タグ: AD-Synology

  • [Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある [2021/04/09]

    [Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある [2021/04/09]

    Webサイトへのサイバー攻撃の種類

    抗原の種類と概要については,参考ぺー字 「サイバー攻撃の種類とWebセキュリティ, CyberSecurityTIMES」sourceを参考にしました.ここの攻撃の詳細については,それぞれ別のページを参考にしました.

    SQLインジェクション攻撃

    • 攻撃概要 : Webサイトの入力フォームなどに不正な文字列を入力し送信することで,データベースへの不正アクセスを試みる攻撃.もしもウェブアプリケーションに脆弱性があるとSQL文が実行されてしまう.
    • 攻撃手段 : SQL文を送信
    • 攻撃対象 : Webサーバの裏にあるデータベース。NASにWordPressを構築している場合、MariaDBなどのデータベースが標的になります
    • 被害内容 : データベース内の機密情報の漏えい、ファイルの改ざんや消去.
    • 対策 : Synologyでは、RouterのRT2600acのパッケージにIPSの「Threat Prevention」があり、これで対応できます

    安全なウェブサイトの作り方 – 1.1 SQLインジェクション – IPA

    https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_1.html

    OSコマンドインジェクション攻撃

    • 攻撃概要 : Webサイトの入力フォームなどに不正な文字列を入力し送信し悪意のあるコマンドを実行
    • 攻撃手段 : 実行可能な命令文
    • 攻撃対象 : OS
    • 被害内容 : 情報漏えい、データの改竄
    • 対策 : ファイルのアクセス権の設定(パーミッション)。アクセス権が「777」では誰でも読み書き及び実行されるため、自分が実行することが無ければ少なくとも「644」にします。
    drwxrwxrwx
    ディレクトリ読み書き実行読み書き実行読み書き実行
    自分自分自分グループブループグループ他人他人他人
    自分、グループおよび他人に、それぞれrwxが設定される。r:read, w:write, x:excecute。16進数表記で、rwxは、0/1の値をとり、1が有効/0が無効。111は十進表記で4+2+1 = 7。

    安全なウェブサイトの作り方 – 1.2 OSコマンド・インジェクション – IPA –

    https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_2.html

    LDAPインジェクション攻撃

    • 攻撃概要 : LDAP(Lightweight Directory Access Protocol)というディレクトリサービスへの不正リスクエストによりユーザー権限奪取
    • 攻撃手段 : 不正なリクエストの送信
    • 攻撃対象 : 正規ユーザーの権限、セキュリティホール
    • 被害内容 : LDAPは、サーバやアプリケーション、パソコン等のネットワークに接続する機器を一元管理しているため、多岐に及ぶ
    • 対策 : 攻撃対象に関するセキュリティ改善,一般的なセキュリティ対策

    StorageTek Virtual Storage Manager GUI ユーザーズガイド – Oracle –

    https://docs.oracle.com/cd/E80554_01/VSMGU/ldap001.htm

    DoS/DDoS攻撃

    • 攻撃概要 : 膨大なトラフィックを送りつけてサーバーをダウンさせる嫌がらせ
    • 攻撃手段 : 大量のトラフィック、多数のPCからの送信
    • 攻撃対象 : ネットワークサーバー
    • 被害内容 :ネットワーク帯域、CPU、メモリ、ディスクの枯渇によるサービス停止
    • 対策 : Synology NASのDSMの設定に、DoS対策の設定があります

    クロスサイトスクリプティング攻撃

    • 攻撃概要 : 掲示板サイトなどへの投稿にリンクの埋め込みにより、サイト閲覧者からフィッシング
    • 攻撃手段 : 投稿
    • 攻撃対象 : そのWebサイトを閲覧するユーザー
    • 被害内容 : 偽ページへ誘導、個人情報を窃取の危険、ブラウザ上から取得可能なユーザコンピュータ上の情報(Cookie等)などの漏洩
    • 対策 : 一般的なセキュリティソフト(ウイルスバスターなど)

    ディレクトリ・トラバーサル攻撃

    • 攻撃概要 : 公開(許可)していないファイルを、推測されやすいディレクトリに当たりをつけて探し、セキュリティホールなどからアクセス権を奪取
    • 攻撃手段 : 簡単に推測されやすいディレクトリのファイルを探す
    • 攻撃対象 : Webサーバ
    • 被害内容 : ファイルの閲覧や改ざん
    • 対策 : 推測され難いディレクトリ名にしたり、パーミッションの適正設定

    ドライブバイダウンロード攻撃

    • 攻撃概要 : 悪意のあるファイルをアップロードして、サイトのユーザーを踏み台にする
    • 攻撃手段 : 仕掛けたプログラムを閲覧したユーザにウイルスを感染させる
    • 攻撃対象 : ユーザがよく利用するWebサイト(企業、団体)
    • 被害内容 : アクセスユーザーのウイルス感染
    • 対策 : 不用意にダウンロードしたファイルを実行しない。ウイルスソフトによる検査

    ゼロデイ攻撃

    • 攻撃概要 : セキュリティパッチ情報を取得後、パッチを当てていないサイトを探して、その脆弱性を攻撃
    • 攻撃手段 :ベンダーからセキュリティパッチ(修正プログラム)が適用されるまでの期間で、その脆弱性を攻撃
    • 攻撃対象 : サーバ、OS、ミドルウェア、アプリケーションなど全てのプログラム
    • 被害内容 : 脆弱性に関わる不正アクセス被害、改竄被害など
    • 対策 :初期バージョンでは不安定な場合も多く、それが二の足を踏む大きな理由です。しかし、ソフトウェア更新は、セキュリティ面では、即実施するべきです。

