以前にSFTPを使用したくて、ポート22を開放しました。いわゆるブルートフォース攻撃され、不正ログインを試みようとしていますと、NASからメールが何通も来て大変なことになりました。海外からの攻撃でした。そのときから、日々狙われていることを知って、できうる範囲でセキュリティ強化しています。
Synologyのナレッジセンターの「SynologyNASのセキュリティを強化するにはどうすればよいですか?」
https://kb.synology.com/ja-jp/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NASを参考にしました。
セキュリティアドバイザーを有効にする
自分のNASが健康であるか診断してくれます。マルウェアに感染やネットワーク構成は重要です。ポート22を開放してしまったときはネットワーク構成が赤色に変化し危険を知らせ、処置方法(ポート番号変更など)を教えてくれました。定期的にスキャンするように心がけています。
デフォルトのadminアカウントを無効にする
adminが攻撃対象になるようです。無効にしました。
自動ブロックを有効にする
自動ブロックで何度もログインに失敗したアドレスをブロックできます。私は失敗回数を減らして5回までにしました。
暗号化された接続を使用する
DSMのログインはhttp接続を自動的にhttpsにリダイレクトしています。また、リバースプロキシはHSTSを有効にしています。モバイルアプリを使用するときはhttpsを有効にチェックを入れています。データー転送はSFTPを使用しています。
公開ポートのみ開放・ファイアウォール設定
ファイアーウォールの設定は細かく設定すると自分も締め出されそうなので、おおまかに海外の侵入を防ぐように設定しています。
DoS保護を有効にする
私はデフォルトのLAN1ポートからLAN3(10GbE)に変更したのでLAN3を選択して有効にしました。
デフォルトの管理ポートを変更する
私はDSMポート5000と5001、SSH22は変更しました。例えば、DSMポートの5000と5001を2000と2001へ変更したとします。モバイルアプリDSFileは「NASのIPアドレス:2001」あるいは「DDNSホスト名:2001」となり、プレーヤー設定のHTTPポートを2000へ変更します。最後に「:2001」を加えないとサインインできません。デフォルトの5000・5001は入力なしでサインインできる仕様になっています。ポート開放の番号も変更が必要です。
×≪設定していない項目≫× パスワード強化と有効期限・多要素認証
Synology関連のブログを書いているので、ほぼ毎日のようにサインインしているため、サインインが複雑なのはちょっと困る。あえて現在は設定していませんが、Synologyの記事がネタ切れしたらセキュリティを最強にするため、いずれ設定する予定です。