タグ: AD-DS920p

  • [Synology] DS1621xs+の冷却ファンがフル回転する夏場の対策について考える  [2023/08/20]

    [Synology] DS1621xs+の冷却ファンがフル回転する夏場の対策について考える [2023/08/20]

    はじめに

    Synolog NAS製品でDS1621xs+ (数字の21は2021年に発売したことを示す)は,現在(2023/08)所有しているSynology NAS (DS918+, DS920+)とは異なる挙動を示すことがある.

    DS1621xs+は,デスクトップ型のNASシリーズのなかでは,フラッグシップの1つにあたり,CPUも高速なものが使われている.そのため,DSM の更新時期は,これらDS918+, DS920+と異なることが多い.

    この記事では,DS1621xs+に特有なメンテナンスに関して記載したいと思う.

    たまにフルパワーでファン

    DS1621xs+を導入して1年余り,もう3回もフルパワーでの冷却ファンのイベントがあった。ファンの設定は以下のように「低ノイズモード」にしているが,突然,ファンがフルパワーで動き出すことは,温度の感知具合で仕方ないことなのだが,なかなか止まらず,止まるまで5分以上はかかっていた.

    うるさいファンを低速に!

    夏の時期に起こるので,温度感知は正常に働いていると思うが,止まるのに少し問題があるのか,搭載しているHDD数が,DS918+, DS920+が4つに対して6つであるのが問題なかの,稼働状況に問題なかの色々と考えられる.まずは,1つずつ検討していく.

    とりあえずファンを元の回転数にもどすには,

    1. ハードウェアと電源 -> 電源管理 -> ファン速度モード
    2. 低ノイズモードになつている状態を冷却モードをセレクト
    3. 適応ボタンを押すと,冷却モードの回転数になる
    4. 今度は,前述の手順で冷却モードから低ノイズモードに戻す

    以上の操作で,低ノイズモードに戻った.しかし,感知温度をリセットしたようなもので,また,徐々に温度が上がれば,ある感知温度でフル回転になると思われため,少し,今後の対応を模索し実施するために,以下に検討と対応策を考察した.

    その前に,HDDの温度とフル回転での温度変化を見てみた.

    HDD温度

    6つあるWDのHDDの温度をストレージマネージャで確認すると,以下のようにだいぶ高温になっていることが分かった.

    Table 1. 装着HDDの温度の観測値

    HDD番号型番容量(TB)強制的にファン停止直後温度(℃)*1フル回転で10分冷却後温度(℃)その後低ノイズモード30分放置後温度(℃)
    1WDC WD120EFBX-68B0EN012433743
    2WDC WD80EFAX-68KNBN08494050
    3WDC WD80EFAX-68KNBN08504150
    4WDC WD80EFAX-68KNBN08494151
    5WDC WD80EFBX-68AXXN08474050
    6WDC WD80EFBX-68AZZN08474050
    量量が同一でも,型番の違いにより発熱温度に違いが若干みられる.また.12TBの発熱量は8TB HDDと比較して優位に低い.
    *1: しばらくフル回転で冷却されていたためファンがフル稼働し始めた温度より低い温度になっている,と考えられる.

    DS1621xs+の環境

    1. DS1621xs+は,天井付近に設置している
    2. 搭載HDDはWD製で6つ
    3. 容量と型番の異なるHDDを搭載している
    4. 天井付近に家庭用のファンを設置して,天井周囲の温度をSwitchBotシリーズセンサーで感知させ,ある設定温度によりファンをON/OFF制御している

    結論

    天井周囲の温度が下がってもNASのHDDは,直ぐには下がらない.DS1621xs+は,愚直にファンをフル回転で回していると理解できた.

    フル回転でファンが回り続ける場合には,何らかの理由がある.まずは,HDDの温度をストレージマネージャで個別に確認することが大切である.

    今後の対策

    なるべくなら,NASには負荷がかからないようにしたい.そのためには,夏場に起こるフル回転による冷却イベントの回数を少なくすることが必要である.

    今でも,”Switch Bot”を活用してNASを設置している天井付近の温度管理をしているが,夏場に適する設定にする必要がある.季節指定や月指定などが,現状の”Switch Bot”にはできないので,季節がきたら手動でするしかない.

    いずれは,もっと自動化を進めたい.なんて...今は思っている.面倒くさい.

    編集履歴

    2023/08/20, Mr. Harikiri, 夏場のNASのフル回転の原因はHDDの温度,当たり前か!?

  • [Synology] NASのRAID HDDにエラーが出た – HDD交換の手順  [2022/10/15]

    [Synology] NASのRAID HDDにエラーが出た – HDD交換の手順 [2022/10/15]

    Synology NASのRAID HDDの1つが故障

    NASのHDDにエラーが出た。5年程度連続稼働していたRAIDを構成するHDD (以下HDD a)の一つです。NASに発生するイベントは、メール通知するようにしていたので、不良セクタが出始めたことは1ヶ月前から分かっていた。

    とうとう今日、そのイベント通知には「失敗(Fail)」の文字があった。

    HDD aは、Synology製品のNASとして、僕がDS918+に対して最初に導入した1台構成のHDDでした。システム構築時の設定では、その後に追加するHDDをRAID構成できるようにしていました。その後は,順次HDDを増設していき、そのNAS、すなわちDS918+は,フル構成の4台HDDになっていました。

    最近、DS1621xs+を導入した時に,DS918+のHDD aを含む全てのHDDをDS1621xs+に移行,および新品の8TB HDD,2台を追加して継続して使用していました。具体的には、DS918+では4ベイですが,DS1621xs+では6ベイなので,新しくHDDを2台追加して6台HDDとしハイバネーションなしで連続稼働させていました。

    今回、最も稼働時間が長かったHDD aが故障した訳です。

    故障までにかかった期間はHDD aの稼働時間から推定すると,約5年の稼働年数でした。

    今回の故障イベントでは、不良となったHDDを新しいHDDに交換したので、その作業手順(修復;repair)を中心に解説します。

    DS1621xs+のHDD構成

    DS1621xs+にインストールしたHDDの構成は,以下の通りです.

    すべてのHDDは,WD, 8TB HDD Red (or Red Plus)を使用しています.今回,故障した8TB HDDのリプレースには,普通の対応として同じ容量の8TB (2.8万円)で行おうと思いましたが,さらに大きなな容量の12TBを用いることにしました.大きなサイズ違いのHDD追加で,どうなるのかの興味が大きな理由です.

    これから先,現在では健康状態にある残りのHDDも劣化が進み不良セクタが増えて「失敗」というステータスを吐くことは必然です.その都度,12TBに置き換えていければと考えてのことです.交換が必要な頃には,今回,4.5万円で購入したWD 12TB HDD Red Plusの価格は,もっと低価格になっていると思われます.すべての8TB HDDが12TBに置き換わったとき,現在のストレージの簡易的計算容量は,(8×(6-1)) = 40TBから(12×(6-1)) = 60TBに増加します.その時までの先行投資です.

    ストレージプール1を構成しているディスク1のステータスが失敗を示している.構成しているディスクの容量はすべて8TBです.今回のディスク1の修復には,12TBを使用することにした.
    図1. ディスク1のエラー状況

    修復(repair)

    図1の状態から,DSMをシャットダウンさせて,故障した8TB HDDのディスク1を抜き出し,12TBのHDDに交換しました.その後,DS1621xs+を再起動させました.

    再起動後には,DS1621xs+から「ピーッ,ビーッ」と一秒間隔でアラート音が鳴り始めました.このアラート音は,修復作業の開始まで鳴りやみませんでした.

    再起動後にDSMにログインして,乗せ換えたHDDに対してS.M.R.Tを実行しました.約2分後にS.M.R.T処理は完了しました.

    その後,乗せ換えたHDD (ディスク1)の健康状態を確認してから,「修復」を実行しました.修復完了のパーセント値が表示され始めた時に,アラート音が停止しました.

    修復時間の残り時間は,約14時間が表示され,カウントダウンが開始されました.修復開始されるとアラート音も停止し,通常のHDDを使用できる状態になっています.通常の運転状態ということなので,HDDへのアクセスも可能です.

    データ スクラブ

    修復 (約14時間後)が完了すると,データ スクラブ (Data Scrubbing)が実行されます.Data Scrubbingは,以下の2つの処理 (ファイル システム スクラブ,RAID スクラブ)が連続して実施されます.

    1. ファイル システム スクラブ:Btrfs ファイル システムのボリュームのチェック.チェックサムでデータ不一致が検出されると、システムはバックアップを使用してデータを修復しようとする.ファイル パスはログ センターに記録される.
    2. RAID スクラブ:SHR(3 台以上のディスクで構成)、RAID 5、および,RAID 6 のストレージ プールで実施される.検出されたデータの不整合は復元される.

    Data Scrubbing – Synology site –

    https://kb.synology.com/ja-jp/DSMUC/help/DSMUC/StorageManager/storage_pool_data_scrubbing?version=

    以上

    まとめ

    いずれは,Synology NASのHDDエラーが出ると思っていましたが,その日は早く来ました.NASでは,データ整合性を厳密に管理するのが本来の機能なので,「Synology NAS」よ.ナイス.

    Synology NASでは,PCでは見過ごされがちであるHDDの劣化について敏感に感知するように設定されています.PCのデータのバックアップは,RAID構成のNASにすることが良いのだと,あらためて思いました.まあ,そのようにしてきたのですねどね.

    PCのHDDのデータは大丈夫なのか.それについては,今日はあまり考えないようにしておきましょう.

    編集履歴

    2022/10/07 Mr.Harikiri
    2022/10/12 追記:Data Scrubbing
    2022/10/15 追記:まとめ,文言整備
  • [Synology] Wi-Fiルーター RT2600ac/RT6600axをSoftbank Airに接続してワイヤレスAPとして使用する – 次世代ルーターRT6600についても解説 [2022/10/11]

    [Synology] Wi-Fiルーター RT2600ac/RT6600axをSoftbank Airに接続してワイヤレスAPとして使用する – 次世代ルーターRT6600についても解説 [2022/10/11]

    Synology RouterとSoftbank Air

    家庭で使用するには,過度と思える高度な機能を持つSynology社のWi-Fiルーターですが、blogなど自宅からの発信や出先からのNASのデータ閲覧など高度なことをする場合は外せないのがSynology社のルーターです。出先からどうしてもFree Wi-Fiを使用して自宅のローカルネットワークに繋げなければならない場合など,VPN Plusによる接続は強い味方です.

    これまで、ルーター製品RT2600acが、僕の家でも活躍していましたが、2022年の春頃にRT6600ax * という新しいWi-Fi規格(結果3バンド)および2.5GbE * に対応した高速ルーターが上市されました。一時期品薄になった時に、少し高額でしたがAmazonで手に入れて2022/08から運用しています。

    * RT6600axの特徴
    Wi-Fi接続を複数のネットワークに分離:
    例えば以下のような構成が可能です。基本的にIoT機器は、Wi-Fi接続されています。その接続で脆弱性がある場合、ネットワークが分離されていないと、すべての接続されているデバイスに脅威にさらされることになります。Wi-Fiネットワークの分離が重要であることが理解できます。

    (1) ホームネットワーク :
    プライマリネットワークに接続します。Safe Accessによる悪意のあるコンテンツ(例えば、シッピングサイトやアダルト)をデフォルトプロファイルに簡単に作成して、お子様のオンライン上での行動を管理することができます。

    (2) ゲストネットワーク :
    ゲストネットワークを簡単に分離し、ChromecastやAirplayデバイスへ接続設定が可能です。より厳しい帯域制約とウェブフィルタリング、などにより接続品質が危険なデバイスによって影響されないようにします。

    (3) IoTネットワーク :
    一般的にIoTデバイスは、アップデート頻度が低く脆弱性が高めです。これらデバイスをプライマリネットワークから切り離すことで、潜在的な悪意のある攻撃のバックドアになることを防止できます。一方通行ファイアウォールルールも活用します。

    (4) オフィスネットワーク :
    サーバーやデバイスを分離することで、ネットワークが外部のリソースをホストしている場合や同僚が遠隔地からアクセスする場合に干渉やセキュリティの問題を回避することができます。

    (5) 監視ネットワーク :
    IPカメラ接続ネットワークを隔離、単方向ファイアウォール、独立したトラフィック制御ルールにより、監視タスクの中断、速度低下を抑制が可能です。

    * 2.5GbE(2.5 giga bit ether): 有線規格。歴史的には10baseT→100bastT→1000baseT(1Gbps: giga bit per second), 1GbE)と普及してきた。近年10GbEの普及があると思われたが、なかなか普及しなかったことからその途中を補完する2.5GbEが市場投入されてきている。

    有線LANはいよいよ2.5Gbpsの時代へ!