    パスワードリスト攻撃

    • 攻撃概要 : 不正入手したID・パスワード情報によるログイン試行して権限を奪取
    • 攻撃手段 : ID・パスワード情報(ネットにはリストが出回っている)によるログイン試行
    • 攻撃対象 : ログインが可能な全てのサーバー
    • 被害内容 : 不正アクセスによる情報漏洩、改竄、データ破壊
    • 対策 : Synology NAS、Routerには、ログインの失敗について、同じIPアドレスからのものは、その失敗回数と期間を指定してロックアウトすることができます

    ブルートフォースアタック(総当たり攻撃)

    • 攻撃概要 : ID・パスワードによるユーザー認証を手当たりしだいに試行して権限を奪取
    • 攻撃手段 : 手当たりしだいのログイン試行
    • 攻撃対象 : ログインが可能な全てのサーバー
    • 被害内容 : 不正アクセスによる情報漏洩、改竄、データ破壊
    • 対策 : SynologyのNAS製品およびRouter製品には、ログインの失敗について、同じIPアドレスからのものは、その失敗回数と期間を指定してブロックすることができます。

    Webセキュリティ対策

    一般論の脆弱性とその対応・知識

    • ローカルネットワークに、htmlサーバーをインストールしてほったらかしにしているNASやPCはないか
      • デフォルトのindex.htmlの存在は脆弱性がある → サーバーのuninstall
      • ただし、Haney potとして、攻撃者の手口をLogから知るために、あえて設定しておくこともできる
    • 例えば、Haney potののLog
      • editBlackAndWhiteList : サーバーのAPI
        • NVR, DVR, IPC機器などの脆弱性に関連
      • 遠隔でsetup.phpの起動を試みている
        • 権限を設定できていないと遠隔でSetupが起動されてしまう。
        • 起動されると初期設定される
        • DBのphpMyAdminの起動がされると危険
        • その他setup.phpも当然、起動されると危険

    状況の把握

    不正アクセスを仕掛けているIPアドレスから、その住所や会社名などを調べます。

    対策 – アクセス拒否の設定

    • ローカル・アドレスへのアクセスを拒否 (ドメインのみにする)
      • NGINXの場合の設定
        location / { root /user/share/nginx/html; index index.html index.htm;}

        location / { return 444;}
      • Apache HTTP Server 2.4の場合の設定
        <VirtualHost _default_:80>内にある
        <Location /> </Location>の中に
        Require all deniedを挿入する
    • 実行ファイルをURL経由で実行させない設定にする
      • アクセス拒否する設定
      • 代替の実行ファイルを実行させる設定
    • Webの公開ディレクトリはデフォルトにしない
      • redirect
      • 実行ファイルは公開ディレクトリの外に置く

    参考 : Webサーバーに対するアタックについて、以下のサイトの記事を参考にさせて頂きました

    https://www.cman.jp/network/support/ip.html

    対策 – SSLの設定

    • SSLとは通信情報の暗号化に関する仕組み
    • ヒトが読むことができるコードで通信、すなわち平文では、第三者に傍受されて内容が把握されるリスクがある(パケットキャプチャ)
    • そこで、通信内容を暗号化すれば、パケットキャプチャのリスクは、その分低くなる(通信元、通信先、通信プロトコルなど一部確認は可能)
    • 一般的に使われている暗号化手法(プロトコル)にSSLがある
    • Webサーバでは、httpにsが付いた「https://」がSSL対応になっています。
    • 自宅のNASにWordPressを立ち上げている場合、SSL対応にするには、第三者の証明書の取得が必要
    • Synology NAS, Router製品では、Webサーバにhttpsを強制的に使用するように設定が可能です。また、httpsを使えるようにするには、第三者証明書が必要です。無料である「Let’s Encrypt」が世界中で数億が発行されています。有料版は、個人では必要ない時代になりました。

    対策 – ファイアウォール (FW)

    • ファイアウォールというプログラムのサーバーをネットワークの出入り口(ポート)に設置
    • 防御に有効な攻撃
      • ポートスキャン
    • 設定したルールに基づいて許可する通信、不許可による制御の実施
    • この制御をパケットフィルタリングという
    • このルールを記述したものをACL(Access Control List)と呼ぶ
    • 指定したサイトやソフトウェアによるネットワーク接続について、拒否・許可が可能
    • ルールで許可したもの以外は、接続できないため、組織のネットワーク利用ポリシーに反する(仕事に必要でない)通信(P2P,etc)を防ぐことが可能
    • 通信ルールの範囲でのサイバー攻撃は可能なため、「なりすまし」の不正アクセスは当然可能
    • ファイアウォール以外の対応も必要
    • IDS/IPS(不正通信防御/検知システム)やWAFなどの併用
    • SynologyのNAS/Router製品での設定
      • Fire Wallの設定により地域をフィルターする
        • ファイアウォール・プロファイルの「規則の編集」
        • 安全を期するために、「可能」の設定として、全てのポート、全てのプロトコルに対して、可能な地域を「日本」に設定。ただ、これでは、その他全てを拒否したことにはなりません
        • 更に、日本以外の設定を「拒否」にする
        • SMBで使用するポート445 (そのほか137~139)にアタックするパケットは非常に多いref。Synology RT2600acのアプリであるThreat Preventionは、SMBでのアクセスを自動でドロップ(排除)してくれる。Fire Wallでの設定でも可能。
      • ポート転送の設定でも対応できます
        • プライべートでの通信では、ポート設定は自由に行えるので、例えば、ポート80は内部だけに通じるようにしておき、インターネットでは8080やその他、なんでも良いので、ポート番号を設定することで、あるサービスが、デフォルトでないポート番号となり、アタックされにくくはなります。

    対策 – IDS/IPS

    参考 : 「WAFとIPS/IDSのちがいとは?, CyberSecurityTIMES」source

    • ローカルネットワークとインターネットの通信をリアルタイム監視する
    • 防御に有効な攻撃
      • SQLインジェクション
    • 不正アクセスを検知すれば、それを防御する
    • 防御方法
      • ネットワーク型
      • ホスト型
    RT2600acによる対処

