タグ: IPS

  • [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する  [2021/08/01]

    [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する [2021/08/01]

    はじめに

    Synology NASおよびRouter製品のセキュリティの話です。今回は、Router製品の上位機種であるRT2600acのパッケージ「Threat Prevention」の分析結果をネットワーク管理者としてファイヤーウォールとの連携について解説します。

    Threat Preventionは、日々、怪しいパケットの重大度に応じて、バケットを「ブロック」、「アラート」及び「何もしない」の3つの基本的な処理を実行してくれます。

    怪しい動作をするパケットのデータベースは、外部のデータベースであり有志によって日々アップデートされています。Threat Preventionでは、重大度の高いパケットは、デフォルトでドロップ(ブロック)されます。

    たまには、Routerの管理者は自らで、Threat Preventionのログを確認して、怪しいパケットのIPアドレスを確認し、頻繁にアクセスするIPアドレスに対して、ファイヤウォールによる拒否設定をしておくことが、ネットワークセキュリティをより安全に維持できると考えます。以下は、そのルーチンワークとしての設定して方法を簡単に解説しました。

    ルーチンワークの概要

    1. Threat Preventionのログの日々の確認
    2. 怪しいIPアドレスを認識したら、
    3. ファイヤーウォールの設定で、そのIPアドレスを拒否設定

    ルーチンワークの詳細

    • 週に一度は、Threat Preventionのログを見る
    • Threat Preventionからのドロップ通知メールを活用しても良い
      • 例えば、通知メールがきたら、そのタイミングを活かしてThreat Preventionのログを確認する
    • Threat Preventionのログを確認して、アクセスしてくる(ソース)、または、自サイトのデバイスからの、アクセス先(ディスティネーション)として、頻度の多いIPアドレスを確認する
    • Threat Preventionのログにおいて、自動でドロップされているものは、セキュリティに重大な影響を与えるものと認識されているので、そのIPアドレスを手元に控える(コピー)
    • ネットワークセンターのセキュリティからファイヤウォールタグを開き、そのIPアドレスの「拒否」設定を行う

    Threat Preventionでは、アラート処理に留まっており、ドロップしていないことがログよりわかりました。何かの対応策が必要です。

    Threat Preventionの操作

    ネットワークセンターの操作

    ネットワークセンターのセキュリティからファイヤーウォールを開いて、目的のIPアドレスを「拒否」設定する。「作成」タグを開いたら、設定画面が現れる。以下の設定リストを参照して、「名前」、目的のIPアドレスは「ソースIP」、「操作」は「拒否」に設定、その他はデフォルト(すべて)で問題ないと思います。

    Alert

    ET POLICY Outgoing Basic Auth Base64 HTTP Password detected unencrypted

    • ID/PWをHTTP経由で送信する場合に、MD5アルゴリズムでBASE64(バイナリ基数64)に変換(エンコード)される。これは決して暗号化を意味していない
    • DDNSのサービスを提供している「myDNS.jp」関係で、このファルター検出に引っかかることがある(要調査)。

    RT2600acにいて

    Synology RT2600ac (WiFiルーター)については、以下の記事もご参照ください。

    まとめ

    Synology Router RT2600acのパッケージツールとして、「Threat Prevention」と「ファイヤーウォール」の連携による運用(ルーチンワーク)の事例を解説しました。

    Threat Preventionは、Synology Routerのパッケージなので、その他のメーカーのルーターで、同様の機能があれば、今回と同じ概念で運用が可能だと思います。因みに、Threat Preventionは、シンプルなIDSのひとつですが、一般的な家庭用ルーターには装備されていません。

    編集履歴

    2021/03/22, Mr. はりきり
    2021/05/08, 文言整備
    2021/08/01, 文言整備
  • [Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する [2020/03/20]

    [Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する [2020/03/20]

    Threat Preventionとは

    Synologyのパッケージ「Threat Prevention」は、IT業界における一般的な名称は、「侵入検知システム (IPS: Intrusion Prevention System)」です。

    攻撃を受けた

    Threat Preventionのログを眺めていると、少し怖いログが残っていました。調べてみると、Brute-Force-Attackと呼ばれる不正にアカウントを取得する総当たり攻撃であることがわかりました。

    Threat Preventionでは、アラート処理に留まっており、ドロップしていないことがログよりわかりました。何かの対応策が必要です。

    参考
    ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策

    https://japan.norton.com/brute-force-attack-9215

    攻撃内容

    その内容は、18:30から始まり、44分間で35回のWordPress Longin が試みられていて、どれも異なるIPアドレスからでした。

    最初は1分間隔で、後半は2分間隔の攻撃で、ログには、”ET POLICY Cleartext WordPress Login”とあり、以下の図の様に実行されていました。

    WordPressには、時間と回数によるセキュリティは掛けていました、IPアドレスが異なると機能しなはずです。

    35回程度でPWを破られることは無いと思われますが、2段階認証(2ステップ認証)も導入しておかないと危険であると判断しました。

    2019/11/24 はりきり(Mr)

    threat prevention

    CAPTCHの導入を考える

    このような攻撃に対処するreCAPTCHAプラグインをWordPressにインストールすることにしました(2019/11/24)。

    追記 (2019/11/24)

    Brute-force attack (参考1)と呼ばれるアカウント取得のハッキングのようです。多くのHTTP Brute Force Attack Toolは、ネット上に存在するポートが空いているプロキシサーバーのリストをもとに、そこを中継して攻撃をしてくるため、IP Addressが異なることが多いようです。

    このため、このプロキシサーバーのリストにあるIP Addressを全てブロックできればよいようですが、個人そこまでできません。

    デバイスCookie

    既知および未知のブラウザまたはデバイスからの認証試行を個別にロックアウトすることも検討できます。 デバイスCookieを使用したオンライン推測攻撃のスローダウンの記事(参考2)では、特定のブラウザーが既にログインに使用されているかどうかに関する情報に基づいて、ロックアウトメカニズムのプロトコルを提案しています。 このプロトコルは、単純なアカウントのロックアウトよりもDoS攻撃の影響を受けにくく、効果的で実装が容易です。

    CAPTCHAの使用

    よくある写真で自転車だけ選びなさいとか言うやつです。パズルもありますね。

    最終的に、GoogleのreCAPTCHAを利用するWordPressのPlugin “Login No Captcha reCAPTCHA”をインストールしました。インストール方法は、TechMemoさんをご参照ください。

    Amazonに行く

    参考1

    Blocking Brute Force Attacks

    https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks

    参考
    デバイスCookieを使用したオンライン推測攻撃の速度を落とす

    https://owasp.org/www-community/Slow_Down_Online_Guessing_Attacks_with_Device_Cookies

    参考3

    ブルートフォース攻撃のブロック

    https://translate.google.co.jp/translate?hl=ja&sl=en&u=https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks&prev=search

    編集履歴

    2020/03/20 文言整備、用語整備、参考サイトの整備

    関連記事

    Post Views: 1,240 はじめに 自前NASにWordPressを導入してblogを発信していることを前提にしています。Synology NAS/Routerには、それぞれのマシンのログインや、Synolog…