はじめに
自宅のLANで使っている分にはセキュリティを意識しなくても済みました。しかし、外部アクセスを有効にするのであれば、セキュリティをきちんと意識しておかないといけません。なにも考えないまま外部アクセスを開いたら、大惨事を招きかねません。
でも、安心してください。結構しっかりとしたセキュリティ管理ができるので、勉強ついでに一度設定してみるのも良いと思います。運用サイドがどんな事をやっているのかを知る事で、ITセキュリティの意識も高まります。
セキュリティ/コントロールパネルの起動
「セキュリティ」はコントロールパネルから設定します。DSMにログインしてセキュリティを起動してください。
セキュリティは「セキュリティ」「アカウント」「ファイアウォール」「保護」「証明書」「詳細」の6つの項目で構成されています。
ごく一般的な運用サイドのセキュリティ項目です。
セキュリティ
基本的なセキュリティ設定を行うタブです。以下に、各設定項目を書き出し、簡単な説明をつけておきました。
内容を見る限り、初期値のままで十分です。
項目 | 初期値 | 説明 |
---|---|---|
ログアウト タイマー | 30秒 | ここで指定した時間の間、無作動の状態が続くと、自動的に DSM からログアウトします。 |
IP チェックをスキップしてブラウザー互換性を強化する | – | HTTP プロキシで Synology NAS にアクセスする場合に、ランダムでログアウトしてしまう場合がある様です。その際にチェックする事で改善できます。 |
サイト間のリクエスト偽造攻撃からの保護を強化する | サイト間のスクリプト攻撃からシステムを保護します。 | |
HTTP Content Security Policy (CSP) ヘッダーでセキュリティを強化する | インラインスクリプトの実行を制限し、クロス サイト スクリプティング (XSS) 攻撃に対処します。 | |
iFrame で DSM が埋め込まれないようにする | 許可されたウェブサイト | iFrameとは、指定したリンク先のページ内容をフレーム表示することができるHTMLタグのことです。チェックすると、Webページに DSM を埋め込むことができなくなります。個別にiFrameを許可することも出来ます。 |
システムの再起動に伴い保存したユーザー ログイン セッションがすべてクリアされます | 他のユーザーがログインしたままで、システムの再起動を行った際に、自動でログアウトを強制し予期しないエラーの発生を防止します。 | |
信頼できるプロキシ | 信頼できるプロキシ | DSMは信頼できるプロキシサーバーから伝達されたリモートIP 情報を使用します。 |
下図は、iFrame埋め込み許可の管理画面です。
下図は、信頼するプロキシーの管理画面です。
アカウント
NASに登録したアカウントごとのセキュリティ対策を行います。
アカウントの種類ごとに2要素認証の設定が行えます。より重要なアカウントグループには2要素認証を徹底するなどの施策が可能です。そして、アカウントの保護にて、アカウント保護のトリガー条件を設定できます。
2要素認証 (2FA)
Synologyの2要素認証はとても充実しています。商用クラウドストレージと比べても遜色がない、高度な認証管理が可能です。以下に2要素認証の概要を列挙します。
- 2 要素認証は特定のユーザーに強制実施することも可能です。
- Administrator グループユーザー
- すべてのユーザー
- 特定のユーザーまたはグループ
- アダプティブ多要素認証には次のツールが利用可能です。
- 電子メールアドレス
- Synology Secure SignIn
- DS finder (iOS:3.5.0 以降/Android:2.5.0 以降)
この機能の紹介だけでも結構なボリュームになってしまいますので、今回は簡単な説明に省略しました。
すみません。(^^;
組織で使うのであれば設定は必須ですが、個人で使うには、今はまだ、過剰かなと思って着手していません。
アカウント保護
アカウント保護をチェックし、ブルートフォース攻撃に備えます。
パスワードを総当たりで試行して突破する攻撃をブルートフォース攻撃と言います。有効にすると、この攻撃によるパスワードの漏えいを防ぎます。
項目 | 初期値 | 説明 |
---|---|---|
ログイン試行回数 | 5回 | ログイン試行回数、指定した分以内、ログインに失敗すると以降のログインはブロックされます。 信頼されていないアカウントならばアカウント保護トリガーを引きます。信頼されたアカウントはブロックされます。 |
分以内 | 1分 | 同上 |
アカウント保護のキャンセル(数分後) | 30分 | ログインのブロックは、指定分経過すると解除します。 |
アカウント保護のトリガー
アカウント保護のトリガーが引かれると、2FAによるアカウント検査が要求されます。2要素認証を設定しない場合はブロックと同じですが、Administratorグループだった場合には自動で2FAを有効にしますので注意してください。
もしも「通知」設定がなされていなかったら大変なことになるかもしれません。事前に通知の設定をぜひご確認ください。情報セキュリティにはこういった無慈悲な一面も必要ですが、実際に食らうと本当に凹みます。(^^;
そもそも、パスワード管理なんて本当に最低限にしてほしいです。
できれば自宅NASを読み手にしてKeyCaseを作って、その他ITサービスはすべてパスワードレスで運用できればと夢見てしまいます。Synology-NASでAKIサービスが運営できたら良いなー
