보안 어드바이저 는 DSM 설정 및 Synology NAS을(를) 스캔하는 DSM 보안 응용 프로그램입니다. 보안 어드바이저 는 설정을 검사하고 Synology NAS 안전 유지를 지원하는 변경 사항을 추천합니다.
Synology NAS의 일반적인 보안 관련 사항은 “Synology 보안 설정” 글을 참고한다.
1. 보안 어드바이저 검사 목록
보안 기준을 선택하여 보안 어드바이저가 검사할 규칙을 선택할 수 있다. 규칙 수와 유형은 보안 기준에 따라 달라지며 “직장 및 비즈니스 용도”로 설정하는 것을 권장한다. 보안 어드바이저의 고급 설정에서 이 검사 목록을 수정할 수 있다.
1.1 멜웨어 검사기준
| NO | 심각도 | 이벤트 | 조치 방법 |
|---|---|---|---|
| 1 | 중대 | 로그 파일의 권한이 변경되었습니다. | 2.1 |
| 2 | 중대 | 잠재적인 악성 프로그램이 시스템에서 발견되었습니다. | 2.1 |
| 3 | 중대 | 루트 디렉터리의 소유자가 변경되었습니다. | 2.1 |
| 4 | 중대 | 악성 시스템 구성 설정이 시스템에서 발견되었습니다. | 2.1 |
1.2 네트워크 검사기준
| NO | 심각도 | 이벤트 | 조치 방법 |
|---|---|---|---|
| 5 | 높음 | SSH 포트가 기본값에서 변경되지 않았습니다. | 3.1 |
| 6 | 높음 | Telnet 서비스가 활성화 되었습니다. | 3.2 |
| 7 | 중간 | LAN 서비스를 인터넷에서 액세스 할 수 있습니다. | 4.1 |
| 8 | 중간 | Mail Server에 SSL/TLS가 활성화되지 않았습니다. | – |
| 9 | 중간 | HTTP 압축이 활성화 되었습니다. | 4.2 |
| 10 | 중간 | HTTP에서 HTTPS로의 자동 리디렉션이 비활성화 되었습니다. | 4.3 |
| 11 | 중간 | DSM HTTP 포트 번호가 기본값에서 변경되지 않았습니다. | 4.3 |
| 12 | 중간 | DSM HTTPS 포트 번호가 기본값에서 변경되지 않았습니다. | 4.3 |
| 13 | 정보 | 공용 IP를 가진 인터페이스에서 기본 방화벽 정책을 허용하도록 설정되어 있습니다. | 5.1 |
1.3 계정 검사기준
| NO | 심각도 | 이벤트 | 조치 방법 |
|---|---|---|---|
| 14 | 중대 | 인증 파일에서 비정상적인 사용자가 1명 이상 발견되었습니다. | – |
| 15 | 높음 | 시스템에서 안전하지 않은 사용자 이름이 발견되었습니다. | – |
| 16 | 높음 | admin 계정이 활성화 되었습니다. | 3.3 |
| 17 | 높음 | 일부 LDAP 사용자의 패스워드가 약합니다. | 3.4 |
| 18 | 높음 | 약한 패스워드를 가진 사용자가 있습니다. | 3.4 |
| 19 | 중간 | 익명 FTP가 활성화 되었습니다. | 4.4 |
| 20 | 중간 | 게스트 계정이 활성화 되었습니다. | 3.3 |
| 21 | 중간 | 사용자 홈 디렉터리 권한이 잘못 수정되었습니다. | – |
| 22 | 중간 | 패스워드 강도 규칙이 작업 및 비즈니스의 요구사항을 충족합니다. | 3.4 |
1.4 시스템 검사기준
| NO | 심각도 | 이벤트 | 조치 방법 |
|---|---|---|---|
| 23 | 중대 | 시스템에서 암호화된 화폐 마이닝 멜웨어가 감지되었습니다. | – |
| 24 | 중간 | 암호화를 사용하지 않는 FTP 서비스가 활성화 되었습니다. | 4.5 |
| 25 | 중간 | FTP 서비스의 기본 UNIX 권한이 비활성화 되었습니다. | 4.6 |