    2.5GbEカンタン導入術 – planet comm –

    https://www.planex.co.jp/articles/lan/25gbe_no2/

    これまで使用していたRT2600acは、「別宅」に設置しました。別宅には、Synology NAS DS918+を設置しています。Wi-FiルーターはSoftbankの「Softbank Air」です。Softbank Airの有線端末にRT2600acを接続し、RT2600acのWi-Fiにはローカル・デバイスを接続することにしました。

    Softbank Airは、無線の電話回線を使用するWiFiルーターであるため設置工事が不要です。Softbank Airの前には、AU Speed Wi-Fi Homeを2週間使用していました。僕の地域ではSpeed Wi-Fiでは、その通信速度は朝では問題ありませんでしたが、夜7時を過ぎると100bpsと極端なスピード劣化が頻繁にありました。それが我慢できずに、Softbank Airに乗り換えたのでした。Softbank Airは、AU Speed Wi-Fi Homeと比較して極端な通信速度低下はなく満足しています。

    というわけで、Synology NASを使用していて高度なことをしているのに、Softbank Airにネットワーク・セキュリティやローカル通信を任せてはおけないと思い、本宅からRT2600acを別宅に持ってくることにしました。

    僕のネット環境ですが、RT2600ac/RT6600axおよびNASは、同じSynology製であることから、その操作性は同じでそれぞれの管理は楽です。RT2600acは2台あります。故障に備えてもう1台準備していたので、一台は別宅に設置して、もう一台は本宅に予備機として保管しておくことにしました。本宅には、blogサーバーとしてDS920+があります。ルーターにはRT6600axを置きました。RT6600axのローンチと同時にSRMもバージョンアップされました。より高いセキュリティ性や操作性を期待しています。

    RT2600acのSRMバージョン: SRM 1.2.5-8227 Update 5 (2022/09/23現在),
    添付のVPNクライアントのライセンス数は1ですが、追加で20(RT6600axでは増加したことを確認済み、CPUの処理能力に依存しているので妥当な数のはずですが、要確認)まで増やすことができます。今は、その追加は無料で可能です。

    (Release notes)

    RT6600axのSRMバージョン: SRM 1.3.1-9346 Update 1(2022/09/23現在),
    添付のVPNクライアントのライセンス数は1ですが、追加で40(最大同時アカウント数)まで増やすことができます。今は、その追加は無料で可能です。

    (Release notes)

    工事がいらないおうちのWi-Fi – Softbank –

    https://www.softbank.jp/internet/special/air/?utm_source=gkt&utm_medium=cpc&utm_campaign=air&utm_content=2_4_1_10000&gclid=Cj0KCQjwj7CZBhDHARIsAPPWv3eB62-kELQR9C5stZGksVD0IROhFTmGqrEdOBz_t211F9GOXezkiJkaAlt8EALw_wcBhttps://www.softbank.jp/internet/special/air/?utm_source=gkt&utm_medium=cpc&utm_campaign=air&utm_content=2_4_1_10000&gclid=Cj0KCQjwj7CZBhDHARIsAPPWv3eB62-kELQR9C5stZGksVD0IROhFTmGqrEdOBz_t211F9GOXezkiJkaAlt8EALw_wcB

    Synologyルーターを選ぶ理由

    以下に示したような機能/アプリがあり、いろいろな作業が可能です。例えば、セキュリティの維持のための基本的な設定(DoS攻撃対応、ログイン回数制限など)、VPN (Virtual Private Network)によるローカール環境での作業、また、ルーター自体のiPhoneアプリによる管理の容易性、などが特徴として挙げられます。

    SRMとは

    SRM (Synology Router Manager) は、Synology ルーターのOSです。PCのWIndowsにあたります。Webブラウザ/アプリからアクセスして作業します。

    アクセス方法は、以下の2種類が用意されています。Webブラウザでは出来ないことが、アプリではできたりと、少し挙動が異なっています。操作に悩んだ時は、切り替えて作業をしてみてください。

    1. Web ブラウザにより指定のポートにてurlにアクセスしてログインする。
    2. iPhoneアプリ「DS Router」を使用してログインする。

    Synologyルーターを管理するために主に使用するアプリを以下に示します。

    ルーター用アプリ

    1. パッケージセンター:
      標準でインストールされていない機能をインストールしたり、アプリのアップデートしたりする機能があります。Synology NASのDSMにも搭載されているアプリです。
    2. コントロールパネル :
      通常管理に使用する機能群が集約されています。ユーザー設定、地域設定、証明書、SRMのアップデートなど。
    3. ネットワークセンター:
      特にネットワーク管理の機能が集約されています。(1)状態、(2)インターネット、(3)ポート転送、(4)ローカルネットワーク、(5)トラフィックコントロール、(6)セキュリティ、(7)操作モード、などの管理ができます。以下、選択して特記しておきます。
      1. (3)ポート転送:
        ワイヤレスAPモードのRT2600acでは使用できなくなる。因みに、RT6600axではワイヤレスAPモードが選択できない。
      2. (4)ローカルネットワーク:
        ワイヤレスAPモードのRT2600acでは使用できなくなる。使用できなくなるとRT2600acのWi-Fiに接続しているデバイスがあるのに、そのデバイス名を確認できなくなるため非常に困るが、DS Routerを使用すると下のメニューにある「デバイス」から確認できるので、今はこの方法で対応しておく。
      3. (5)トラフィック コントロール:
        ワイヤレスAPモードのRT2600acでは使用できなくなる。
      4. (6)セキュリティ:
        証明書の発行管理などの操作が可能です。
      5. (7)操作モード:
        1. (1)ワイヤレス ルーター:
          Synology NASをプロバイダー経由でインターネットに繋ぎインターネットを使用する場合に使用します。
        2. (2)ワイヤレスAP:
          今回の事例のように、すでにプロバイダーに接続するルーターがあって、そのルーターにSynologyルーターを接続する場合に使用します。
        3. (3)ワイヤレス リピーター:
          Wi-Fiの距離を伸ばす場合に使用します。一般家庭では必要ありません。RT2600acではこの機能は使用可能ですが、RT6600axには搭載されていません。
    4. ネットワークツール:
      pingや経路の検査ができます。脅威のあるパケットを監視するアプリ「Threat Prevention」で脅威として認識されているIPアドレスを、このツールで検査したりできます。
    5. Threat Prevention:
      パケット内容を監視して脅威のレベルに応じてアラートしてくれたり、パケット自体のドロップをしてくれます。アドオン・アプリです。パッケージセンターからインストールして使用します。使用には外付けUSBメモリの接続が必要で、ログ記録に使用します。
    6. VPN:
      このコロナ禍で一気に知られることになった。外部からのアクセスツールです。アドオン・アプリです。パッケージセンターからインストールして使用します。使用には外部ネットワークから接続するため、サイト(IPアドレス)に対するLet’s Encryptなどから得た「証明書」のインストールが事前準備として必要です。

    つまづいたこと

    iOSのWi-Fi設定で「インターネット未接続」、Windows PCで「Npcap Loopbakc Adapter」

    この問題が起きた当初は、Synology NASおよびSynology RouterをSoftbank Airへの接続が原因であると思い込んでいました。ネットネーブルを抜き差しして確認しました。Synology RouterをSoftbank Airに接続し、Synology NASは未接続とすると、iOSでの「インターネット未接続」は表示されませんでした。そこで、Synology NASの設定に原因があると考え、その設定をあれこれ変更しましたが、解決しませんでした。

    何気にWindows 11のSurface Pro 6の下のメニューにあるWi-Fiアイコンにマウスカーソルを持って行った時、「Npcap Loopback Adapter」の表示が出てきました。ググってみると、自分自身にpingを送る時などの検査に使用するもののようです。解決方法は、「Npcap Loopback Adapterという項目が有効になっているはずなので無効化せよ」とのことでした。結局、これを無効化することで、Windows11の「Npcap Loopback Adapter」の表示は消えましたが、iOSでの「インターネット未接続」については、若干、表示が消える時があるものの、まだ表示の継続、たまに表示が消えるなどの状態は改善できてませんでした。

    しばらく様子を探った結果、Synology NASの通信の多さが原因でした。以下の項目でまとめたように、NASにはバックアップ設定をSynology Driveを使っていることで、バックアップが完了していないファイルの転送によるトラフィックが回線を占有する状態となって、iOSが、「インターネット未接続」を判断したようです。NASでのバックアップが完了した後は、この問題は解決しました。

    しばらく様子を探った過程で、ルーターの接続形態(下図)は「ワイヤレスルーター」および「ワイヤレスAP」のいずれでもSoftbank Airを介したインターネット接続が可能であることを確認できました。現在は、「ワイヤレスルーター」で設定しています。この設定により、Softbank AirをDNSとてアドレスを与えられるデバイス群とSynology NASをDNSとしてアドレスを与えられるデバイス群とにローカルアドレスを分けることができました。これによって以下の設定が可能になります。

    1. ホームオートメーションに使用している温度計、赤外線リモコン、スイッチなど制御関係のデバイスが接続されているネットワークをその他のネットワークから切り離す。
    2. データ共有などを利用するWindowsマシン、iOS, Synology NASをホームオートメーション関連のネットワークから切り離す。
    Figure

    VPNクライアント

    Synology Routerの製品別において,同時接続できるVPNクライアント数は以下の通りです.

    デバイス モデルクライアント VPN アクセスライセンスの最大数
    RT6600ax40
    WRX56020
    RT2600ac20
    MR2200ac10
    RT1900ac10
    クライアント VPN アクセスライセンス │ Synology VPN Plus | Synology Inc.

    Npcap Loopback Adapter -ボッチSEのパドリングブログ-

    https://paddling-blog.com/1910-2

    まとめ

    別宅にRT2600acを導入しました。RT2600acは最も外部にあるSoftbank Airに有線で接続しています。RT2600acには、NASやPCおよびiPadなどをWi-Fiで接続しました。

    ローカルネット内は、RT2600acを経由させることで、PC、iPadなどの間で行うファイル転送が高速になると期待できます。おそらくSoftbank AirはRT2600acと比較してそれほど高性能ではないと考えられるためです。

    以上

    編集履歴

    2022/09/23 Mr.Harikiri
    2022/09/24 追記: RT6600axの特徴
    2022/09/29 追記: iOSの「インターネット未接続」とWindows 11の「Npcap Loopbakc Adapter」の問題について。
    2022/10/11 追記: (1)iOS「インターネット未接続」問題の解決したことについて、(2)Softbank AirとSynology Routerの共存設定(ワイヤレスルーター、ワイヤレスAP)。
    2023/04/10 追記: Router別の同時接続可能なVPNクライアント数
  • [Synology] 自宅にNASを設置しWordPressを構築 – blogサイトを立ち上げる – DS918+/DS920+ — 動機編からDS1621xs+拡張序章編[2022/01/04]

    [Synology] 自宅にNASを設置しWordPressを構築 – blogサイトを立ち上げる – DS918+/DS920+ — 動機編からDS1621xs+拡張序章編[2022/01/04]

    はじめに

    その頃、PCいじりも飽きてしまっていました。NASは、まだ、おもちゃのROCKDISKを使用していた頃です。PCでメディアサーバも構築していましたが、常時稼働は消費電力が大きく、常時稼働には覚悟が必要でした。おもちゃのNASには、PCのHDDデータのバックアップの役割を担わせていました。その頃、オモチャでないNASというものの存在を知りました。自宅でサーバーとしてメディアサーバになるとか、チャンとしたデータバックアップの使い方もあるとか、色々と知るにつれて、オモチャではなくチャンとしたNASを自宅に設置して、メディアサーバーや高度なデータバックアップの用途に使用したいと考えるようになりました。そしてWordPressを構築するに至るのでした。

    Synology NASの導入の最初の理由

    それでも、本格的なSynology NASを購入した当時は(2018 / 11)、まさか、blogをするとは思っていませんでした。選択したNASはSynology NASには、まず、メディアサーバーを構築して家庭内で楽しんでいました。Synologyを選んだのは、ソフトウェア性能が高いと思われたからです。やっぱり使い勝手にも関わるソフトウェアは重要です。

    NASを導入した当時、DiskStation Manager (DSM)に用意されているパッケージをインストールして遊んでいたアプリは以下の通りです。Audio StationVideo StationPhoto Station、などでしたが、それでも、出先から繋いで喜ぶ程度で十分でした。

    Audio Station: 音楽ストリーミング

    Video Station: ビデオストリーミング

    Photo Station: 写真閲覧・共有

    数ヶ月経過したくらいからblogでも、と思い立ったわけですが、今となっては、パックアップの選択肢が多い、BtrfsやRAID 6にも対応できるDS918+を選んだ事は、間違いではなかったと思います(2020/04/24追記)。ただ、RAID6は、個人ではやり過ぎですね。RAID6では、パリティHDDが2つ必要です。個人では、パリティHDDは1つのRAID5にしておいて、追加で古いHDDにバックアップを取る体制にしておけば十分です。

    世の中は進んでいた

    2018年まで10年以上の間、NASがこんなに高性能となっていたことを知りませんでした。それに、オープンソースソフトウェア(OSS)のWordPress(※)というものがあって、blogのサーバーの基本中の基本ということも。

    基本的にNASのOSはLinuxが採用されています。実は、「blogのサーバー」と表現しましたが、WordPressの機能は、blogの内容の編集、訪れたネットユーザーへのレスポンス(ワン・カラムやサイド・カラムにしたり)、画像の表示、広告の表示など、いわゆる、ホームページを作成するアプリケーションです。実際にパケットを処理してレスポンスするサーバーは、実は、Apacheというwwwサーバが担っています。WordPressは、Apacheを介してinternetの世界に発信されるのです。便宜上、以下では、WordPressをblogサーバと表現します。

    blogサーバは、WordPressだけではない

    実は、WordPressというのは、CMS (Content Management System)と言って、その他類似するシステムがあるようです。
    https://baremetal.jp/blog/2019/08/26/913/
    シェアは、WordPressがトップ(34%)ですが、その他のCMSも上記のリンクに記載があります。2位は「Joomla」, 3位は「Drupal」, 4位は「Shopify」と続き、それぞれのシェアは5%以下です。詳細は、リンクをご参照ください(2020/09/24, Mr. Harikiri)。

    • WordPress
    • Joomla
    • Drupal
    • Shopify

    おもちゃのNAS

    これまでの約10年間、オモチャのNASやDesk TopのWindowsをメディアサーバーにしたりして遊んでいました。オモチャのNASとは、IO-DATAのRockDiskを意図していますが、もちろんOSはLinuxです。NASに採用されているLinuxでは、最小限の機能でシンプルに稼働できるようにチューンされています。