ファイアウォール
ネットワークの出入り口に設置し、外部から内部への不正な侵入を遮断し、内部から外部への不正なアクセスを禁止する機能をファイアウォールと呼びます。
ファイアウォールを有効にするをチェックするとファイアウォールが有効になります。ファイアウォール通知を有効にするをチェックするとファイアウォール処理が適応された際に解除オプションがあれば、その旨を通知し解除を促せます。
ファイアウォールのプロファイルをカスタマイズすることが出来ます。
ファイアウォールのルールの作成画面です。ポートおよびIPアドレスを設定し、許可/拒否を設定ます。
保護
前述のアカウント保護はログイン操作に対するアカウントへの保護アクションでした。こちらは、そういった怪しげな操作元のネットワーク情報が登録され、悪意がある接続を排除していく仕組みです。
自動ブロック機能を有効にすると、何度もログインに失敗したクライアントの IP アドレスが登録されてしまいます。こちらの保護が有効となってしまうと「アカウント保護」「保護」の双方を解除する必要がありますので注意が必要です。ホワイト/ブロックリストにて適切に管理する事で、NASのセキュリティを効率よく向上出来ます。
設定項目に関しては「アカウント保護」と意味する内容は同じなので省略します。
NASへの接続IPアドレスのホワイト/ブロックリスト管理画面です。接続許可を与えるネットワーク(あるいは機器ごと)のIPAアドレスはホワイトリストに、接続を拒止したい機器ごと(あるいはネットワーク)はブロックリストに登録します。
例えば、ホワイトリストに登録されたIPアドレスからのログイン失敗はアカウント保護のルールに従って再チャレンジする事ができます。ブロックリストに登録されていたらそもそも接続できません。
IPアドレスの設定画面です。
証明書
Synology NASはSSL通信が標準でサポートされています。標準では自己署名の証明書なので、外部アクセスを利用するのであれば、ぜひ、正規の証明書を組み込んでください。
「自己署名証明書があれば暗号処理ができるので、個人利用だったら十分だよ。」という考えをよく聞きますが、それは違います。安心だと思い込んでいるそのサイトがもしも偽装されていたら一巻の終わりです。証明書暗号の代表となるPKIは第三者の信用があってこそ、成立する仕組みなのですから。
少し話がそれますが、だからこそAKIを考案しました。AKIは、それこそ自己署名証明書の手軽さでSSL通信相当の適切な暗号通信を実現します。
適切な証明書なら「信用できない接続ですが良いですか?」とブラウザーから警告される事もなくなります。Let’sEncriptの導入支援が組み込まれているので、一手間をかけるだけで、適切なサイト証明書を自動更新付きで導入できます。この手軽さは、本当にありがたいです。
私は、本ブログサイトにLet’sEncriptを導入しています。だからこそ、この至れり尽くせり感がすごく良いです。(^^)
さて、SSL証明書の管理を行います。最初に入っている証明書は、Synology社の自己証明書です。外部アクセスを行う際には、追加にてお使いの証明書を、あるいは新規作成して導入してから設定に入ってください。
証明書追加のパネルです。新しい証明書を追加してくださいを選択すると、NASシステムへ新たに証明書を追加し、サービスへの適応は行われません。既存の認証を置き換えますを選択すると、既存の証明書設定はそのままに証明書を置き換えます。
お使いの証明書を導入する場合は証明書のインポートを行います。Let’sEncriptからの証明書をお受け取りくださいを選択するとLet’sEncriptの証明書作成と登録が行われます。規定値としての証明書に設定しますをチェックすると、NASの規定の証明書として割り当てられます。
設定タブではNASのサービスごとに証明書を割り当てる事ができます。
Let’sEncript証明書は約3カ月ごとに自動更新されます。Synology DriveなどのAPI連携を行うアプリケーションでは、証明書の更新されると同期が一時停止しますのでご注意ください。アイコン上も変化があるのですぐに気がつくと思います。セキュリティ施策として変更された事を知る必要があるので、仕方がない仕様だと思います。運用上困る様でれば、CA証明書を購入する事をお勧めします。
詳細
SSLに関わる諸設定を行います。
HTTP 圧縮を有効にするをチェックするとHTTP通信に圧縮処理が施されます。データが圧縮されることで通信のトラフィックが改善されWebページの読み込み速度が向上します。TLS / SSL プロファイル レベルにて、HTTPSへ適応するTSLを設定できます。
- 最新の互換性:TLS 1.3
- 標準の互換性:TLS 1.3/1.2
- 古い下位互換性:1.3/1.2/1.1/1.0
また、特定のサービスに対して個別にTSLを設定することもできます。
特定サービスごとのTLS / SSL プロファイル レベル設定画面です。
まとめ
以上がセキュリティ設定の概要紹介でした。
NASに限らず、ネットワークを扱う上では知っておくべき基礎知識なので、勉強する良い機会になれば記事に起こした甲斐もあります。
私視点で簡略化していますので、原本であるSynology社のナレッジセンターを併せて紹介しておきます。
製品紹介
我が家で利用してるSynology NAS(の最新機種)をご紹介いたします。DS918+を自宅ネットワークの要に据えて活用しています。