Qnap NAS 安全設定請教

ericson999
個人積分：38分
文章編號：54234438

38分

樓主

2015-01-27 17:05

我在學校單位購置一台NAS
用量大且頻繁
故有提供免帳號密碼的FTP位置
方便學校內部人員資料暫存用

但是常常觀察連線紀錄有一些奇怪的IP想用ftp方式連上來
一下login Ok一下又logout
所以想請教大家
如何在安全等級以及防護設定上去設定較安全
感謝

Qnap NAS 安全設定請教

2015-01-27 17:05 發佈

文章關鍵字 QNAP NAS 安全設定

wade12

wade12
個人積分：3分
文章編號：54234787

3分

2樓

2015-01-27 17:28

依您所描述的,
[有提供免帳號密碼的FTP位置]
我提供的想法是[限定來源IP],
全部封鎖後只開放允許的IP來連.

補充一點, 系統的log要留, 有什麼問題至少還能查..

pctine

pctine
個人積分：5079分
文章編號：54234805

5079分

3樓

2015-01-27 17:29

ericson999 wrote:
我在學校單位購置一台NAS
用量大且頻繁
故有提供免帳號密碼的FTP位置
方便學校內部人員資料暫存用

但是常常觀察連線紀錄有一些奇怪的IP想用ftp方式連上來...(恕刪)

有幾個思路供你參考.

1.取消 anonymous ftp, 一律採用帳密連線.

2.針對來源端設限: 如果你已知登入來源端皆是校內, 那麼在 NAS 前面加一台 firewall, 然後在 firewall 上面設定 ftp 僅允許來自特定網段(校內網段)的 user 連線.

ps: 由於 QNap NAS 並不開放 firewall rule 的設定, 所以你必須在前端再加一台 firewall 進來, 或是如果你的 NAS 有多個 GbE port, 可以將其中一個 port bind 在內部網段. 只限內部網段存取.

FB: Pctine

夏大雨

夏大雨
個人積分：24分
文章編號：54234856

24分

4樓

2015-01-27 17:32

FTP最好不要使用免帳號密碼登入，太危險了
真的沒有其他辦法一定要用的話，至少也要使用其他的port，避免使用21 port
在QNAP安全設定裡沒有什麼避免的規則
我每天都會看到一堆莫名其妙的IP嘗試登入
如果在校內使用，還可以用其他分享方式，例如SAMBA
也可以只允許IP範圍通過，其他IP禁止通過

ericson999

ericson999
個人積分：38分
文章編號：54245519

38分

樓主

2015-01-28 12:16

小弟生手
再請教一些問題
(1)限定來源IP設定

例如學校都是130.110.XXX.XXX
那我起始跟結束應該怎麼填入
是不是130.110.0.0~130.110.255.255?

(2)因為學生狀況多,有的連ftp也不懂(比我慘),所以帳密連線不想設定,免得多一層阻礙
所以添購firewall也是可行方法,但是剛剛找一下,發現隨便一台都好幾萬,有沒有便宜又好設定的

(3)若是校內不用ftp改用SAMBA好嗎?感覺SAMBA病毒很容易進來對吧!還有連結設定是不是比較多狀況?速度比較如何?

感謝大家的資訊

夏大雨

夏大雨
個人積分：24分
文章編號：54246244

24分

6樓

2015-01-28 12:56

ericson999 wrote:
小弟生手再請教一些問...(恕刪)

使用者多，風險也增大
越方便使用，風險也增大
Firewall可以用分享器中NAT功能達到90%的效果
又便宜又好用
對有心人要侵入，那就另當別論
其實你可以打電話問一下QNAP的技術支援部門
他們的服務還不錯
甚至會遠端幫你設定

pctine

pctine
個人積分：5079分
文章編號：54247560

5079分

7樓

2015-01-28 14:10

ericson999 wrote:
例如學校都是130.110.XXX.XXX
那我起始跟結束應該怎麼填入
是不是130.110.0.0~130.110.255.255?

直接用網路遮罩來做就好了.
130.110.0.0/255.255.0.0

(2)因為學生狀況多,有的連ftp也不懂(比我慘),所以帳密連線不想設定,免得多一層阻礙
(3)若是校內不用ftp改用SAMBA好嗎?感覺SAMBA病毒很容易進來對吧!還有連結設定是不是比較多狀況?速度比較如何?
..(恕刪購firewall也是可行方法,但是剛剛找一下,發現隨便一台都好幾萬,有沒有便宜又好設定的

相對來說, 用ftp 會比 samba 簡單好管理.
如果只針對校內開放, 限制來源端的 IP 網段即可, 暫時還不需要買 firewall.

FB: Pctine

ericson999

ericson999
個人積分：38分
文章編號：54274978

38分

樓主

2015-01-30 9:36

謝謝大家
我知道我要怎麼做了
但是我還想問
例如只限台灣區域進得來
那又應該要如何設定呢?

pctine

pctine
個人積分：5079分
文章編號：54278120

5079分

9樓

2015-01-30 12:34

ericson999 wrote:
例如只限台灣區域進得來
那又應該要如何設定呢?...(恕刪)

在前面要加一台 firewall 進來, 這台 firewall 要支援 access list, 把所有台灣的 IP 網段列入白名單, 例如 Mikrotik RouterOS, 一般的 IP 分享器很少能納入這麼大的 access list.

不然就是 firewall 要支援 GeoIP, 例如 draytek vigor 300b & 2960.

QNap NAS firewall 功能建議
QNap 在 NAS 裡面的安全防護選項很多, 但就是沒有更進階的設定, 例如樓主所提針對 service, source ip & destination ip 來設定 rule, 或者是更進階的 GeoIP, 這些功能是在 Synology NAS 已是標準的功能, 在實務上確實有一些這方面的應用（如樓主的需求即是)

FB: Pctine