遠端工作後資料量越來越大
有想在家裝一台nas
一來可以隨時備份資料
二來到外地出差要調檔案也方便
但又擔心資安上的問題
之前還看過網友的NAS遭勒索病毒攻擊
據我所知 像這種連網裝置
都是透過家用WIFI來作為攻擊途徑
那我是不是只要裝個具有WIFI防護的路由器
像是ASUS、TP-LINK、DYNALINK
我看這些廠牌部分產品有提到一些安全防護的功能
也有網友介紹我可以試試趨勢的智慧網安管家
各位資深大大們有沒有建議可以強化NAS安全性的好方法
非常感謝
多一層不同的帳號密碼就多一層安全
例如在卡一層VPN
NAS的安全性也就是那幾樣
1.停用內建ADMIN帳號
通常會被字典攻擊帳號不是admin 就是user不然就是root
2.密碼複雜度
長度10碼英文大小寫混數字符號
3.密碼錯誤次數累計封鎖IP設定
例如30分鐘內錯誤3次封鎖IP
4.僅允許白名單區域(台灣)SYNOLOGY有這功能
僅同意台灣IP連入NAS 基本上就已經封鎖97%的攻擊了
搭配3 基本上就妥妥了...
5.改預設網頁登入PORT
剩下就是NAS韌體漏洞...這就真的無解 遇到就倒楣而已
所以真重視資料的通常會有第二第三個備份
像是家裡NAS 買兩台 一台中高階 一台低階
低階的不對外只在區網內
主力的機種排程備份到低階的那台 每日差異 保留7天以上的版本
貓老闆
有在外面調取檔案的需求,不重要的檔案,建議是和免費的雲端搭配使用,如box有50gb的免費空間,放些文檔什麼的都很夠用了。
以box為例:
※ 在NAS建立雲端同步,將box免空與本地NAS連結,做即時同步
※ 家中桌機建立網路磁碟連線NAS上的同步資料夾,這樣你建立、修改的文件都會即時與雲端同步。
※ 在筆電上安裝box同步軟體,這樣你筆電開机連網後會馬上把雲端的文件同步到你的筆電,你在筆電上修改的文件也會即時同步到box,並同步回家中的NAS
這樣不管你在家中的桌机操作,或是在外面用筆電修改文件。你的NAS、雲端、筆電和桌機所讀取到的都是最新版本的文件。
至於網路安全的部份,區網不要做任何的port轉發,不要經由路由器端口連線回來。全部經由TUNNEL或是VPN或是反向代理方式做連接。例如我用免費的TLD + 免費的Cloudflare DNS管理,透過免費的TUNNEL打洞回來,這樣連線是域名經由DNS解析到隧道再通過隧道連線回到家中的NAS,並利用SUB DOMAIN來做家中需要外對內連線的設備管理
例如:
dsm.xxxxx.tk是連線到synology的nas
qts.xxxxx.tk是連線到qnap的nas,
ha.xxxxx.tk是連線到家中的智慧家居中心Home Assistant伺服器的…
以上是舉例,自已取名來管理自已的設備,讓別人想破腦袋也找不到你的nas登入入口
而且cloudflare很佛心的為每個用戶都提供免費的TSL/SSL加密傳輸,就算你是免費用戶也是一樣提供這項加密傳輸服務,所以安全性上也得到大大的提升。
這樣一來你就不用怕人家掃你nas的port從路由器端入侵。而你一些重要不能放雲端的檔案則能透過域名連線回到家中的NAS來取用。
我自組NAS已經24*7*365跑了3年多了,沒有一筆入侵測試帳號密碼的記錄! 一來是我家是用4G網路, 所以沒有公網IP,要入侵我家先要搞定擋在前面的CGNAT,二來是我用上面的方式做遠端存取,不知道我NAS域名的連要入侵都找不到大門,這讓外面要連線到我家中的區網更加的困難!
※ 停用ADMIN帳號肯定要做,但預設的port就不用去改了,人家用掃port程式一跑,你改什麼port分分鐘現形…
※ 定期做備份(如USB外接硬碟)與異地備份(如另一台閒置的NAS或另一台不用的PC)
※ 如沒有24小時在線服務的需求,儲存池用單顆硬碟做BASIC即可,簡化後續硬碟救援的難度,並可把省下的錢拿去買備份設備,增加資料備份數是比較實在的做法~
老人家住鄉下,鄉下雖有裝固網,但為防萬一,所以路由器端口也都沒有打開,NAS的監控系統全部經由DNS解析到隧道再做連線,我隨時可連線回鄉下去查看情況,:
有MCSE認証但不務正業的國際貿易打雜員工
NAS除了自身的價格不便宜,硬碟也是消耗品
然後還要購置周邊UPS保護用電穩定,避免突然斷電造成資料毀損
重要資料甚至建議購置兩台NAS做到異地備份,整體的開銷更是高達兩倍以上
再來要學習資安概念,設定和測試是否如同想像一樣
能夠接受每次取檔案都連VPN嗎?家裡外網速度夠穩定和速度夠快嗎?
這些都是需要去思考的
就是不能讓工作電腦直接可以由系統開啟資料夾的方式連線到NAS
因為勒索病毒一發作就是掃描所有可以開啟的磁碟機
然後全部加密
一般都是工作電腦不明原因中了勒索病毒
病毒掃到掛在網路上的NAS共享資料夾
病毒就連NAS資料夾內都直接加密
USB備份也是一樣的道理
我的NAS改用FTP搭配帳號密碼,並且不使用windows內建資料夾連線
改用備份軟體,將FTP帳密存在裡面
交由備份軟體去連線NAS並隨時備份工作檔案
如果工作電腦中了勒索病毒,搜尋整台電腦也不會發現NAS的存在
因為NAS連線資訊只存在於備份軟體裡面
即使工作電腦已經中毒,病毒正在加密資料
同時間備份軟體也在連線備份中
病毒還是無法加密NAS內的資料(只能在工作電腦上撒野)
因為病毒無法由系統連線到NAS
用備份軟體隔開NAS還有個好處
就是備份方式很彈性
可以自訂
●檔案有修改就自動更新到NAS上
●多版本備份(舊版本保留)
●刪除後留存30天再自動清除
●針對指定格式檔案備份
●開機直接啟動程式監控
.......等等很多好用的功能
幾年前這套系統真的救了我的資料
工作電腦整台被加密
NAS資料安全倖存
最後簡單的重灌+NAS資料抓回
一天就完成恢復
內文搜尋
從 APP 打開
X