안녕하세요 나스 웹하드 로그인 실패횟수로 인해 IP차단에 대해서 여쭤보려고 합니다.
회사 내부망에 연결해서 synology NAS 사용중에 있습니다.
이게 주말만 지나면
특정 기간 내에 허용된 최대 로그인 시도 실패 횟수에 도달했기 때문에 이 IP 주소가 차단되었습니다.
시스템 관리자에게 연락해 주십시오.
라고 관리자 계정이랑 모든 계정이 차단이 되는거같습니다.
이게 찾아보면 다른 IP에서 연결하면 된다고 하는데 다른 PC 다른 IP로 해도 같은 에러 문구가 뜨고 다른 계정도 다 저 문구가 뜨더라구요 그래서 관리자 계정 RESET하는걸로 다시 설정을 해야하는데
차단된 IP가 게이트웨이로 차단이 되더라구요 그래서 회사 내부 모든 PC에서 로그인이 안되는거같고 핸ㄷ폰 LTE로 해도 같은 현상이 뜹니다. 혹시 이게 내부망에 속해있어서 그런걸까요??
아니면 이런 사항을 해결법이 있을까요?? 전엔 기본 관리자 계정인 admin으로 사용중이다가 해당 에러때문에 admin비활성화 하고 새로운 관리자 계정 운용하고 있었습니다. 비활성화 하고 몇주 조용하다가 다시 시작되는거같아요... 혹시 게이트웨이 차단 말고 해당 IP만 차단하는 기능이 있나요??
6개의 답변이 있습니다.
시놀로지 NAS 노리는 무차별 공격 주의보 (msn.com)
이런내용도 있네요?
xogh136 | 일 년 이상 전
오! 답변감사합니다!! 이런 이슈가 있는줄은 몰랐네요!!
근데 일단 저희는 admin계정 비활성화를 해놨고 현재는 포트도 변경은 해놨습니다!
로그 기록을 봐도 누가 침입한 흔적은 없고 Host [기본게이트웨이 IP가 쓰여져있습니다] was blocked via [DSM] 이렇게만 쓰여있더라구요ㅠㅠ
NAS에 대한 과부하가 발생하면서 방화벽 장비 ( 게이트웨이 )에서 이상 트래픽으로 감지해서 차단 시킨게 아닐까 하는 생각이 드네요.
주말동안에 NAS에 어떤 일이 있었는지를 로그 등을 통해 확인해 보는게 필요하겠고요.
NAS에 공인 IP가 할당되어 있을 경우에 외부에서 침입시도가 항상 발생하기 때문에 NAS에 접속 가능한 대상을 제한해 두어야 하겠고요.
주말 동안에만 동일 문제가 발생한다면 특정 직원이 NAS를 개인 용도로해서 동영상 등을 저장해두고 사용하면서 문제가 발생하는 것은 아닌지도 검토해 볼 필요도 있을 걸로 보여지네요.
xogh136 | 일 년 이상 전
일단 로그 기록을 보면 누군가가 로그인 허용을 했다라는 로그는 하나도 없고
경고 한줄에 Host [기본게이트웨이 IP가 쓰여져있습니다] was blocked via [DSM]
이렇게만 뜨고 바로 차단이 된거같습니다ㅠㅠ
보통 IP기반으로 차단을 하게 될겁니다.
자동차단을 비활성화 하시면 될 거로 보이는데 문제는 IP가 겹치는 상황일텐데 회사 내부망에서 들어가는건 각 개인이니 상관 없지만 그게 아닌 (외부망에 nas따로 빼두고, 회사내에서 인터넷을 통해 nas에 접근) 같은 케이스라면 해당 기능을 다른 형태로 적용하시는게 맞을 것으로 보입니다.
xogh136 | 일 년 이상 전
안녕하세요 답변감사합니다!
일단 저희가 보안때문에 자동차단은 활성화 해놓은 상태입니다. 나스는 회사 내부망에있습니다!
미생 | 일 년 이상 전
그렇다면 내부망 IP를 신뢰하는 IP의 허용 목록으로 마스킹 해서 넣으시는게 어떨까 싶네요.
미생 | 일 년 이상 전
로그센터에 가셔서 연결 항목만 찾아보시면 되고, 경고가 뜨는 내역만 찾아보시면 될 것으로 보입니다.
미생 | 일 년 이상 전
최악의 경우가 내부망 IP에서 계속 틀린 공격이 들어올때인데, 이러면 이제 악성코드 감염등을 의심해야 할 수 있습니다.
user / from 으로 구분되어지고, from에 보시면 IP나옵니다.
xogh136 | 일 년 이상 전
친절한 답변 감사합니다!
일단 말씀하신대로 확인을 해봤는데 이게 기본게이트웨이 IP가 차단이 되며 말씀하신 경고 내역을 확인해보니 차단된 시간에 딱 경고 하나 있습니다!
host[기본게이트웨이IP가 쓰여있어요!] was blocked via[DSM]
이렇게만 쓰여있습니다!
미생 | 일 년 이상 전
게이트웨이가 걸릴 이유가 없을텐데요, NAS가 정상적이라면 내부망끼리 연결했으면 장치들의 최종 IP인 내부 IP끼리 통신했을거고 해당 장비의 IP만 막혀야 하는게 맞을 것으로 보입니다.
연결구성 자체가 뭔가 생각이랑 다르실 것 같습니다.
내부망에서 192.168.30.30인 NAS가, 192.168.30.1의 게이트웨이를 쓰고, 192.168.30.111번의 장치에서 문제가 발생하면 111번만 막아야 하지 않나 하는 생각이 듭니다. 192.168.30.1이 막힐 이유가 없을것 같은데요..
xogh136 | 일 년 이상 전
음...혹시 이게 저희가 외부망에서도 사용할수 있도록 IP주소를 매핑해놨는데 그것도 영향이 있을까요?
xogh136 | 일 년 이상 전
일단 사진으로 보시는게 더 직관적일꺼같아서 스샷찍어봤습니다!
누가가 침입을 하여 로그인 탈취를 하려고 했던거 같습니다. 로그를확인해보세요
xogh136 | 일 년 이상 전
안녕하세요 답변감사합니다!
혹시...접속 IP만 따로 확인하는법이 있나요??? 로그센터에서는 제가 확인을 못하는건지 확인이 안되고있습니다ㅠ
웹서비스 포트 번호를 변경하세요
xogh136 | 일 년 이상 전
안녕하세요 답변감사합니다!
오!! 이번에 포트변경을 해봐야겠네요!!
최근들어 NAS 시스템에 대한 침투가 많은 듯 싶더라구요.
이 경우도 그런 경우가 아닌가 싶네요. 주말에 사용자가 없는 틈을 타서 해당 NAS로
무작위 공격이 이루어져서 자체적으로 접근을 제한하는게 아닌가 싶네요.
저희도 얼마전 NAS에 공격을 받아서 데이터 모두 날린적이 있어서요....
xogh136 | 일 년 이상 전
안녕하세요!! 답변감사합니다!!
말씀들어보면 상당히 위험한 상황인거같은데...혹시 데이터 날린거는 해결을 하셨나요??
Simon.Park | 일 년 이상 전
다른 곳에 백업을 받아 놔서 기존 시스템은 초기화 해서 사용중에 있습니다.
랜섬웨어 걸리면 데이터 복구 하기 정말 어렵죠....ㅜ,.ㅜ
xogh136 | 일 년 이상 전
고생하셨네요ㅠㅠ 저희도 백업본은 있지만 항상 유의해야겠어요!