます。

    参考

    1) scientists,”What Is a Web Application Attack and how to Defend Against It

    2) Understanding IPS Policy, JUNIPER NETWORKS, Techlibrary

    3) Learn more about Policy Violation, ScienceDirect

    4) ET Open vs ET Pro : いずれも脅威をブロックするためのルールセットであり、ET Openはオーブン製品、ET Proは商用製品($900)であることが説明されている。「Threat Prevention」の「設定」にある「ステータス更新」には、「ET Open」がデフォルトになっているが、商用製品も使用できるようになっている。

    編集履歴

    2011/11/22 Mr.HARIKIRI
2020/12/10 追記 (Synology社についての紹介文、および2020/11/11~2020/12/10の期間 (1ヶ月)でプロックしたパケット地図)
2022/11/20 追記 (RT6600axについて)
  • [Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件

    [Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件

    Post Views: 223

    RT2600ac

    RT2600acのアプリケーションパッケージである「Threat Prevention」は、ネットワークに対する悪意のあるアクセスを、その悪意のレベルに応じてブロックしてくれます。

    悪意のレベルは、「大」「中」「小」にThreat Preventionがグルーピングされていて、これらによるパケットがあったときにe-mailでしらせる設定が可能となっています。

    こららの悪意のあるアクセスの情報は、Synologyが持っているのではなく、あるサーバーで統合(データベース)されているようです。日々、そのデータは更新されており、そのデータベースの更新の設定は、Threat Preventionの設定画面にあります。

    アラートが来なくなった

    e-mailへの連絡を設定したいたレベル「大」の連絡が、9/30を境に来なくなっていることに気付いた。

    RT2600acにLoginして、溜まっているはずのメッセージを眺めていた。Threat Preventionの”ブロック”に関するログがない。9/30以降のブロック等のアラートが無い。どうやら、Threat Preventionは、9/30以降、停止状態になっていたようだ。

    原因

    Synology Router Manager (SRM)の自動アップデートがあったことを思い出し、ログセンターを覗いてみた。

    Synology Router Manager

    https://www.synology.com/ja-jp/knowledgebase/SRM/tutorial/General_Setup

    ネットワーキング体験の革命的な変化 – Synology Web site –
    Synology Router Manager (SRM) は、Synology Router の威力を高めてくれるオペレーティング システムです。クラス随一のユーザーインターフェイスにより、ネットワークで何が起きているかを詳しく把握することができ、接続されているデバイスすべてを迫り来る驚異から守るきっかけになります。

    https://www.synology.com/ja-jp/srm

    9/30にDownload task for [SRM 1.2.3-8017 Update 3] finished.

    とあり、記憶にないが、管理者権限でUpdateしたか、もしくは、自動でUpdateしたかで、現在は、[SRM 1.2.3-8017 Update 3] となっている。その際に、Threat Preventionが停止、再起動した際に、起動しなかったと考えられる。

    結論

    たまには、システムの状態を見ないといけないね。こうゆうことが、システム管理というのでしょう。これから頑張って管理していきたいと思います。

    編集履歴

    2019/11/02 はりきり(Mr)