聊一下NAS的網路安全:以Synology DS415Play為例

在資訊安全這方面我算是小外行,小外行的意思是比不上專業的使用者,但比路人甲稍懂一些,不介意我廢話太多再請往下看。

NAS的Network Attached Storage的縮寫,網路儲存設備,意味著使用的時候是需要連上網路的,不管是區域網路或是網際網路都是,一旦連上了網路,那就表示有被攻擊或被駭的風險。Synology的NAS去年發生過二次比較有名的事件,第一個是年初時被駭去當比特幣的挖礦機,讓你的殭屍NAS幫駭客賺比特幣,第二個是在年中的時候有被Synolocker成功駭進的NAS,NAS裡的所有檔案都會被加密,加密完後Synolocker再跟你要求約等值於350美金的比特幣才能解密,照Synolocker宣稱的加密方法,大概只有付錢了事或是隨風而去二種結果。
synolocker

所以在使用這台NAS之前,我花了一些時間研究怎麼保護好它,Synology本身能提供的防護措施就已經不少,像是
  • 密碼強度:控制台→使用者帳號→進階設定,我全勾了,所以我的密碼複雜的不得了,打錯自己的密碼是很常見的事。
    密碼強度
  • 控管使用者帳號:控制台→使用者帳號,第一先確認是否有停用admin帳號(印象中灌完DSM時就已經是停用的),再來是為不同使用環境建立不同的使用者帳號,例如在我手機上使用的帳號就只能使用Photo station,沒有管理員權限、沒有硬碟空間配額以及對大部份的資料夾沒有讀寫的權限,就算手機掉了,密碼又剛好被猜到也可以把傷害降到最低。
    使用者權限控管
    使用者權限控管
  • 更改預設連接埠:控制台→網路→DSM設定,DSM管理介面使用的預設連接埠是5000(HTTP)和5001(HTTPS),將預設連接埠改掉或是在路由器上要做埠轉送的埠設成5000和5001以外的數字是相對安全一些,這道理跟家裡裝了鐵窗不一定能防賊,但整排透天厝若是只有你家裝鐵窗那則是相對安全。
    更改預設連接埠
  • 防止密碼被暴力破解:控制台→安全性→自動封鎖→啟動自動封鎖,我自己是設60分鐘內若登入失敗3次則封鎖,且不啟用封鎖過期。
    自動封鎖
  • 關閉不需要的服務(這些服務對我來說暫時用不到):
    • 控制台→檔案服務:我關了MAC檔案服務、NFS服務、FTP相關服務以及WebDAV。
    • 控制台→外部存取:全部沒有使用,這後述。
    • 控制台→網頁服務:使用Port 80,如果沒要架網站就關了吧。
    • 控制台→終端機&SNMP:關閉Telnet、SSH以及SNMP,我滿常用SSH的,但是是有需要使用的時候才會打開。
  • 啟動HTTPS連線:控制台→網路→DSM設定→啟動HTTPS連線,HTTPS是透過HTTP標準以SSL/TLS加密的連線,啟動之後只要透過HTTPS連線的話都是加密過的連線,但瀏覽器或程式會警告你憑證有問題,原因是你的瀏覽器或程式不認識你NAS上的SSL憑證,這時解法有三個
    • 無視,這不影響加密,選擇繼續前往即可(目前選擇無視)。
    • 將NAS提供的自我簽署憑證匯入你常用的瀏覽器,不過只要換了其他台電腦連線,一樣會有警告(有空再弄)。
    • 找第三方憑證認證公司做付費認證,你需要一個自有的網域,要付一些錢,有點麻煩(我的NAS是自己要用而已,目前不打算做認證)。
    HTTPS
  • 排程做DSM更新:控制台→更新&還原
    排程更新
  • 二步驟驗證:這是利用有支援TOTP(Time-based One-Time Password)的手機來做驗證的手法,第一次使用時需要在手機上輸入一組NAS提供的金鑰,輸入後會產生一組隨著時間更改的六位數動態密碼,每次登入時除了輸入帳號密碼外還需要輸入這組動態密碼。講了這麼多,其實有用過Blizzard手機驗證器的人就了解,這是一樣的東西。二步驟驗證雖然安全但是很麻煩,這我沒使用。

最後,不要使用Quickconnect,盡量使用VPN來連回自己的NAS。

Quickconnect是一個讓使用者可以「輕鬆」設定讓外部連線可以連進NAS的方法,使用者不用去管一堆複雜的網路環境和設定像是浮動IP、DDNS和埠轉送這些東西,但輕鬆的背後就是你沒辦法掌握它到底做了什麼事情。Quickconnect的機制「應該」是:
  1. 如果你跟NAS在同一個區網內,直接使用區網連線。
  2. 如果你跟NAS在不同區網內,嘗試使用DDNS和埠轉送做連線,前提是你的路由器有被你的NAS支援做設定。
  3. 若以上二者皆無法連線,那「應該」就是連到Synology的伺服器做溝通,這樣等於你的NAS就需要跟伺服器保持連線,隨時曝露在網際網路上,增加不必要的風險。
所以,我不用Quickconnect。

那我的做法是?先看一下我家裡的網路架構。
網路配置

我自己的使用環境是中華電信100/40M,配的是浮動IP,我自己有自一個域名,我有在路由器上寫了一個Script做DDNS的定期更新,所以不管浮動IP怎麼變,我都可以經由DNS連回家裡。

NAS買來後,一開始的做法是在路由器上設埠轉送做連線,將某一個埠指定到NAS的DSM管理介面上,但這樣還是直接曝露在網路上。後來我改用VPN,VPN的架法有二種,第一種是架在有支援VPN的路由器上,第二種是安裝Synology的VPN套件讓NAS變成VPN伺服器,我的路由器(Mikrotik RB450G)有支援VPN,所以我選第一種。連線的方法是先連上VPN,這時候的連線位址是自己的域名,使用的是VPN專用的帳號密碼,VPN連線成功後等於你就在自己的區網內了,這時再連回NAS,使用的就是NAS的區網IP和管理者帳密,當然,路由器上的埠轉送規則就可以停用了。用VPN連線的好處是:
  • NAS不會直接曝露在網路上
  • 需要二組帳號密碼才能連進你的NAS
畢竟NAS的管理介面沒事不會去開,安全一點還是比較好。

1 意見:

你好~想請教最後VPN連回去自己的NAS有更詳細的教學嗎? 我也是Synology的NAS,型號是DS218J!我目前是停用Quickconnect的連線功能,不過我想要從把手機.筆電的資料用無線網路備份及上傳資料到我的NAS!

Reply

張貼留言