myQNAPcloudの仕組みを考察。より安全に利用する(後編)

 myQNAPcloudをより安全に利用する(後編)

前編のおさらい

前編では下記のことをまとめてみました。

・ネットワーク通信をするためにはIPアドレスが必要
・特定のサービスにアクセスするためには、IPアドレスだけでなくポート番号も必要
・異なるネットワーク間で通信を行うためには「ルーティング」が必要
・家庭のネットワークとインターネットの接続には特に「インターネットルーター」が使用されており、基本的には、家の中からインターネットへの通信しかできない。
・インターネット側から家の中にあるNASへのアクセスは通常はできないが、UPnPや手動でポートフォワードを設定することで、アクセスできるようになる。

前編を確認されたい方はこちらから。


それでは、後編ではこれらの知識を使って、どうやったら家庭内のNASを安全に使用できるか?を考えてみます。

家庭内のNASを攻撃するには何が必要か?

まずは攻撃者の立場に立ってみて、特定の家庭のNASを攻撃しようとした場合、どういった条件が整わないと攻撃ができないか考えてみます。

・家庭内のネットワーク機器がインターネットにアクセスする際のインターネット側のIPアドレス
・家庭内のネットワーク機器上でサービスが稼働しているネットワークポート
・インターネットルータにアクセスすることで家庭内のネットワーク機器にアクセスが可能となる、UPnPもしくはポートフォワード設定
・家庭内のネットワーク機器にログインするためのユーザー名、パスワード情報。もしくは、それの代替えとなるような脆弱性

絵でまとめてみると次のような感じですね。

①グローバルIPアドレスがわかってしまう = マンションがどこにあるのかわかってしまう
②UPnP / ポートフォワード設定がある = マンション入り口のオートロック扉の外から、部屋番号を指定して通話する方法がわかってしまう
③ユーザー名/パスワードがわかる = オートロックを通過し、部屋の中に入れてしまうキーワードがわかってしまう
という感じでしょうか。

逆説的に言ってしまえば、
①グローバルIPアドレスがわかりにくいようにし、
②UPnP/ポートフォワードの設定を無効にし
③ユーザー名/パスワードがわかりにくいものにする
 (追加で、ユーザー名/パスワードがわかったとしても、指紋認証などにより本人確認を強化する)
ということが実現できれば、ぐっと攻撃される可能性を減らすことができるということです。

では、myQNAPcloudでは、具体的にどういった設定になるのでしょうか?

myQNAPcloudで設定可能なこと

さてこちらは、おなじみのmyQNAPcloudの設定画面です。


こちらよく見ると、3つのコンポーネントがあることわかりますでしょうか?

①:DDNS設定
②:UPnP(自動router設定)
③:myQNAPcloud Linkの設定

となっています。

①DDNS設定はoffに

DDNS設定が有効になっていると、mynas.myqnapcloud.comというURL名でグローバルIPアドレスを入手することが可能になってしまいます。なので、この設定は基本的にはOffにしましょう。

myQNAPcloudの「My DDNS」の設定項目からoffにできます。


では逆に、どういった場合にこの設定をonにすべきか?というと「FQDNを指定してNASにアクセスする必要がある場合」となります。例えば「固定IPではないのでグローバルIPアドレスがたまに切り替わってしまうような状態」で、「家の外からopenVPNでアクセスしたい場合」や、「自宅のNASを使ってウェブサービスをホストしたい場合」が該当します。このような場合は、DDNSが有効になっていないと、実質使い物にならないでしょう。

逆に言ってしまうと、DDNSが必要なケースはこのくらいで、普通にNASを使う分にはDDNSを有効にする必要はないかと考えます。

my DDNSを有効にすると、こちらのように1分ほどでmynas.myqnapcloud.comから名前解決ができるようになります。


②UPnP/ポートフォワードの設定は無効に

UPnPが有効になっていると、グローバルIPアドレスがわかっただけで、NASにアクセスされる可能性が出てきてしまいます。この設定も基本的にはoffにすべきです。

myQNAPcloudの設定画面、「自動ルーター構成」から機能をoffにすることができます。


これもmy DDNSと同様に、私用するような場面は、家の外からopenVPNでアクセスしたい場合や、ウェブサービスをホストするような場合にのみ該当します。こちらも普通に使用するのであれば、offにしておいて問題ありません。

