시놀로지 랜섬웨어 방어 설정 - 2단계 인증 설정 방법
- Mactopia
- 4208
- 45
Mactopia님의 기기정보
https://x86.co.kr/gigi/3682806
위 랜섬웨어 이슈에 대응 하기 위한 절차 소개 입니다.
1. 제어판 -> 보안 -> 방화벽
2. 보안 -> 고급
3. 2단계 인증
준비
구글 OTP 앱을 설치 합니다.
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ko
그리고 시놀로지 계정 정보로 이동하여 아래 2 단계 인증을 클릭 합니다.
구글 OTP 앱을 열고 위 바코드 스캔 하거나 키를 직접 입력 하여 등록 합니다.
제공된 키 입력을 클릭하실 분은
비밀 키를 캡쳐 해둡니다.
그리고 위 정보를 구글 OTP 에 입력하고 2 단계 인증을 완료 합니다.
끝!
Mactopia
댓글 45
브루탈에 가장 좋은 방법은 2차 인증이지만, 그 이전에 비번부터 매우 복잡한 패턴을 설정하시길 추천합니다
복잡하게 긴 패턴을 쓰면 어차피 대입해서 뚤는게 우주 멸망하는 수준의 시간이 걸립니다
대략 쓰는 암호에다가 숫자판에 걸린 놈들 !@#$%^&*() 이런놈에다가 {}:";'[],.<>/?|\ 이런거 조합해 두면
어떤놈으로 뚫어도 최소 분단위가 걸립니다.
이상황이면 대부분의 방화벽이 알아서 차단하죠.
그닥 추천되지 않습니다
추론하기 쉬운 단어인 시점에서 사회공학적 공격의 대상이니까요
어떤걸 쓰더라도 추론이 가능한걸 쓰는 시점에서 보안이랑 거리가 멉니다
차라리 A~Z + 1~9를 종이에 적어놓고 랜덤으로 몇개 골라서 랜덤 문자열 만드는게 더 확실합니다
그러므로 딱히 한글을 이용해서 문자열 구성한다고 전혀 안전하지 않습니다
결국 추론이 불가능한걸 써야한다는 현실은 변함 없습니다
허니팟 설치해보시면 압니다
매일 수십~수백건의 공격 로그가 남습니다
심지어는 블럭해놔도 다음날이면 또 다른 ip가 시도합니다
그런 안전불감증인 자기 보안 하나 간수못하는 사용자들땜에 좀비가 끝도 없습니다
설마 영문 단어를 사전공격이 가능한데, 설마 한글 단어는 사전 공격이 안 된다고 생각하시는건 아니시겠죠?
특히 본인이랑 관련되는 단어나 이름등의 추론이 매우 쉬운 단어는 사회공학적 공격시 젤 먼저 시도되는 부분이므로 의미가 없습니다
그런식으로 어딘가 보안이 뚤리면 좀비가 되는겁니다 (물른 이런것보단 제로데이등이 더 많습니다)
제경우 허니팟 써서 수집한걸 블럭하고, 동시에 업데이트나 포트 상태등 일반적으로 정기적으로 체크하는 항목 다 체크하고, 물른 비번도 모든 사이트에 다 랜덤 생성해서 쓰고 있습니다 (그리고 매번 발견하는 악성코드 정보나 드라이브 바이를 시도하는 호스트등의 정보를 죄다 자체 DNS 서버에 등록하거나, 방화벽에 등록해서 수동으로 블럭도 시키고, 자동 분석및 방어해주는 모니터링 장비도 설치해놨습니다)
결벽증처럼 보일지 모르겠지만, 1번 뚤리면 끝장 보는 보안의 중요성을 고려시 이정도도 충분한지 잘 모르겠습니다 (특히 저희처럼 직접 서버를 돌리는 경우 뚤려서 문제가 되면 혼자의 문제가 아니라 다른 이용자까지 피해를 본다는점을 고려하면)
직접 하지도 않는걸 남보고 하라고 하진 않습니다
그리고 추론 가능한 시점에서 한국어/영어 관련 없이 보안이랑 거리가 멉니다 (어떤 언어를 써도 다 똑같음)
추론 불가능한게 낫습니다
애초에 비번을 추론해도 아디를 모르면 로그인 못하므로 계정자체가 추론이 힘든게 낫습니다
브루탈 걸릴떄 뜨는 계정 이름 보면 별의 별걸 다 시도합니다
덕분에 중요성을 더 꺠닫게됩니다
이외에도 전통적 매체로 보안 토큰등의 하드웨어도 있습니다
애초에 계정을 추론 못함=로그인 못함이니까요
예를 들어 User000같은걸로 관리자 계정 해두면 과연 추론 가능할까요? (외우기도 쉬움)
