조회 수 21 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
Extra Form
출처/참고 https://community.synology.com/enu/forum/2/post/127288

시놀로지 유튜브 워크샵(Synology Youtube Workshop)을 통해 랜섬웨어로부터의 NAS를 보호하는 방법을 듣던중 DNS 하이재킹의 방어책의 하나인 Doh(DNS over HTTPS) 기술을 시놀로지 라우터에 적용할수 있다고 하여 적용방법을 알아보고자 합니다. 시놀로지라우터가 해당기능을 업계최초로 적용이 되었다고 합니다.


필자가 사용하는 모델은 RT1900ac이며 RT2600ac도 동일하게 적용될거라고 예상됩니다.


HTTPS를 적용하려면 인증된 기관에서 인증서를 받아서 등록해야 합니다. 인증서를 등록할때 비용을 내야하지만 기업수준이 아닌 개인수준에서는 최근 무료로 사용할수 있는 Let’s Encrypt가 있습니다. SRM 1.23업데이트가 되면서 간단하게 Let’s Encrypt에 등록이 가능합니다. 

 


먼저 시놀로지라우터제품군을 1.23이상 버전으로 업데이트를 진행합니다. 해당기능은 1.23이상에서만 제공하는 기능입니다.

업데이트 방법은  SRM으로 로그인한후 제어판 -> 시스템 -> 업데이트 복원 -> SRM업데이트에서 진행합니다. 최신업데이트가 있다면  아래와 같이 다운로드 버튼이 활성화가 됩니다. 다운로드버튼을 눌러 단계에 따라 최신버전으로 업데이트를 진행합니다. 2019년 11월 22일 기준으로 SRM 1.2.3-8017 update 4까지 출시된 상태입니다.


SRM-version.jpg


다운로드완료되면 업데이트 버튼이 활성화되는데 업데이트버튼을 누르면 SRM업데이트가 진행됩니다.


 SRM-updating.jpg


10분정도 소요가 되고 다시 SRM에 접속한후 업데이트가 정상적으로 되어 있다면 SRM 버전이 최신상태입니다. 라고 표시가 되어 있습니다.

 

SRM-version-check.jpg


기본적으로 DNS over HTTPS를 적용하려면 SRM자체가 HTTPS로 운영되어야합니다. 그리고 Doh를 적용하게 되면 기존 DNS Server서비스는 작동을 하지 않습니다. DNS 서버를 사용하여 도메인아래의 클라이언트를 관리하였다면 기존 DNS서버관리가 아닌 VPN을 적극 활용하여 해야 합니다.


SRM HTTPS적용방법은 제어판 -> 시스템 -> SRM 설정 -> HTTP 연결에서 HTTPS 자동으로 리디렉션을 체크합니다. 보안성을 높이려면 HTTPS 포트번호를 다른번호로 바꾸시면 됩니다. 그리고 외부에서 접속이 가능하려면 SRM에 대해 외부 액세스 허용에 체크를 하고 확인을 누릅니다.


 SRM-https.jpg


정상적으로 HTTPS가 적용되었다면 웹브라우저 주소창에 https://[주소]:포트번호로 입력하면 Firefox기준으로 보안위험가능성페이지가 보이게 됩니다. 아직 공인된 인증서설치가 되지 않았기에 나타나는 증상입니다. 고급 -> 위험을 감수하고 계속을 눌러주면 로그인창이 보이게 됩니다.


SSL-error.png


공인된 인증기관에서 인증서를 적용하는 방법은 다음과 같습니다.


먼저 공인된 인증서 Let’s Encrypt를 적용하려면 시놀로지 라우터에  DNS가 적용되어야 합니다. 대부분의 기업은 IP가 정해져 있지만 가정에서는 IP가 계속바꿜수 있으므로 DDNS로 설정으로 해야합니다. 만약 고정된 IP가 있다면 DNS세팅을 해주고 DDNS세팅부분을 건너뛰면 됩니다. DDNS설정은 네트워크센터 -> QuickConnect & DDNS -> DDNS -> 추가를 선택합니다.


DDNS.jpg


서비스제공업체를 Synolgy로 선택한후 호스트이름 결정후 맘에드는 도메인을 선택합니다. 필자는 주소가 간단한 i234.me를 선택하였습니다. 그리고 연결테스트를 한후 이용약관에 체크해주고 확인을 눌러줍니다.


DDNS-2.jpg


DDNS에 정상적으로 등록이 되었다면 호스트이름과 상태 정상이라고 볼수 있습니다.


DDNS-3.jpg


DNS설정이 완료된후 공인된 인증서을 적용하는 방법은 제어판 -> 서비스 -> 인증서 -> 작업 -> 인증서 생성버튼을 눌러줍니다.


TLS-1.jpg


Let’s Encrypt에서 인증서 얻기를 선택합니다.


