나스당

강좌
요즘 시놀로지NAS 집중 타겟 공격으로 말이 많습니다. 20

6
Sora
12,901
2022-10-21 16:47:40 수정일 : 2022-10-23 01:43:53 210.♡.150.6

예... 

항상 나오는 말이고 다른분들도 공감하실테지만 


새로 유입되신분들은

예전의 블로그 글만 보고 단순히 차단만 하거나 포트변경을 하거나...

그렇게만 설정해서 로그인 시도를 하는것에 대한 불안감이 없지않은게 사실입니다

이 질문은 항상 새로오시는분들이 질문하시고 잘못되었다기보다 옛날의 글들을 보고 설정하시는분들이 

대다수일테니 계속 언급되는건 어쩔수없죠 따라서 이미 능숙한 고수분들도 이런 반복성 질문에 

역방향 프록시를 이용하라는 언급을 계속 해주셔야 합니다.


요약하자면


이런 상황에서 역방향 프록시는 선택이 아닌 필수입니다. FTP는 사용하지않는것을 권장합니다.


1. admin 계정 비활성화

2. 해외ip차단

3. 역방향 프록시 활성화 ftp 비활성화.

4. ssh는 내부에서만 접근


역방향 프록시가 무엇인지 쉽게 이해시켜 드려보겠습니다


역방향 프록시의 요점은 ip:포트 접근 자체를 원천봉쇄하는겁니다

접속은 오직 2차 도메인:443으로만 접근가능하게 셋팅합니다.
더 쉽게 말하자면

클리앙.kr:5000 이라는 서비스를
목적지
main.클리앙.kr (443) 으로 접속할수있게 설정.

역방향 프록시함으로써


외부포트에 5000번을 열지 않고서도 클리앙.kr:5000 접속이랑 동일하게 되는겁니다.
(443과 80은 http기본 포트이기때문에 생략가능)

이런식으로 굳이 포트를 쓰지않고 도메인으로만 접속가능하게 하면 포트를 외울 이유도 없을뿐더러.
포트포워딩도 필요가 없습니다.
외부에서 접속하려면 2차도메인을 알지않고는 접속이 불가능하기때문에 역방향 프록시로 내부 서비스를 연결해주는겁니다. 



포트를 바꾸든 말든 어차피 포트스캐닝하면 다 보이기때문에 포트를 바꾸니 뭐니 의미가 없습니다 

원천적으로 역방향 프록시를 통해 2차 도메인을 알지않고서는 접근 불가능하게 막는것입니다


FTP의 경우에는.. FTPS를 통해 https로 접근을 유도할수있으나 역방향 프록시를통해 포트를 변경하는것은 불가능하므로

WEBDAV를 권장드리는 이유입니다.


더군다나 요즘 이런류의 해킹시도는 vps에서 이루어지는 경우가 많다고 실제 연구보고사례도 있는만큼

ip차단만큼 별 의미가 없는 방책도 없을것입니다


1. 포트변경 의미없다 포트스캔하면 바로나온다

2. ip차단은 일시적인 해결책일뿐이다  가끔 수많은 ip차단 리스트를 공유하시는분들이 있는데  죄송하지만 정말 별 의미없습니다.

3. 국가 차단은 기본

4. os 보안 업데이트는 최신으로 유지하자

입니다


제 이전글을 보고 직접 설정해보시고 글을 쓰신 꽈보님이 계십니다

https://www.clien.net/service/board/cm_nas/16394001CLIEN

참고하셔서 다들 안전하게 NAS이용하실수있음 좋겠습니다.


제 글을 보고 불편하신분들이 있다면 죄송합니다.

