[問題]NAS的安全

chninfo

chninfo
個人積分：31分
文章編號：59046260

31分

樓主

2016-01-28 14:05

請問遇到這種情況的話只能被動的封鎖而已嗎??

還是有甚麼其他的反制措施??

註.
admin 關
ssh 關
telnet關
ftp 關

用不到的服務應該是都關了~
除了幾個需要用到的PORT之外還有哪些遺漏的嗎??

各位又是怎麼防護的呢??

會在外面使用NAS加上HTTPS的速度比較慢~
所以只能開HTTP~

2016-01-28 14:05 發佈

文章關鍵字問題 NAS 安全

hao88

hao88
個人積分：0分
文章編號：59046755

0分

2樓

2016-01-28 14:46

chninfo wrote:
請問遇到這種情況的...(恕刪)

以群暉為例

有自動封鎖與防火牆兩個設定阻擋

不多說直接看圖

自動封鎖設定嘗試次數之外還可以增加清單

防火牆可以封鎖某個國家或是某段ip

chninfo

chninfo
個人積分：31分
文章編號：59046831

31分

樓主

2016-01-28 14:51

hao88 wrote:
以群暉為例有自動封...(恕刪)

忘了說明我現在是用QNAP的~

群輝的我用過~他家的NAS在安全防護設定方面個人認為是比QNAP還要有彈性~

但是DS112已經退役了~
現在用的是QNAP所以設定方面多多少少有些不適用~

感謝大大的消息!

天龍國子民

天龍國子民
個人積分：5793分
文章編號：59047018

5793分

4樓

2016-01-28 15:06

chninfo wrote:
請問遇到這種情況的...(恕刪)

把Web的Port透過分享器轉Port,換成不常用的.

pctine

pctine
個人積分：5084分
文章編號：59047692

5084分

5樓

2016-01-28 16:03

chninfo wrote:
群輝的我用過~他家的NAS在安全防護設定方面個人認為是比QNAP還要有彈性~
...(恕刪)

Synology 主要是多了一個防火牆的設定, 這在 QNap 上面是沒有的. 就如同 QNap 也沒有把 PPPoE 的功能做在主功能裡一樣, 它認為 NAS 前端都一定有一台 Firewall or IP 分享器, 所以有關防火牆的設定都是在前端就擋掉了, 不用在 NAS 這端再處理.

FB: Pctine

chninfo

chninfo
個人積分：31分
文章編號：59047950

31分

樓主

2016-01-28 16:23

pctine wrote:
Synology ...(恕刪)

是阿~

我剛換到QNAP的時候還為了這個功能找半天呢~
最後才知道QNAP沒有防火牆的功能~

不過那時候想法比較單純~
想說不會有人想進來看不重要的檔案才對~
之後也平安度過了一大段日子~
一直到最近登入機器後發現怎麼老是有人在敲門~
想起之前群輝的殭屍挖礦機事件才想起安全的重要性~

以前已經麻煩過P大很多次了~
這次還是要麻煩P大給個建議指導一下如何增進QNAP安全方面的設定~

P大有空再回就可以了~不用特地回這篇~
如此麻煩P大我實在是很過意不去XDDD

先謝謝大家以及P大了~

取名真是難

取名真是難
個人積分：271分
文章編號：59053468

271分

7樓

2016-01-29 8:21

看你是搞錯對象了

SSH, FTP 這些服務不會不安全, 與群暉出包事件無直接關系

群暉殭屍挖礦機事件的原因是因為群暉系統出現漏洞引起的

就算你沒開SSH, FTP也會中招

怕死的也可以ROUTER裡改PORT, 例如8888 > 5000, 8889 > 5001, 其他全關

不然群暉預設也是會listen port 80

pctine

pctine
個人積分：5084分
文章編號：59055077

5084分

8樓

2016-01-29 10:36

chninfo wrote:
以前已經麻煩過P大很多次了~
這次還是要麻煩P大給個建議指導一下如何增進QNAP安全方面的設定~...(恕刪)

QNap 上面安全性的設定應該也足夠一般應用, 除了沒有像 Synology 一樣的 Firewall filter 的設計外.

安全性的設定主要在這裡, 可以設定允許或拒絕特定的 IP/網段等連線 NAS

根據不同的 service, 若登入失敗則封鎖

憑證

Service bind 是 Qnap 較特別的設計, 針對有多網卡的 NAS 機型, 可以指定各別網路端口可允許提供的服務(協定)

所以和 Synology NAS 相較起來, Synology Firewall 提供更進階的設定, 但一般來說, 大部份的應用將這類的設定交給前端的 firewall 或是 IP 分享器就可以了, 除非比較特別的應用, 例如 Synology NAS firewall 提供 GeoIP 的 check, 你可以針對特定的 IP 所屬的國家地區別來過濾. 這在一般的 firewall 上就無此設計, 如此則能利用 Synology NAS firewall 來補強.

FB: Pctine

chninfo

chninfo
個人積分：31分
文章編號：59058422

31分

樓主

2016-01-29 15:09

pctine wrote:
QNap 上面安全...(恕刪)

感謝~

我目前也是這樣做~

只是怕還有甚麼地方遺漏的~

謝謝P大撥空指導!!

a19560714

a19560714
個人積分：226分
文章編號：59058950

226分

10樓

2016-01-29 15:58

chninfo wrote:
只是怕還有甚麼地方遺漏的~...(恕刪)

個人覺得，最重要的還是將所有的 port 進行大挪移，也就是除非必要(例如 NTP SMTP 之類)，能移開就移開，我目前包含 SSH WebDAV SFTP之類的port都搬到其他地方，如此除了 mail server 因為無法改port ，都有人來嘗試敲門外，其他部分幾乎不曾碰過。因為就算要敲門，也要先找到門才行，門的位置變了，想要用程式自動去敲，就有比較高的難度。