    Synology Router RT2600acを使用しているなら、「Threat Prevention」パッケージを導入すれば、初期設定で危険なアクセスは、自動的にドロップしてくれます。

    この機能は、一般的に言うと以下でも紹介している「IPS」と言います。

    • IDS : Intrusion Detection System; 不正侵入検知システム
    • IPS : Intrusion Prevention System; 不正侵入防止システム

    対策 – WAF

    参考 : 「攻撃遮断くん」source

    WAF ; Web Application Firewall

    • 送信されるリクエストを解析し、不正な文字列を監視する
    • 防御に有効な攻撃
      • SQLインジェクション
      • パスワードリスト攻撃
      • クロスサイトスクリプティング
    • 「攻撃遮断くん」という有料のソフトがあります。
    • Synologyでこの機能に相当する無料のパッケージがあります。RT2600acに適用する「Safe Access」です。

    まとめ

    自宅にNASを置き、さらにWordPressも置いているオーナーにとっては、レンタルサーバーを利用したWordPress設置と比較して、セキュリティ対策を考慮することは重要です。サイバー攻撃の種類を知って、その対策について知識を持つことは、常にセキュリティ対策を実施していがなければならないオーナーとしては、必須の知識です。

    これからも、セキュリティについては、知識のアップデートをしていきたいと思います。

    以上

    サイバー攻撃を更に深く知る

    以下のサイトには、キャノンによる高度サイバー攻撃対策について詳しい記事があります。

    高度サイバー攻撃対策 – Canon –

    https://eset-info.canon-its.jp/business/threat-solution/?utm_source=facebook&utm_medium=cpc&utm_campaign=edr_edtd&fbclid=IwAR1_IjW1DRA8L3opO993WGh0m0T_YPfVLxTOfmAQnjEyNT46-QF-kBJKvbQ#anc03

    編集履歴

    2020/03/20 Mr.HARIKIR
    2020/08/16 追記 (サイバー攻撃の種類、対策)
    2020/12/04 追記 (高度サイバー攻撃対策 ~ Canon ~)
    2021/04/09 追記 (SMB;ポート137~139,445について、その参照文献)
    2022/09/05 追記 (IPAの脆弱性対策を追加)

    Threat Preventionパッケージ関連記事

    [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する [2021/08/01]

    [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する [2021/08/01] はコメントを受け付けていません

    [Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある [2021/04/09]

    [Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある [2021/04/09] はコメントを受け付けていません

    [Synology] Dynamic DNSサービスとは – Synology Router RT2600ac – myDNS.jpに登録 [2021/01/02]

    [Synology] Dynamic DNSサービスとは – Synology Router RT2600ac – myDNS.jpに登録 [2021/01/02] はコメントを受け付けていません

    [Synology] Threat Preventionから通知が来なくなる現象を取り敢えず回避する(改)

    [Synology] Threat Preventionから通知が来なくなる現象を取り敢えず回避する(改) はコメントを受け付けていません

    [Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは

    [Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは はコメントを受け付けていません

    [Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する [2020/03/20]

    [Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する [2020/03/20] はコメントを受け付けていません

    [Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件

    [Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件 はコメントを受け付けていません

    [Synology] ルーター用のセキュリティソフト: Threat Preventionは、悪意のあるパケットを遮断 [2021/03/12]

    [Synology] ルーター用のセキュリティソフト: Threat Preventionは、悪意のあるパケットを遮断 [2021/03/12] はコメントを受け付けていません
  • [Synology] Dynamic DNSサービスとは – Synology Router RT2600ac – myDNS.jpに登録 [2021/01/02]

    [Synology] Dynamic DNSサービスとは – Synology Router RT2600ac – myDNS.jpに登録 [2021/01/02]

    Dynamic DNS (DDNS)サービス

    DDNSとは、固定IPアドレスを持たないでも固定IPアドレスを持っているように振る舞えるサービスです。原理は以下の通りです。

    DDNSの原理

    • DDNSサービサーは、固定アドレスを持っています
    • DDNSサービスを受ける、我々は、固定IPを持っていない一般ユーザーです
    • DDNSサービスに登録すれば、自分のexternal IPアドレスに変更があった場合や定期的に、DDNSサービサーに自動的に連絡する必要があります (Synology NASのDSMにその機能があります)
    • DDNSサービサーは、固定アドレスであり、そこに問い合わせしてくる問合者に対して、DDNSの役割を元にして、管理している該当するドメイン名に対応する、登録ユーザーの現在のexternal IPアドレスを返します
    • 以上の原理により、DDNSサービスを受けるユーザーのIPアドレスに変更があっても、ドメイン名でのアクセスは常に維持されることになります

    DDNSサービサー

    DDNSサービスは、以下のようなプロバイダがあります。当サイトでは、「harikiri.diskstation.me」を使用していますが、「harikir.myDNS.jp」も無料で取得しています。どのドメイン名を使用しても、割り当てられている特定のIPアドレスが返されて、訪問者は、そのIPアドレスに飛んでくる訳です。

    DDNSサービス(Dynamic Network Serviceともいう)とは、固定のIP Addressを持っていない自宅のサーバーにおいて、IP Addressに変更があった都度、その設定されたDomain Nameに対して、変更後のIP Addressを再割り振り、問い合わせに応じて、その問合者に対して通知してくれます。

    Synology NASを購入すれば、NASのDSM (Disk Station Manager)からSynologyサイトへ入り登録することでDDNSを無料で利用できます。

    有料のものでは、バッファローが年間3,600円のサービスを提供しているようです。

    その他のサービスも含め、有料コースのメリットは何なのかは調査不足です。名前を自由に決めたりできるのかもしれませんが、経験もないことから言及できません。

    今回は、無料のDDNSサービスサイトを紹介しているサイトの紹介です。

    DDNSの登録サイト

    DynDNS (US西海岸,CAのサーバー)の登録方法については、kajuhomeさんを参照。おススメ3つ(ieServer net, no ip, myDNS.jp)を紹介頂いているサイトは、Viral Communityさんを参照。

