조회 수 821 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
Extra Form
출처/참고 https://community.synology.com/enu/forum/2/post/127288

시놀로지 유튜버 워크샵(Synology Youtuber Workshop)을 통해 랜섬웨어로부터의 NAS를 보호하는 방법을 듣던중 DNS 하이재킹의 방어책의 하나인 Doh(DNS over HTTPS) 기술을 시놀로지 라우터에 적용할수 있다고 하여 적용방법을 알아보고자 합니다. 시놀로지라우터가 해당기능을 업계최초로 적용이 되었다고 합니다.



필자가 사용하는 모델은 RT1900ac이며 RT2600ac도 동일하게 적용될거라고 예상됩니다.




HTTPS를 적용하려면 인증된 기관에서 인증서를 받아서 등록해야 합니다. 인증서를 등록할때 비용을 내야하지만 기업수준이 아닌 개인수준에서는 최근 무료로
사용할수 있는 Let’s Encrypt가 있습니다. SRM 1.23업데이트가 되면서 간단하게 Let’s Encrypt에 등록이 가능합니다. 

 





먼저 시놀로지라우터제품군을 1.23이상 버전으로 업데이트를 진행합니다. 해당기능은 1.23이상에서만 제공하는 기능입니다.


업데이트 방법은  SRM으로 로그인한후 제어판 -> 시스템 -> 업데이트 복원 -> SRM업데이트에서 진행합니다. 최신업데이트가 있다면  아래와 같이 다운로드 버튼이 활성화가 됩니다. 다운로드버튼을 눌러 단계에 따라 최신버전으로 업데이트를 진행합니다. 2019년 11월 22일 기준으로 SRM 1.2.3-8017 update 4까지 출시된 상태입니다.




SRM-version.jpg



다운로드완료되면 업데이트 버튼이 활성화되는데 업데이트버튼을 누르면 SRM업데이트가 진행됩니다.




 SRM-updating.jpg




10분정도 소요가 되고 다시 SRM에 접속한후 업데이트가 정상적으로 되어 있다면 SRM 버전이 최신상태입니다. 라고 표시가 되어 있습니다.


 


SRM-version-check.jpg





기본적으로 DNS over HTTPS를 적용하려면 SRM자체가 HTTPS로 운영되어야합니다. 그리고 Doh를 적용하게 되면 기존 DNS Server서비스는 작동을 하지 않습니다. DNS 서버를 사용하여 도메인아래의 클라이언트를 관리하였다면 기존 DNS서버관리가 아닌 VPN을 적극 활용하여 해야 합니다.




SRM HTTPS적용방법은 제어판 -> 시스템 -> SRM 설정 -> HTTP 연결에서 HTTPS 자동으로 리디렉션을 체크합니다. 보안성을 높이려면 HTTPS 포트번호를 다른번호로 바꾸시면 됩니다. 그리고 외부에서 접속이 가능하려면 SRM에 대해 외부 액세스 허용에 체크를 하고 확인을 누릅니다.




 SRM-https.jpg




정상적으로 HTTPS가 적용되었다면 웹브라우저 주소창에 https://[주소]:포트번호로 입력하면 Firefox기준으로 보안위험가능성페이지가 보이게 됩니다. 아직 공인된 인증서설치가 되지 않았기에 나타나는 증상입니다. 고급 -> 위험을 감수하고 계속을 눌러주면 로그인창이 보이게 됩니다.




SSL-error.png




공인된 인증기관에서 인증서를 적용하는 방법은 다음과 같습니다.




먼저 공인된 인증서 Let’s Encrypt를 적용하려면 시놀로지 라우터에  DNS가 적용되어야 합니다. 대부분의 기업은 IP가 정해져 있지만 가정에서는 IP가 계속바꿜수 있으므로 DDNS로 설정으로 해야합니다. 만약 고정된 IP가 있다면 DNS세팅을 해주고 DDNS세팅부분을 건너뛰면 됩니다. DDNS설정은 네트워크센터 -> QuickConnect & DDNS -> DDNS -> 추가를 선택합니다.




DDNS.jpg





서비스제공업체를 Synolgy로 선택한후 호스트이름 결정후 맘에드는 도메인을 선택합니다. 필자는 주소가 간단한 i234.me를 선택하였습니다. 그리고 연결테스트를 한후 이용약관에 체크해주고 확인을 눌러줍니다.




DDNS-2.jpg







DDNS에 정상적으로 등록이 되었다면 호스트이름과 상태 정상이라고 볼수 있습니다.




DDNS-3.jpg




DNS설정이 완료된후 공인된 인증서을 적용하는 방법은 제어판 -> 서비스 -> 인증서 -> 작업 -> 인증서 생성버튼을 눌러줍니다.




TLS-1.jpg




Let’s Encrypt에서 인증서 얻기를 선택합니다.




TLS-2.jpg




설정하였던 DDNS이름과 메일주소, 주제 대체이름을 넣어줍니다. 주제 대체이름은 HTTPS에 적용될 서브도메인을 적어주면 됩니다.


예제) www.ra.i234.me; home.ra.i234.me


적용할 서브도메인이 없다면 안적어주셔도 됩니다.