    WordPressはデータベース・システム(MariaDB)を使う動的なWebサイトです。昔は、静的なフォルダー形式でページを配置していました。

    それは、IBMが開発したOS/2というPC用のOSがWindowsに対抗して頑張っていた時代のことです。MicrosoftのWindows NTとIBMのOS/2には、一部同じコードが使われていた時期がありました。この事実は、MicrosoftとIBMは一時期、Windowsを共同開発したしていたためです。結局、IBMのOS/2によるPCにおけるOS地位の奪還は叶いませんでした。

    • MD-DOSからWindows
    • WindowsとOS/2
    • UnixからLinux
    • Windowsは生き残った

    その頃に市販が開始された「IBM HomePage Builer」というホームページ作成ソフトを使ってローカルに自分だけのためのホームポージを作っていました。静的にページを配置(保存)して静的にリンクを貼るタイプです。目的は、自分だけの「知識のポータル・サイト」を持つことで、いつでも参照できるようにすることでした。忘れてしまいそうなことや、今後、しっかり覚えたいことなど、どんどん追加していました。今では、Synology NASが、そのかわりになっています。当時の「静的なホームページ」の作りは、構造上では至ってシンプルです。作成した目的のhtmlファイルが存在するリンクを作っていくだけです(2020/07/10追記)。

    しかし、データベースを使用できないことは、その他の関連情報の自動表示など、動的な表示は全くできなかったため、必要と思われたことは、せっせとhtml文で追加するしかありませんでした。WordPressでは、データベースを使用しているので、様々なプラグイン(plug-in)、または、知識がついてくれば自分でコーディングすることで、複雑な機能を簡単に追加することができます。本当に素晴らしいことです。

    レンタルサーバーの選択肢はなかった

    ブログ(blog)を立ち上げる場合、自宅のPCやNASを用いずに、プロバイダーのサーバーをレンタルすことが多いと思います(レンタルサーバー)。初期投資も少なくて済むし、知識もあまり必要ではありません。不具合の対応やバックアップサービスがあったり、何よりサーバー(機器)のメンテナンスが必要ありません。

    PCを長年趣味にしてきた愚か者としては、自宅から情報発信したいと思うのは抑えきれませんでした。

    データ保護の観点や速度など、自宅で構(かま)えるよりは、レンタルサーバーが効率的で良いことは明らかですが、自宅にサーバーを置くという「今は茨の道」であったとしても、その向こうには「素晴らしい世界」があることを信じて、今日までコツコツとblogサイトを構築して来ました。

    セキュリティについてもコツコツとやっていくことも必要です。セキュリティに関しては、NASとしての対策、WordPressとしての対策の2つに大きく分けることができます。これらは、それぞれ必要です。

    NASサーバーを構築する

    ひと昔では、サーバーと言えばPCでしたが、今時は、NASでサーバーをお手軽に構築できるようになりました。個人でも十分に高性能な機種を低コストで選べます。

    僕の考えでは、(1) PCは、何かの作業をするGearです。複雑な作業を短時間に実施する高性能なCPU、沢山のメモリ、高解像度のディスプレイが必要です。創造的な作業を短時間にできる性能が基準軸です。(2) NASはサービスを提供するGearです。ある程度ルーチンになったことをサービスするには、PCのように高性能は、ある意味必要ではありません。サービスに必要な性能が基準軸になります。

    Synology NAS – DS918+をチョイス

    NASの導入は、少し奮発して2018年末にSynology NAS DS918+を購入しました。色々調べてみるとBlogサイトには、WordPressという素晴らしいサーバーアプリを使用するのが一般化しているようでした。

    2020/07から、DS920+をSSD 1TBでblogを移行しました。以下の関連記事もご覧ください。サイトのレスポンスが改善すること、および、サイトに訪れてきてくれた際のHDDのアクセス音の静音化のために新規に購入して、blogを移行させました (2020/08/01 追記)。

    WordPressや関連するPHPなどの書籍やネットで調べたりして、先ずはNASの構築を開始しました。

    WordPressはPHPというプログラム言語が使われています。PHPは発信するページの体裁を整えるために使われています。サーバー管理者は、少し込み入った事をしようとしない限り、基本的にこのプログラム言語を理解する必要はありません。まず、基本は、テーマと呼ばれる基本プログラムを選択し、更に必要な追加機能は、沢山のプラグインから追加すれば済みます。

    • 基本を提供するのが、「WordPress」であり、PHPで作られています。以下に説明するものも「PHP」で作られいます。
    • WordPressでは、さらに、表示体裁やちょっとした機能を提供するために、「テーマ」を選択します。
    • さらに、機能を強化したい場合は、「プラグイン」という追加機能をインストールします。
    • 更に、足りなければ自分で自信で以上のコードを書き換えて好きな機能を追加できます。ここはハードルが高いです。
    • 表示系では、html文のスタイルを操作できるCSS (Cascading Style Sheets)という文法の言語で定義する方法が使われます。

    個人で使用する場合、プラグインは、最低限度の範囲で使用する限り費用はかかりませんが、機能アップした有償版もあるので必要に応じて購入できます。僕も5つ程度を購入(クレジットカード)しました。

    現在使用している有償版プラグイン

    当初現在(2022/02)
    1Cool Timeline Pro更新せず使用継続
    2Encyclopedia Pro (1年のサブスクリプション)更新せず使用継続 (レスポンスが遅くなるので、代替処理のための自作コードを開発注。その内アンインストール予定)
    3EWWW (画像数に応じた支払い)画像数が増えて追加支払いで使用継続
    4Advanced Ads Pro (1年のサブスクリプション)2回の更新で使用継続 (使用していない機能が多くコスパが低いので自作コードに置き換え処理注)
    5(ポストと画像の配置を綺麗にしてくれるプラグイン, プラグイン名は失念)AMP非対応でありレスポンスが遅くなるため、今は使用してない。

    外付けHDD

    データのバックアップとしてUSB接続で外付けHDDを使用しています。個人的な実績として信頼性があるのは、センチュリーのHDDケースです。

    必要なマシーンとプログラム (基礎編)

    1. 自宅でNASの構築(出先からのアクセス管理、セキュリティ)
    2. WordPress (ページの体裁等、サーバー管理者の思いを具体化してApacheに繋げる)
      • NASにインストール
      • WordPress用のプラグイン・ソフト : 画像表示、投稿の表示、広告の表示、など色々あります。
    3. Apache HTTP Server (クライアント端末との通信を担うサーバーソフト)
      • NASにインストール
    4. MariaDB (blogなどの文書や動画などは、個別のファイルとして、このデータベースに登録され検索される)
      • NASにインストール
      • 動的ホームページ構築のエンジンです
    5. PHP (WordPressのphpファイルをプログラム言語として処理する)
      • NASにインストール
      • バージョンが、5や7があります。blogサイトのレスポンスは、5は最悪です。7以降を使いましょう。

    アプリ/ツール

    先ずは、NASのパッケージセンターから、DSM (Disk Station Manager)用の必要な機能を選び、NAS用のアプリとしてインストールできます。アプリをインストールするとは、基本的にNAS上にサーバーを置くことを意味します。アプリには、Microsoftの「one note」と同様のことができる「note station」やメディア関連では、「メディアステーション」や「Audio Station」などがあります。出先からNASにアクセスできます。

    次に、Windowsやモバイル(携帯電話など)から操作するためのアプリとしてPC用であれば、「Download Center」で取得してインストールできます。これは、基本的にNASに対するアクセス・ツールです。

    Download Center – Synology –

    https://www.synology.com/en-global/support/download/DS918+#utilities

    最後に、モバイル用のアプリは、iPhoneを使用しているのであれば、App Storeでアプリをインストールできます。「ds」、「synology」で検索できます。これは、NASの管理ツールであったり、クライアントとしてのアプリであったりの機能が使えるようになります。

    参考

    結局、大変参考になったのは、ネットからでした。Synology NASとWordPressを使って基礎からシステムを構築されて、情報発信されている観音寺さんの「ホームネットワーク研究所」は、丁寧に解説されています。

    私みたいな新参者でも理解が助けられます。1から10までお世話になっているサイトです。

    以下の事を実現させたい方には、力強いサイトなので是非訪れてみてください。

    • Synology NASの運用、関連ツールの設定
    • WordPressの導入と設定

    ホームネットワーク研究所 : https://nw.myds.me

    Synology NASの型番について

    Synology NAS製品の型番について分かっている範囲で説明します。

    • DSは、「DiskStation」を意味しています。
    • RSは、Rack mount型です。「RackStation」と明記されています。
    • SAは、Rack mount型です。明記されていなので、憶測ですが「Storage Achiever」では無いかと、説明文から理解しました。
    • FSは、Rack mount型です。「FlushStation」と明記されています。link
    • 「9」は、拡張ボックスを使って可能な最大のドライブスロット数です。
    • 「20」は、発表した年の下二桁
    • 「+」は、不明ですが、無印の型番から少し機能を向上させたものと理解できます。
    • DS920+とDS720+は、数字から拡張ボックスを使用して可能なドライブスロットの最大数の違い(9と7)だけです。CPUなどは同一なので性能は同等です。
    • 因みに、DS920+のWeb Serverとしての反応性能スコアは、下のグラフから10862です。一方、DS1621xs+のWeb Serverとしての反応性能スコアは、64730です。DS920+の約6倍です。

    更に高性能なNAS

    現在は、DS920+でblogのサーバーを立ち上げていますが、Serverのレスポンスに不満を持っています。実は、DS920+にはHDDスロットの4つ全てを使用してSSDでRaid5を構築しているのですが、DS918+のようにメモリ(標準システムメモリ: 4GB)の追加(8BGx2)やキャッシュ(SSD)の追加はしていません。それでもSSDの構成ではシステムの再起動は数十秒で完了します。DS920+をフルスペックする手もあるかもしれません。それでも、基本性能として更に高性能なNASを触ってみたいのです。ネット回線の問題もあるかも知れないので、持っている不満は解決するかはわかりません。

    DS920+のカタログ

    DiskStation DS920+
    Scalable NAS with SSD cache acceleration capability

    https://www.synology.com/en-global/products/DS920+

    DS920+ Data Sheet

    https://global.download.synology.com/download/Document/Hardware/DataSheet/DiskStation/20-year/DS920+/enu/Synology_DS920_Plus_Data_Sheet_enu.pdf?_ga=2.14052148.2022724892.1636367018-1993726491.1635251237

    DS920+とDS720+のカタログ比較 – Synology –

    https://www.synology.com/en-global/products/compare/DS920+/DS720+

    因みに、その内に導入したいと考えているNASはDS1621xs+です。DS1621xs+とDS920+の比較が、下のリンクに示されていますが、PHP反応性能は約6倍です。

    DS1621xs+は、High End NASと説明されており、採用されているCPUは、DS920+搭載のものより高性能である「Intel® Xeon D-1527 4-core 2.2 GHz」です。具体的な性能比は、DS920+が10,000程度、DS1621xs+が60,000程度と約6倍のPHP反応性能差があります。それに見合うだけの周辺性能(メモリ、3つのLANポートの内1つは10G)が付加されています。価格も高価で約3倍です(DS920+が約7万円、DS1621xs+が約21万円)。

    DS1621xs+とDS920+のカタログ比較 – Synology –

    https://www.synology.com/en-global/products/compare/DS920+/DS1621xs+

    DS1621xs+のカタログは以下のリンクを参考にしてください。

    メモリーは、ECC(Error-Correcting Code)メモリーが使用できます。ECCメモリーは、金融機関や高度な化学計算において1ビットでもエラーが許されない分野で使用されているメモリーです。

    DiskStationDS1621xs+

    High-end scalable NAS in desktop form factor

    https://www.synology.com/en-global/products/DS1621xs+

    DS1621xs+は、Rack mount型の高性能なServerと比較しても、約半分の性能まで迫っています。Desk Top型のNAS Serverとしては、相当な高性能です。

    Performance

    Synology strives to enhance the performance of our NAS with every software update, even long after a product is launched. For enterprises and users that demand uncompromising performance from their servers, check the figures below to find the most suitable choice.

    https://www.synology.com/en-global/products/performance#sa_and_xs_plus

    実は、2021年年末に、DS1621xs+を購入しました。WD 8TB HDD Red Plus x 2とDS918+から抜いたRed HDD x 4の合計 6HDDの構成です。今はPlexを導入してホームサーバーとして性能を確認中です。その内、レポートします(2022/01/04, by Mr.HARIKIRI)。

    まとめ

    この記事では、Synology NASを使ったblogサイトの立ち上げの取っ掛かり、および、近況(2022/01/04)について記事にしました

    関連記事

    編集履歴

    2019/05/06 はりきり(Mr)
    2020/04/24 追記(関連記事)、読み返した感想です。もう1年も経ち懐かしく思い出しました。
    2020/05/01 追記(レンタルサーバーの良さについて) 2020/07/10 追記(静的ホームページ)
    2020/08/01 文言整備、追記(DS920+について)
    2020/08/10 追記(OS/2とWindows NTは、元々同じOSだった)
    2020/08/15 文言整備
    2020/09/24 追記(WordPress以外のCMS)
    2021/02/12 追記(文言整備、バックアップとセキュリティ関連の記事リンク)
    2021/08/28,追記(アプリ/ツール)
    2021/11/18,追記(その内、High End NASと銘打っているDS1621xs+を導入したい)
    2022/01/04,追記(購入した有償版プラグインリスト)
    2022/02/06,コード修正(Adsense関連Pluginを自前コードに置き換え)
    2022/02/13,Post ID212は編集画面の表示ができず内容の修正ができなくなったため(アクセス数518)、新しいPost (ID37765)に転記し、Redirect処理した。
    2022/06/10, 文言整備

