[Synology] 역방향 프록시 설정으로 시놀로지 NAS 로그인시도(해킹시도) 원천차단
![[Synology] 역방향 프록시 설정으로 시놀로지 NAS 로그인시도(해킹시도) 원천차단](/content/images/size/w2000/wordpress/2022/10/0-44-1.jpeg)
*이 방식은 엄밀히 말해 내 서비스를 모두 프라이빗 서비스로 만드는 방법입니다.
** 2022. 10. 11 현재, 약 1년간. 역방향 프록시를 사용한 이후 쓸데없는 로그인 시도 로그가 아예 안찍힙니다.
최근 시놀로지 기기의 해킹시도가 많이 늘어났다는 글이 커뮤니티에 많이 올라오고 있습니다.
기본설정을 하셨다면 admin, guest 계정은 막혀있으니 큰 문제가 없다고 볼 수 도 있는데, 나스이름과 관리자계정을 동일하게 쓰는 경우도 시도할 수 있고, IP차단 방식은 당장은 효과가 있지만 언젠가는 뜷릴 수 밖에 없는 방법입니다.
그래서 저는 이 방법을 사용합니다.
1. 방화벽 설정
80/443 외 모든 포트는 차단합니다. 그 외 꼭 써야만 하는 포트만 열어둡니다.
내부망은 모두 허용, 그 외 FTP같은걸 외부에서 쓴다면 해당 외부아이피와 포트만 허용.
2. 역방향 프록시 설정
시놀로지에서 기본 제공하는 서비스는 대부분 서브도메인을 할당하여 접속이 가능합니다. 모두 그렇게 해 둡니다.
그 외 다른 서비스 역시 가능하면 역방향프록시를 이용해 서브도메인 할당합니다.
1,2를 거치면 80/443 포트 외 다른 포트로 접속이 불가능합니다. 즉, 내가 설정한 서브도메인으로만 접속이 가능하며, IP:5000 등 시놀로지 기본 포트로의 접근이 차단됩니다.
이렇게 하는 이유는 단순합니다.
단순 역방향 프록시만 설정하는 경우 IP:포트로 접속이 됩니다. CNAME에 *.도메인 을 설정한 경우 어떠한 서브도메인으로 들어와도 됩니다.
위 방법을 사용하면 IP를 알아도 볼 수 있는건 시놀로지 web station의 화면뿐입니다.
포트 변경을 해도 스캔하면 나옵니다. 6만개 남짓 되는 포트를 변경하는게 안전할까요.. 경우의 수가 사실상 무한한 서브도메인 할당이 안전할까요?