| 26 | 중간 | TFTP 서비스가 활성화 되었습니다. | 4.7 |
| 27 | 중간 | 최대 SMB 프로토콜은 SMB3이 아닙니다. | 4.8 |
| 28 | 정보 | 공유 폴더에서 기호 링크가 활성화 되었습니다. | 5.2 |
| 29 | 정보 | 도메인 및 enterprise admins에 대한 관리자 권한이 활성화 되었습니다. | – |
| 30 | 중간 | 도메인 서버 등록이 비활성화 되었습니다. | – |
| 31 | 중간 | LDAP Server에서 익명 바인딩을 허용합니다. | 4.9 |
| 32 | 중간 | LDAP Server admin 계정이 활성화 되었습니다. | 4.10 |
| 33 | 중간 | LDAP 클라이언트 서비스가 암호화를 사용하지 않습니다. | 4.11 |
| 34 | 중간 | 옵트웨어가 DSM에서 발견되었습니다. | – |
| 35 | 중간 | 악성 시작 스크립트가 시스템에서 발견되었습니다. | – |
| 36 | 중간 | 자동 차단이 비활성화 되었습니다. | 4.12 |
| 37 | 중간 | “사이트 간 위장 공격에 대한 보호 기능 향상”이 비활성화 되었습니다. | 4.13 |
| 38 | 중간 | “iFrame과 함께 DSM이 포함되도록 허용하지 않음”이 비활성화 되었습니다. | 4.13 |
| 39 | 중간 | “IP 검사를 건너뀌기 함으로써 브라우저 호환성 개선” 옵션이 활성화 되었습니다. | 4.13 |
| 40 | 중간 | 일부 NFS 권한 규칙이 모든 IP 주소가 공유에 액세스하도록 허용합니다. | – |
| 41 | 중간 | SNMPv1/v2c 서비스가 활성화 되었습니다. | 4.14 |
1.5 업데이트 검사기준
| NO | 심각도 | 이벤트 | 조치 방법 |
|---|---|---|---|
| 1 | 중간 | 최신 DSM 버전을 사용 중이 아닙니다. | 업데이트 |
| 2 | 중간 | 일부 패키지가 최신 상태가 아닙니다. | 업데이트 |
| 3 | 정보 | “새 DSM 업데이트 준비됨”의 이메일 알림이 비활성화 되었습니다. | – |
2. 보안 어드바이저 심각도 – 중대
2.1 보안 규칙의 보고서 세부 정보 확인
규칙을 선택하고 보기를 클릭합니다. 심각도 및 설명 이외에 각 보고서에는 다음 세부 사항이 포함됩니다.
세부 사항: 약점에 대한 간단한 설명, Security Advisor가 약점을 처리할 때 권장하는 내용 및 약점을 처리해서 얻을 수 있는 이점.
권장되는 작업: 보고된 보안 취약점을 처리하는 방법에 대한 상세 지침입니다.
링크: 실패한 보안 규칙의 경우, 링크를 클릭하면 권장 조치를 수행하기 위한 DSM의 위치로 이동됩니다.
수정: 맬웨어가 감지될 때 수정을 누르면 Security Advisor가 이를 제거하도록 지시합니다.
3. 보안 어드바이저 심각도 – 높음
3.1 SSH 포트 기본값 변경: [제어판] > [터미널 및 SNMP] – [터미널]
SSH 서비스 비활성화 또는 SSH 포트를 변경하여 권한이 없는 사용자가 기본 포트 22 를 통해 시스템을 공격하는 것을 방지한다.
3.2 Telnet 서비스 비 활성화: [제어판] > [터미널 및 SNMP] – [터미널]
Telnet 은 암호화되지 않은 서비스로 Telnet 서비스를 비활성화하여 시스템 공격을 방지한다.
3.3 admin/게스트(guest) 계정 비활성화: [제어판] > [사용자 및 그룹] – [사용자]
3.4 패스워드 강도 규칙 적용: [제어판] > [사용자 및 그룹] – [고급]
LDAP Server 사용 시 패스워드 강도 규칙 변경은 [LDAP Server] > [사용자 관리] – [고급] 에서 설정을 변경할 수 있다.
