SynologyのNASを攻撃から守る方法
NASが攻撃されている
SynologyのNASは本当に使いやすくて、ネットワークにそんなに詳しくないわたくしでもそれなりに設定ができてしまうし、最高ですね。ところが一つ問題がありまして、
(今日も平和ですね)
ログを見ればずらりと警告が並んでおります。どなたかが適当なユーザー名とパスワードでログインをしようとしています。中国語やハングルも交じり、サーバーの位置を見ると北欧など様々な国を経由していて、一々IPアドレスを変えているようです。
とりあえず日本の管轄外のIPアドレスについては全部着信拒否しているのですが、うまいこと踏み台を見つけて日本経由で攻撃してきています。踏み台をブロックしても別の踏み台からアクセスできますから、いたちごっこです。
ポートとかいうインターネットの家の門を開けている以上、玄関先まで誰かが来て鍵をガチャガチャといじり始めることは避けられないわけですが、気持ち悪いですね。あと、それだけマシンに負荷がかかっていることにちょっとむかつきます。
たまに自分のNASでブログをセルフホストしている人とかいますが、大丈夫なんでしょうか。せめてポートをデフォルトから変えておいた方がいいんじゃないですかね?
例えば
これに5001番ポートを指定すれば、
(どこかの誰かのログイン画面)
あら不思議、おうちの玄関に到着です。まあユーザー名とパスワードを指定回数内で当てて更に2FAを通ることは事実上できないわけですが(笑)単純にすぐそこまで犯罪者が来ていると思えば気持ちが悪いですよね。
わたくしのことを攻撃しているお方あるいはプログラムもどういう理由で玄関を破れると思っているのかよくわからないですが、決してあきらめない模様です。
そこでTailscaleです
(こいつです)
パッケージセンターの一番下の方にあるこいつですが、何なのかよくわからないから触ってないという人が大半なんじゃないでしょうか。
こいつはVPNというやつで、その仕組みの斬新さから近頃話題です。
Tailscaleの概要についてはこちらのページが分かりやすいです
簡単に言えば、Tailscaleを起動させたマシン同士を、ポート開放や固定IPアドレスなしで、超簡単に接続してくれる超便利なソフトです
使い方は
1.繋ぎたいマシンの各々にTailscaleをインストールします
2.GoogleかMicrosoftのアカウントでログインします
3.おしまい!
それぞれインストールしていくと専用のIPアドレスが割り当てられていきます。
(20台まで無料)
そしてマシーンネームがドメインのように機能するので、なるべく簡潔なものに修正してあります。
というわけで、私の場合、自分のnasにアクセスしたければ、
で接続されます。
これでもうDDNSとかいう中途半端なものは要りませんね!
(DDNS全削除です)
DDNSでアクセスしていたときはLAN内からのアクセスがはじかれてしまうため、内向きDNSを立てたり、ホストファイルをいじったりする必要がありましたが、簡単にどこからでも同じアドレスでアクセスできるようになったので捗ります。
クイックコネクトもさようなら!
(オンにしてたけど遅いから別に使ったことない)
管理UIも含めてポートはすべて閉じてしまいましょう。なぜならTailscaleではポート開放は不要ですからね。
(門の鍵を閉めた)
これで攻撃者もかなりやりにくくなったのではないでしょうか。