  • [Synology – Plex] Plex Serverに繋がらなくなったときの対処法  [2020/10/04]

    [Synology – Plex] Plex Serverに繋がらなくなったときの対処法 [2020/10/04]

    はじめに

    Plexは、自宅のサーバーにあるメディア(音楽、動画)をインターネット経由でもストリーム配信できるメディア・サーバーです。

    DS918+にPlex Serverをインストールしていれば、Plexへの接続が上手くいかない場合を、よく経験します。

    ある日、PlexのクライアントをインストールしたiPadからiTunesの購入音楽を試聴しようとしていたときです。追加したファイルが更新されておらず、リストに出てこないことがありました。おそらく、通常は、Up Loadしたファイルについて自動でファイルのスキャンしているはずです。でも、その自動スキャンができていないものと思われまた。

    そこで、Plex Serverの管理画面に接続して、マニュアルで「スキャン」させたかったのですが、管理画面にたどり着けませんでした。

    課題

    今回のお題は、以下の通りです。

    • 新しく追加したファイル(Up Load)があるのに、追加されていない
    • Plex Serverの管理画面に接続してマニュアルで「スキャン」させたい

    しかし、以下のように管理画面に繋げようと試みるものの、接続できないことがあります。Plex Serverは、頻繁にUp Dateします。でも、Synologyのパッケージは、あまり更新されず、SynologyによるケージでのUp Dateは、滅多に上がってきません。そこで、Plexサイトに行って、Synology用の新しいバージョンをダウンロードし、DS918+にマニュアルインストールしてUp Dateするのですが、これが少し厄介を連れてきます。

    その厄介ごとですが、Plex Serverの認証が切れていまいます。管理画面に接続できなくなるのです。

    まとめると、

    • マニュアルインストールした後、管理画面への接続、クライアントでの接続もできなくなったりする

    実際の接続できない現象としては、以下のような感じです。

    • IPadのsafariから、https://ds918:port、に繋いでDSMに接続している時に
    • DS918+からアプリの「Plex」を起動(これはServerの管理画面の起動を意味している)してみると、
    • Sarariは、接続できませんでした。と表示されて、Plex Serverの管理画面に接続できない

    このような時、Safariの表示は、以下のようになっていました

    • ds918:32400/web

    原因は、特定できていませんが、証明書関連でローカルの接続ができないのかもしれません。

    対処方法

    更に試してみます。以下のように、IPアドレスを直接使えば、少し先まで接続が進みます。

    • 192.168.xx.xx:32400/web

    と、iPadのSafariから入力すると、Plex Webの接続ダイアログが開きました。

    ログイン方法として以下のリストが現れます。やはり、認証が切れているようです。認証のやり直しが必要のようです。

    • Googleで続行
    • Facebookで続行
    • Appleで続行
    • メールアドレスで続行

    メールアドレスで続行を選択して、既に登録してある、User IDか、Email Addressと、Pass Wordを入力して進みます。

    そうすると、plex.txにログインしますか?、と表示されます。

    続けると、接続が完了して、Plex Serverの管理画面に入れます。

    Plexの管理画面でできること

    管理画面では、以下の作業が可能です。

    • 共有
      • 他のユーザーを指定して共有を設定
      • 他のユーザーは、クライアントにPlexを有料でインストールしていること
    • スキャン
      • マニュアルで「スキャン」して、Plex Serverのデータベースを更新
      • 更新が完了すると、メディアのリストに表示されるようになる
    • サーバー管理

    まとめ

    Plexは、良い製品です。Serverは無料でインストールできますが、クライアントは、有料です。

    Serverは、もっと多機能な「プレミアム」バージョンに乗り換えることもできますが、Serverのプレミアムは、当面必要ないと思っています。ただ、クライアント(client)は、デバイス毎に必要なので、家族で共有する場合は、台数が必要です(数百円/台)。

    編集履歴
    2020/10/04 Mr.Harikiri
  • [Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック-  [2021/08/01]

    [Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- [2021/08/01]

    ID16720

    はじめに

    この2021/07/27から8/1にかけて「brute-force attack」によるUID/PW情報を破る試行行為が静かに行われていました。Synology NASおよびRouter製品のセキュリティの話です。

    前回、2020/06に気が付いたケースでは、Mail Serverへのattackを3ヶ月間、もしかすると半年間許してしまったことに焦りを感じました。それ以来、Log Centerの確認は1日に1回は無理でも1週間に数日は確認するようにしていたため、このコロナ禍の7/30には、そのattack (DSMへのログイン試行)を認識することができました。数日後の8/1まで対策に時間を要したのは、対策方法を見つけるまで時間がかかったためです

    Warning Logの内容は以下の通りです。

    User [admin] from [xxx.xxx.xxx.xxx]failed to log in via [DSM] due to authorization failure.

    以下、今回のケースの対策方法についても、この記事にまとめておきたいと思います。

    前回(半年以上のアタックを受けていたケース)の対策を施してからは、Log Centerの日常な監視を強化して、追加の設定等により、その有効性を高めていたつもりでした。Log Centerの確認では、表示したいグループを、接続(Connection)にして、黄色で表示されるWarning情報に記録されている怪しいIPアドレスはブロックリストに登録し、更に、効果的な自動ブロックはアクセス制限の設定値を熟慮して設定しています。

    NASやRouterには、必要なセキュリティ機能が装備されています。ローカルネットワークの外からのアクセスを許可している場合は、適切に設定しておかなければ、不正アクセスの踏み台になったり、データを失ったりすることもあり得ます。NAS/Routerには、それぞれで、何らかのサーバーが構築されているはずです。これらのサーバーへのattackを受け難くするために、Synology製のNAS/Routerには、不正ログインやアタックを阻止する強化された機能があるので、適切に設定することでよりセキュリティを高めることが可能です。

    前回のケースは、MailPlus Serverに対する不正ログイン試行 (frute-force-attach)を偶然に発見しました。その日まで半年の間、四六時中、ログイン試行を許していたのでした。

    以下に紹介した方法は、外部からのアクセスを許しているサーバー全般に対して、ログイン試行 (brute-force-attack)を共通に自動ブロックして阻止することができます。この自動ブロックは、特定のIPアドレスに対してのものであり、一定期間で解除される仕組みとなっています。しかし、今回のように、Synology DSMに対して、特定のポート番号を知られて、毎回、IPアドレスを変更してくるattackには完全に遮断することができておらず、Log Centerの記録に警告(warning)として残ることになりました。このケースの場合、基本設定というよりは、対処療法となります。その都度対処することが対応策の基本ということです。

    今回のケースではDSMへのLog in試行でしたが、IDは[admin]固定でIPアドレスを変化させながら、また、PWは色々と試行していると考えられます。以下に解説している基本設定のままでは、警告「ログインの失敗」(failure to log in)が4分おきに記録されていました。この状態を良しとしておいてもしばらくは良いと思いますが、その内、ヒットされる危険性もあります。でもadminは無効にしておけば、ヒットされることはありませんが。でも、ログに残ってくるattackは鬱陶しいですね。

    ログセンターをまだインストールしていない場合は、パッケージセンターからインストールを済ませておきます。インストールできていれば、下図のように「ロクセンター」が表示されるはずです。

    Mr.Harikirの環境の場合、Routerのログは、NASに転送して一元管理しています。RouterとNASにLog Centerをインストールしてあり、ログが集まってくるNASのLog Centerを定期的に確認しています。

    図1. ログセンターは毎日確認

    Log Center

    Log Centerが少しトリッキーなので、少し注意点と簡単な使用方法を以下に示しておきます。

    1. 注意点、概要とログのタグページがありますが、表示内容がなぜか一致していない。概要ページのログには記録されているログインの失敗情報がログページで接続(connection)表示させても、その情報が無い場合がある。
    2. 使い方、表示を一般から接続(connection)にして警告(warning)を確認する。
    3. 今回のケースでは、DSMへのログインの失敗が約4分間隔で記録されていた。以下に開設している今日までの設定では、Mail Serverへのattackには効果がありました。しかし、DSMへのattackに対しては、attack自体を許しており、そのため記録が残っている。

    これまで2回のattackに対する設定概要

    1. 前回のケースであるMail Serverへのattackの対策は、以下の「基本設定」以降に詳しく解説しています。
    2. 今回のケースであるDSMへのLog in attackの対策は、追加事項として、ここに示しておきます。
      1. DSMへのログイン(log in)では、ポート番号が知られてしまっているため、attackを許していると考えて以下の対策で解決しました
      1. コントロールパネル→ネットワーク設定→DSM設定
      2. ポート番号の変更と適用。モグラ叩き的な対策ですが有効な対策の一つです(2021/08/01)。
      3. DSMのポート番号は、PhotoStationやCalenderなどに使われているので、クライアントからの接続設定も更新しておく必要もあります。

    基本設定

    前回のケースでは、attackを受けたのはMail Serverであったため、Mail Serverへのattackが無くなるように設定されています。今回の対応により、その設定内容の変更はありません。今回のDSMへのログイン試行の対処療法として設定すべき項目は、DSMのポート番号の変更のみです。

    前回、MailPlus Serverへのattackを受けた時の状況

    これまで、Log Center (ログセンター)のログは、時折確認していました。しかし、Warningに関しては、重要視していませんでした

    たまたま、今日(2020/06/05)、Warningをしっかり見てみたところ、3分間隔で、MailPlus Serverに対するログイン試行を繰り返していることに気づきました。しかも、3日間に渡ってです。Logを遡って見てみると、以下のことがわかりました。

    • 一回の攻撃は、約3日間をひとまとまりとして行われていた
    • その約3日間が数日間の間隔を置いて、同様の攻撃が行われていました
    • これを大きな「かたまり」として1つと勘定すると、まとまった攻撃の回数は半年間で、5回を確認できました
    • 3日間でのやり口は、約3分間隔でログインの試行をユーザー名を色々と変えながら行っていました。
      • ユーザーIDは、home、ad, user, user0など、よく使われるものでした(図1)

    この攻撃を許していたことに冷や汗です。

    図1. MailPlus Serverへのログイン試行ログ

    基本設定による対策

    DS918+のアクセス制限の適切な設定

    アクセス回数によるログインの制限を、以下のような考え方によって適切に設定します。

    • 3分間隔のログイン間隔を前提にします
    • 3回のログイン・ミスが生じた場合にブロックするようにします
    • 3 x 3 =9 分間で、3回のミスが生じた場合をブロックできれば良いことになります
    • 時間に余裕を持たせて例えば、12分を設定します
    • 回数は、3回を設定します

    コントロールパネル→セキュリティ→アカウント

    図2. ログイン制限の設定

    設定例

    当初の設定では、時間の設定を1分にしていました。早めに検知できた方が良いと直感的に考えたからでしたが、その設定は間違いでした。1分以内で実行できるログイン試行数は、それほど多くありません。時間は、10分から60分程度が、検知するには必要です。更に、自分がログインしてすることと、不正アクセス者がログイン試行することを考えると、60分の時間内でのログイン試行数が設定の鍵になります。

    例1

    12分間の間で、3回~(最大4回)のログインを試行して失敗した場合、自動的にブロックします。4分間隔以下を検出できます。この場合、12分間で3回間違えるとブロックされます。自分がログインする場合も同様なので、少ない回数の3回については注意が必要です。

    • ログイン試行回数(Login Attempts) : 3 回
    • その時間範囲 (Within) : 12 分

    例2

    例1は、4分間隔のログイン思考を前提にしましたが、不正アクセス者は検知をさせるためには、間隔を更に長くすることも考えられます。

    そこで修正して、各値を約3倍にを考えてみます。60分間の間で、10回のログイン試行のブロックを考えます。この場合、60分間以内に、10回ミスするとブロックできます。自分がアクセスする場合、10もミスはしないと思います。また、不正アクセス者が、10回の限られた回数でID/PWを破れるとは考えられません。妥当な設定だと思います。ただし、この設定では、不正ログイン試行を6分に1以上のアタックに対しては、自動ブロックができません。

    この自動ブロックができない状態がそのまま続いたとして24時間経過後には、240回のログイン試行がおこなわれてしまいます。

    • ログイン試行回数(Login Attempts) : 10 回
    • その時間範囲 (Within) : 60分
    • 自動ブロックができない最悪のケースでは、24時間後には、240回のログイン試行を許してしまう

    例3

    例2の、10回、60分の設定では、最悪の場合、24時間後には、240回のログイン試行を許します。

    そこで、10回のミスは、自分もあり得ると許容して、時間をもう少し考えます。24時間以内に10回ミスしたら、自動ブロックするようにすればどうでしょうか。

    自分がログインする時、1日の内に連続して10回もミスはしません。10回、24 x 60 =1440分の設定を最終案として考えてみましょう。

    不正ログイン試行が、この設定を最悪逃れられた場合、1日(24時間、1440分)で10回を許すことになります。1日で10回ということは、1週間で70回の試行回数になります。

    Log Centerの確認を毎日行えば、10回の試行回数で発見できます。1週間毎の確認であれば、70回の試行回数で発見できることになります。なかなか、リーズナブルな設定値になってきました。これを最終提案とします。

    • ログイン試行回数(Login Attempts) : 10 回
    • その時間範囲 (Within) : 1440分
    • 自動ブロックができない最悪のケースでは、24時間後には10回、1週間では70回ののログイン試行を許してしまいますが、それ以外は自動ブロックできます。
    • 妥当な設定であると判断しました。

    設定の効果

    ログイン制限の設定は、12分-3回に設定してみました。今、まだ、不正ログイン施工を実行中(bot)ですが、以下の様に、3回のログイン試行により、自動的にブロックされたことが、Log Centerのログから確認できました。