결국 위처럼 일반적으로 안 쓰는 단어를 만들어야 추론 불능이죠
왜 추론 불가가 로그인 불능인지 이해못하겠군요
특정 패턴의 문자랑 숫자를 혼합하는것만으로 추론 불가라는 조건을 채울 수 있습니다
좀 더 완벽하게 할려면 랜덤으로 가겠지만, 딱히 여기까지 하라고 강요는 안 합니다 (이런것보단 업데이트 열심히 하는게 더 보템됨)
다만 다른 사람이 추론해서 맞출 수 있는 문자열을 아디 or 비번으로 하는 시점에서 보안이랑 거리가 멉니다
그리고 시놀 2차 인증 그닥 쓸모 없습니다 (왜냐하면 웹으로 DSM을 로그인하는 경우를 제외하곤 묻질 않습니다) (FTP등을 쓸때 2차 인증을 쓸 수 있다면 별도지만, 그렇지 않음) (어차피 웹으로 다량의 파일 전송하는건 너무 불편&불안정해서 WebDAV/FTPs등을 쓸게 뻔한데, 이때는 전.혀. 안 물어봄)
이외에 좀 더 여유가 있다면 별도의 프록시 웹서버를 두고, 그걸 통해서 접속하게 만드는걸 추천합니다 (프록시가 왜 보안에 필요한지의 기술적 설명은 안 하겠습니다 (조금만 생각해보면 알 수 있는 부분입니다) )
저러는 이유가 허니팟 파보면 별의 별 아디로 다 시도해옵니다 (심지어는 User0같은것 시도하는 변태도 있습니다) (그래서 위의 예제도 일부러 000 3자리로 늘린겁니다)
제 시놀중 하나의 계정 리스트중 일부입니다
스샷 보시면 아실 수 있겠지만, 추론해서 공격하는걸 방지하기 위해 기본 관리자 계정 꺼버리고, 위에 적은대로 추론하기 힘든걸로 관리자 계정 생성해서 실사하고 있습니다
특문은 호환성상 입력 불가인 경우가 많지만, 대소문자나 숫자정돈 사용 가능하니, 3가지중 2가지정돈 혼합하는걸 추천합니다
도져히 다 외울 수 없는 로그인을 구현해주는게 결국 SSO입니다 (이러면 하나로 다 되고, 하나만 철저하게 2차인증등을 다 동원해서 막으면 되니까요)
현제 저런것땜에 구축시 보안과 정확도를 위해 NTP도 구매해서 설치해놨습니다
물른 범용적으로 장비 사라고는 안 하겠지만, 서비스 제공해주는곳도 있으니 이용하면 그만입니다
아무리 랜덤을 쓰더라도 1개쯤이라면 얼마든지 외울 수 있습니다 (설마 좀 복잡하게 10자쯤 만든다고 그것 하나 못 외운다고 보시는건 아니시겠죠?)
오히려 정독해주시길 바란다고 적고싶은건 저입니다
완전 랜덤을 쓴다는건 어디까지나 한글로 이름(보통 한글로 지으라고하면 본명이나 기타 자신의 주변의 신상정보랑 관련되는걸 많이 씀)같이 개인정보로 추론이 쉬운것보다 낫다는것뿐이지 저게 유일한 방법이라고 적은적 없습니다 (제 아디만 해도 일반적으로 사전에 있는 단일 단어를 쓴것도 아니고, 제 개인 정보랑 관련 있는것도 아니니 추론도 불가능하고, 영문 + 숫자 혼합입니다)
완전 랜덤 문자열이나 추론이 불가능한 단어의 조합이나 보안상 차이가 있어보이나요? (최근 과거 랜덤 비번을 주장하던분도 그 주장을 철회해서 보안 규정이 바뀐지 오래입니다)
애초에 전 밖에서 원격 접속에 필요한 계정을 제외하고 일체 로그인하지 않습니다 (단 1건의 예외도 없음) (외부에서 가능하다면 컴 휴대 (그것땜에 GPD도 삼)하고 있고, 불가피한 경우에도 클라로만 씁니다)
심지어는 외부의 공용 AP같은 인터넷망의 보안 수준을 신뢰하지 않기때문에 (네트워크 보안쪽 조금만 공부해보면 공격 가능한 수단 몇가지는 떠오를정도로 공격 쉬움) 그걸 커버하기 위해 폰 요금제의 데이터량도 장난 아니게 씁니다
모든 작업을 원격으로 처리하고, 전 그것만을 위한 전용컴을 1대 준비해두고 24시간 켜놨습니다 (심지어는 8세대 i7이라 어지간한 접속시 사용할 컴보다 성능도 나아서 효율도 이쪽이 낫습니다)
대체 보안을 지킬 방법이 왜 1가지밖에 없는것처럼 애기를 하시는건지?
