原文的问题是这样： 请问Synology可以限定mac才能连线吗？这样不是绝对安全了吗？ 原本想说下面应该有正确答案，不过六个小时过去了还没有，看到的答案是 「如果真有利可图，搞破坏的人大可去 amazon 租一堆 mac 来连线，就算你真的能限制只 有 mac 才能连线，那有什麽用？」 「HTTP 唯一能判断系统的只有 User-Agent 然而这个很容易就能伪造了，根本不需要租 Mac」 「老话一句，不想中毒就不要接触外界，不想坏电脑就不要开机」 所以我觉得我应该可以出来说明一下，毕竟如果台湾的民间网段多了一堆跳板其实也很麻 烦。 =========================== 首先提到网路本质，基本上在两台主机一条线连起来就可以当作最基本的网路 然後我们会想要加入第三台主机，这时候资讯（或说封包）传递上就会有目的地位址的问 题，A主机出发的封包是要传递到 B 主机还是 C 主机。 那这样在同一个区域网路间的定址位置就是 L2 的位置，在乙太网路也就是我们所俗称 的 MAC 位置。 [主机A]-----------------------------------------[主机B] XX:XX:XX:00:00:01 XX:XX:XX:00:00:02 这是一个区域网路 但是後来我们想要把不同网路互相串联，所以出现了网际网路=Internet，要注意的是这 的网际网路和网路是有点不同的。 上面几行提到的网路可以把它想成是主机和主机间在同个区网内的网路 网际网路则是区网和区网之间的网路。 那封包要怎麽从使用者4G上网的区域网路一路传传传，走到家里中华电信小乌龟後的区域 网路的这个问题就是网际网路要处理的问题，在这边我们发明了另一种位置叫做网际网路 位置，Internet Protocol Address 俗称 IP 位置。 [网路A]----------------------------------------[网路B] 140.117.183.0/24 103.129.146.0/24 2001:288:8001:13::/64 2403:7f40:ff00::/64 这是网际网路 对於网路和网路之间的转换，我们会利用 Gateway 也就是闸道器来转换，那在不考虑 NAT的前提下， Gateway 会帮我们把封包往下一个 Router 转传，传到目的地网路的 Gateway。 也就是说，在目的地网路中是看不到来源网路主机的 MAC Address 的。 ^ 这句话是重点，麻烦记下来。 对於 MAC Address 的封锁，只对於在同个区域网路有效，对於来自网际网路的连线无效。 和 MAC Address 可以被复制，可以买，Amazon可以申请等等的一点关系都没有。 这种常识应该是在 Network 版稍微爬一下文就能知道的。 ======================== 再来是安全的部分，原则上资讯安全必须要考虑目标物的价值才能判断出这个东西所承受 的风险在哪边。 举例来说，比特币发明人中本聪的区块链私钥明显承受的风险会比一般市井小民的高。 换种方式举例，如果有个人有办法盗取银行存款，但是只能盗取一个帐户，那他会选择 郭台铭还是一个刚出社会的大学生？ 所以说通常在家用NAS因为资安风险不高，一般人不会把抓到会被金管会重罚的资料或是 APPLE新一代电脑的主机板设计图放在家中NAS，所以也不太会有攻击者对这个标的有兴趣 自然而然资安随便做都不会被打。 因为一般人的 NAS 根本不是什麽咖，坦白讲是这样。 那为什麽 qlocker 之类的手法还能得逞？ 因为他就像是诈骗集团一样随便打电话，假如有人接就问候一下他家长辈，和他说他小孩 被绑架了。十之八九正常人都知道那是诈骗集团会挂他电话，但是还是会有人中奖。 中奖之後对方就会按照指示去做一些动作，例如用ATM把钱转到指定帐号。 所以最简单的方式是把市话停用 (X) 限制要先打入总机才能打进分机 (?) 和家中长辈提醒现在诈骗很多，教他们如何分辨诈骗 (O) 那像是 qlocker 这样的攻击手法就像是诈骗集团突然发现一种新的话术可以骗倒我们家 中的 NAS = 长辈，然後原厂来不及出懒人包，长辈们就照指示做下去了。 那除了被动的不断更新以外，实际上还可以针对未授权的访问建置黑名单系统。 像是 Whoscall 就是电话号码的黑名单系统，那 IP Address 基本上也有黑名单系统， 可能 QNAP 或是 S 家的工程师这是第一次听过。 这叫做 IP Blacklist 像是这边有很长一串： https://whatismyipaddress.com/blacklist-check 他会藉由一些资安专家在网路上随机放置的主机作为蜜罐 (Honeypot) 因为他本身是没有特别服务的，所以理论上任何人都不应该找他，也就是对他发出连线 的 IP Address 基本上就是攻击者或是已经中毒变成殭屍的主机。 接着他把这个 IP Address 回报给黑名单资料库，黑名单资料库根据回报状况以及网段 声誉等评价自动把警告传给该网路的滥用负责人，同时公告这个 IP Address 是黑名单 请大家一起排挤他(?) 然後该 IP 的使用者必需要到资料库上面用自然人的方式详述连线原因，然後才会被放 行。 详细的作法有兴趣的 NAS 厂我觉得可以约时间来讨论看看，看整体费用如何分摊之类的。 基於我这边还有受到赞助维护 ifconfig.tw 这个公用服务的前提下，整体应该不会太困难 --------------------------- 另外一个个人用户可以考虑的做法是加大扫描空间，也就是停用 IPv4 只用 IPv6 这样 在 IPv4 的话一个网段大约是 256 个 IP 以目前 IPv4 不足的现况来说的话，几乎随便 测试都能找到有人正在使用的 IP，对於攻击者来说攻击的合理性很高。 但是在 IPv6 的话一个网段大约是 2^64 次方个 IP 大约是全世界 Global IP 总数的平 方。 就强度而言要扫中某个区域网路内的某个 IP 大约等於十位数的大小写混合密码 也就是假如他这样可以在合理时间例如十分钟内扫描到的话，那十位数大小写混合的密码 基本上在当年都可以被宣告为不安全了。 在用数学的方式验证一次的话 2^64 除上 86400 秒，再假设他一毫秒可以尝试一次的话 大约需要 213,503,982,335 天可以扫描完所有 IP 假设他是用平行的方式发出一个TCP Syn封包是 64 Byte, 而中间的网路有 10Gbps 的容量 大约需要 1,272,583 天可以扫描完所有 IP 因此会让扫描IP的手法在几年内变得十分不实际。 顺带一提，同样的计算方式扫描完中山大学的网段大约是一分钟到 0.3 毫秒， 扫瞄完整个Internet 大概是 50 天或是 29.6 秒。 ================= 以上，如果这篇文章有做到什麽帮助的话欢迎转发，或是用P币赞助这篇文章 : ) -- 此篇文章以 CC BY-SA 4.0 发表。 咖啡是一种豆浆， 茶是一种蔬菜汤。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.230.209.239 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1620461590.A.C77.html