Jak zapobiegać atakom SSRF na serwer Synology Chat Server?

Jak zapobiegać atakom SSRF na serwer Synology Chat Server?

Niektóre artykuły zostały przetłumaczone maszynowo z języka angielskiego i mogą zawierać nieścisłości lub błędy gramatyczne.

Szczegóły

SSRF (Server Side Request Forgery) to rodzaj ataku, w ramach którego osoba atakująca wysyła spreparowane żądania z serwera zagrożonej aplikacji internetowej. Ma to na celu naruszenie bezpieczeństwa systemów wewnętrznych, które nie są dostępne z sieci zewnętrznej. W celu ochrony przed atakami SSRF zaleca się ustawienie czarnej listy na serwerze Synology Chat Server. W tym artykule przedstawiono sposób dodawania adresów IP innych serwerów w sieci wewnętrznej (np. MailPlus Server i Synology Drive Server) do czarnej listy serwera Synology Chat Server.

Rozwiązanie

Umieszczanie adresu IP na czarnej liście

  1. Zaloguj się do systemu DSM przy użyciu uprawnień typu root za pośrednictwem SSH/Telnet (Samouczek).
  2. Wprowadź następujące polecenie, aby dodać lub edytować czarną listę serwera Synology Chat Server:
    vi /var/packages/Chat/etc/og_black_list.conf
  3. Wpisz i, aby włączyć tryb wstawiania.
  4. Użyj notacji CIDR (Classless Inter-Domain Routing), aby wprowadzić adresy IP, które chcesz umieścić na czarnej liście. Przykładowo adres IP „10.17.29.22” z maską podsieci „255.255.255.0” w notacji CIDR jest zapisywany jako „10.17.29.22/24”. Aby uzyskać prawidłowe adresy, można skorzystać z wykresu CIDR lub internetowego kalkulatora podsieci.
  5. Po zakończeniu edycji naciśnij klawisz Esc, aby wyjść z trybu wstawiania.
  6. Wpisz :x i naciśnij klawisz Enter, aby zapisać.
  7. Wprowadź następujące polecenie, aby upewnić się, że pozycja zostanie umieszczona na czarnej liście:
    chmod a+r /var/packages/Chat/etc/og_black_list.conf