개인 NAS 서버를 운용하다 보통 외부 접속을 위해 QuickConnect나 DDNS를 주로 사용할 겁니다.
free DNS나 다른 도메인을 구입해 연결하는 경우도 있겠지만
시놀로지 자체적으로 제공하는 DNS를 사용하지 않을 이유가 없긴 합니다.
하지만 DDNS 특성상 URL을 잘 짜 맞춰보기만 하면
다른 사람의 NAS 도메인으로 이동하기 쉽습니다.
예시로
시놀로지에서 제공하는 synology.me 도메인은 DDNS 설정 시 가장 첫 번째에서 볼 수 있으며
제일 많은 사람들이 사용하는 기본 제공 도메인입니다.
자신이 조합한 문자와 함께 도메인을 넣어 호스트 네임을 정한다고 하지만
조금 쉽게 추측이 가능합니다.
예를 들어 자신의 서버이니까 자신의 이름을 넣지 않을까요?
뭐 많습니다 cheolsu.synology.me
yeonghee.synology.me
위 서버는 다른 분이 사용하시는 서버이지만 제가 임의로 앞 주소를 짜 맞춰
찾아냈습니다.
이름이 아니면 초성-영어 스펠링으로 작성하는 경우도 많습니다.
네 또 찾았습니다.
아주 위험하다는 생각이 듭니다.
URL까지 찾아내는 거야 그렇다고 합시다.
하지만 개인용 서버를 운용하는 사람들이
작정하고 털어먹으려는 해커들이 달라붙으면
아무리 시놀로지 자체 보안이 좋더라도 그게 다 막아질까 싶습니다.
특히나 시놀로지 NAS의 ssh, ftp 등 well known 포트들을 열어두기만 해도
미친 듯이 외부 포트 접속이 들어오는 걸 볼 수 있습니다.
특히 시놀로지 패치 DSM 7 버전 이전의 6 버전대에서는
정말 엄청나게 공격이 들어왔었습니다.
안타깝게도 사진은 소실되어버렸지만,,
자신의 보안은 결국 본인이 책임져야 할 문제입니다.
보안 문외한이더라도 어느 정도 간단한 방법 몇 가지로 쏠쏠한
보안을 챙겨 올 수 있습니다.
예를 들면 ftp, ssh 등 잘 알려진 포트들을 사용할 일이 없는 경우에
포워딩을 닫아두던가
아니면 포워딩할 때 22 - 8888 등 매치되지 않는 포트번호로 한다던가
지속적인 공격을 차단할 수 있도록
자동 로그아웃
혹은 로그인 실패 시 접속 제한을 걸거나
IFrame 같은 http 태그를 이용한 공격이 불가능하도록 허용하지 않습니다 - IFrame 은 HTML 태그로 IFrame Injection과 같은 취약점이 존재합니다.
아무런 보안 없이 외부 접속이 가능한 개인 서버를 운용하고
그 안에 수많은 개인정보와 데이터를 쑤셔 박아 두면
결국 편하려고 사용하는 개인 서버가 당신의 발목을 붙잡을 수도 있습니다.
'정보보안 > 보안이슈' 카테고리의 다른 글
카카오톡 메시지 전송 안되는 오류 관련 (0) | 2022.10.04 |
---|---|
2019년 01월 -2022년 06월 피싱 사이트 URL 모음 - JPCERT/CC (0) | 2022.09.06 |
댓글