4. 보안 어드바이저 심각도 – 중간
4.1 인터넷에서 LAN 서비스의 액세스 비활성화: [제어판] > [파일 서비스] – SMB, AFP, NFS, FTP 및 rsync 서비스 모두 비활성화
Windows 파일 서비스, Mac 파일 서비스, NFS 서비스, Bonjour 서비스 및 SSH 서비스를 포함한 LAN 서비스는 인터넷에서 액세스 할 때 권장되지 않는다.
4.2 HTTP 압축 비 활성화: [제어판] > [보안] – [고급]
HTTP 압축을 활성화하면 CSRF 토큰 또는 세션 쿠키에서 정보 누출 가능성이 증가할 수 있다(BREACH 공격이라고 함).
4.3 DSM HTTP/HTTPS 포트 번호의 기본값 변경: [제어판] > [로그인 포털] – [DSM]
DSM HTTP/HTTPS 기본 포트를 변경하여 사이버 공격을 방지한다.
4.4 익명 FTP 비활성화: [제어판] > [파일 서비스] – [FTP] – FTP 서비스 활성화 상태에서 “일반 – 고급설정”
FTP 서비스가 비활성화 된 상태에서는 “익명 FTP 활성화”에 대한 경고는 발생되지 않는다.
4.5 암호화 없는 FTP 서비스 비 활성화: [제어판] > [파일 서비스] – [FTP]
4.6 FTP 서비스의 기본 UNIX 권한 활성화: [제어판] > [파일 서비스] – [FTP] – FTP 서비스 활성화 상태에서 “일반 – 고급설정”
FTP 서비스가 비활성화 된 상태에서는 “기본 UNIX 권한 활성화”에 대한 경고는 발생되지 않는다.
4.7 TFTP 서비스 비활성화: [제어판] > [파일 서비스] – [고급]
4.8 공유 폴더 내의 기호 링크 허용 비활성화: [제어판] > [파일 서비스] – [SMB] – SMB 서비스 활성화 상태에서 “SMB 설정 – 고급설정-기타”
SMB 서비스가 비활성화 된 상태에서는 “공유 폴더 내의 기호 링크 허용”에 대한 경고는 발생되지 않는다.
4.9 LDAP Server 익명 연결 허용 안 함: [LDAP Server] – [설정] – “연결 설정”
4.10 LDAP Server “admin” 계정 비활성화: [LDAP Server] – [사용자 관리]
4.11 LDAP 클라이언트 서비스 암호화 설정: [제어판] – [도메인/LDAP] – “설정”, [LDAP Server] – [설정] – “연결 설정”
4.12 무차별 대입 공격에 의한 로그인 자동 차단 설정: [제어판] > [보안] – [보호] – [자동 차단]
4.13 일반 보안 설정: [제어판] > [보안]
4.14 SNMP 서비스 비활성화: [제어판] > [터미널 및 SNMP] – [SNMP]
5. 보안 어드바이저 심각도 – 정보
5.1 공용 IP를 가진 인터페이스에서 기본 방화벽 활성화: [제어판] > [보안] – [방화벽]
공용 IP(Public IP) 주소는 인터넷 업체가 사용자에게 할당하며 공유기가 인터넷과 통신하도록 하는 역할을 하는 외부 IP 주소이다.
즉, 공유기 없이 인터넷 회선이 NAS에 직접 연결된 경우 또는 공유기에서 Twin IP 기능으로 NAS가 공인 IP를 사용하도록 설정한 경우이다.
참고: 방화벽 규칙 설정
- 규칙 1: “대한민국 IP” 접속 허용
- 규칙 2: “사설 IP 대역” 접속 허용 (192.168.0.1 ~ 192.168.255.255 또는 일부 사설 IP 대역만 적용)
- 규칙 3: “모든 국가” 접속 불가
5.2 최대 SMB 프로토콜 설정: [제어판] > [파일 서비스] – [SMB] – SMB 서비스 활성화 상태에서 “SMB 설정 – 고급설정-일반”
SMB 서비스가 비활성화 된 상태에서는 “최대 SMB 프로토콜 설정”에 대한 경고는 발생되지 않는다.