Sora 님의 게시글 댓글
댓글 • [20] 을 클릭하면 간단한 회원메모를 할 수 있습니다.
jerry80
IP 203.♡.81.105
10-21 2022-10-21 17:25:07
·
외부에서 접속할 일이 있어서 ssh 를 포트 바꿔서 열어두었다가, 이것도 닫으려고 shellinabox docker 설치해두고 세팅 마무리 안하고 있었는데... 마무리하고 ssh 포트도 닫아야 하겠네요.
Sora
IP 210.♡.150.6
10-21 2022-10-21 17:25:59 / 수정일: 2022-10-21 17:26:11
·
@jerry80님 ssh는 정말로 열면 안됩니다.
정 열고싶다면 vps처럼 인증키 파일 가지고 열어두셔야해요
jerry80
IP 203.♡.81.105
10-21 2022-10-21 17:38:22
·
@Sora님 ssh 포트 닫았습니다 ^^ Shellinabox 를 어떻게 설정하나 고민했는데, 방법이 간단하네요. 깡통 Shellinabox 에 web으로 로그인한다음, 거기서 ssh 시놀아이피주소 로 접속하면 되네요. 이러면 결국 ssh 포트는 내부에서만 접속되는 것과 동일한 효과네요.
voldmolt
IP 59.♡.121.53
10-21 2022-10-21 17:31:57
·
솔직히 관리 포트를 (ssh가 됐건, 관리 로그인 페이지가 됐건) 외부에 열어놓고 브루트포스 시도가 있다고 걱정하는거 자체가 어불성설이죠.
Sora
IP 210.♡.150.6
10-21 2022-10-21 17:34:12
·
@괴ㅈ님 하지만 처음 입문하시는분들은 충분히 그럴 수 있다고 생각합니다 ㅎㅎ
말랑9
IP 210.♡.41.129
10-21 2022-10-21 18:01:37
·
자세하고 자상한 글 잘 봤습니다 감사합니다
클리뉴비
IP 39.♡.95.166
10-21 2022-10-21 18:41:56
·
친절한 설명 감사드립니다. 역방향 프록시 설정해봐야겠네요. ^^
왼손의생각
IP 121.♡.219.48
10-21 2022-10-21 19:09:35
·
귀찮아서 미루고 있다가 글 보고 바로 적용했습니다.
도중에 와일드카드 인증서를 추가로 갱신했네요.
Thanks_alot
IP 121.♡.128.245
10-21 2022-10-21 20:51:53
·
공유기 vpn으로 내부망에서만 접근으로 사용하고 있는데 이런 경우는 괜찮은지요?
Sora
IP 210.♡.150.6
10-21 2022-10-21 20:56:09
·
@Thanks_alot님 넵 괜찮습니다
우녕장
IP 222.♡.236.250
10-21 2022-10-21 21:55:04
·
그냥 클라우드 프록시 zero trust로 2FA걸면 아무뮨제 없습니다..브루트포스고뭐고 DNS단에서 다걸러져서..
Sora
IP 210.♡.150.6
10-22 2022-10-22 01:32:38
·
@우녕장님 그냥 클플에서 cdn프록시 걸어버리고 쓰는것도 괜찮죠 대부분 그렇게 안쓰시니까요
삭제 되었습니다.
thexero
IP 1.♡.148.75
10-22 2022-10-22 08:45:48
·
@이웃삼촌님 프록시가 나가며 거치는거고 역방향이니 들어오면서 거치게 됩니다.
들어오면서 들고있는 주소를 봅니다. 내부에 해당 주소로 갈 곳이 정해져 있는지 확인해서 있으면 보내줍니다.

abc.example.com을 localhost의 8888포트로 보낼수도 있고, 192.168.0.1의 80포트로 보낼수도 있습니다.
thexero
IP 1.♡.148.75
10-22 2022-10-22 08:43:14
·
항상 안급하게 되는데 항상 같은글이 쭉 올라오는걸 보면 검색도 하지 않고 글을 쓴 분들이 많다는거죠.

ip무작위대입에 포트스캔해서 시놀로지 응답하면 이거저거 다찔러보는건데..

80,443을 최대한 쓰되, 어쩔 수 없이 열어야 하는 포트는 열고(drive의 통신포트처럼요) ssh는 vpn이나 화이트리스트 방식으로 접근하면 되구요.

