myQNAPcloudの仕組みを考察。より安全に利用する(後編)
myQNAPcloudをより安全に利用する(後編) 前編のおさらい 前編では下記のことをまとめてみました。 ・ネットワーク通信をするためにはIPアドレスが必要 ・特定のサービスにアクセスするためには、IPアドレスだけでなくポート番号も必要 ・異なるネットワーク間で通信を行うためには「ルーティング」が必要 ・家庭のネットワークとインターネットの接続には特に「インターネットルーター」が使用されており、基本的には、家の中からインターネットへの通信しかできない。 ・インターネット側から家の中にあるNASへのアクセスは通常はできないが、UPnPや手動でポートフォワードを設定することで、アクセスできるようになる。 前編を確認されたい方は こちら から。 それでは、後編ではこれらの知識を使って、どうやったら家庭内のNASを安全に使用できるか?を考えてみます。 家庭内のNASを攻撃するには何が必要か? まずは攻撃者の立場に立ってみて、特定の家庭のNASを攻撃しようとした場合、どういった条件が整わないと攻撃ができないか考えてみます。 ・家庭内のネットワーク機器がインターネットにアクセスする際のインターネット側のIPアドレス ・家庭内のネットワーク機器上でサービスが稼働しているネットワークポート ・インターネットルータにアクセスすることで家庭内のネットワーク機器にアクセスが可能となる、UPnPもしくはポートフォワード設定 ・家庭内のネットワーク機器にログインするためのユーザー名、パスワード情報。もしくは、それの代替えとなるような脆弱性 絵でまとめてみると次のような感じですね。 ①グローバルIPアドレスがわかってしまう = マンションがどこにあるのかわかってしまう ②UPnP / ポートフォワード設定がある = マンション入り口のオートロック扉の外から、部屋番号を指定して通話する方法がわかってしまう ③ユーザー名/パスワードがわかる = オートロックを通過し、部屋の中に入れてしまうキーワードがわかってしまう という感じでしょうか。 逆説的に言ってしまえば、 ①グローバルIPアドレスがわかりにくいようにし、 ②UPnP/ポートフォワードの設定を無効にし ③ユーザー名/パスワードがわかりにくいものにする (追加で、ユーザー名/パスワードがわかったとしても、指紋認証などにより本人確認を強化