TLS-4.jpg




 정상적으로 적용이 되었다면 주소창에 자물쇠모양아이콘과 https:// 시작하는 주소를 볼수 있습니다.  파이어폭스기준으로 주소표시줄에 자물쇠아이콘를 누르면 안전한 연결이라고 뜨고 안전한 연결에서 > 누르면 인증기관에 Let’s Encrypt 라고 볼수 있습니다.




https-complete.png


 TLS-5.jpg




마지막으로 DNS over HTTPS를 적용하려면 네트워크센터 -> 로컬 네트워크 -> 고급 옵션 -> Doh (DNS over HTTPS) 활성화를 선택합니다.  적용하고 Doh 서버 URL를 선택이 가능합니다.  CloudFlare 또는 Google를 선택합니다.




Doh.jpg




정상적으로 적용이 된다면 각기기의 DNS가 라우터의 주소로 변경됩니다.




바뀌지 않는다면 기기를 재부팅하거나 랜카드를 사용안함으로 했다가 사용으로 바꿔주시면 됩니다.




그리고 https://www.dnsleaktest.com/ 사이트에서 테스트할경우 클라우드플레어나 구글만 보여아지 정상적으로 동작한다고 볼수 있습니다.




참고적으로 iOS, MacOS상에서는 라우터주소로는 정상적으로 동작안해서 클라우드 플레어인경우 1.1.1.1 구글인경우 8.8.8.8로  DNS를 수동으로 변경해주셔야 합니다.




dnsleak.png




Doh의 기술적인 사항들은 https://blog.synology.com/dns-over-https (영문)를 참고하시면 됩니다.




보안관련 모니터링을 위해 해당 기능을 알아보시기 바랍니다. 해당앱은 패키지센터에서 설치가 가능합니다.




안전한 웹접속 및 사용자 제어가 가능한 Safe Access




safeacess.png




네트워크트래픽을 모니터링하여 악의적인 이벤트, 잠재위협을 감지하는 Threat Prevention




모니터링 방법 : https://www.synology.com/ko-kr/knowledgebase/SRM/tutorial/Service_Application/How_do_I_monitor_threat_prevention_events_to_avoid_attacks




Threat Prevention'.png








해당기능을 사용하면 더욱더 안전하게 네트워크를 운영할수 있습니다. 



Who's DNAVI

profile

안녕하세요 macsplex.com 웹마스터 DNAVI입니다.

컴퓨터에서 돌아가는 OS와 소프트웨어를 설치하고 운영하는데 관심이 많습니다.


PC  :

homebuilt computer(Intel i7-4790K, ASUS MAXIMUS Ranger Vii, AMD Radeon R290),

homebuilt computer(AMD Phenom X4 630, GIGABYTE GA-61P-S3, NVIDIA GT8600),

Apple iMac 2009 late(Intel E7600)

Apple MacMini 2018(Intel i5-8500B, A1993)

homebuilt computer(AMD Ryzen 3200G, Asrock B450 Steel Legend)


Notebook :

Lenovo LEGION 5 Pro 16ACH R7 STORM (AMD R7-5800H, NVIDIA RTX3060 laptop)

Lenovo Thinkpad T420s(Intel i5-2540M)

Apple Macbook Air 2011 Mid(11inch, i5-2467M A1370)


Server :

Dell PowerEdge R420(Intel XEON E5-2407)

Dell PowerEdge R710(Intel XEON E5620 x2, 32GB)

HP Proliant Microserver Gen8(Intel XEON E3-1230V2)


NAS : Synology.DS218+, BUFFALO LinkStation Live LS-XL/E


Smartphone:

Apple iPhone 12

Samsung Galaxy S8

Xiaomi Redmi Note 4, Mi 8

Lenovo Phab2 Pro

Apple iPhone 5

Huawei X3, Nova Smart

Blackberry 9790


Tablet :

Apple iPad Air2

Samsung Galaxy Tab S7+


Game Console :

Sony PSP, PS3, PS4 Pro

Microsoft Xbox 360, Xbox One X

Nintendo DS Lite, 3DS XL, Switch Lite,

HardKernel Odrid Go Advance Black Edition

Gamepark GP2X-F100


List of Articles
번호 분류 제목
108 프로그램 파이어폭스 구글검색창 입력하려면 주소입력창으로 변경될때 file
107 프로그램 VMware Workstaion 15 화면확대
106 XpressEngine php 7.2이상 업그레이드시 빈페이지가 나오면 해야될점
105 제품 Britz BA-D1 설명서 file
104 프로그램 파워포인트 2010에서 0x4cc1a4db, 0x561e73ca 에러코드일경우
103 프로그램 MS Office 2010 정품인증 스크립트
102 프로그램 파워포인트 2010에서 PPT파일 실행 시, "프레젠테이션 복구가 시도될 수 있습니다."라는 오류 발생하는 증상 file
101 XpressEngine XE document_srl 생성이 안될시 file
100 네트워크 D-Link DIR-825/AGC 빠른설치가이드 file
» 네트워크 시놀로지 라우터 Let’s Encrypt & Doh 적용방법 file
98 프로그램 파워포인트 2010에서 동영상재생이 안될시에 2 file
97 프로그램 오피스 2010 깨진 아이콘 복구프로그램 file
96 HTML div 사이즈고정및 중앙정렬할때
95 XpressEngine input size over than config in php.ini 에러 발생시
94 제품 LG전자 Tone HBS-510 한글설명서 PDF 다운로드 file
93 제품 Tesoro EXCALIBUR 사용법 file
92 XpressEngine xe 본문링크 컬러변경
91 프로그램 Dosbox 키설정 file
90 프로그램 Lock it(웹페이지잠금프로그램) file
89 생활 남은 일자계산 및 주계산기 웹사이트 file
Board Pagination Prev 1 2 3 4 5 6 Next
/ 6
XE Login