TLS-2.jpg


설정하였던 DDNS이름과 메일주소, 주제 대체이름을 넣어줍니다. 주제 대체이름은 HTTPS에 적용될 서브도메인을 적어주면 됩니다.

예제) www.ra.i234.me; home.ra.i234.me

적용할 서브도메인이 없다면 안적어주셔도 됩니다.


TLS-4.jpg


 정상적으로 적용이 되었다면 주소창에 자물쇠모양아이콘과 https:// 시작하는 주소를 볼수 있습니다.  파이어폭스기준으로 주소표시줄에 자물쇠아이콘를 누르면 안전한 연결이라고 뜨고 안전한 연결에서 > 누르면 인증기관에 Let’s Encrypt 라고 볼수 있습니다.


https-complete.png

 TLS-5.jpg


마지막으로 DNS over HTTPS를 적용하려면 네트워크센터 -> 로컬 네트워크 -> 고급 옵션 -> Doh (DNS over HTTPS) 활성화를 선택합니다.  적용하고 Doh 서버 URL를 선택이 가능합니다.  CloudFlare 또는 Google를 선택합니다.


Doh.jpg


정상적으로 적용이 된다면 각기기의 DNS가 라우터의 주소로 변경됩니다.


바뀌지 않는다면 기기를 재부팅하거나 랜카드를 사용안함으로 했다가 사용으로 바꿔주시면 됩니다.


그리고 https://www.dnsleaktest.com/ 사이트에서 테스트할경우 클라우드플레어나 구글만 보여아지 정상적으로 동작한다고 볼수 있습니다.


참고적으로 iOS, MacOS상에서는 라우터주소로는 정상적으로 동작안해서 클라우드 플레어인경우 1.1.1.1 구글인경우 8.8.8.8로  DNS를 수동으로 변경해주셔야 합니다.


dnsleak.png


Doh의 기술적인 사항들은 https://blog.synology.com/dns-over-https (영문)를 참고하시면 됩니다.


보안관련 모니터링을 위해 해당 기능을 알아보시기 바랍니다. 해당앱은 패키지센터에서 설치가 가능합니다.


안전한 웹접속 및 사용자 제어가 가능한 Safe Access


safeacess.png


네트워크트래픽을 모니터링하여 악의적인 이벤트, 잠재위협을 감지하는 Threat Prevention


모니터링 방법 : https://www.synology.com/ko-kr/knowledgebase/SRM/tutorial/Service_Application/How_do_I_monitor_threat_prevention_events_to_avoid_attacks


Threat Prevention'.png




해당기능을 사용하면 더욱더 안전하게 네트워크를 운영할수 있습니다. 



Who's DNAVI

profile

안녕하세요 macsplex.com 웹마스터 DNAVI입니다.

컴퓨터에서 돌아가는 OS와 소프트웨어를 설치하고 운영하는데 관심이 많습니다.


사용컴퓨터: 조립컴퓨터(Intel i7-4790K, ASUS MAXIMUS Ranger Vii, Radeon R290),

조립컴퓨터(AMD Phenom X4 630, Gigabyte GA-61P-S3, Nvida GT8600), Apple iMac 2009, MacMini 2018

사용노트북 : Thinkpad T420s, Macbook Air 2011 Mid

사용서버 : Dell PowerEdge R420, R710, HP Microserver Gen8

사용NAS : Synology.DS218+, BUFFALO LinkStation Live LS-XL/E


List of Articles
번호 분류 제목
» 네트워크 시놀로지 라우터 Let’s Encrypt & Doh 적용방법 file
98 프로그램 파워포인트 2010에서 동영상재생이 안될시에 2 file
97 프로그램 오피스 2010 깨진 아이콘 복구프로그램 file
96 HTML div 사이즈고정및 중앙정렬할때
95 XpressEngine input size over than config in php.ini 에러 발생시
94 제품 LG전자 Tone HBS-510 한글설명서 PDF 다운로드 file
93 제품 Tesoro EXCALIBUR 사용법 file
92 XpressEngine xe 본문링크 컬러변경
91 프로그램 Dosbox 키설정 file
90 프로그램 Lock it(웹페이지잠금프로그램) file
89 생활 남은 일자계산 및 주계산기 웹사이트 file
88 XpressEngine XE 본문 줄간격 조정하는 법 file
87 금융 KEB하나은행 VIVA 2, VIVA G 카드비교 file
86 XpressEngine XE 고급메일발송모듈에서 1336에러 발생시
85 생활 슬림핏 자켓,상의,바지 사이즈표 file
84 생활 바지 사이즈표 file
83 생활 북한산,도봉산,사패산 등산로 pdf file
82 프로그램 Delphi 7 실행에러 file
81 금융 씨티은행 캐시백 체크카드 file
80 금융 우리은행 썸타는 우리체크카드 file
Board Pagination Prev 1 2 3 4 5 Next
/ 5
XE Login