웹서비스 DSM 포트 5000 5001번에 변경에 대한 견해를 여쭈고 싶습니다.
-
안녕하세요. 데이터 호더가 아닌 정보가 날아가면 밥줄도 끊어지는 유저입니다.
시놀로지를 사용하다가 운영자님의 블로그를 확인하게 되었고 게시글 문의를 드리면 항상 빠른 피드백이 오신다는 점에 대해서 너무 감사드리며 오늘은 운영자님 포함한 다른 유저 분들포함해서 복합적으로 질문드립니다.
인터넷에서 기본 보안을 위해서 5000 5001 포트를 다른 포트로 변경을 해야 한다라는 글을 종종 봤는데 여러분들의 생각이 궁금합니다.
제가 그러한 글에서 의문점이 들은 이유는
애초 DDNS와 도메인을 따로 구매하고 와일드 카드 인증서를 발급 받은 다음에 로그인을 하면 HTTPS로 접속이 되고 도메인이 접속이 되기 때문에 문제는 없다고 생각을 합니다만..
저분들은 입장은 |-centered paragraph
-
기본 포트와 공인 IP를 알아내서 무차별 대입 방식으로 공격을 하기 때문에 포트를 변경해주는것이 좋다.
-
그냥 보안상 변경을 하는것이 좋다..
여러분들의 생각이 궁금합니다. 그냥 근본적으로 궁금해서 질문 드리는것이라 다들 편하게 답글 남겨주시면 감사하겠습니다.
-
-
안녕하세요?
각자의 관점에 따라 이 문제에 대해 다양한 의견이 있을 수 있지만, 일반적인 관점에서 포인트를 정리해 보겠습니다.1. 포트 변경의 의미
- 기본 포트(예: 80, 443, 22, 5000, 5001 등)를 사용하는 것은 널리 알려져 있기 때문에, 공격자가 해당 포트를 대상으로 무작위 대입 공격(브루트 포스 공격)이나 취약점 스캐닝을 시도할 가능성이 높습니다.
- 포트를 변경하면 이러한 자동화된 스캔을 피할 수 있을 가능성이 높아지지만, 이는 보안을 강화하는 "숨기는 방법"에 불과합니다. 즉, 포트를 변경함으로써 공격자가 해당 서비스를 찾기 어렵게 만드는 것은 보안층을 하나 더 추가하는 것이지만, 근본적인 보안 대책이 될 수는 없습니다.
2. 보안의 근본적인 요소
- HTTPS/TLS 사용: HTTPS를 사용해 통신을 암호화하고, 와일드카드 인증서 등을 사용하여 인증된 연결을 보장하는 것은 포트 변경보다 훨씬 중요한 보안 대책입니다.
- 강력한 인증: 강력한 비밀번호와 이중 인증(2FA), 하드웨어 보안키 같은 추가적인 인증 메커니즘을 사용하는 것이 포트 변경보다 훨씬 더 큰 보안 이점을 제공합니다.
- 방화벽 및 접근 제어: 특정 IP나 IP 범위에서만 접근을 허용하는 등의 네트워크 접근 제어를 설정하는 것이 포트 변경보다 더 효과적일 수 있습니다.
** 관련된 프로젝트로 깃허브 Ipranges를 진행중입니다. 필요하시다면 참고하시기 바랍니다.
3. 포트 변경의 장단점
- 장점: 포트 변경은 기본적인 스캐닝 도구나 봇넷이 탐지하는 것을 어느 정도 방지할 수 있습니다. 이로 인해 표적이 될 가능성을 줄일 수 있습니다.
- 단점: 포트 변경이 보안을 강화하는 것처럼 보일 수 있지만, 숙련된 공격자에게는 여전히 탐지할 수 있습니다. 포트를 변경하는 것 만으로는 근본적인 보안 취약점을 해결할 수 없습니다. (nmap과 같은 도구로 직접 스캔 가능)
4. 결론
- 포트를 변경하는 것은 보안 대책의 일환으로 고려할 수 있지만, 이는 "보안 강화"가 아닌 "보안 숨김" 전략입니다. 주요 보안 요소로 HTTPS, 강력한 인증, 방화벽 규칙 설정 등 근본적인 보안 대책을 우선시하는 것이 좋습니다.
- 포트를 변경하는 것이 추가적인 보안층으로 작용할 수는 있지만, 이로 인해 방심해서는 안 되며, 다른 중요한 보안 조치를 소홀히 해서는 안 됩니다.
따라서 포트 변경은 추가적인 보안층으로서 고려할 수 있지만, 이를 보안의 핵심으로 삼기보다는 보다 근본적인 보안 조치에 집중하는 것이 바람직합니다.
참고)
- well-known port로 약속한 포트가 있습니다.
HTTP의 경우 80(RFC 2616), HTTPS의 경우 443(RFC 7540)입니다.
5000, 5001의 경우 시놀로지에서 지정한 포트입니다.
If the port is empty or not given, port 80 is assumed.
만일 포트가 비어 있거나 지정되지 않은 경우, 포트 80으로 가정합니다.대부분 이런 식으로 가정되어 있어, 포트 번호 생략해도 접속이 가능합니다.
-
강력한 인증을 추가하는 방법에는 하드웨어 보안키가 있습니다. YubiKey와 같은 것을 고려할 수 있습니다. (FIPS 140과 같은 규정을 준수합니다.)
-
저의 경우에는요? 하드웨어 보안키 사용하고, 약속된 포트 그대로 사용합니다.
-
현재 권한을 제한한 계정을 사용하는 것도 보안을 강화하는 데 중요한 요소가 될 수 있습니다.
현재 저는 아래와 같이 사용하고 있습니다.-
최고 관리자 계정(Askfront) : 이 계정은 시스템 전반에 대한 모든 권한을 가지고 있으므로, 가능한 한 자주 사용하지 않고 필요할 때만 접근하고 있습니다. 이 계정에 접근하는 빈도를 줄임으로써 보안 위협에 노출될 가능성을 낮출 수 있습니다.
-
전역 중재자 계정(NavyStack): 이 계정은 제한된 권한을 가지며, 일상적인 관리 작업에만 사용됩니다. 권한이 제한된 계정을 사용하는 것은 만약 계정이 침해되더라도 피해 범위를 최소화할 수 있는 중요한 보안 조치라고 생각합니다.
이와 같은 권한 분리 및 제한된 계정 사용은 최소 권한 원칙(Principle of Least Privilege)을 따르는 사례입니다.
이를 통해 불필요한 위험을 줄이고, 계정이 침해되더라도 시스템 전체에 미치는 영향을 최소화할 수 있습니다.보안에 대해서는 여러 의견과 상충이 있습니다. 가장 적합한 방법을 선택하셔서 사용하시기를 권장합니다. :)
-
-
N navystack has marked this topic as solved on
-
N navystack marked this topic as a regular topic on