시놀로지(헤놀로지) admin 계정 무차별 대입 공격 막아내기

???

admin 계정 비활성화 해서 다행

회사에서 평범하게 일을 보고 있는데

갑자기 휴대폰에 이메일이 알람이 떴다.

그냥 봤는데 NAS에서 IP 차단 메시지.

음? 나는 로그인을 하는 적이 없는데?

하고 로그를 확인했더니...

나쁜 IP 주소는 공개처형

어이쿠

나도 모르는 사이에 아침 6시부터

열심히 내 NAS 대문을 두들기고 있었다.

컴퓨터 보안에서는 이것을

무차별 대입 공격이라 한다.

admin이라는 공통 관리자 계정에

무작위로 비밀번호를 마구 치다가

운 좋게 얻어걸려서

로그인 성공을 기도하는 메타.

나의 NAS 보안 정책이 6시간 이내 5번 틀리면

자동으로 해당 IP주소는 일주일 동안 접속금지 하는데

아무래도 공격자가 가진 좀비 PC의 개수가 얼마 없어서 그런지

운 좋게도 IP주소가 금지당하면서 나에게 알람이 떴다.

지금 회사에서 개인 클라우드 접속이 제한되어있기에

우선 휴대폰으로 사뿐히 NAS의 전원을 꺼놨다.

공격에 대한 나의 대응

집에 돌아와서 이에 따른 대응을 해줘야 한다.

내가 한 것들은 사실 거창한 것이 아니다

더 엄격한 로그인 실패 정책

블랙리스트 기준을 바꾸는 건 간단하다.

제어판 → 보안 → 보호 → 자동차단

해외 IP 접속 차단

해외 IP 차단은 진작 해야 했으나

예전에 시도를 했을 때

계속 내가 차단되는 현상이 발생해서 안 했는데

지금은 마음먹고 다시해봤다.

원인은 간단했다.

같은 공유기를 사용하다 보니

192.168.xxx.xxx 주소를 가지고 접속을 하게 되는데

이것만으로는 내가 한국에 있는지 판단할 수 없다.

이것 때문에 위치를 "개인 IP"로 잡아버리고

방화벽에서는 내가 설정한 화이트리스트 국가인

한국, 미국에 포함되어있지 않아 차단한 것이었다.

그래서 별도로 방화벽에서

192.168.0.1 ~ 192.168.255.255 주소는

허용하도록 처리하니 정상적으로 동작했다.

여기까지만 설정하고 놔두었더니...

똑똑.

다시 돌아왔어요.

어휴.

그래도 유심히 로그를 지켜봤는데

저 뒤로는 로그인 시도가 없었다.

로그 찍힌 횟수도 이전과 비교했을 때

사전에 차단이 잘 되었는지 많이 줄었고.

그 뒤로는 공격 시도가 없었다.

다행히 별일은 없었지만

나름 경각심을 가지게 되었다.

admin 계정 비활성화 안 했으면

나도 모르는 사이에 정말 뚫렸을 수도...

이제 후속조치를 해야 한다.

IP 주소 수동으로 블랙리스트 처리

영리하게 내가 설정한 블랙리스트 기준

3번 이하로만 시도한 나쁜 IP주소들이 있다.

이런 것들이 다음에 또 공격하지 않도록

블랙리스트에 올려둬야 한다.

나는 admin 계정이 비활성화되어있는 것을 알고

그 계정으로 접속시도를 아예 안 하니깐

로그에서 검색 키워드로 admin을 입력하여 추출했다.

나쁜 IP주소 추출 방법은

로그에서 검색된 항목을 CSV 파일로 내보내기 한다.

그리고 저장된 CSV 파일의 확장자를 TXT 파일로 변경하고...

얘가 CSV 파일을 못읽어서... TXT 파일을 먹여줬다

요즘 세상 참 좋다~

저것들을 또 복사해서

텍스트 파일로 만들고

파일을 추가하면 자동으로

밑부분에 주르륵 차단될 IP 주소들이 나온다.

역방향 프록시 (제대로) 사용

역방향 프록시에 대한 개념, 보안상 장점은

다른 사람들이 아마 나보다 설명을 잘했을 것이다.

효과만 말하자면 기존에 포트 번호로

시놀로지 Photo, Drive 등에 접속했었다면

포트 번호를 입력하지 않고 URL로 바로 접속 가능하다.

나는 이것을 설정해놨었는데

지금 다시 보니 공유기에 포트 번호로 접속하는

포트 포워딩 룰도 존재하여

약간의 구멍이 있었다.

간단하게 포트 포워딩 룰을 지워버렸다

끝!

더 이상의 침입은 모 야메룽다

Captcha 기능은 없나...?