    Synology NASの設定について何時もお世話になっている「観音寺」さんによるホームネットワーク研究所には、myDNS (東京のサーバー)の導入方法が紹介されています。

    当サイトでは、「harikiri.diskstatiom.me」のドメイン名は、1年以上(2021/01現在)使用しているので、馴染んでしまいましたが、異なるドメイン名に別のWordPressサービーを立ち上げれないかを検討していました。先ずは、Synologyが提供するドメイン以外で、フリーのDomain Name登録を模索します。

    上記の目論見は、実は不可能なのです。「harikiri.diskstation.me」と「harikiri.myDNS.jp」はいずれも同じIPアドレスを指しています。すなわち、「ドメイン名」と「IP アドレス」は1対1に対応するためです。殆どの場合、ドメイン名の登録は、ポート番号を含めては登録できません。

    従って、外部からのアクセスは、一旦、ドメイン名に対応する一意に設定されたIPアドレスに飛んで来ます。そして、それは、ポート転送により1つのサーバーに誘導されます。よって、どのようなドメイン名をコールしても、必ず1つのサーバーに飛んでくることになります。

    • そこで、ポート番号が設定されてあれば、それに従った振り分け先である別サーバーに飛ばすことが可能となります。この方法では、ポート番号を付加したアクセスになってしまい、コール側では、ポート番号を意識しなければならず、また、サーバー側では、複数ページで全てにポート番号を付加しないといけなくなります。この方法は、あまりにも冗長です。

    次に、サプドメインで飛ばす方法です。この方法は、少し可能性があります。

    • 「harikiri.diskstation.me」にサブドメインを付加して、例えば「happy.harikiri.diskstation.me」としてやって、happyの部分をポード変換(設定が必要)で、別サーバーに飛ばして上げます。
    注) IPアドレス・ポート番号をドメイン名に割り当てることはできないが、「リバースプロキシ」を使えばできるらしい。今後要検討。
    
    注) DNSの「SRVレコード」を使うと、特定のドメイン名とIPアドレス・ポートの組を紐付けることが可能なようですが、そもそも、WebブラウザSRVレコードに対応していないものが殆どないため実現は不可です。

    以下、「myDNS.jp」ドメインを取得を前提に解説します。

    設定

    myDNS.jp

    2020年の夏頃からか、接続ができなくなっていて、ドメイン通知が機能しなくなっていました。今日(2020/12/29)まで原因がよく分からず放置していましたが、少し集中して原因を調査したところ、以下の設定のように修正して、httpでのアクセスをhttpsにすることで解決しました。

    • 外部アクセス → DDNSを開く
    • myDNS.jpのカスタム設定を開く
    • 以下のように設定を修正する
    • https://www.mydns.jp/directip.html?MID=USERNAME&PWD=PASSWORD&IPV4ADDR=MYIP

    設定が完了していれば、定期的にDDNSとのやりとりをして「ドメイン名」を維持してくれます。「ログセンター」には以下のログが確認できるはずです。

    System successfully registered [<external IP address>] to [<your domain>.myDNS.jp] in DDNS server [USER_myDNS.jp].

    * <>内は、設定による。

    ツール

    スピードテスト : SolveDNS
    スピードデータ : DNSPerf

    WordPressウェブサイトのスピードアップについて(2020年のガイド)

    https://kinsta.com/jp/learn/speed-up-wordpress/#dns

    RockDiskというNASでは

    Threat Preventionを導入してから、5年以上前に導入・稼働させているNAS (IO-DATA, RockDisk)が、定期的に外部に通信しているこことがログから分かりました。ログではHigh Riskの扱いです。High RiskはThreat Preventionからドロップ設定しておくと安心である。

    threat prevention

    しかし、その相手先のIP Adressを調べてみると、Dynamic DNS Servieのサイトのようでした。

    そこで、RockDiskが通信しているIP Address: 216.146.43.71を調べてみるとUSの東海岸にあるDynamic DNS Serviceサイトであることが分かり増した。

    余談ですが、この地は、アニメ「ヴィンランド・サガ」で登場する楽園であるところの「ヴィンランド」に近い。

    同様にしてWhois検索してみると、以下のような応答がありました.真ん中よりすこし下に「Dynamic Network Services, Inc. DNSINC-3」とあります。RockDiskのDDNSとの関連は不明ですが、IO-DATAがRockDiskのDDNSを可能にするために用意した、おそらく無料のサービスであると考察しています。

    #
    # ARIN WHOIS data and services are subject to the Terms of Use
    # available at: https://www.arin.net/resources/registry/whois/tou/
    #
    # If you see inaccuracies in the results, please report at
    # https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
    #
    # Copyright 1997-2019, American Registry for Internet Numbers, Ltd.
    #


    #
    # Query terms are ambiguous. The query is assumed to be:
    # "n 216.146.43.71"
    #
    # Use "?" to get help.
    #

    Oracle Corporation DNSINC-3 (NET-216-146-32-0-1) 216.146.32.0 - 216.146.47.255
    Dynamic Network Services, Inc. DNSINC-3 (NET-216-146-32-0-2) 216.146.32.0 - 216.146.47.255



    #
    # ARIN WHOIS data and services are subject to the Terms of Use
    # available at: https://www.arin.net/resources/registry/whois/tou/
    #
    # If you see inaccuracies in the results, please report at
    # https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
    #
    # Copyright 1997-2019, American Registry for Internet Numbers, Ltd.
    #
    

    その他、DynDNSに登録してサービスを受ける手順: site

    DDNSで与えられたドメイン名と証明書

    何度も経験しているのですが、この証明書が無いか期限が切れていると、myDNS.jpにおけるドメイン維持のための通信にエラーが発生します。確認が長期に続く場合は登録が削除されます。通信エラーによりドメインが確認できない場合、myDNS.jpからアラートメールが届くので、日頃からのメール確認はこまめにする必要があります。

