macsplex.com 로그인

검색

조회 수 1396 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 게시글 수정 내역 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 게시글 수정 내역 댓글로 가기 인쇄 첨부
Extra Form
출처/참고 https://community.synology.com/enu/forum/2/post/127288

시놀로지 유튜버 워크샵(Synology Youtuber Workshop)을 통해 랜섬웨어로부터의 NAS를 보호하는 방법을 듣던중 DNS 하이재킹의 방어책의 하나인 Doh(DNS over HTTPS) 기술을 시놀로지 라우터에 적용할수 있다고 하여 적용방법을 알아보고자 합니다. 시놀로지라우터가 해당기능을 업계최초로 적용이 되었다고 합니다.



필자가 사용하는 모델은 RT1900ac이며 RT2600ac도 동일하게 적용될거라고 예상됩니다.




HTTPS를 적용하려면 인증된 기관에서 인증서를 받아서 등록해야 합니다. 인증서를 등록할때 비용을 내야하지만 기업수준이 아닌 개인수준에서는 최근 무료로
사용할수 있는 Let’s Encrypt가 있습니다. SRM 1.23업데이트가 되면서 간단하게 Let’s Encrypt에 등록이 가능합니다. 

 





먼저 시놀로지라우터제품군을 1.23이상 버전으로 업데이트를 진행합니다. 해당기능은 1.23이상에서만 제공하는 기능입니다.


업데이트 방법은  SRM으로 로그인한후 제어판 -> 시스템 -> 업데이트 복원 -> SRM업데이트에서 진행합니다. 최신업데이트가 있다면  아래와 같이 다운로드 버튼이 활성화가 됩니다. 다운로드버튼을 눌러 단계에 따라 최신버전으로 업데이트를 진행합니다. 2019년 11월 22일 기준으로 SRM 1.2.3-8017 update 4까지 출시된 상태입니다.




SRM-version.jpg



다운로드완료되면 업데이트 버튼이 활성화되는데 업데이트버튼을 누르면 SRM업데이트가 진행됩니다.




 SRM-updating.jpg




10분정도 소요가 되고 다시 SRM에 접속한후 업데이트가 정상적으로 되어 있다면 SRM 버전이 최신상태입니다. 라고 표시가 되어 있습니다.


 


SRM-version-check.jpg





기본적으로 DNS over HTTPS를 적용하려면 SRM자체가 HTTPS로 운영되어야합니다. 그리고 Doh를 적용하게 되면 기존 DNS Server서비스는 작동을 하지 않습니다. DNS 서버를 사용하여 도메인아래의 클라이언트를 관리하였다면 기존 DNS서버관리가 아닌 VPN을 적극 활용하여 해야 합니다.




SRM HTTPS적용방법은 제어판 -> 시스템 -> SRM 설정 -> HTTP 연결에서 HTTPS 자동으로 리디렉션을 체크합니다. 보안성을 높이려면 HTTPS 포트번호를 다른번호로 바꾸시면 됩니다. 그리고 외부에서 접속이 가능하려면 SRM에 대해 외부 액세스 허용에 체크를 하고 확인을 누릅니다.




 SRM-https.jpg




정상적으로 HTTPS가 적용되었다면 웹브라우저 주소창에 https://[주소]:포트번호로 입력하면 Firefox기준으로 보안위험가능성페이지가 보이게 됩니다. 아직 공인된 인증서설치가 되지 않았기에 나타나는 증상입니다. 고급 -> 위험을 감수하고 계속을 눌러주면 로그인창이 보이게 됩니다.




SSL-error.png




공인된 인증기관에서 인증서를 적용하는 방법은 다음과 같습니다.




먼저 공인된 인증서 Let’s Encrypt를 적용하려면 시놀로지 라우터에  DNS가 적용되어야 합니다. 대부분의 기업은 IP가 정해져 있지만 가정에서는 IP가 계속바꿜수 있으므로 DDNS로 설정으로 해야합니다. 만약 고정된 IP가 있다면 DNS세팅을 해주고 DDNS세팅부분을 건너뛰면 됩니다. DDNS설정은 네트워크센터 -> QuickConnect & DDNS -> DDNS -> 추가를 선택합니다.




DDNS.jpg





서비스제공업체를 Synolgy로 선택한후 호스트이름 결정후 맘에드는 도메인을 선택합니다. 필자는 주소가 간단한 i234.me를 선택하였습니다. 그리고 연결테스트를 한후 이용약관에 체크해주고 확인을 눌러줍니다.




DDNS-2.jpg







DDNS에 정상적으로 등록이 되었다면 호스트이름과 상태 정상이라고 볼수 있습니다.




DDNS-3.jpg




DNS설정이 완료된후 공인된 인증서을 적용하는 방법은 제어판 -> 서비스 -> 인증서 -> 작업 -> 인증서 생성버튼을 눌러줍니다.




TLS-1.jpg




Let’s Encrypt에서 인증서 얻기를 선택합니다.




TLS-2.jpg




설정하였던 DDNS이름과 메일주소, 주제 대체이름을 넣어줍니다. 주제 대체이름은 HTTPS에 적용될 서브도메인을 적어주면 됩니다.