계정 보안? 물른 중요합니다
하지만 그게 유일한 보안을 위한 방법은 아니죠 (근본적으로 방어를 할려면 계정정보만이 아니라 트래핑등도 방어해야하니 결국 저랑 같은 방법 쓰던지 비슷한 무언가로 귀결하게 됩니다)
다른 사람보고 저렇게 하라고는 강요 안 합니다
다만 USB에 관리 소프트 깔아두고 마스터 비번을 복잡하게 설정하는정도라면 누구라도 할 수 있는 수준에 불과하니 이정도는 정말 보안이 신경 쓰인다면 얼마든지 가능하다고 봅니다 (5000원정도면 살 수 있는 8기가 USB면 넘쳐흐릅니다) (무료 암호 관리 소프트도 넘치니 소프트 구매 부담 타령도 하지 말아주세요)
제가 말하고픈건 2가지뿐입니다
1. 어차피 저장해서 쓸꺼라면 계정이나 비번이 랜덤 문자라도 뭔가 문제라도 있나요? (어차피 수동 타이핑 할일이 없는데) (어차피 비번땜에 로그인 정보 못 외우는걸 왜 자꾸 외워야한다고 주장하는지 전.혀. 이해 불능) (요즘 같은 시대에 대체 뭘 어떻게 자신의 로그인 정보 다 외움? (위에도 적었듯이 수십군데 비번만 다 다르게 설정해도 이미 못 외울 수준인데) ) (비번 다 못 외움=로그인 정보 못 외움=어차피 저장해야함=아디까지 랜덤이라도 차이 없음) (전 어디까지나 로그인정보는 애초부터 암기 불가능이라는 전재를 두고 적고 있습니다)
2. 한글로 해봤자 개인 신상정보등으로 알 수 있는 단어 (의외로 자신의 이름등을 아디로 쓰는분 넘침)를 써버리면 그냥 평범하게 영문 사전에 있는 단일 단어 쓰는거랑 차이 없음 (일반인의 안전 불감증을 얕보면 안 되는게 한글로 하라고 하면 본명 + 생일/전번 or 123 이러는분 넘쳐흐름) (본명 + 전번이랑 Apple + 전번으로 계정 만드는게 보안상 차이가 있어보이나요?)
요즘 시대에 애초에 보안을 챙기는 순간 외울 수 없다는게 제 결론입니다
비번 유출을 대비할려면 결국 사이트마다 다 다른 비번을 써야하는데, 이 순간 아디따윈 어찌되었던간에 외울 수 없습니다
한마디로 애초에 일일히 다 외울 수 없는걸 기본 전재로 깐겁니다 (설마 수십개 비번 다 기억할 수 있을리 만무) (아무리 간단한걸 쓰더라도 수십~수백가지쯤 되면 이미 암기의 대상이 아님)
이런 전재가 되버리면 아디를 얼마나 복잡하게 만들던 아무 문제가 없죠
설마 보안 유출될때마다 추가 피해 발생할껄 감수하고 동일 비번 중복 사용하라고 주장하시는건가요? (이런 기본적인 사항도 안 지킬정도면 보안 애기를 할 이유도 없다고 봅니다) (더 중요한 비번조차 관리 안 되는 판국에 아디가 문제인가요?)
