SynologyNASを外部からアクセスする際のセキュリティ設定

概要と設定方法

SynologyNASは外部公開等の設定も大変便利なわけですが、試験的に数時間~数日間公開するならばまだしも、日常利用する前提であればセキュリティ設定は必ず行いましょう。
特に、やりたいことにはすぐ目が行くのですが、セキュリティの記事にはあまり目を通さない傾向があるので(特に私)、ほんと要注意です。

ここで、私が実施したセキュリティ対策について、ご紹介をいたしますので、参考になればと思います。

なお、この設定で重要なのは、一旦、全てのアプリケーションをアクセス拒否状態として、外部に公開したいアプリケーションのみを許可することです。
しかし、手順上、最初に拒否設定してしまうとDSMへのアクセスも拒否されてしまいますので(誤って実行した場合、DSMがエラーで知らせてくれますので安心してお試しください)、先に外部利用するアプリケーションを許可する設定を行ってから、すべて拒否の設定を行います。

  1. [コントロールパネル]→[セキュリティ]を起動します。


  2. [ファイアウォール]タブを選択して、<ファイアウォールプロファイル>の「規則の編集」ボタンを押します。


  3. プロファイルの編集 “XXXX” ウィンドウの左上にある「作成」ボタンを押します。

    ちなみにこの設定は私のSynologyNASの設定です。


  4. ファイアウォールルールの編集画面が表示されますので、項番3・4の操作を必要なだけ繰り返します。
    DSMの許可設定だけは、忘れずに実施してください。
    私の設定はページ下部に記載しておりますので、そちらを参考に操作してください。

    【解説】

    1. ポート
      基本的には「組み込みアプリケーションの一覧から選択」をして、許可したいアプリケーションを選択します。
      SSH等でNAS側がアプリケーションとして認識していないソフトウェアが導入されている場合は、「カスタマイズ」を使用してポートを指定する必要があります(ここでは解説しません)。
    2. ソースIP
      「特定IP」は、接続を許可または拒否するIPアドレスを、②サブネットで指定、③範囲指定ができます。

      「位置」は、接続可能な地域を設定できます。
    3. 操作
      ポート・ソースIPで指定した情報について、接続を許可するのか、拒否するのかを選択します。

  5. 一番最後に項番3・4の手順で、以下の設定を登録します。
    【ポート】すべて
    【ソースIP】すべて
    【操作】拒否


  6. 全て完了したら、プロファイルの編集画面の右下の「OK」を押します。
    これでファイアウォールの設定が反映されます。


  7. 最後に外部からのアクセス(スマホでWifi無しでアクセスしてみる等)を試して期待通りの設定になっているかを確認してください。

私の設定

設定1~2

ポート

  • すべて

ソースIP

サブネットを2つ設定していますので、2つのルールを作成する必要があります。

  • サブネット 192.168.11.0/255.255.255.0 ←ローカルネットワークからのアクセスを許可
  • サブネット 10.8.0.0/255.255.255.0 ←VPNからのアクセスを許可

操作

  • 許可

設定3

VideoStationは、普段は共有とかせず自分用ですが、稀に誰かと共有とか、外部アクセスにおいてVPNを使用すると若干読み込みが遅くなるのも嫌なので、エリアを日本に限定して公開にしました。

ポート(組み込みアプリケーションの一覧から選択)

  • 管理UI, FileStation, Surveillance Station, Download Station, CMS
  • DLNA/UPnPメディアサーバー
  • Video Station(Video Station)

ソースIP

  • 位置 JP(日本)

操作

  • 許可

設定4

ポート・ソースIP

  • すべて

操作

  • 拒否

というわけで、以上です。
あなたも安全安心なNASライフを~

 


2018/03/01 02:24 追記

Synologyのナレッジベースを見ると、どうもVideoStationが管理UIのポート(デフォルト5001)を要求するようで、上記の設定だと外部からVideoStationにアクセスできないよう。

不本意でしたが認証情報を管理UIの辺りから得ているようなので、やむなく開放し、更に、設定が漏れていた「DLNA/UPnPメディアサーバー」を追加&追記(設定3)。
また、ローカルおよびVPNからのアクセスには制限を設けないようにしました(設定1~2)。

更に判明したこととして、プロファイルの編集画面はどうやらドラッグ&ドロップができるみたいで、上から順にチェックが入っているようです。
なので、許可の設定が「すべて拒否」よりも下段にあると、同じ設定をしても有効になりません。

これで悩むこと15分ほど( ^ω^)・・・。おかげで似たような設定を何個も作っては消す羽目に。

しかし管理UIだけはローカル辺りに限定したかったなぁ。
そのうち、管理UIのポートを変えておきたいところ。

返信を残す

メールアドレスが公開されることはありません。