    与えられたドメイン名でサービス(サーバーを立ち上げてblogを発信)をするには、そのドメイン名が正当であることの証明書が必要です。それにより、「https://」でアクセスすることが可能になりSSLによる暗号化通信とすることができます。

    証明書は、第三者機関からもらいます。最近では、ボランティア団体(Let’s Encrypt)により、その証明書が発行されているので、証明書をもらいます。

    Synology RouterのRT2600acでは、Let’s Encryptの証明証を取得する設定画面があるので、取得は簡単にできます。

    編集履歴

    2019/12/21 Mr. Harikiri
    2020/12/29 追記 (DS918+のDDNS設定の修正により接続できるようになった)
    2021/01/02 追記 文言整備
    
  • [Synology] Threat Preventionから通知が来なくなる現象を取り敢えず回避する(改)

    [Synology] Threat Preventionから通知が来なくなる現象を取り敢えず回避する(改)

    Threat PreventionからのE-mail通知が来なくなる

    Threat Preventionは、Synology Router RT2600acに導入しています。不正なアクセスがあればメールでの通知を設定しているが、突然来なくなることが、これまでにもあり、今回も突然来なくなりました。

    設定

    Threat Preventionを使うには、3GB以上のUSB Memoryを外部接続しなければなりません。

    統計やログに使っているようです。すべての通信をみているのだから、そのログの容量は大量に発生します。

    先入先出しにより、メモリーいっぱいになったら、古い物は廃棄する設定です。

    今回、通知が来なくなったので、以前の場合もすこしきなっていいた対処法を試してみました。

    その結果、ログをクリーンしたところ、解決しました。接続していUSB Memoryは4GBであるものの、10年ものです。まあぁ高価な方でした

    • 古さのせいか
    • ログは3GBが必要とあるので、空き容量の少なにさが悪さか
    • 発熱しているようなので、熱暴走か

    4ヶ月経過しても順調に、ドロップした時の通知のE-mailは、毎日10〜20通くらい届きます。

    2019/12/20 はりきり(Mr)
    2020/04/17 追記、経過観察した結果

    関連記事

    Post Views: 1,096 はじめに DS918+/DS920+には、2つのLANインターフェースが装備されています。もっと上位機種では、4つも装備する機種もあります。これは、サーバーとしてのサービスを全(まっと…
    Post Views: 365 はじめに DSMがUpdate (DSM 6.2.3-25426 Update 3) されました。来年2021年には,DSM Version 7が正式リリースの予定です.年末年始の休みにも…
    Post Views: 281 DS918+; 台湾のSynology社が開発販売しているエントリー級のハイスペックNAS。DS918+の内、9は、拡張ボックスを追加する最大デバイス数、18は2018年製品を表していると…
    Post Views: 308 ID22640 はじめに このblogは、レンタル・サーバーではなくSynology NASを使っています。やはり、性能的にはレンタル・サーバーに勝てません。そこで、自宅のNASを使ったb…
    Post Views: 401 eo光の速度の測定 もう数年以来、ネットの速度が遅いなぁ~と思っていたが、ありまり実害が感じ無かったので放置していました。ネットでの実害と言えば、nintendo Swithcの「スプラト…
    Post Views: 936 はじめに Plexは、自宅のサーバーにあるメディア(音楽、動画)をインターネット経由でもストリーム配信できるメディア・サーバーです。 DS918+にPlex Serverをインストールして…
    Post Views: 241 ID22520 はじめに AMPページに対応すべく奮闘しています。当サイトで記事にしたAMP関連と情報リンクをまとめました。AMPプラグインはVer. 2.2.0になりました。プラグインを…
    Post Views: 503 はじめに レンタルサーバーでのWordPressの運用とは違い、Synology NASにWordPressを構築して、サイト外へのメール送信するには、少し面倒な作業をしなければなりません…
    レンタルサーバーを使用しない茨の道を選んだフロンフィアの苦悩は続く
    Post Views: 249 NVR DVA3219 NVR DVA3219は、Synology Surveillance Stationのビデオ管理システムを構築するNASキットの推奨モデルです。顔認証におけるディー…
    Page: 1 2 3 4 11
  • [Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは

    [Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは

    RT2600ac

    NASとRouter

    Synology社のRT2600acは、協力なセキュリティ機能を持つ高速ルーターです。パッケージセンターに、無料のセキュリティソフト「Threat Prevention」があります。導入することをお勧めします。

    RT2600acハードウェアインストールガイド

    RT2600acユーザーガイド(SRM 1.2)

    もしも、ローカルネットワークにNASを立ち上げて、インターネットからNASにアクセスしたり、WordPressを立ち上げている場合には、不正がアクセスが増加します。是非、「Threat Prevention」をインスートルして下さい。

    • NASを構築している場合
    • Blogサイトを構築している場合

    当サイトでは、Synology社のDSシリーズNASにWordPressを導入しています。

    • Synology DS918+
      • ホームサーバー
    • Synology DS920+
      • WordPress

    SynologyのNASでのポートに関わる設定は、同社のルーター製品への連携機能により社の製品であるため自動で設定できます。具体的には、ネットワークのポート番号の設定では、NASのツールから設定すれば、rt2600acのルーターのポート転送に反映されます。

    Threat Preventionは、不正なアクセスからローカルネットワークを強力に守ってくれます。

    Threat Prevention

    インストール

    Synology Router「RT2600ac」にログインして、パッケージセンターからThreat Preventionをインストールします。

    Threat Preventionをインストールした初期状態でも、セキュリティとして重大性が「大」ものは、自動判定して「ドロップ」してくれます。

    設定により、重大性が「中」、「小」についてもドロップの設定も可能です。

    Threat Preventionが、怪しいアクセスを察知してドロップした時には、指定したE-mailアドレスに知らせてくれるように設定することも可能です。

    「侵入を試みる」ログ

    Threat Preventionを運用していて,以下のようなログが残っていることがよくあります.

    ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Referer

    ESSHOP?

    ECSHOPというのは,e-コマースショップということで,電子商取引のことを意味するようです.要するにWeb Shopのことですね.

    どうやら、Web Shopに向けた攻撃のようです。

    WordPressのセキュリティ関連をネットで調べてみると、WordPressに実装されているデータベースが、攻撃の標的になりやすいとの事でした。

    あと、Web Shopでメンバーシップを構築するために、パスワードで管理されたページを作れるプラグイン「Ultimate Member」があるのですが、数年前に不正攻撃の標的として結構な数があったと、ある記事にありました。

    WordPressの稼働数は全世界的であり、最も多いサイトのサーバーです。当然、絶対数が多ければ標的になる数が多くなるのは仕方がないことだと思います。

    話はもどって。

    Referer? / Injection?

    侵入しようとしてるハッカーは,Refererというヘッダーに記載された内容で注入(Injection)することで,ターゲットのサイトの脆弱性(OSのコマンドをPHP経由で実施できるかどうか)を検査しているようです.

    ログによれば、このパケットを「Threat Prevention」が感知した訳です.

    用語の解説は,以下サイトにあったので参考にさせて頂きました.
    ペネトレ検証-ECサイトに侵入 – Shooting!!!より

    侵入される原理がよくわからないので,直接的な対策はよくわからないのですが,完全にお任せしてよいです。だだし、重大性が「中」のものは、「ドロップ」設定にした方がよいと、少なくとも「Threat Prevention」はログにアラートを残しているので、定期的にログを確認して、そのIPアドレスを「ドロップ」に設定にしておきます。

    実は、重要性「中」及び「小」についても、運用後、2年ほどになりますが、「ドロップ」設定には余りしたことがありません。

    というのも、「中」のログでも、結構な数になかるらです。重要度「大」のドロップで必要十分かも知れません。

    まとめ

    まあ、何が起こるがわからないので、定期的なログの確認は行いましょう。

    以上

    編集履歴
    2020/03/05 追記 WordPressのデータベースが標的になりやすいこと、数年前にUltimate Memberプラグインが標的になったこと。
    2020/04/17 追記 定期的なログの確認について
    2023/07/11 文言整備
  • [Synology] RT2600ac – Threat Prevention ユーティリティで重大度が高いパケットのドロップ設定、ポリシー設定でローカルネットワークを守る – [2021/05/15]

    [Synology] RT2600ac – Threat Prevention ユーティリティで重大度が高いパケットのドロップ設定、ポリシー設定でローカルネットワークを守る – [2021/05/15]

    ID3461

    Synology Router RT2600ac

    Synology社は、台湾の企業です。個人レベルのNASから、ラック収納するタイプの大規模サーバー製品も作っており、世界的な企業になってきました。独自開発のパッケージ製品の性能が高いことが特徴です(by Mr.HARIKIRI, 2020/12/10)。

    Synology RT2600ac
    Synology RT6600ax
    2022/8にRT2600acからRT6600axに変更しましたが,Synologyのルーター製品では,同じユーザーインターフェースのSRMが使用されているので,使い勝手は同じです.

    RT2600acには、Synology製のインターネットからのアタックからローカルネットワークを守るThreat Preventionというセキュリティ・パッケージが提供されています。

    Synologyのテストによる接続性ですが、RT2600acへの同時接続は、100台までならフル速度で接続できたとしています。個人で使用するRouterとしては十分な性能であり、僕みたいに自宅のNASにblogを立ち上げているようなパワーユーザーである個人使用としても十分に役割を果たしてくれるRouterです。

    その他にも、RT2200acというルーターも提供されていますが、「Threat Prevention」はサポートされていません。セキュリティを高めたいなら、RT2600acを選択すべきです(2021/0515, MR.HARIKIRI)。

    Synology Routerの比較 – Synology site –

    https://www.synology.com/ja-jp/products/compare/routers

    Rule Set

    Threat Preventionのプロックする基準は、脅威のルールセットを元にしています。設定にソースを選ぶところでは、ET Open/ET Proを選べるようになっていますが、ET Openがオープンソースです。ET Proは$900の費用が必要であるとネットには記載がありました。

    Proofpoint Emerging Threats Rules

    http://rules.emergingthreats.net

    Threat Prevention

    Synology RouterのSRMからThreat Preventionユーティリティを起動する。

    1. 概要 > 潜在的な脅威のあるデバイス > 詳細クリック
    2. 定期的に重大度(高)を探して、「ポリシー追加」ボタン > ポリシーの編集 > 造作:ドロップ、に設定しておく。
    3. 起動には、外付けのUSB メモリ にシステムデータベースの構築が必要
      • 当初、余っていたUSB メモリ4GBを使っていました
      • ログの最大を2GBにしていたため、余りが2GBの計算となっていたが、残り3GBは必要との記載があった
      • SRM 1.2.4-8081 Update 2にアップデートしてから、Threat Preventionが途中停止していることが数回あった。
      • そこで、USB メモリ 4GBを16GBに交換することにした

    攻撃からの防衛ポリシー管理は、自己定義ポリシーのページで行います。

    • 自己定義ポリシー > ポリシー > 「クラスポリシー」項目

    最も脆弱性があり被害のインパクトが高いものは、重大度: 高として、Web Application AttachやPotential Corporate Privacy Violationなど、いくつもクラスがあります。代表的なクラスは、以下の「Web Application Attackとは」を参照してください。これらを監視するかの設定は、

    • 自己定義ポリシー > クラス署名
    • 各クラスごと個別に有効/無効を設定できます。

    少なくとも重大度(高)については、有効になっていることを確認しておきます。

    1. Web Application Attack : 重大度 (高)
    2. Potentially Bad Traffic : 重大度 (中)
    3. Misc Attack : 重大度 (中)
    • 自己定義ポリシー > ポリシー > 「著名ポリシー」項目