    図3. 自動ブロックされたことを確認

    メール通知

    NASシステムの通知方法として、メールアドレスを設定しているなら、前述の設定で、自動ブロックされた時には、メールで通知がきます。

    図4. 自動ブロックされたると携帯に通知がくる

    永遠にブロックする

    自分がブロックされることもあると思います。そこで、自動ブロック期間は、1日にしています。

    自動ブロックの通知が届いた場合は、自分に関係しないIPアドレスは,設定から永遠にブロックしておきます。

    コントロールパネル → セキュリティ→ アカウント→ブロックリスト

    ブロックリストには、自動的にブロックしたIPアドレスがリストされていので、そのIPアドレスを控えておき、作成したブロックリストを改めて作成します。上書きするか聞いてきますが、気にせず上書きして、永遠にブロックします。

    自動ブロックの通知が届いた場合は、設定から永遠にブロックしておきます。

    図5. ブロックリストに永遠にリストしておく

    まとめ

    1回目の「Brute-force-attack」と思われる不正アクセスの心込みについは、新型コロナウイルスのため、自宅待機していたことで気が付けましたが、これまでの少なくとも6ヶ月間、不正アタックを放置していたことになります。

    ざっくり計算してみると,3日間で3分間隔の不正ログイン試行では、その総試行回数は、3 × 24 × 60 ÷ 3 = 1,440回です。

    それをこの半年間で、少なくとも5回行われていたので、1,440 x 5 = 7,200回の不正ログイン試行を許してしまったことになります。

    Log Centerは、週に2回は見ていましたが、今思えば、なんの基準もなく漫然と見ていました。今回は、それでも偶然見つけた訳ですが、大事になる前で良かったと思います。

    Log Centerは、最初に設定した時や設定を変更した時には、しばらくは、できれば毎日見た方が良いですし、今回の教訓から特にWarningは、文字通り注意して見る必要があります。特に,同じIPアドレスが何度も記録されていることは要注意です。

    前述した「例3」の設定では、24時間で10回以上、または、1週間で70回以上のログイン試行を同じIPアドレスからされた場合に自動ブロックできます。

    もしも、自動ブロックが出来ない間隔で不正ログイン試行をされた場合でも、毎週1回のLog Centerの確認によリ、最悪でも70未満の試行回数で発見できます。もちろん、毎日のLog Centerの確認により、10回未満の試行回数で発見できます。

    勿論、少ない回数で鍵を開けられない程度の複雑なPW設定を前提にしています。攻撃者に対して、決して、宝くじの当たる確率を上げないように運用していきたいものです。

    Synology Routerの設定

    以上の設定は、Synology Routerにも同様に設定できるので、それぞれがターゲットとなっても大事に至らないよう、同様に設定しておきます。

    • ネットワークセンター → セキュリティ → 自動プロック

    まとめ

    レンタルサーバーを使わず、自前のマシンを使っってBlogをしたり、ホームサーバーとして構築していたとしても、外部からのアクセスを許して運用している御同輩の皆さんは、一般ユーザーとは異なり、私もそうですが、茨の道を進んでいるのです。

    防御能力は攻撃能力よりも重要です。しっかり「マイホーム」を守れるように日々精進したいと思います。

    以上

    編集履歴

    2020/06/05 はりきり(Mr)
    2020/06/06 追記(例3)
    2021/01/22 文言整備、図の追加
    2022/11/20 文言整備
  • [Synology] ITセキュリティ – ランサムウェア対策は,マルチバージョン・バックアップやスナップショットが良いと言われている – Synology NASに当てはめてみた  [2020/03/28]

    [Synology] ITセキュリティ – ランサムウェア対策は,マルチバージョン・バックアップやスナップショットが良いと言われている – Synology NASに当てはめてみた [2020/03/28]

    マルチバージョン・バックアップ

    ランサムウェアに対する最大の防御は、最大限の危機管理としてのマルチバージョン・バックアップが当然に有効的です。

    もしも、ランサムウェアに感染して重要なデータから締め出された場合、バックアップから復元できれば、その損害は、最小限に抑えることができます。

    しかし、個人的でそこまでできませんよね。

    マルチバージョン・バックアップとは、バックアップの方法・ツールを変えたバックアップ手法です。その中でもスナップショットは、結構有効のようなので、以下、調査してその有効性の理解とバックアップの仕方についてまとめました。

    設定するマシンは、「DS918+」です。

    DS918+は、CPU:Celeron 4 core, 読み書きともに高速、ハードウェア暗号化、4ベイを拡張ユニットDX517 (5ベイ)により9ベイまでHDDを追加可能。

    ランサムウェア

    暗号化ベースのランサムウェア

    私も正に、データを人質に取られて身代金を要求されたたという、卑近な事例を知っています。

    • CryptoWall
    • CryptoLocker
    • TorrentLocker

    暗号化対象

    世界で普及しているOSであれば、ランサムウェアは必ず存在しています。Windows然り、Linux系然りです。

    • PC内臓ドライブ
    • ネットワーク ドライブ

    ランサムウェアの感染・発症の経過

    ランサムウェア(Ransamware)の一連の挙動

    1. SPAMメール受信
    2. 添付ファイルの開封 → 脆弱性を探索する攻撃ツールに感染
    3. 攻撃ツールがランサムウェア配信サーバに接続
    4. ランサムウェアをダウンロード
    5. ランサムウェアの実行
    6. ファイルやフォルダの暗号化

    対策

    予防対策

    予防対策とは、セキュリティソフトによる予防になります。セキュリティソフトは、ランサムウェアなどウイルス、マルウェアの検知を主たる機能としています。

    その検知方式は2つあり,ウイルスよりも高度にプログラムされているランサムウェアには,「パターンファイル」による検知では検出率は低いため、「ふるまい検知」が効果的であると言われています.

    • ウイルスパターンファイル
      • たいていのウイルスソフトでは、この方式を使用しています。
      • DS918+には、Antivirus by McAfeeが提供されています。
    • ふるまい検知
      • Synology NASには、ふるまい検知の機能を有するパッケージは最強されていまん。
      • Synology Router RT2600acには、「Threat Prevention」というパケットの内容での「ふるまい検知」機能が提供されています。

    参考1
    CYBER SECURITYより
    blog~ランサムウェア対策

    https://www.cybersecurity.co.jp/

    予防で食い止められなかった時の復旧対策

    マルチバージョン・バックアップ

    Synology(参考2)は、PCのデータの復旧対策として、マルチバージョン・バックアップを提案しています。この提案は、費用がかかる提案であって、個人では、なかなかてを出せません。

    • PCのデータ
      • Cloudにバックアップ
        • 暗号化したデータでuploadする
      • NASにバックアップ
        • ローカルやVPN内の他のNASにバックアップする
      • NASの拡張ユニットにバックアップ
        • DS918+などでは、拡張ユニットが提供されている
      • オフラインでバックアップ
        • バックアップしたHDDやテープを物理的に保管する

    参考2
    暗号化ベースのランサムウェアからの防御

    https://www.synology.com/ja-jp/solution/ransomware

    スナップショット

    CYBER SECURITYのblog(参考1)は、スナップショットを提案しています。スナップショットは、短い間隔のバックアップを繰り返します。

    バックアップ対象は、変更のあったファイルなので、フルバックアップとは異なり必要なディスクスペースは少なくて済みます。

    blogの提案では、スナップショットの保管先は、別のアクセス権限にすることが示されています。

    Synology NAS

    Hyper BackupとSnapshot Replicationをパッケージセンターから追加

    Synology NASには、パッケージセンターからフルバックアップとスナップショット機能をインストールして追加できます。

    • Hyper Backup
    • Snapshot Replication

    外付けHDDの接続

    • 独立電源スイッチ付きの4スロットHDDケース

    構築

    フルバックアップとスナップショット及び「独立電源スイッチ付きの4スロットHDDケース」を組み合わせて、バックアップを運用すれば、マルチバージョン・バックアップに近い復旧対策になります。

    フルバックアップとスナップショットの併用で、マルチバージョン・バックアップへより近づけるためには、以下の考慮事項も必要になりますが、運用しながら必要に応じて構築を進めます。

    バックアップ・パッケージのインストールと運用

    [Synology] NAS (DS918+/DS920+)の バックアップを考える – システム構成は「Hyper Backup」、「Snapshot Replication」および「Synology Drive」- Smartプラグによる外付けHDDケース電源の管理によるセキュリティ向上、最後にシステムコンフィグレーション /クラウドバックアップも考え [2023/11/15]

    [Synology] NAS (DS918+/DS920+)の バックアップを考える – システム構成は「Hyper Backup」、「Snapshot Replication」および「Synology Drive」- Smartプラグによる外付けHDDケース電源の管理によるセキュリティ向上、最後にシステムコンフィグレーション /クラウドバックアップも考え [2023/11/15] はコメントを受け付けていません

    [WordPress] ブロガーになる(1) – WordPressのコード修正に必要なWindows用エディター「EmEditor」とWordPressのバックアップ

    [WordPress] ブロガーになる(1) – WordPressのコード修正に必要なWindows用エディター「EmEditor」とWordPressのバックアップ はコメントを受け付けていません

    考慮事項

    フルバックアップとスナップショットが同時にランサムウェアの餌食にならないようにすること

    1. 外付けHDDユニット(個別スイッチのあるHDDケース)を接続して、Synology NASのHyper Backupでバックアップ設定を構築する
    2. パックアップしたい時に、外付けHDDの必要なHDDの電源を投入する。定期的に実行されるバックアップは、HDDが接続されていれば、バックアップを実行する。実行後、アンマウントする設定にしておく。

    編集履歴

    2020/03/28 はりきり(Mr)

  • [Synology] NAS (DS918+/DS920+)の バックアップを考える – システム構成は「Hyper Backup」、「Snapshot Replication」および「Synology Drive」- Smartプラグによる外付けHDDケース電源の管理によるセキュリティ向上、最後にシステムコンフィグレーション /クラウドバックアップも考え [2023/11/15]

    [Synology] NAS (DS918+/DS920+)の バックアップを考える – システム構成は「Hyper Backup」、「Snapshot Replication」および「Synology Drive」- Smartプラグによる外付けHDDケース電源の管理によるセキュリティ向上、最後にシステムコンフィグレーション /クラウドバックアップも考え [2023/11/15]

    はじめに

    2023/11/15,内容(クラウドバックアップについて追加)を更新しました.編集履歴は,最後尾を参照してください.

    ローカルネットワークに、DS918+とDS920+を立ち上げています。DS918+では、DS918+の外付けHDDにバックアップしています。DS920+のストレッジはSSDで構成しているので,HDDでストレッジを構成しているDS1621xs+(DS918+から移行)より少ないため、DS920+のバックアップ先は、DS1621xs+に設定して行っています。以下,DS918+はDS1621xs+に読み替えてください (2022/11/13).

    最近までのバックアップ体制は、「Hyper Backup」と「SnapShot Replication」の2つの構成でしたが、「Synology Drive」を追加した3つの構成にしました。Synology Driveは、PC/iPadなどの端末のデータバックアップを目的に導入しています。

    Hyper Backupは、NAS間や外付けUSB HDDにシステム設定やアプリケーションをバックアップすることができます。

    SnapShot Replicationは、#snapshotフォルダーというシステム・フォルダを作り、そのフォルダー内に、指定した時間毎に差分のバックアップを作成し続けます。

    Hyper BackupとSnapshot Replicationにより、復元能力が高まります。

    忘れてはいけないのは、システムの設定などのバックアップです。これについても最後に示しています。

    Driveは、Synology NAS同士でもバックアップが可能ですが、PCやiPadのデータをSynology NASにバックアップできます。そのモードは、(1)同期、(2)アップロードのみ、が可能です(追記、2022/01/08 by Mr. Harikiri)。

    Hyper Backup/Snapshot Replication、そしてDrive

    Synology NASのパッケージには、いくつかのバックアップ・ソリューションが無料で提供されています。その内、以下の2つのバックアップ・アプリケーションについて役割を意味付けし、それぞれを使い分ける運用を考えます。最後に、3つ目のパックアップアプリのDriveは、端末のデータ バックアップを目的に解説しました。

    • Hyper Backup
    • Snapshot Replication
    • Drive

    Hyper Backupで十分か?