로그가 더 깔끔해지고 훨씬 편리한데 어렵게 생각하시더라구요..
Ibuprofen
IP 58.♡.23.19
10-22 2022-10-22 19:54:39 / 수정일: 2022-10-22 22:09:23
·
링크 끝에 1이 빠졌습니다.
https://www.clien.net/service/board/cm_nas/16394001CLIEN
Sora
IP 210.♡.150.6
10-23 2022-10-23 01:43:43
·
@Ibuprofen님 감사합니다.
삭제 되었습니다.
BurnS
IP 218.♡.87.35
10-23 2022-10-23 16:39:36
·
@이웃삼촌
1.80포트랑 443포트는 기본적으로 http 와 https 인데
역방향 프록시와 서브도메인을 사용하시면 공유기에서 해당 2개의 포트만 열면 됩니다.
그리고 서브도메인을 정확히 알지 못할 때 접속을 하지 못하기 때문에
현재 유행하는 찔러보기식 봇 해킹 시도는 안들어옵니다. 그리고 서브도메인 경우의 수는 무한대입니다.

2.역방향 프록시 설정에서 서브도메인으로 접근했을 때
로컬호스트의 해당 포트번호로 대상을 지정하면 공유기 단에서는 역시나 80이나 443 포트만 열면 됩니다.
삭제 되었습니다.
삭제 되었습니다.
jerry80
IP 203.♡.81.105
10-24 2022-10-24 10:55:17
·
@이웃삼촌님 원하시는 답인지 모르겠지만, rsync접속을 위해 22번 포트를 열 필요는 없을듯 합니다. 커맨드라인 명령어 기준으로 "rsync -avh 서버::모듈이름 local_dir" 로 하게되면 (콜론 두개) rsync 서버에서 설정해둔 모듈에 접속하고 이때 사용자 이름과 패스워드는 서버의 로그인 사용자/비번과 별도로 설정할 수 있습니다. 이경우는 873 포트만 열어두면 됩니다. (이것 마저 닫고하는 방법이 있는지 ?)

콜론을 한개만 사용해서 "rsync -avh 서버:서버폴더 local_dir" 로 하게 되면 ssh 로 로그인해야 하고요.

저는 QNAP 아니고 OMV6에서 Rsync 서버를 돌리고 있는데, 사용하는 모듈 두개를 설정해두고 콜론두개 찍는 방법으로 873포트만 열고 사용중입니다. (이 포트도 공유기에서 포트포워딩 사용해서 변경할 수 있습니다. )
삭제 되었습니다.
jerry80
IP 203.♡.80.70
10-24 2022-10-24 13:52:25 / 수정일: 2022-10-24 13:53:09
·
@이웃삼촌님 Qnap 에 rsync 서버 설치하시고, 여기에 파일은 어디로 땡겨오고/업로드하고 어떤 기기/어떤 어플을 쓰시는지요 ?

참고로 저는 OMV에서 공유모듈 설정하고, 원격지 시놀 나스에서 아래와 같은 명령어로 땡겨옵니다.

rsync -avh --delete user_id@omv_server_ip::Module /local/dest/directory

핵심은 서버쪽에 Modue을 미리 설정해두어야 하고, 모듈이름으로 접속할때는 콜론을 두개 :: 찍는 것입니다.
이렇게 하면 22번 포트 열지 않아도 됩니다.

서버에 등록된 모듈은 /etc/rsync.conf 에 기록되어있고요.
삭제 되었습니다.
jerry80
IP 175.♡.14.62
10-24 2022-10-24 21:45:26
·
@이웃삼촌님 아. 시놀로지가 서버군요. 저도 시놀로지에 Rsync서버 설정하다가 잘 안됐던 기억이 있네요. 일반 리눅스 Rsync서버하고는 뭔가 좀 다른것 같더라구요...
잘, 해결하시길 바라겠습니다.
목록으로
글쓰기
목록으로 댓글보기