    署名ポリシーは、どれかのクラスに属する個別の分類です。Web Application Attachクラスに含まれるのが、下図でいうとET WEB_SERVER 401TRG GENERIC WebShell Request – POST with whet in bodyです。これは当然に重大度(高)です。

    ここで、wgetはLinux OS系では一般的に知られいるコマンド型のユーフィリティ、urlを指定すれば、そのサイト全部をゲットできる強力ツールです。

    • 設定 > 全般 > 「ハイリスクなパケットは自動でドロップ」項目にチォック

    してあれば、その都度ドロップされるようですが、そのようなログないので、以下のように、特定のアドレスも含めてドロップの設定にしておいた方が無難です。

    • イベント > 「ポリシー追加」ボタン

    その他、

    • 概要 > 潜在的な脅威のあるデバイス > 詳細クリック

    からも同様に、特定のアドレスのパケット・イベントをドロップ指定することもできます。

    Web Application Attackとは(参考1)

    1. Web Applicationの仕組み

    一般的に、3層のWebアプリケーションモデルが有名です。すなわち、ユーザーの接点は、ネットブラウザのことです。その先にJaveがあり、データベース(Data Base)があってはじめて機能しているのです。

    Web Applicationに対応するServerは、Webサイトへのアクセスを公開する必要があるため、基本的に保護されていません。ポートを規定値から変更していたとしてもポートスキャンなどで知られる危険性はなお残ります。

    • 最初の層: Webブラウザーまたはユーザーインターフェイス
    • 2番目の層: Javaサーブレット(JSP)やActive Server Pages(ASP)などの動的コンテンツ生成技術ツール
    • 3番目の層: データベース。コンテンツ(ニュースなど)と顧客データ(ユーザー名とパスワード、ソーシャルなど)を含む
    • すなわち、Web Applicationは、データベースのゲートウェイと言えます

    2. Web Application Attack (Webアプリケーション攻撃)

    RouterやServerのセキュリティ上の脆弱性により、外部から、そのデータベースに直接および一般からアクセスして、保護されているバスのデータを大量に取得する、これをWeb Application Attackといいます。

    企業のWebサイトを改ざんするような破壊行為(いわゆるスクリプトキディ (script kiddie)によって実行されることが多い)は今でも一般的ですが、今日では、攻撃者は、利益目的のためにデータベースサーバー(Data Base Server)にある機密データへのアクセスを志向しています。

    • データベースを直接標的とするSQLインジェクション攻撃
    • ユーザーをだましてフィッシングサイトにリダイレクトするクロスサイトスクリプティング(XSS攻撃)
    • その他

    重大度が高の統計結果

    参考

    1) scientists,”What Is a Web Application Attack and how to Defend Against It

    2) Understanding IPS Policy, JUNIPER NETWORKS, Techlibrary

    3) Learn more about Policy Violation, ScienceDirect

    4) ET Open vs ET Pro : いずれも脅威をブロックするためのルールセットであり、ET Openはオーブン製品、ET Proは商用製品($900)であることが説明されている。「Threat Prevention」の「設定」にある「ステータス更新」には、「ET Open」がデフォルトになっているが、商用製品も使用できるようになっている。

    編集履歴

    2011/11/22 Mr.HARIKIRI
    2020/12/10 追記 (Synology社についての紹介文、および2020/11/11~2020/12/10の期間 (1ヶ月)でプロックしたパケット地図)
    2022/11/20 追記 (RT6600axについて)
  • [Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件

    [Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件

    RT2600ac

    RT2600acのアプリケーションパッケージである「Threat Prevention」は、ネットワークに対する悪意のあるアクセスを、その悪意のレベルに応じてブロックしてくれます。

    悪意のレベルは、「大」「中」「小」にThreat Preventionがグルーピングされていて、これらによるパケットがあったときにe-mailでしらせる設定が可能となっています。

    こららの悪意のあるアクセスの情報は、Synologyが持っているのではなく、あるサーバーで統合(データベース)されているようです。日々、そのデータは更新されており、そのデータベースの更新の設定は、Threat Preventionの設定画面にあります。

    アラートが来なくなった

    e-mailへの連絡を設定したいたレベル「大」の連絡が、9/30を境に来なくなっていることに気付いた。

    RT2600acにLoginして、溜まっているはずのメッセージを眺めていた。Threat Preventionの”ブロック”に関するログがない。9/30以降のブロック等のアラートが無い。どうやら、Threat Preventionは、9/30以降、停止状態になっていたようだ。

    原因

    Synology Router Manager (SRM)の自動アップデートがあったことを思い出し、ログセンターを覗いてみた。

    Synology Router Manager

    https://www.synology.com/ja-jp/knowledgebase/SRM/tutorial/General_Setup

    ネットワーキング体験の革命的な変化 – Synology Web site –
    Synology Router Manager (SRM) は、Synology Router の威力を高めてくれるオペレーティング システムです。クラス随一のユーザーインターフェイスにより、ネットワークで何が起きているかを詳しく把握することができ、接続されているデバイスすべてを迫り来る驚異から守るきっかけになります。

    https://www.synology.com/ja-jp/srm

    9/30にDownload task for [SRM 1.2.3-8017 Update 3] finished.