    これまで、Hyper Backupのみで運用していました。どのようにパックアップを捉えたらいいのか、余りわからないまま使用していたわけです。

    バックアップの運用では、長らくSnapshot Replicationも併用していまましたが、PCやiPadのデータ バックアップも統合的に行いたかったので、Driveの運用を追加しています。

    Hyper Backup

    Hyper Backupの運用は、毎日1回のバックアップを実行するにように、スケジューリングしています。

    Hyper Backupの機能の概要は以下の通りです。

    • EXT4, Btrfswiki (Synology NASの+シリーズで対応)
      • 対応するファイルシステムは、EXT4, Brtfsです
      • Snapshot Replicationと併用するには、ファイルシステムをBtrfsで構築する必要があります
    • バックアップファイルの「暗号化」
      • AmazonやGoogleなどの、ローカルでないパブリック・サーバーへの保管もある程度は安心です
      • 何らかの理由で、マシンを全てロストした場合でも、新しいDS918+を購入してデータを復旧できます
    • 復元
      • バックアップファイルは、Hyper Backupでしか復元できない
    • バックアップの内容
      • 「システム構成」のバックアップと復元
      • 「アプリケーション構成」のバックアップと復元
      • 「ブロックレベルの増分バックアップ」機能(初期バージョンの差)
      • 「データ」のバックアップ
    • バックアップ先
      • 「外付けUSB HDD」へのバックアップが可能。Btrfsである必要はない
      • 「リモートSynology NAS」へのバックアップが可能。異なる敷地にあるNAS間が理想です
      • 「ファイルサーバー」へのバックアップ
      • 「クラウドサーバー」へのバックアップ
    • バックアップの「スケジューリング」

    2つのバックアップソフトのインストールは、以下のリンクをご参照ください。

    Synology NASをバックアップする方法

    https://www.synology.com/ja-jp/knowledgebase/DSM/tutorial/Backup/How_to_back_up_your_Synology_NAS#t2.3

    Snapshot Replication

    Snapshot Replicationの複製先に必要な機能

    ここで複製と言っているのは、2つの機能のことです。

    1. Snapshotとは
      • 選択した共有フォルダのスナップショットを取得します
      • 取得先は、共有フォルダ直下の「#snapshot」フォルダです
      • 設定した間隔でスナップショットを取得します
      • リビジョン管理できます。Windowsのエクスブローカーから以前のバージョンを見たり,復元することができます
    2. Replicationとは
      • 選択した共有フォルダの複製をスナップショットの形式ではなく、正に複製(replication)を取得します
      • 複製先は、ローカルとリモートを設定できます。最近、DSMがバージョンアップしてから、ローカルが設定できなくなりました(2020/09/27, Mr. Harikiri)
      • リモートにも同様に「SnapShot Replication」をインストールしておく必要があります
      • 複製先には、以下のファイルシステム(Btrfs)の要件が必要です
      • リモートにReplication(複製)しても、#snapshotフォルダも複製されます。スイッチオーバーも可能ですsource
    • Btrfsボリューム
      • システムHDD (または最近ではSSD)の初期設定においてBtrfsを選択している必要があります
    • Snapshot Replication
      • 必要なアプリです
      • 複製先にリモートを設定する場合、リモートにも「Snapshot Replication」がインストーされている事が必要です

    実質的には,Synology NAS間でしか複製(Replication)はしにくいか、または、できないのではないかと思われます.Synology製以外,且つ高機能なNASを持っていないので分かりません.

    Snapshot Replication – DiskStation Manager – より

    https://www.synology.com/ja-jp/knowledgebase/DSM/help/SnapshotReplication/data_protection_mgr

    SynologyのDSMでNAS2台をLAN経由&インターネット経由で同期させてバックアップ&フェイルオーバー&リカバリしてみた

    https://gigazine.net/news/20171005-synology-6th-review/

    SnapShotの使用例

    [WP] WordPressをアップデートした途端にエラーを吐いてダウン,SnapShot Replicationを使用して瞬時に復元! パーミッションの設定方法[2023/09/23]

    [WP] WordPressをアップデートした途端にエラーを吐いてダウン,SnapShot Replicationを使用して瞬時に復元! パーミッションの設定方法[2023/09/23] はコメントを受け付けていません

    Drive

    Synology Driveによるバックアップは、PC端末のデータを専用のクライアントソフトで修正されたら即時にそのままのフォルダ構造でバックアップしてくれます。また,当然,2つのNAS間でも可能です.

    他方,HyperBackupの場合,1回限りのバックアップでは,そのバックアップ先ではそのままファイル/フォルダを閲覧したりアクセスが普通にできるようですが,定期的にバックアップする場合,バージョン管理されるため特別なフォーマットでバックアップされます.そのため,ファイル/フォルダは普通に閲覧することはできません.

    そこで,NAS(1) – PC間または,NAS(1) – NAS(2)間で,そのままのフォルダ構造でバックアップしたい場合,即ち,ミラー情報としてバックアップしたい場合は,Synology Driveを使用します.

    必要なアプリのインストー

    Driveによるバックアップには、Synology NASにサーバー(Drive)をインストールし、データを保持している端末(PC/iPad/Synology NAS)にClientアプリをインストールして使用します。

    • サーバー用アプリ : Synology Drive (Synology Drive Adminコンソール)
      • Synology Driveでは、Adminコンソールで、すでに存在する共有フォルダに対してチームフォルダに設定したフォルダ内にサブフォルダの作成や、チームフォルダ/個人フォルダ内のファイル閲覧ができます。
      • Adminコンソールでは、クライアントと共有するためのチームフォルダの設定、クライアント・リストの確認、同期/アップロードなどのログの確認、及びドライブ容量などの情報の確認ができます。
    • NAS用のクライアント アプリ : Synology ShareSyc
      • ShareSycモードでは、シンクロモード(同期)やアップロードモード(サーバーにあるファイルを削除しない限り残る)させるモードの設定、及び、サーバー接続の設定が可能です。
      • サーバーにアップロードのみのモード
    • 端末用のクライアント アプリ : Synology Drive Client
      • NAS用のクライアント アプリ (Synology Drive, webブラウザを使用)と同様の機能を持つPC用クライアントです。

    パッケージセンターから「Drive」をインストールすると,以下の3つが機能追加されます.

    1. Synology Drive: NASのDrive閲覧
    2. Synology Drive ShareSync: NAS間の同期を設定
    3. Synology Drive Admin Console: NAS上のフォルダーを指定

    Synology Driveを追加したシステム構成全体としてのSynology DriveのモードやサーバーNASの構成は以下の通りです。

    • クライアント アプリではアップロードモードに設定
    • アップロードした先のサーバーNASでは、Hyper BackまたはSnapShot Replicationでバックアップを実施
    • 運用(1) : PC/iPadは、それぞれのクライアントアプリをインストールして運用.
    • 運用(2) : 以下は特種な運用方法ですが、事例として参考になると思うので、その運用概要を示しました。
      • A拠点には、光ネットワーク、サーバーNASを設置しています.
      • B拠点には、SoftBank Air (WiFi)、クライアントNASとPC/iPadを設置しています。日々、クライアントのデータが増加します.
      • B拠点のデータをA拠点にバックアップすることが目的です.
      • B拠点のNASのチームフォルダには、PC/iPadからネットドライブやDrive クライアントからデータがアップロードされます。
      • B拠点のNASのチームフォルダは、A拠点のDrive サーバー NASに自動的にアップロード(モード)されます。
      • A拠点のNASは、Hyper Back/SnapShot Replicationでバックアップされます。

    ミラーでバックアップ

    クライアント側で,ミラーによるバックアップができるように設定します.下図は,NASのクライアントソフト(Dirve ShareSync)の場合の設定例です.

    注意点ですが,項目「再リンクしたときのデフォルトの操作を選択します」の設定では,以下の事象が起こったので,その場合の対応策を示しました.因みに,「リモートNAS」は「サーバーNAS」のことです.

    事象 : 不具合と対処方法

    1. 初期設定で,(1)「・・・リモートNASから再取得されます」としていました.
    2. ミラーによるバックアップに変更するために,(2)「・・・リモートNASから削除されます」に変更し,OKで閉じて設定できたつもりでした.
    3. 一旦,リンクを解除して再接続したところ,(1)の設定が生きており,クライアントNASに削除したばすのテストファイルが生き返ってしまいました.
    4. そこで,クライアントNASを再起動したところ,削除したテストファイルは生き返ることなく,リモートNASから削除されました.
    5. この状態で,クライアントNASにある既存ファイルを削除してみたところ,リモートNASのミリーファイルも削除されることが確認できました.

    バックアップ体制の構築

    まず最初に設定しておきたい機能は、Snapshot Replicationの「snapshot」です。スケジュールングして、例えば10分や、30分毎に差分のバックアップを取るように設定します。最小5分の間隔も設定できます。

    以下に、これら機能について、今一度まとめました。

    • Windowsからネットドライブとして使用している場合、前のバージョン(リビジョン)が保存されているので、ファイルのプロパティのバージョンから以前のものを復元できます
    • NAS モデルが Btrfsファイル システムをサポートしている場合、Snapshot Replicationを使用してローカル コピーを作成できます(DS918+/DS920+は可能)
    • iSCSI LUN対応
    • Hyper Backupより処理速は高速
    • スナップショットのスケジューリング(予約スナップショット)は、の3モードがある
      • 常に維持する
      • 最新を維持する
      • カスタマイズ
    • Synology Snapshot Manager
      • Synologyサイトからダウンロードし以下のプラットフォームにインストールすれば、Snapshotを直接管理できる(http://www.synology.com/から無償)
      • VMware
      • Windows Server

    Snapshot, Synologyサイト –

    https://www.synology.com/ja-jp/knowledgebase/DSM/help/SnapshotReplication/snapshots

    最初のスナップショットを取ると、フルバックアップが取られます。その後、バックアップとの差分が取得されます。いずれも、スナップショットです。

    Snapshot Replicationのインストールと設定方法及びスナップショットの概念について、ATCさんの以下の記事が大変参考になります。

    Synology NASでスナップショットを取得する | Snapshot Replication

    https://www.atc.jp/synology_nas_snapshot_replication/

    バックアップの充実化

    Synology NASに保管しているデータおよびNote StationやDBなど一部サーバーのバックアップは、Hyper Backupで必要十分です。

    Snapshot Replicationを使えば、システム構成というより、データの復元に特に向いています。

    この2つのバックアップを使うことで、よりきめ細かなバックアップにより、ほとんどの異常事態においても完全な復元および短時間で最新の復元が実現できます。

    対応するNAS

    Synology製品で、SnapShot Replicationが使用できる、Synology NASシリーズは、Synology siteを参照してください。

    Hyper BackupとSnapshot Replicationの比較

    Hyper Backup

    Hyper Backupの処理時間は、Snapshot Replicationの処理時間より多くかかるが、以下のリストおよび表1に示したように、5種類のストレッジにバックアップできます。暗号化も可能。

    1. ローカル
    2. 外部USB
    3. 別のSynology NAS
    4. ファイルサーバー
    5. パブリッククラウド

    Snapshot Replication

    一方、Snapshot Replicationは、基本的に指定した共有フォルダのスナップショットを取得します。これがsnapshot機能です。そのスナップショットをバックアップするのが、replication機能です。

    ランサムウェア対策には、Snapshot Replicationが良く使われているようです。

    その対応策は、別途、replicationしていたデータを使いデータを再構築します。

    表1. バックアップ・アプリの比較(Synology Siteより)

    バックアップ先Hyper BackupSnapshot ReplicationUSB CopyCloud Sync
    ローカル共有フォルダありありなしなし
    外部デバイス (USB)ありなしありなし
    別の Synology NASありありなしなし
    ファイル サーバーありなしなしWebDAV と OpenStack データ同期専用
    パブリック クラウドありなしなしあり

    バックアップ戦略

    バックアップは、(1)データが破損などによりカレントのデータ自体が無くなる場合、(2)サーバーが損傷する場合、(3)サーバーが置かれている場所が崩壊するなど、データ自体が無くなる要因は、最悪の場合も予想できます。

    • (1)データのみが無くなった場合は、ローカルのバックアップから復元すれば済む
    • (2)サーバーが損傷した場合、同じサーバーをあらためて購入するなどして用意し、別にバックアップしていたSynology NASやファイルサーバーから復元すればよい
    • (3)サーバーが置かれていた場所の崩壊の場合、パブリッククラウドのバックアップや別サイトのSynology NASのバックアップから復元できる。

    個人の場合、自宅内にある別Synology NASか、Windowsのファイルサーバーにバックアップするものと想定されます。それは、一般的な選択肢になります。

    また、パブリッククラウド(iCloud, Amazon, Googleなどから提供されるサービス)をバックアップの保存先に選択することは、Hyper Backupが暗号化機能を有していることから、そのハードルはそれほど高くないと思われます。

    実際の運用

    別のSynology NASがない場合、すなわち2台もNASないのが一般的だと思われるので、それを前提にすると、以下の運用がベターです。

    因みに、最近、DS918+の後継機であるDS920+をblog用に導入しました。現在は、この二台体制によりバックアップ体制が充実しています(2020/09/08 HARIKIRI(MR) )。

    1. Snapshot Replicationの運用

    小さなトラブルのためには、日頃から小まめなバックアップをして、また、復旧も迅速にするために活用します。バックアップ先はローカルにします(一般的な使用ではそれしかない)。

    例えば「web」フォリダーをバックアップ元すると、バックアップ先には「#snapshot」というフォルダーが作成されます。設定したスケジュールでスナップショットは、この「¥web¥#snapshot」ローカルフェルダーに、スケジュールされた日時を表すフォルダー名で作成されていきます。

    日々の大きなバックアップは、Hyper Backupに任せます(毎日)が、Snapshot Replicationによるスナップショットの間隔は、Hyper Backupより短い方がよいです。例えば1時間や2時間、5分毎も可能です。#snapshotフォルダーは、Hyper Bacvkupによるバックアップ対象のフォルダーではありません。従って、Hyper Backupのバックアップ先には、#snapshotフォルダーは含まれません。

    2. Hyper Backupの運用

    おすすめは、Synology NASにHDD毎に独立の電源スイッチがある裸族のお立ち台を接続(USB4台)して、毎日のパックアップ、パックアップ完了後のアンマウントしてオフラインにする設定が安全面からベターでです。

    ただし、バックアップの後の次のパックアップには、HDDケースのスイッチのOFF/ON操作が必要になります。こまめなOFF/ONは必要とは思わないので、気づいたときにOFF/ONする運用でもよしとします。ただし、バックアップ先のHDDが再マウントされていないため、HDDがオンラインにならないとバックアップは失敗します。HDDのOFF/ONによりマウントされている場合は、その時に限りバックアップされます。この点は注意してください。

    3. 自動化

    当サイトでも記事にしている「Switch Bot」シリーズの「プラグ」を用いて、外付けHDDケースの電源をコントールしバックアップの自動化を行う。これにより、手動によるHDD電源のオン/オフは不要となり、不必要な時間帯での外付けHDDケースの稼働が避けられることで、セキュリティ向上につながる。

    • 当サイトでも記事にしているSmart Botシリーズのプラグを、DS918+のUSBに接続した外付けHDDケースの電源プラグと家庭用コンセントの間に接続
    • iOS用SmartBotアプリからプラグの稼働時間を設定します
      • Hyper Backup、および Snapshot Repricationがバックアップするタイミングに応じた時間帯に設定します
      • 設定する時間帯の開始と終了の時刻は、5分から10分程度の余裕時間も考慮します
    • 設定した通りに、外付けHDDケースに対してバックアップできているか、ログを確認します
    WD BlueTM (5400 RPM Class)
    • 2年保証
    • 3.5 inch
    • Win/Mac対応
    • 4Kセクタ(AF)
    • SATA, 5Gb/s
    • 5400 rpm
    • イメージバックアップソフト(無料ダウンロード), Acronis True Image WD Edition (Windows版)
    • NoTouchTM ランプロードテクノロジー搭載: 記録ヘッドがディスクの表面に触れないように安全に配置されており、データを保護する

    USB Copy

    もっと柔軟なバックアップには,USB Copyも活用できます.

