최근 시놀로지 NAS에 로그인 실패시 IP차단 횟수 제한을 5분간 10회에서 3회로 줄였다. 즉 5분 이내에 세번 비번을 틀리게 넣으면 해당 IP의 접근을 자동으로, 영원히 차단한다.
어차피 모든 비밀번호는 Bitwarden이 생성한 비밀번호를 자동입력 하고 있기 때문에 비밀번호를 기억할 수도 없고 (예: 7ZA5%pqhKYjvg2TJE@cjB ) 자동 입력이기 때문에 오타를 내는 경우도 없다. 사람이 외워서 입력하는 경우라면 잘못 외우거나, 한/영 입력 상태가 뒤바뀌거나 caps lock이 켜있거나 키보드를 잘못 눌러 로그인 실패가 될 수도 있겠지만.
DSM이나 FTP나 SSH에 접속하는 유일한 사용자로서 비밀번호를 잘못 입력할 확률이 사실상 0이기 때문에 누군가 비밀 번호를 잘못 넣는 경우는 부적절한 접근시도로 보고 바로 차단하는 것이다. 1회만 틀려도 차단시켜도 될 것 같긴한데 A단말에서 비번 변경하고 Bitwarden이 기기간 동기화 되기 전에 빠르게 B단말에서 접근할 때 기존 비번이 들어가는 경우도 있을 수 있기 때문에 1회는 속된 말로 좀 쫄리고하여 3회로 지정하였다.
사실 10회로 지정하건 3회로 지정하건 큰 차이는 없을 것으로 본다. 왜나하면 침입시도자들은
- 준비한 사전 데이타가 소진되었거나
- 사이트에서 차단당하거나
- 사이트가 느려지거나 다운되거나
할 때까지 계속 대입해 볼 것이기 때문이다. 그렇더라도 뚫릴 리 없는 ID/PW 무작위 대입법을 침입시도자들이 원하는만큼 시도하도록 내버려둘 수도 없는 노릇이다. 복이 많아보인다고 길거리에서 접근하는 사람이나 피싱 전화를 받았을 때처럼 가급적 대꾸하지 않고 튕겨내버리는 것이 시간과 노력면에서 가장 효과적인 것처럼 부적절한 접근 역시 바로 막아버리는 것이 상책이다. 많진 않겠지만 인바운드 트래픽과 컴퓨팅 자원을 사용하기도 할테고.
아울러 모든 연결이 집안과 회사를 포함해 국내에서만 이루어지기 때문에 해외 아이피, VPN을 통한 접근도 이 기회에 모두 막았다. 예전에 막았던거 같은데 초기화하면서 한번 풀렸는지, 아무튼 다시 잘 지정했다. (via Synology KB > DSM > 보안 > 방화벽)