③myQNAPcloud link?

myQNAPcloud linkといって、myQNAPcloudと似て非なる機能があります。
こちらのステータスが「正常」となっていれば、QfileやQuMagieで家の外からアクセスすることができます。ステータスが「正常」になっていれば通常使うには問題ありません。

さらにセキュリティを向上させるために

myQNAPcloudの設定としては以上ですが、さらにセキュリティを向上させるためには、
1. 「admin」といったデフォルトの管理者名ではなく、自分で命名した管理者を使用し、デフォルト管理者名は使用しない
2. 2段階認証など、ユーザー名/パスワードの組み合わせに追加し、Authenticatorなどを使用する
とよいかと思います。


まとめ

前編、後編と分けて、myQNAPcloudのセキュアな設定方法を考察してみました。
結論としては、

1. myDDNS機能を無効に
2. UPnPによるポートフォワード自動設定を無効に
3. ユーザー名/パスワードを複雑に。ユーザー名はデフォルト管理者名「admin」から変更する
4. 可能であれば2段階認証を設定する

ということになります。

さらに、QuFirewallを使って「日本以外からのアクセスを禁止」などと設定すればより効果は抜群でしょう
※ネットワークスイッチ周りを変更すると、すぐにアクセスできなくなるので、私はQuFirewallちょっと苦手ですがw

上記に加えて、quLogCenterを定期的に確認し、身に覚えのないログイン失敗ログがないかどうか?が確認できればコンシューマーレベルでは文句がないかと考えます。

皆様もこの機会に、ぜひ設定を見直してみてください。

場所: 日本、東京都東京

コメント

コメントを投稿

このブログの人気の投稿

VPNでNASにリモートアクセス!QTS5.0でWireGuardを試す

イメージ
 QNAPのQTS5.0 betaが公開されており、その中でWire Guardが使用できる旨案内されています。 WireGuardはカーネルレベルでサポートされるVPN接続であり、非常に軽量と評価されています。 今回は、QTS 5.0にWire GuardでVPN接続する方法について、早速まとめていきたいと思います。 手順としては、  1. NAS側のWireGuard VPNサーバー設定  2. Windowsクライアント側のWireGuard クライアント設定  3. NASに戻って、WireGuard VPNサーバーに、2で設定したクライアント情報を設定 という手順になります。 VPN暗号化なし、WireGuard VPN接続、QBelt VPN接続でパフォーマンス比較も行っちゃいます。 それでは、Let's try! まずはじめに なにはなくとも、QTS5.0にアップデートできなければWireGuardが使えません。 私のTS-251Dでは「コントロールパネル」→「ファームウェア更新」で、 「ベータプログラムに参加し、ベータアップデート通知を受け取ります」を有効にすることで、5.0 betaにライブ更新できました。 QVPN Service 3.0のインストールと設定 QTS 5.0にアップデートすると、QVPN Service 3.0がインストールできるようになっていますので、AppCenterからインストール / 更新します。 QVPN Service 3.0にアップデートすると、下記のようにWireGuardでの接続が選べるようになっています。 WireGuardの画面に移ったあと、まずはWireGuardを有効にし、サーバー側の設定を行っていきます。  1. Server nameを入力した後  2.「Generate Keypairs」のボタンを押して  3. DNSサーバを8.8.8.8(google)に設定 まずはここまででOKで、クライアント側の設定に入ります。 Wire Guardクライアントのインストールと設定 従来、QVPNサーバーに接続する場合、QVPNクライアントから接続できましたが、Wire Guardで接続する場合は、Wire Guard クライアントから接続する必要があるようです。 ですので、下記ページよりWire
続きを読む

