시놀로지 NAS, 초기 보안설정하기
- 키노트와 MAC
- 2015. 12. 8.
시놀로지 NAS, 초기 보안설정하기
시놀로지 NAS를 활용하고자할 때 신경써야할 부분은 백업과 보안입니다. 백업은 RAID 구성을 통해 2중으로 작업하면 해결할 수 있는데요. 보안은 약간의 설정을 해주어야 합니다. 인터넷에 공개된 외장하드형태인 NAS이기 때문에 전세계 어디서든 접근할 수 있기 때문이지요. 나만의 소중한 자료를 지키고 안전하게 보호하는 것에는 변명이 필요가 없겠습니다.
인터넷에는 해커와 각종 바이러스가 Synology NAS를 공격하고 중요한 데이터에 대해 무단 접근을 시도할 가능성이 있습니다. 하지만 너무 복잡한 보안설정이 필요하다면 사용자가 제 풀에 지칠 수 있으니 그 중간즘을 유지하는게 중요합니다.
다행스럽게도 시놀로지 NAS에서 지원하는 방법들은 꽤 유용합니다. 또 편리하게 설정할 수 있습니다. 국내에도 많은 NAS 유저가 있는데 그들 모두 간략한 보안설정만으로도 데이터를 안전하게 지키면서 활용 중일 것입니다.
admin 계정 비활성화
가장 먼저 해야하는 일은 admin 계정을 비활성화하는 일입니다. 시놀로지 NAS를 처음 설치하면 생성되는 관리자 계정인 admin은 최고관리자 권한을 갖고 있습니다. 반면에 처음 사용자들의 편의성을 위해 ID는 admin이고 비밀번호는 비어있습니다. 즉, ID에 admin
을 입력하고 비밀번호에는 아무것도 입력하지 않은 상태에서 로그인이 가능하다는 뜻입니다. 시놀로지 NAS를 처음 이용하는 사람들이 자료만 관리하고 admin 계정 관리를 하지 않는다면, 외부에서 DDNS 등으로 접근이 있을 경우 admin으로 로그인할 가능성이 높다는 의미가 됩니다. 제가 만약 해커고 여러분의 NAS 주소를 알게된다면 가장 먼저 admin 계정으로 로그인해볼 것입니다.
admin 계정의 비밀번호를 어렵게 설정해두어도 좋습니다만 최고관리자의 ID 자체가 공개되어 있다는점 자체도 보안상 약점이 될 수 있습니다. 따라서 자신만이 알 수 있는 별도의 최고관리자 계정을 따로 만들고, 기존의 admin계정은 비활성화하는 방법이 권장됩니다.
시놀로지 NAS DS415+에서 가장 처음 DSM을 설치할 때 관리자 계정을 별도로 생성한 것이 있는데요. 제 이전 글들을 따라오셨다면 아마 하나 이상의 관리자 계정을 보유하고 있을 것입니다. 일단은 확인을 해보겠습니다.
먼저 제어판
에서 사용자
로 이동합니다.
그런 다음 관리자 계정이 있는지 확인합니다.(DSM 설치시에 만들었던 계정) 만약 없다면 사용자를 생성
해서 관리자 그룹에 넣어준 다음 모든 권한과 할당량 무제한, 응용 프로그램 허용, 속도제한을 걸어주면됩니다.
이제 admin 계정을 비활성화합니다. 제어판
의 사용자
에서 admin 계정을 더블클릭합니다.
그리고 아래쪽에 있는 이 계정 비활성화
를 체크해주고 확인을 누릅니다. 이제 admin 계정은 비활성화 되었기 때문에 admin으로 로그인할 수 없습니다.
상태
에 사용 안함
을 확인하세요.
로그인 횟수 제한 및 IP 자동 차단
비밀번호를 여러번 다르게 입력할 경우 해당 IP를 자동 차단시키는 것도 가능합니다. 사실 이 부분이 저는 아주 마음에 들었고 또 안심할 수 있었던 기능인데요. 정해둔 로그인 횟수를 초과하여 로그인을 시도할 경우(즉 암호가 틀려서 계속 로그인하는 경우) IP 주소를 자동으로 차단해주는 기능입니다. SSH, Telnet, rsync, 네트워크 백업, 공유 폴더 동기화, FTP, WebDAV, Synology 모바일 응용 프로그램, File Station 또는 DSM을 통해 실패한 로그인 시도 수가 모두 누적됩니다.
제어판
에서 보안
으로 들어갑니다.
상단 탭에서 자동 차단
을 선택하고 자동 차단 활성화
를 체크한 다음 로그인 시도 횟수
와 다음 시간
을 적절하게 넣어줍니다. 허용/차단
목록을 이용해 차단된 IP를 관리하거나 제거할 수 있습니다.
이 외에도 암호 규칙 설정, 인증된 모바일 기기를 활용한 2단계 검증, HTTS(5001 포트)활성화, 보안 FTP 등의 추가 보안 방법이 있습니다만 해당 방식은 보안쪽에 좀 더 무게를 두어 활용성은 다소 감소하는 기능들이라 필요할 경우에만 설정해도 됩니다. 초기에는 admin 비활성화와 로그인 IP 자동차단 기능으로도 충분할 것처럼 보이네요! 무엇보다 최고관리자 계정의 ID와 암호를 잘 관리하세요!
저는 1password라는 암호관리앱을 통해 다양한 로그인 계정을 관리하는데, 외울 필요가 없다보니 암호를 매우 어렵게 설정해두었습니다. 관련 프로그램을 사용한다면 암호를 무척이나 어렵게 만들어두는 것도 좋은 보안방법이 되겠습니다.