    • DS918+/DS920+では,全面とは背面に,1つずつUSB 3.0ポートがあります.外付けHDDにフォルダ/ファイルをコピーすることができます.
    • コピー動作のトリガー
      • USBデバイスのホットプラグしたとき
      • ハードウェアコピーボタンを押したとき
      • スケジュールを有効にして,その稼働時期になったとき
    • モード
      • フレキシブルモード
        • インクリメンタル
        • ミラー
        • マルチバージョン
    • 高度なオプション
      • インクリメンタで以下のオプションが使用できる
        • 送り先フォルダーの元のファイル構造を削除
        • ファイルの競合ポリシー
        • コピーが完了したら,そーすファイルを削除
      • マルチバージョンで以下のオプションが使用できる
        • ローテーションポリシーオプション
          • 古いバージョンからローテーション
          • Smart Recycle
          • 最大65535のバージョン保存
    • タスクが完了するとUSBデバイスは安全に自動排出される
    • フィルター機能が使える
      • 音楽,動画,画像,文章
    • ログ作成機能
      • 最大100,000
    • 通知機能
      • SMS
      • E-mail
      • モバイル
    • ビープ音
      • 開始時
      • 終了時

    USB Copy — Synology サイト —

    USB Copy の仕様 | Synology Inc.

    PC/Macなどのバックアップ

    以下のActive Backup Suiteによるバックアップに関するる記載は,古くなっています.2023年現在,Active Backup Suiteは,名前を変えてActive Backup for Bisunessとなりパワフルになりました.

    以下の内容は古いですが,記載内容は残しておきます(2023/10/08)

    Active Backup for BisunessでPC/Macをバックアップする方法は,別の記事を参考にしてください.

    https://harikiri.diskstation.me/synology/42352/(新しいタブで開く)

    Active Backup suite (古い,2023/10/08現在)は,Synology NAS以外のマシンのバックアップをSynology NASにすることを可能にします。

    Synologyが提供するライセンスフリーのバックアップバッケージは、SMB、rsyncによりSynology NAS以外のマシーンのデータやシステムをバックアップすることができるようになります。

    • Windows 10 PCのデータ、システムのバックアップと復元
      • バックアップは、Synology NASをバックアップする同様の技術で、差分バックアップすることでバックアップ容量を削減できる
      • リストアでは、CDやUSBメモリーで起動して、バックアップデータを保存しているSynology NASに接続することで、指定の復元ポイントに戻すことができる
    • ファイルサーバー
    • 仮想マシン

    Active Backup Suite – Synology Site –
    (2023/10現在,Active Backup for Bisunessと名前を変えてパワフルになりました.以下の記述とリンクは参考までに止めてください)

    Active Backup は、VMware、Hyper-V、Windows エンドポイント、Microsoft 365、G Suite のバックアップタスクを Synology NAS で一元管理し、一台のシンプルなコンソールで管理できるようにします。高速で信頼性の高いリカバリを実現し、実行中のサービス、VM、およびファイルを即座に利用できるようにします。

    具体的には、Active Backup for BuisinessパッケージをSynology NASにインストールし、Windowsをバックアップしたい場合は、Windows10用のエイジェントをPCにインストールするところから始まります。

    https://www.synology.com/ja-jp/dsm/feature/active_backup_suite

    システム・バックアップ

    以下で説明する「システム・コンフィグレーション」のバックアップは、Synology NASシステムの各種設定についバックアップすることが可能です.システム障害が起こった時に、できるだけ最小限の復旧作業で済みます。

    以下挙げた項目がバックアップされます。以下の図のように、拡張子が、「dss」のシステム・コンフィグレーション」ファイルをダウンロードし,その時まで安全に保管しましょう。

    • ユーザー
    • グループ
    • 共有フォルダー
    • ワークグループ
    • LDAP
    • SMB
    • AFP
    • NFS
    • FTP
    • Advanced
    • ネットワークパックアップ
    • ユーザーホーム
    • パスワード設定
    • パスワード期限
    • SNMP
    • タスクスケジュール
    • ノーティフィケーション

    最終防衛線はクラウドか!

    以上,バックアップしたデータの保管場所(サイト)を自宅にするという前提で解説してきました.即ち実データとバックアップデータが同じ場所という設定でした.実データとバックアップデータが同じ場所にあるということは,もしも,侵入者が実データを奪取できたとした時,同じ場所にあるバックアップデータも危険に曝されていることになります.

    そこで,考えられるのは,バックアップデータを保管を他サイトにするという提案です.それが,今後の在り方なのかも知れません.でも,個人的には少し抵抗がありますが,暗号化したバックアップデータであれば,少し積極的にはなれそうです.

    クラウドサービスは,どこでもよいのですが,例えば,マイクロソフトのOne Drive,AppleのiCloud,それとSynologyが提供するC2 Storage,等があります.クラウドサイトの地域は,Synology C2では,ヨーロッパ,北米,台湾です.One Driveおよび iCloudは,日本だと思われますが公表されているのかは不明です.

    Synology C2のアドバンテージは,Synology NASの機能に沿ったサービスが提供されます.C2の価格は,以下のリンクから確認できます.

    C2 Storageの価格 – Synology

    https://c2.synology.com/ja-jp/pricing/storage

    まとめ

    Snapshostによるバックアップは、ランサムウェア対策に使われることが多いと聞きます。短い間隔での差分バックアップであるため、最も近い過去での最新バックアップを持っているためです。

    ベースとなる「まるごとバックアップ」は、Hyper Backupに任せて、そのHyper Backupのバックアップ間隔の隙間を埋めるのが、Snapshot Replicationです。

    最後に、バックアップと共に、セキュリティとして重要であるのが、データの漏出の防止です。その為には、暗号化についても考える必要があります。もしも、Synology NASを使用しているのであれば、暗号化について以下の記事もご覧ください。

    編集履歴

    2019/12/01 はりきり(Mr)
    2020/01/03 追記・文言整備
    2020/03/05 文言整備
    2020/04/24 追記 (関連記事)
    2020/05/01 追記 (Snapshot Replicationは、Btrfsで使用できる)
    2020/05/04 追記 (ランサムウェアについて、まとめ)
    2020/08/13 文言整備、修正(web-1フォルダーが作成される → #snapshotフォルダーが作成される)、追加(DS920+とDS918+について)
    2020/09/08 文言整備、追記 (DSMでの操作画面)
    2020/09/27 誤記修正 (誤記であったHyper Backupでリビジョン管理を削除)、文言整備
    2021/01/03 追記 (自動化 - Smart Botのプラグを使って外付けHDDケースの電源のON/OFFを管理する)
    2021/03/28 追記 (USB Copyについて)
    2021/04/03 追記 (Active Backupパッケージについて)
    2021/05/15 追記 (システムコンフィグレーションのバックアップ)
    2021/10/16,文言整備(SnapShot Replication関連)
    2022/01/08,追記(Synology Driveによるバックアップ)
    2022/11/13,修正(DS918+からDS1621xs+に移行したことに伴う)
    2023/08/28,追記(Synology Driveを使ったミラーバックアップについて)
    2023/10/08,追記(Active Backup for Bisunessは,Suiteからパワーアップ)
    2023/11/11,追記(パッケージセンターからDriveをインストールして追加される3つの機能: Synology Drive, Synology ShareSync,および Synology Drive Admin Console)
    2023/11/15,追加(クラウドにバックアップするについて)
    2024/07/14,文言整備(誤記訂正など)

    以上

  • [Synology] グローバルなIP証明書である「 Let’s Encrypt 」取得 – 80, 443ポートが空いているNASでは自動更新は可能 – その他NASへの証明書のインポート方法 と運用方法 [2023/02/25]

    [Synology] グローバルなIP証明書である「 Let’s Encrypt 」取得 – 80, 443ポートが空いているNASでは自動更新は可能 – その他NASへの証明書のインポート方法 と運用方法 [2023/02/25]

    はじめに

    httpsのページとして公開可能にするには、証明書が必要です。そうでないと、「このページはなりすましなどで危険」などとのメッセージがWeb ブラウザに表示されます。

    ちゃんとした会社のホームページでも、このようなメッセージが依然として表示されるサイトが多くありますが、ちゃんとした会社であることを知っていたとしても心配になりますね。

    あと、個人的にSynology NASを使用した写真の共有化やDS NoteなどのInternetを介したアプリを使用する場合も、同様の問題に対する解決策として証明書を取得した方が良いです。

    Let’s Encryptというボランティア団体によって個人でも証明書を取ることができる時代になりました。個人でサイトを立ち上げたのなら、是非、Let’s Encryptの証明書を取得しましょう。

    数ヶ月前(2022)の情報ですが、Let’s Encryptが発行する証明書は、1億通を超えたとありました。

    証明書

    先日、証明書期限がきれるので、Let’s Encryptの更新をマニュアルで実施しました。更新した証明書の期限は、3ヶ月後の日付に更新されていましたが、更新したはずが、WebブラウザのSafariの表示で証明書エラーが出るようになっていました。

    クライアントの証明書エラーが出ているSafariの表示から、証明書の内容を確認してみると、以前の証明書の期限のままの日付を表示していました。

    この現象は、単純に設定のミスです。以下に説明してきましょう。

    Let’s Encrypt 証明書の取得制限

    試行錯誤している内に、何度も証明書を取得(以下の設定)したため、取得制限に引っかかりしたりします。Let’s Encyptには取得数に制限があるためです。この数の紐付けは、登録のemail addressであるため、email addressを変更すると回避できます。

    Let’s Encrypt 申請内容

    以下の項目を申請します。

    • Domain : 例えば: harikiri.diskstation.me
    • Email : <my Email address>
    • Subject Alternative Name : *.harikiri.diskstation.me

    証明書取得後の設定

    設定でツボにハマってしまったら先ず、取得し過ぎた証明書は整理しましょう。必要出ないLet’s Encrypt 証明書は削除します。残しておくと、期限切れの証明書を設定するというミスも起こし易いためです。

    下図を見ながら説明を読んでください。

    1. 1回目の証明書を取得すると、そのNASなどが持っているサーバーのサービス毎に、この証明書が設定されます。
    2. 同様にして2回目の証明書を取得すると、同様に2回目の証明書が、サービス毎に設定されます。
    3. ここで、1回目の証明書の設定(configulation)を開くと、サービス毎に、1回目と2回目のどの証明書を設定するか選択することができます。
    4. すなわち、1回目の証明書の設定の中なのに、そのサービスに対して、2回目の証明書を設定可能であるということです。1回目の証明書の設定をしているのに、2回目の証明書を含めることが出来てしまします。
    5. このことを理解していないと、はりきりのようにつぼにハマってしまいます。

    図の説明:

    証明書の場所は、コントロールセンターのセキュリティ(Security) > 証明書(Certificate)です。

    そこには、取得した回数分の証明書がリストされています。下図の例では、4つが確認できます。

    その内の一番上の証明書を選択状態にして、設定(Settings)をクリックすると、下図のようにダイヤログが表示され、サーバーのサービス毎の証明書をどれにするか、ドロップダウンリストにより設定することができるようになっています。ドロップダウンリストには、全ての取得した証明書が表示されます。

    図の例では、FTPSなどの全てのサービスの証明書(Certificate)は、「harikiri.diskstation.me」に設定されていることが分かります。

    Webブラウザからの確認

    Sarari表示から確認してみると、その証明書は最新のもになっていて解決したことを知ることができます。

    サーバーに最新の証明書を強制的に使用させるには、NASの再起動が必要ですが、自動で再起動しない場合は、マニュアルで鎖再起動させます。

    それでも、以下のように証明書を適切に設定して、サーバーの再起動というダイアログが出て再起動されたとしても、新しい証明書を使用しないことが何回もありました。最後は、NASの再起動により解決することができました。WebブラウザかNAS側か、いずれかは分かりませんが、キャッシャが関わっているものと思われます。

    1. DSM → コントロールパネル → セキュリティ → 証明書から、証明書をセレクトする
    2. 次に、構成(コンフィグレーション)をクリックし、当該NASに設定が必要なサーバーについて、その数だけ以下のように証明書を設定する
    3. コンフィグレーションでの証明書の設定は、証明局(Let’s Encrypt)からの取得、あるいは他のNASからのインポートにより、現に存在する証明書を選択する
    4. 基本的には、すべて同じ証明書を設定した後、「OK」を押すと、サーバーの再起動が開始されて、DSMに戻ってくる。
    5. しかし、このDSMに戻ってきても、ウェブブラウザから接続を試行してみると、以前の古いままの証明書になっていることがある。僕の経験では、ほとんどがそうでした。
    6. そこで、証明書を新しくしたものとして有効にするには、NASの再起動を実施することで、それが可能になります。

