Synologyサーバの障害/セキュリティ対策には下記の方法を検討して下さい。
1.通知設定を有効にする
Synologyのサーバの障害/セキュリティ対策はサーバが「これはおかしい!」と思う事象が発生した時点でDSM管理者に状況を知らせる仕組みが必要になります。
これが「通知設定」でこの設定方法を解説します。
1.コントロールパネルから下記アイコンをクリックします。
2.電子メールタブの設定
①送信者の設定
誰がメールを送るのか?の設定です。
■[電子メール通知を有効にする]に✓を付け、サービスプロバイダの▼からサービスプロバイダを選択します。
■Gmailの場合は「サインイン」ボタンを挿入してGmailと接続します。
MailPlus Serverを利用する場合
この場合は「カスタムSMTPサーバ」を選択し、SMTPサーバ欄はMailPlus ServerのローカルIPアドレスを指定して下さい。
②受信者の設定
誰にメールを送るのか?の設定です。3名まで指定できます。
■対象接頭辞
メールのサブジェクトの頭に付ける文字列です。
サーバ名を指定すると「どのサーバから送られたメール」かが一目で判ります。
■受信者のEメールアドレス
[プロファイル名]と[メールアドレス]から構成されます.
[プロファイルの追加]ボタンで3名まで設定できます。
よって[プロファイル名]には3名を区別する任意名称を入力します。
■[新しいユーザにようこそメッセージを送信する]に✓を付けて下さい。
画面の右下にある[適用]ボタンを挿入した後、[テストメールの送信]ボタンを挿入して正しくメールが送れるか?を確認します。
3.ルールタブの設定
ルールタブをクリックすると下記画面が表示されます。
■基本的な異常や障害は上記の各項目に設定されています。
メールが送られてきて、このメールは要らないと判断できた場合は上記を編集してメール送信をOFFに設定します。
2.攻撃してくるIPをブロックする
SynologyにMailPlus Serverを立ち上げると外部から接続アタックが急増します。
ここではこの様な外部アタックを行うIPを永遠的にブロックする方法を解説します。
1.IPをブロックする。
①コントロールパネルの下記アイコンをクリックします。
②保護タブをクリックする
■[自動ブロックを有効にする]に✓を付け、下記の設定にする。
・ログイン試行回数:5
・分以内:600
■[ブロック有効期限を有効にする]に✓を付けない。
以上で10時間に5回のミスをするIPアドレスを無期限でブロックします。
■[ホワイト/ブロックリスト]ボタンを挿入します。
[ホワイトリスト]タブの設定は下記で設定します。
■192.168.1.1~192.168.1.254までのIPアドレスを指定します。
192.168.1.x以外のアドレスを使っている場合は、それに合わせて修正して下さい。
上記を設定する事によりローカルからのDSM接続はログインブロック対象外になります。
[ブロックリスト]タブの表示は下記になります。
ログインブロックを開始して数日たつとブロックされたIPアドレスが登録されます。
■永久ブロックになっている事が確認できます。
誤ってIPブロックされた時の対策
ローカルからのDSMへのログインはブロック対象外です。
しかしリモートからのDSMへのログインは間違えるとブロックされます。
この時はDDNS接続ではなく「クイックコネクトID」でログインして下さい。
ログイン後[ブロックリスト]でブロックされたIPアドレスを「IPアドレス住所検索」で調べ、対象IPアドレスを削除してDDNS接続できるようにして下さい。
2.DoS対策
DoS攻撃とは悪意を持ってサーバに大量のデータを送りつけるサイバー攻撃です。
保護ページの下にあるDoS保護に✓して下さい。
以上で、Synologyのサーバにアクセスする不審なIPのブロックとDoS攻撃に対する防御が完成しました。
3.管理者IDを2要素認証にする
この方法は管理者IDを守ればDSMを守る事ができるという考えの対策です。
DSM7系のDSM「2要素認証」には下記種類があります。
種類① | 種類② | コメント |
パスワードを使用しないサインイン | サインインの承認(推奨) | 「承認」メッセージ以外に「通常のパスワード入力」も選択できるのでセキュリティ対策には向きません。 |
ハードウェアセキュリティキー | 利用したことがありません | |
2要素認証 | サインインの承認 | 「承認」メッセージと「OTP」が選択できるメニュになります。
しかし「承認」メッセージの操作性があまり良くないので推奨しません |
確認コード(OTP) | DSM6当時からある「2要素認証」です。
この方法が現在は確実です。 |
|
ハードウェアセキュリティキー | 利用したことがありません |
■私が評価した結果、確認コード(OTP)が一番確実な方法なのでここではこの利用方法を解説します。
1.2要素認証の設定方法
管理者IDでDSMにログインします。
①DSM画面の右上にある下記メニュを起動します。
■「人マーク」をクリックし表示されたメニュから「個人」を選択します。
②下記画面の「2要素認証」をクリックします。
■「アカウント」タブの「サインイン方法」にある「2要素認証」をクリックします。
③下記画面画面が表示されます。
■「確認コード(OTP)」をクリックします。
④下記画面が表示されます。
■現在のパスワードを入力し「OK」を挿入します。
⑤下記画面が表示されます。
■「次へ」で先に進みます。
⑥下記画面が表示されます。
■スマホにSynologyの「Secure Sighin」がインストールされてない場合はQRコードスキャナで読み込みインストールします。下記アイコンが追加されます。
既に上記アプリケーションがインストールされている場合は無視して下さい。
■「次へ」で先に進みます。
⑦下記が表示されます
■スマホの「Secure Signin」アプリを起動し、上記のQRコードを読み取ります。
⑧下記画面が表示されます。
■スマホを紛失した時の「緊急確認コード」を送るメールアドレスです※重要
■メールアドレスを入力後「次へ」で先に進みます。
⑨確認画面が表示されます。
■「完了」で設定を終了します。
⑩下記画面が表示されます。
■「保存」を挿入します。
以上で登録が完了しました。
2.サインイン方法とスマホを紛失した時の対応
①サインイン方法
DSMにログインすると下記が表示されます。
■Synologyの「Secure Signin」アプリ表示された6桁のOTPコードを入れてサインインします。
「このデバイスについて次回から確認しない」とは?
認証コードを入力した後ここに✓を付けてサインインすると、次回から認証コードなしでサインインできるようになります。
これはどういう意味でしょうか?
これは「このブラウザの設定条件下で2段階認証を不要にする」という意味で、2段階認証自体が無効になった訳ではありません。
同一PCでも他のブラウザは認証コードを求めますし、同一ブラウザでもクッキーを削除すると再度、認証コードを求められます。
よって2要素認証はONにし、日頃使うブラウザはOTPを入力しなくても使えるようにするという設定になります。
②スマホを紛失した時の対応
スマホを紛失した場合は下記画面の「モバイルデバイスを紛失しましたか?」をクリックします。
■指定したメールアドレスに「緊急コード」が送られてきますので、そのコードを入力してサインインします。