レトロゲームステーションに!QNAP TS-251D

イメージ
みなさんは、ゲームは好きですか? 僕はゲーム大好きで、ファミコンからガッツリやってました。多分、最初にやったゲームは、マリオブラザースかな?土管からカメとかカニとか出てくる方のやつです。 そのあとはスーファミ、ゲームボーイ、メガドライブ、ゲームギア、プレステ、プレステ2、プレステ4と遊び倒しました。プレステ5も欲しいんですが、まだ買えてませんw。というよりもレトロゲームのほうが実は好きかも。 こういった昔遊んだゲーム、今はそもそもハードがなくてプレイできなかったりするんですよね。でもたまに遊びたくなる。そんな時に、QNAPのNASがあればレトロゲームを遊ぶことができるんです! QNAP TS-251D QNAPのTS-251DはHDMI出力機能を持つNASです。ザックリスペックは下記のような感じ。詳細は、 メーカーHP 確認してください。 CPU : Intel® Celeron® J4025/4005デュアルコア2.0 GHzプロセッサ メモリ:最大8GB ドライブベイ数:2 Ethernet:1 x 1GbE HDMI:1ポート(HDMI 2.0) 私の場合は、元々2GBメモリのモデルを購入しメモリを増設、8GBにして使っています。 NASとはいうものの、様々なアプリケーションの追加に対応しているのが特徴で、HTTPサーバーと組み合わせてワードプレスサーバーを作りことができたり、写真管理ができたりと、ホームサーバーとしてガッツリ使うことができます。 また、RAID1によるデータ保護、スナップショットによる過去ファイルへのリバート機能、Maware Remover、Firewallといったデータ保護、セキュリティ機能も充実しています。 3rdパーティアプリケーションの追加 さて、QNAPのNASですが、本家本元が用意するアプリケーションが追加・削除ができるのはもちろんのこと、実はコミュニティが作ったアプリケーションを追加・削除することもできます。 コミュニティのアプリケーションを追加するには、コミュニティアプリを公開しているレポジトリを追加登録する必要があります。 僕が大好きなレトロゲームを楽しむためには、RetroArchというアプリケーションを追加する必要があります。 このアプリのQNAP向けパッケージが、QNAP CLUBから提供されているので、QNAP C
続きを読む

NASに保存したファイルを便利に検索する方法

イメージ
 NASに保存したファイルを便利に検索する方法 保存したファイルを検索する方法 ファイルがどんどん増えてくると、どこにどういったファイルを保存したか?といったことをついつい忘れてしまうことがあります。Windows PCの中に保存したのであれば、エクスプローラーの検索窓から簡単に検索することができます。写真が1個しか引っかかってこなかったですが、こんな感じですね。 でもこの検索、NASの上で実行しようとすると、途端に検索結果を出すのに時間がかかるようになります。Windowsの方では検索をする前にあらかじめ「Index」が作られているんですね。で、実際に検索をする場合はそのIndexを参照して結果を表示するだけなので非常に高速に検索結果が表示される。 でも、NASのファイルに対してはWindowsは「あらかじめIndexを作っておく」ということをしておらず、ファイルを1つ1つ確認しだすので時間がかかってしまいます。 では、NASに保存したファイルを高速に検索するにはどうしたらいいんでしょう? QSirch QNAPのNASを使用している場合は、QSirchというアプリケーションをインストールすることができます。QSirchというアプリを使うことでNAS上のファイルも簡単に検索することができるようになります。 また、このQSirch、 2021年末まではPremiumプランを無料で試す ことができるようです。 これはもう、試してみるっきゃありませんね。ということで早速試してみました。 Qsirchのインストール 私はもうインストール済みなので、下記画面になってしまっていますが、QTSのAppCenterからQSirchと検索ワードを入れてあげることで、簡単にアプリを見つけることができます。(QNAPらしく(?)通常の「Search」ではなく、「Sirch」となっている点注意が必要です) 未インストールの状態であれば「開く」ではなく「インストール」となっているはずですので、クリックしてインストールします。 新しいアプリの追加が必要ですが、いつもながら非常に簡単ですね。 QSirchライセンスの適用 ライセンスの購入、適用は、myQnapCloudにIDを連携させたうえで実行すると非常に簡単です。ここでは説明しませんが、myQnapCloudにID連携させておくことをお勧
続きを読む