    とあり、記憶にないが、管理者権限でUpdateしたか、もしくは、自動でUpdateしたかで、現在は、[SRM 1.2.3-8017 Update 3] となっている。その際に、Threat Preventionが停止、再起動した際に、起動しなかったと考えられる。

    結論

    たまには、システムの状態を見ないといけないね。こうゆうことが、システム管理というのでしょう。これから頑張って管理していきたいと思います。

    編集履歴

    2019/11/02 はりきり(Mr)

  • [Synology] Photo Stationの鍵の掛かったアルバム共有方法 [2021/02/07]

    [Synology] Photo Stationの鍵の掛かったアルバム共有方法 [2021/02/07]

    はじめに

    Synoloyg NASを導入すると無料のパッケージに「Photo Station」という写真の管理・共有サーバーがあります。iPadからは、アプリのDS Photoからアクセスが可能です。DS Photoにログインすると、アルバム一覧が表示されます。そのアルバムの内、1つを開いた後、メニューから「公開して共有」で、パスワードを掛けた公開が可能となります。

    アルバムへのパスワード設定と原理

    概要

    1. 事前準備
      • アルバムにフォルダーを作る
      • フォルダーに写真を格納する
    2. 設定
      1. フォルダを開く
        • 最も上流にあるフォルダ
        • フォルダ内にフォルダを作ることができるし、以下の許可タイプや権限の割り当ても可能であるが、下流のフォルダにこれらの設定をすることはお勧めしない。挙動が理解できなくなってしまうため
      2. 「詳細」→ 「アルバムのプロパティを編集」→
        • 「許可タイプ」
          1. 公開アルバム : Photo Stationにアクセスしただけで、表示されてしまう
          2. 個人アルバム : ログインしたユーザーが見ることができる
          3. パスワード : ユーザー権限とは別のパスワードとして扱われる。パスワードを設定すると、誰でも見ることができる。
        • 「権限の割り当て」
          • 見るこのフォルダ内の写真を見ることができるユーザーをチェックする

    DS Photoから行う

    DS Photoアプリは、iPadやWindowsにあるので、インストールしてください。

    DS Photoを起動すると、アルパム一覧が表示されます。パスワードを掛けたいアルバムを開きます。右上にある「i」のアイコンをクリックすると、「アルバム情報」画面が現れます。

    アルバム情報画面の「許可」項目には、個人アルバム、共有アルバムおよパスワード保護の選択欄が現れるので、パスワード保護を選びます。これらの用語には、英語からの日本語訳が若干変なところがあるので、適宜読み替えてください。次に、パスワードを入力して完了です。

    このパスワードされたアルバムへのリンクは、直接設定できませんが、先ずは、アルバム内に1つの写真が必要です。アルバム中にある1つの写真を開き、右上のメニュー「・・・」から「共有」を選択肢、「リンクをコピー」からリンクを取得してください。

    DSMから行う

    以下の内容は、2019/10に記述した内容で少し古い情報です。次回、updateしますが、それまでは、参考情報止まりでお願いします。

    DSMからPhoto Stationを起動

    左タグにあるアルバムを作成

    作った一つのアルバムまたは,一つのアルバム中の任意の数の写真を選択し,共有アルバムを作成(リンク,パスワードなどを設定)することで,パスワードのかかった公開が可能です。

    リンクは,共有アルバム > (作った今日アルバムの名前) > 共有▼ > 共有リンクを取得、にて表示される.

    パスワードの設定は、リンクと同様に、共有アルバム > (作った今日アルバムの名前) > 詳細▼ > 共有アルバムの編集、にて設定する。

    fin!

    編集履歴

    2019/10/13 Mr.Harikiri
    2020/10/06 追記 (DS Photoからパスワード設定する)
    2021/02/07 追記 (最も上流のフォルダの設定を基本とすること)
  • [Synology] NASのネットワークツールからWOLを発信してと思ったが、ルーターはRT2600acなので、iPhone用のアプリDS ROUTERの wake on LAN から自宅のPC/ビデオレコーダー等を起動する [2021/06/19]

    [Synology] NASのネットワークツールからWOLを発信してと思ったが、ルーターはRT2600acなので、iPhone用のアプリDS ROUTERの wake on LAN から自宅のPC/ビデオレコーダー等を起動する [2021/06/19]

    概要

    出先から、自宅のルーターにスマホからアクセスして、ルーターが持つWOL(wakeup on LAN)の機能を使って、目的のMACアドレスのPCを起動する

    条件

    • ルーター : RT2600ac
    • ローカルネットワークにPC、その他機器
    • モバイルは、iPhone/iPadなど

    目的

    出先から以下の操作を可能にすることが目的です。

    • iPhone/iPadなどのMobile端末を使ってPCをWake Onして、PCのデータの参照
    • ビデオレコーダーに撮りためた番組を出先から見たい時に、その電源のON
    • ローカルLANにある機器の電源のON/OFF状態を知りたい時の確認

    方法

    1. Internet経由で、iPhoneのアプリからPCをWake Upする
    2. VPN経由を追加して、同様にWake Upする

    PCの設定

    出先からPCをWake Upするには、先ず、前提として、Wake Upが可能となるようPCのBIOS、ネットワークドライバを設定しておきます。その他の前提は以下の通りです。

    • DDNSによるドメイン名を持っていること
    • PCのBIOS, ネットワークドライバの設定がされていおり、ローカルでWake Upができていること
    • PCのネットワークカードの「MACアドレス」を調べておく

    iPhoneにツールをインストール

    • SynologyサイトのDS routerの説明 source
    • iOSアプリlink

    出先からのアクセス

    • DS routerを起動
    • ドメイン名を使ってログイン (2 factor認証にも対応している)
    • メニューの「Wake Up」を選択
    • 新規に追加するには、MACアドレスを登録する
    • 表示されている名前(MACアドレスも含む)をクリックして、Wake Upさせる

    ブラウザから

    ブラウザでRT2600acに接続して「ネットワークツール」を起動、Wake-on-LAN」タグを開く。

    • デバイスの選択または、MACアドレスで追加すれば、下のデバイス・リストに追加される
    編集履歴
    2019/07/28 はりきり(Mr)
    2020/04/16 大幅修正
    2020/04/24 追記 (関連記事)
    2020/06/25 文言整備
    2020/08/09 追記(DS routerのSynologyサイトのリンク、iOSアプリのリンク)
    2021/06/19,追記(Webブラウザからのコントロール、目的の追加)