그런데 이 본문의 주제는 보.안.입니다
보안을 지키겠다는 분이 아디는 커녕 비번조차 제대로 관리 못해서 중복 사용하는건가요? (그럴바엔 아디를 흔한 단어로 통일하고 차라리 비번을 강력하게 하는게 더 보템이 됩니다) (일부 사이트경우 게시물이나 회원 정보 누르면 아디가 노출되거나하니 결국 보안을 지킬려면 비번을 강력하게 해야하고, 중복 사용은 당연히 비추입니다)
심지어는 여전히 페이스북처럼 규모가 큰데도 DB 암호화조차 제대로 안 해서 문제가 되는 곳도 있는 판국에 소형 사이트등이 얼마나 제대로 암호화하고, 얼마나 보안을 지켜줄지를 일일히 기대하는건 너무 많은걸 바라는겁니다
한마디로 언제든지 사용한 비번이 평문 흑은 약한 암호화강도의 헤쉬값 -> 평문의 형태로 유출될 수 있습니다 (실재로 가끔 그런걸로 피싱 시도하는 메일도 옵니다)
이런점을 고려하면 중복 사용은 보안이랑 아주 거리가 멉니다
그리고 비번을 중복 사용 안 한다는 소리는 로그인 정보를 암기가 불가능하다는걸로 귀결하게 됩니다 (암기가 불가능한 시점에서 메모하던지 저장할테니 아무리 복잡해도 아무 문제 없음)
몇번이나 적지만 전체 암기 가능=보안상 문제입니다
제 아디는 이미 언행 일치해서 사전 공격이나 사회공학적 공격 양쪽 다 피할 수 있습니다 (제 신상정보나 흔한 단어목록 어느쪽을 써서 제 아디 추론 가능한가요?) (랄까 심지어는 아디조차 1가지 안 쓰고 여러가지 쓰고 있습니다)
최저한도로 로그인 정보를 일일히 다 기억할 수 있는분보다는 보안 신경쓰면서 살고 있습니다
그리고 기존대로의 의미를 대체 어떻게 해석하시는건지? (설마 똑같은 비번 쓴다고 생각하셨다면 착각입니다) (기존=기본=랜덤 생성인지 오래입니다)
https://pw.1.com
제가 운영하는 서브 도메인중 하나입니다
암호 강도 측정및 생성을 해줍니다
저런 생성기로 생성및 측정해서 100% 안 뜨는 비번따윈 안 씁니다 (그리고 100% 뜨는 순간 단 1개조차 외우는데 상당히 노력이 필요해서 매번 마스터 비번 변경등을 할때마다 외우느라 고생하고 있습니다만 보안을 지키기 위해 감수하고 있습니다)
위에도 적었듯이 아무래도 기존대로의 의미를 잘못 이해하신듯합니다 (기존대로=몇년동안 하던대로=엡 or 웹으로 자동 생성)
복잡한 비번의 필요성이 없다는게 선언된지 꽤 되었지만 습관이란 무서워서 계속 랜덤 생성하게 되더군요 (애초에 매번 어딘가 가입할때마다 문자열 생각하는것도 귀찮음)
제가 귀찮은건 수동으로 비번 생성하는게 귀찮은겁니다 (애초에 외우는등의 문제는 포기한지 오래)
옛날에는 일일히 메모장 열어두고 수동으로 대소특숫을 섞어서 문자열 만들고, 괜찮나 뚤어져라 쳐다보고, 랜덤성 충분한가 고민도 했습니다 (이외로 무작위로 입력한다는게 일정 문자 비율이 높아지거나함)
이후 생성 소프트를 쓰다가 그런걸 일일히 찾는것도 귀찮아져서 대세에 따라 웹으로 바꾼겁니다 (요즘 대세는 거의 모든걸 웹으로 하는것인듯합니다) (심지어는 원격 제어도 이걸로 가능하기때문에 원격용 GW 하나의 비번만 있어도 사실 밖에도 내부의 모든 장비를 제어 가능합니다)
결국 저렇게 지어야한다고 주장하신분 본인조차 필요없다고 다시 전언철회했는데도 중복을 회피하기 위해 기존대로 초복잡하게 만들고 있는거죠 (먼산)
크 저도 랜섬웨어 때문에 걱정이 었는데 감사합니다 ㅎㅎ...
저는 일단 시놀로지에 백신 깔고 1 2번까지는 했는데 OTP는 처음 봤네요..
감사합니다... ㅎㅎㅎ