作者americ (americ)
看板Network
标题[问答] NAS透过VPN或用port转发 安全性有差吗?
时间Sun Oct 18 00:41:11 2020
因为之前看到VPN对速度会有影响
所以目前只会使用port转发的方式
後来想想, 安全性还是很重要, 所以在想是不是改用VPN
但是查了一下网路
所谓VPN的安全性
好像是指把通讯内容加密
那这样对於被扫ip, 扫port, 的暴力试密码
也是跟开port一样
没办法防止的是吗?
而且被破解VPN的话, 不只NAS受影响, 其它内网的电脑也会遭殃,
但用开port的方式, 也就只影响到NAS而已,
不知道我的想法对不对,
谢谢!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.230.150.28 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1602952873.A.B60.html
※ 编辑: americ (36.230.150.28 台湾), 10/18/2020 00:43:05
1F:→ americ: 爬前几篇文 好像要用 SSL VPN+CA 10/18 02:13
2F:→ americ: 重点好像在CA 不知PORT的方式能用吗? 10/18 02:24
3F:→ tomsawyer: 你就不要用帐号密码登入 改用cert+密钥就变ssl vpn了 10/18 16:30
4F:→ americ: 网路查是有VPN+CA的方式 可是怎麽样把cert+密钥 用在一般 10/18 16:53
5F:→ americ: 网路芳邻的帐号密码连线呢?? 10/18 16:54
6F:推 wasijimla: 网芳不要开对外,要连的时候先VPN回来再连,控管好VPN 10/18 19:07
7F:→ wasijimla: 的连线就好 10/18 19:07
8F:→ worldark: VPN弄到会被暴力破解也太鸟 10/19 10:33
如果只是帐密而已 那VPN也是一样吧?
※ 编辑: americ (36.231.144.83 台湾), 10/19/2020 12:13:58
9F:→ fonzae: 都加上CA,除非对方也拿到同样CA才能登入 10/19 16:55
我觉得CA是最低风险的, 可是开PORT好像目前还没有搭配CA的方式...
10F:→ fonzae: 不管你要用哪种方法,那都有风险,只是风险高跟低 10/19 16:56
11F:→ fonzae: 而SSL VPN有所谓的加密协定,不是那麽容易破解 10/19 16:56
想请教, 一般密码被破解的情况, 是暴力破解多, 还是被看明码破解呢?
因为SSL就我知道好像是传输加密, 主要是防止被看明码这部份
12F:→ fonzae: 如果你很信任NAS OS层,你是可以直接开Port 10/19 16:57
请问可以举例可能会有的问题吗?
※ 编辑: americ (36.231.144.83 台湾), 10/19/2020 19:38:52
13F:→ fonzae: 暴力破解就是尝试,开Port就有可能被这样破 10/20 01:14
14F:→ fonzae: 例如预设的Admin帐号,那麽就可以一直尝试 10/20 01:14
15F:→ fonzae: 或者利用本身NAS的尚未修补漏洞进行控制更改高权密码 10/20 01:15
16F:→ fonzae: SSL主要还是公钥及私钥认证 10/20 01:16
17F:→ fonzae: 多一个因素那就是CA 10/20 01:16
18F:→ fonzae: 会要你使用SSL VPN,主要在於多因素验证 10/20 01:18
19F:→ fonzae: 而不希望你开PORT直连NAS,主要在NAS厂商不一定会立即修补 10/20 01:18
20F:→ fonzae: 之前监控设备集体攻击某家平台导致瘫痪就是类似这种 10/20 01:19
21F:→ fonzae: 监控设备版本过旧,被统一操控进行国内瘫痪攻击 10/20 01:19
22F:→ fonzae: 其次大多买这种监控设备鲜少会做到更新及外网禁连 10/20 01:20
谢谢f大 我对VPN概念浅 会再多研究...!
23F:→ tomsawyer: 可是网芳有ca类的认证吗 先不说windows ad/server 10/20 12:32
※ 编辑: americ (36.231.144.83 台湾), 10/20/2020 20:48:11
24F:→ deadwood: 只要是对外开放的服务包含VPN都可能被暴力尝试啊 10/22 14:15
25F:→ deadwood: 要说VPN一定比较安全那也未必,例如你用NAS内建的VPN 10/22 14:18
26F:→ deadwood: 那不是等於把NAS直接对外了? 10/22 14:18
27F:→ deadwood: VPN比较安全也是有前提的,那就是VPN伺服器是独立的 10/22 14:19
28F:→ deadwood: VPN server本身的软体漏洞要修补、要防暴力尝试、认证 10/22 14:20
29F:→ deadwood: 机制要安全(凭证认证或多因素认证) 10/22 14:21
30F:→ deadwood: 如果你直接把内部服务开port想做到安全也不是不行,但是 10/22 14:22
31F:→ deadwood: 如果开的服务好几个,也有不只一种系统,就会有漏洞来不 10/22 14:23
32F:→ deadwood: 及补的问题,毕竟要维护的服务跟系统数量变多了 10/22 14:24
33F:→ deadwood: 如果对外只用VPN,连上VPN才能存取内网服务,基本上只要 10/22 14:25
34F:→ deadwood: 专心维护好VPN的安全就好,减少被攻击的目标。 10/22 14:26