예제) www.ra.i234.me; home.ra.i234.me


적용할 서브도메인이 없다면 안적어주셔도 됩니다.




TLS-4.jpg




 정상적으로 적용이 되었다면 주소창에 자물쇠모양아이콘과 https:// 시작하는 주소를 볼수 있습니다.  파이어폭스기준으로 주소표시줄에 자물쇠아이콘를 누르면 안전한 연결이라고 뜨고 안전한 연결에서 > 누르면 인증기관에 Let’s Encrypt 라고 볼수 있습니다.




https-complete.png


 TLS-5.jpg




마지막으로 DNS over HTTPS를 적용하려면 네트워크센터 -> 로컬 네트워크 -> 고급 옵션 -> Doh (DNS over HTTPS) 활성화를 선택합니다.  적용하고 Doh 서버 URL를 선택이 가능합니다.  CloudFlare 또는 Google를 선택합니다.




Doh.jpg




정상적으로 적용이 된다면 각기기의 DNS가 라우터의 주소로 변경됩니다.




바뀌지 않는다면 기기를 재부팅하거나 랜카드를 사용안함으로 했다가 사용으로 바꿔주시면 됩니다.




그리고 https://www.dnsleaktest.com/ 사이트에서 테스트할경우 클라우드플레어나 구글만 보여아지 정상적으로 동작한다고 볼수 있습니다.




참고적으로 iOS, MacOS상에서는 라우터주소로는 정상적으로 동작안해서 클라우드 플레어인경우 1.1.1.1 구글인경우 8.8.8.8로  DNS를 수동으로 변경해주셔야 합니다.




dnsleak.png




Doh의 기술적인 사항들은 https://blog.synology.com/dns-over-https (영문)를 참고하시면 됩니다.




보안관련 모니터링을 위해 해당 기능을 알아보시기 바랍니다. 해당앱은 패키지센터에서 설치가 가능합니다.




안전한 웹접속 및 사용자 제어가 가능한 Safe Access




safeacess.png




네트워크트래픽을 모니터링하여 악의적인 이벤트, 잠재위협을 감지하는 Threat Prevention




모니터링 방법 : https://www.synology.com/ko-kr/knowledgebase/SRM/tutorial/Service_Application/How_do_I_monitor_threat_prevention_events_to_avoid_attacks




Threat Prevention'.png








해당기능을 사용하면 더욱더 안전하게 네트워크를 운영할수 있습니다. 





--------------------------------------------------광고(Advertising)-------------------------------------------------------------------------------------


Who's DNAVI

profile

안녕하세요 macsplex.com 웹마스터 DNAVI입니다.

오픈소스를 좋아하고 컴퓨터에서 돌아가는 OS와 소프트웨어를 설치하고 웹사이트를 운영하는데 관심이 많습니다.

 

가지고 있는 제품리스트

PC  :

homebuilt computer(Intel i7-4790K, ASUS MAXIMUS Ranger Vii, AMD Radeon R290),

homebuilt computer(AMD Phenom X4 630, GIGABYTE GA-61P-S3, NVIDIA GT8600),

Apple iMac 2009 late(Intel E7600)

Apple MacMini 2018(Intel i5-8500B, A1993)

homebuilt computer(AMD Ryzen 3200G, Asrock B450 Steel Legend)

Beelink SER 7 (AMD Ryzen 7840HS)

Firebat S1(Intel N100)

 

Notebook :

Apple Macbook Air 2022 (M2, A2681)

Lenovo LEGION 5 Pro 16ACH R7 STORM (AMD R7-5800H, NVIDIA RTX3060 laptop)

Lenovo Thinkpad T420s(Intel i5-2540M)

Apple Macbook Air 2011 Mid( i5-2467M, A1370)

 

Server :

Dell PowerEdge R420(Intel XEON E5-2407)

Dell PowerEdge R710(Intel XEON E5620 x2, 32GB)

HP Proliant Microserver Gen8(Intel XEON E3-1230V2)

 

NAS :

Synology.DS218+

BUFFALO LinkStation Live LS-XL/E

 

Smartphone:

Motorola Edge 20 pro

Apple iPhone 12

Apple iPhone 15 Pro Max

Samsung Galaxy S8

Xiaomi Redmi Note 4, Mi 8

Lenovo Phab2 Pro

Apple iPhone 5

Huawei X3, Nova Smart

Blackberry 9790

 

Tablet :

Apple iPad 9th gen

Apple iPad Air2

Samsung Galaxy Tab S7+

Lenovo Xiaoxin 2022

 

Game Console :

Sony PSP, PS3, PS4 Pro, PS5

Microsoft Xbox 360, Xbox One X

Nintendo DS Lite, 3DS XL, Switch Lite, Switch

HardKernel Odrid Go Advance Black Edition

Gamepark GP2X-F100

Valve Steam deck LCD


  1. D-Link DIR-825/AGC 빠른설치가이드

    Category네트워크
    Read More
  2. 시놀로지 라우터 Let’s Encrypt & Doh 적용방법

    Category네트워크
    Read More
Board Pagination Prev 1 Next
/ 1