    一般的な注意点

    • Synology RouterやNASにLet’s Encrypt証明書を取得する時、及び、自動的に更新させるにはポート80 (及び443)を開けておく必要があります。
    • 当サイトでは、複数のSynology製品があります。RouterとNAS x2 構成なのですが、80と443のポートは、もともとblogサーバーに設定されることが規定されています.更に、証明書の取得および自動更新も、80と443なので必然的にblogサーバーを介して証明書取得とその自動更新が行われることになります.
    • 従って、80/443の設定は1台の装置にしかできないため、その他のネットワーク機器に対して証明書を適用させるためには、取得したblogサーバー用NASの証明書をエクスポートした証明書を使って、その他のNASなどにインポートするマニュアルの方法で対応するしかありません(スクリプトを書けばできるとは思う)。
    • Let’s Encryptにおけるドメイン名に応じた証明書の取得数制限に引っかかった場合、その対処法は、Emailアドレスを変更したり、ドメイン名を変えたり(その場合、必要としているドメイン名をSubject Alternative Nameに設定する)
    • 以上の設定方法の記載は、以下のSynology Siteに説明があります。

    Synology DDNSを使用してSynology SSL VPNとWebVPNを設定する方法 – Synology –

    https://www.synology.com/ja-jp/knowledgebase/SRM/tutorial/VPN/How_to_set_up_Synology_SSL_VPN_and_WebVPN_using_Synology_DDNS_service

    証明書の自動更新がまだ

    証明書の自動更新が有効かを確認します。先ずは、マニュアルによる証明書更新を実施してみます。はりきりの場合、エラーで更新ができませんでした。

    調査した結果、外部アクセス設定で設定していたドメインにエラーが出ていたので、それを解決して、Let’s Encrypt証明書のマニュアルによる更新を行ってみました。その結果、無事に更新することができ3ヶ月先の期限延長を獲得できました。今回まででは、自動更新が可能かどうかは、確認ができていません。できているのは、マニュアル更新のみです。

    以上の詳細として、以下に証明書のマニュアル更新/自動更新ができない時の設定を示した。

    1. Routerは、Internetに繋がっており、DDNS設定で「harikiri.diskstation.me」を設定しており正常である。
    2. Routerの転送ルールには、blog NASに対して、80/443を設定している。
    3. Routerには、blog NASが有線で繋がっている。
    4. blog NASのDDNS設定では、Routerと同じ「harkiri.diskstation.me」を設定していたが、Synologyとの通信でエラーとなっていた。

    マニュアル更新が可能となった設定を以下に示した。

    1. RouterのDDNS設定を削除した。
    2. blog NASのDDNS設定を更新することで、正常に繋がることを確認した。
    3. この状態で、Let’s Encryptのマニュアル更新を実行した。

    設定後の結果

    1. 上記の設定の結果、Let’s Encrypt 証明書(certificate)はマニュアルによる更新が可能となり、この日から3ヶ月先の日付に更新できた。
    2. 証明書の自動更新ができるかどうかの確認は、3ヶ月後に確認する予定。

    まとめ

    DSMのセキュリティ > 証明書 に行き,Let’s Encrypt 証明書を取得する.取得された証明書は,このウィンドウに証明書リストとして追加される.設定タブを選ぶと,NASの各サービスにリストされた証明書のうち,どの証明書を使用するのか設定することができる.すべてをLet’s Encrypt 証明書にしてもいいし,Synologyから取得した証明書を設定してもいい.しかし、この操作がミスを生みやすいので注意して設定すること。Web Serverが再起動して,証明書の再設定が行われる.しかし、再起動しない場合は、強制的に再起動させる。それでもダメなら、NASを再起動させる。

    教訓

    • Synology NASの証明書の設定において、期限切れと表示されている証明書(Let’s Encrypt)は、削除しておくべし。新しい証明書を作成またはインポートして、デフォルトに設定していたとしても、期限切れの証明書を間違えて設定しているなどのミスを起こしやすいため。
    • そもそも、証明書を設定し直すとサーバーが再起動するはずです。再起動がない場合、証明書が更新されていないことを疑う。NASのDMSの不具合の可能性も考える。

    その他情報

    • RT2600ac/RT6600axの証明書の位置
      • コントロールパネル → サービス → 証明書

    編集履歴

    2019/08/08 Mr. Harikiri (blog NAS: DS918+)
    2020/12/31、追記 (教訓)
    2021/02/26、追記 (blogサーバー用NASの証明書(Let’s Encrypt)は自動更新されていたが、80, 443ポートが空いていない、他のNASは自動更新されないので、自動更新された証明書をエクスポートして、それをインポートする運用で対応するしかない)
    2022/11/13、文言整備
    2022/12/20, 追記 (Let's Encryptの自動更新ができるかどうか挙動を確認したが自動更新されず) (証明書の設定)
    2023/02/25, 追記(マニュアルによる証明書の更新がてきないことに気づいた。その原因)、文言整備
  • [Synology] ルーター用のセキュリティソフト: Threat Preventionは、悪意のあるパケットを遮断 [2021/03/12]

    [Synology] ルーター用のセキュリティソフト: Threat Preventionは、悪意のあるパケットを遮断 [2021/03/12]

    Synology Router

    RT2600acは、Synologyの高性能なWiFi ルーターです.以前は、BuffaloやIO-DATAのRouterを使っていましたが、ホームネットワークにNASを設置する場合、Internetからの攻撃が多くなることが予想されました。そこで、RouterをNASと同じくメーカーであるSynology製に置き換えることにしました。

    RT2600ac

    RT2600acには、Synology製のRouter用パッケージが無料で使用することができます。

    これまで、ルーターを経由する不正なアクセスに対して、そのセキュリティ・パッケージは,「Intrusion Prevention」という名称でしたが、機能アップが図られて「Threat Prevention」という名称で提供されています.Threat Preventionは、企業向けの侵入防止技術のパッケージです。因みに、IDSIntrusion Detection System)とは、通信ネットワークにおける専門用語です。悪意のある通信、ホストへの不正侵入、ファイルの改ざんなどの兆候を検出するシステムをIDSと言います。設置形態として、ネットワーク上に設置する「ネットワーク型」と、ホスト上に設置する「ホスト型」の2種類があります。

    IDSとは - @IT –

    https://www.atmarkit.co.jp/ait/articles/0401/01/news055.htmla

    Threat Prevention

    今のRT2600acのパッケージセンターには,「Threat Prevention」というパッケージを見つけることができます.

    怪しいパケットの制限など、フィルターの設定ができます.デフォルトで、悪意のある度合いが高いパケットは自動でブロックします。悪意の度合いは、低、中、高とあります。低中については、マニュアルでブロック指定が可能です。

    Security Database

    セキュリティデータベースというサイトがあります。日々、色々なタイプの悪意ある通信について集積されています。英語ですが向学のためには一度は閲覧しておきたいサイトです。世界の情報は、英語がほとんどです。向学心のある方は少し頑張ってみてみて下さい。

    Security Database

    https://www.security-database.com

    インストール

    RT2600acルーターにログインします。

    Desktopのパッケージセンターを起動して、サイドメニューから「すべて」を選択すると「Threat Prevention」を見つけることができます。

    Threat Preventionパッケージをクリックすると、以下の様な画面が現れます。この画面では、既にインストールしているので、少し表示が異なっているかも知れません。

    インストールが完了すれば、メインメニューから「Threat Prevention」を確認できます。

    「Threat Prevention」を起動すると、以下の画面が現れます。グラフ線の内、「赤」は重大度が「高」、「橙色」は「中」に設定されています。

    運用方法の概要

    • 弱いリンクを見つける
      • 脆弱なデバイスの特定 : イベントのログから高い重大度が発生したデバイスを確認する
      • 確認方法 : セキュリティ・イベントには、過去7日または30日以内の要約を確認できる。そこから、IPアドレスを確認する。
    • 対策
      • 一時的にインターネットから切り離す
      • デバイスのウイルススキャンを実施する

    IoT時代のセキュリティ – Synology 日本語サイト –

    https://www.synology.com/ja-jp/srm/feature/secure_network_foundation

    ネットワーキング体験の革命的な変化 – Synology 日本語サイト –

    Synology Router Manager (SRM) は、Synology Router の威力を高めてくれるオペレーティング システムです。クラス随一のユーザーインターフェイスにより、ネットワークで何が起きているかを詳しく把握することができ、接続されているデバイスすべてを迫り来る驚異から守るきっかけになります。

    https://www.synology.com/ja-jp/srm

    イベント

    イベントを選択すると、Threat Preventionが感知した通信の内容が示されます。

    重大度が「高」のイベントは、デフォルトで「ドロップ」されるものもありますが、Threat Preventionの立ち上げ初期は、イベントの観察を小まめにしてください。もしも、重大度が「高」のイベントで、「ドロップ」されていない通信 (おそらくローカル発信で外部のIPアドレスへのパケット)を見つけたときは、そのIPアドレスを指定した処理「ドロップ」を検討します。多分、「ドロップ」設定でも問題ないパケットが殆どだと思います。

    以上の設定を繰り返すことで、怪しいIPアドレスとの通信は、「ドロップ」設定として数が増えていくでしょう。

    ある程度の期間、上記の設定処理が進むと、処理するイベントは限りなくゼロに近づきます。後は、Threat Preventionで設定したメールによる「イベントの通知」(設定を参照)を確認しつつ、平時の管理になっていきます。

    統計

    設定

    「全般」で「ハイリスクなパケットを自動でドロップ」になっていることを確認しておきます。

    デバイス

    「デバイス」でローカルに繋がっているデバイスが列挙されます。すべてにチェックを入れて、セキュリティを高めます。

    通知

    「通知」では、少なくとも「電子メール」を設定します。RT2600acルーターの設定で指定したE-mailアドレスに通知が届くようになります。

    ログストレージ

    ログストレージは、外部メモリが必要です。最小512MB、最大2GBです。RT2600acのUSB端子にUSBメモリーを挿して、ログを構築してください。

    悪意のあるパケット

    以上の設定で、Threat Preventionが判定する「重要度の高い悪意のあるパケット」は,自動的にブロックしてくれます.

    「ドロップ」したイベントが生じたら、e-mailで知らせてくれます。

    これを執筆していた2019/07では、1日当たり20-30程度の悪意のあるパケットが世界からきていました。今回の内容の整備にあたり、「ドロップ」された件数を確認すると、50件程度に増加していました。

    Threat Preventionには、世界地図による悪意のあるパケットの発信元などが、統計情報としてログされます.

    まとめ

    NASに合わせてRouterを同一のメーカーにすることは、良い面も悪い面もあります。先ず、悪い面では「共倒れ」になるリスクです。それよりも良い面を重視しています。良い面は、装置同士の「連携」、「尖ったソリューション」による高性能を得られることです。

    以上

    編集履歴

    2019/07/12 追記
    2020/03/01 文言整備
    2020/05/04 追記 (図を使ったインストールと設定)
    2020/11/12 追記 (運用方法の概要)
    2021/03/12 追記 (IDSについて、SECURITY DATABASE)、修正(タイトル)

    Threat Prevention関連

    Synology, WordPress

    [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する [2021/08/01]

    Post Views: 352 はじめに Synology NASおよびRouter製品のセキュリティの話です。今回は、Router製品の上位機種であるRT2600acのパッケージ「Threat Prevention」の…
    Synology

    [Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある [2021/04/09]

    自宅にNASを置き、さらにWordPressも置いているオーナーにとっては、レンタルサーバーを利用したWordPress設置と比較して、セキュリティ対策を考慮することは重要です。サイバー攻撃の種類を知って、その対策について知識を持つことは、常にセキュリティ対策を実施していがなければならないオーナーとしては、必須の知識です。
    Synology, WordPress

    [Synology] Dynamic DNSサービスとは – Synology Router RT2600ac – myDNS.jpに登録 [2021/01/02]

    自宅のNASにWordPressを導入して、blogを発信するには、ドメイン名とセキュリティ対応が必要です。ドメイン名は、無料のDynamic DNS (DDNS)サービスで取得し、httpsでアクセスするためのセキュリティ対策は、第三者からの証明書の取得として、無料のLet’s Encryptで対応します。
    Synology, WordPress

    [Synology] Threat Preventionから通知が来なくなる現象を取り敢えず回避する(改)

    Post Views: 330 Threat PreventionからのE-mail通知が来なくなる Threat Preventionは、Synology Router RT2600acに導入しています。不正なアクセス…
    Synology

    [Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは

    Post Views: 355 RT2600ac NASとRouter Synology社のRT2600acは、協力なセキュリティ機能を持つ高速ルーターです。パッケージセンターに、無料のセキュリティソフト「Threat …
    Synology, WordPress

    [Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する [2020/03/20]

    Post Views: 200 Threat Preventionとは Synologyのパッケージ「Threat Prevention」は、IT業界における一般的な名称は、「侵入検知システム (IPS: Intrusi…
    Synology

    [Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件

    Post Views: 225 RT2600ac RT2600acのアプリケーションパッケージである「Threat Prevention」は、ネットワークに対する悪意のあるアクセスを、その悪意のレベルに応じてブロックして…
    Synology

    [Synology] ルーター用のセキュリティソフト: Threat Preventionは、悪意のあるパケットを遮断 [2021/03/12]

    Post Views: 489 Synology Router RT2600acは、Synologyの高性能なWiFi ルーターです.以前は、BuffaloやIO-DATAのRouterを使っていましたが、ホームネットワ…