作者zxc2331189 (阿拉花瓜)
看板Storage_Zone
标题[请益] NAS开放对外 设白名单才能连 能挡勒索?
时间Fri Sep 9 11:28:07 2022
是这样的拉
最近又看到NAS出现被勒索状况
看了一下 都有开放对外没IP限制都能直接到网页登入画面?
以往被勒索好像都是这样子的人中?
如果NAS上直接设白名单IP才能连
是不是就能挡下勒索软体?
还是NAS上有开其他後门 开了白名单也没用?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.132.183.128 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1662694089.A.1C1.html
※ 编辑: zxc2331189 (220.132.183.128 台湾), 09/09/2022 11:28:45
1F:→ maniaque : 看是 IP block policy 先行还是怎样 09/09 11:37
2F:→ tomsawyer : 4 白名单就是iptables还是啥的档 在系统层面 09/09 12:05
3F:→ tomsawyer : 我家破烂Q只有4.3更新 有对外 但白名单内网一点事 09/09 12:05
4F:→ tomsawyer : 都没有 09/09 12:05
5F:→ robinsonXD : 如果是电脑被骇,内网SMB存取NAS,还是一样会整组坏 09/09 12:11
6F:→ robinsonXD : 掉 09/09 12:11
7F:→ tsaigi : 问题是你怎麽知道你会用到哪些IP 09/09 12:34
8F:→ fujisawa : 这样对外除了有固定IP不然感觉没VPN实用吧 09/09 13:31
其实也不用固定IP 把自己IP发信到信箱或LINE,写个脚本自己去开白名单
不过要先确认是不是开了白名单就能挡住外部扫NAS IP那种勒索 不然也是没用
9F:→ comipa : GeoIP阿 只留台湾ip就会改善很多了 09/09 13:55
10F:→ comipa : 反正一切都是方便vs安全之间的取舍 09/09 13:55
11F:→ comipa : 电脑被骇那等於贼在你家里 根本没啥好讨论的了 09/09 13:56
※ 编辑: zxc2331189 (220.132.183.128 台湾), 09/09/2022 14:16:34
12F:→ labbat : 一种钥匙用信件寄出去的概念,不担心信箱隐秘吗 09/09 15:19
只有IP资讯应该是还好 除非信件被拦截而且对方知道这是干什麽用的
13F:推 Baternest : 先VPN才能连NAS 又不是要服务公 众 干嘛直接对外? 09/09 16:47
VPN不是会降低速度吗 而且也算另外一个坑吧 也是需要定时维护补漏洞
14F:推 p72910 : 可以购买SSL凭证,只有持有凭证的装置才能连线 09/09 17:15
15F:→ p72910 : SSL买全球大厂comodo平均一年才1000多台币而已 09/09 17:16
SSL凭证感觉可以研究看看
※ 编辑: zxc2331189 (220.132.183.128 台湾), 09/09/2022 18:55:38
16F:→ cs8425 : 楼上说的那种SSL凭证可以自己签 不用另外花钱 09/09 19:22
17F:→ cs8425 : 绑域名的(https常见) 才需要第三方机构签(费用另说 09/09 19:24
18F:→ shengshampoo: SSL 证书可以付费购买,也可以用常见的Let's encry 09/10 11:04
19F:→ shengshampoo: pt 等免费签发。差异仅在於验证签发方式有差。线上 09/10 11:04
20F:→ shengshampoo: DNS验证,或是实体企业商业验证,商业目的的门面网 09/10 11:04
21F:→ shengshampoo: 站才会考量用付费SSL。 09/10 11:04
22F:→ shengshampoo: 原PO的想法和需求非常常见,只是适用场景比较偏向 09/10 11:06
23F:→ shengshampoo: 架站的资安领域。 09/10 11:06
24F:→ shengshampoo: 网路上有很多的类似教程,购买VPS 架设网站,VPS本 09/10 11:11
25F:→ shengshampoo: 身的後台管理和存取,仅允许前段用cloudflare 或是 09/10 11:11
26F:→ shengshampoo: 其他类似服务 IP 反代登入存取。也就是仅有白名单c 09/10 11:11
27F:→ shengshampoo: loudflare IP才可进入。 09/10 11:11
28F:→ shengshampoo: 抗CC,抗DOS打爆网站,禁止未授权的IP骇入等。 09/10 11:13
29F:→ shengshampoo: VPS 脚本更新cloudflare IP白名单清单, iptable 09/10 11:15
30F:→ shengshampoo: 防火墙设定仅允许cloudflare IP 进入。cloudflare 09/10 11:15
31F:→ shengshampoo: 也有相关的设定选项。 09/10 11:15
32F:→ seiya2000 : 买台家用NAS来放档案还要买凭证架VPS也太夸张 09/10 13:24
33F:推 BraviaX95j : 我是买RT2600ac,内附的VPN PLUS好用,VPN进去就当区 09/10 14:20
34F:→ BraviaX95j : 网操作了 09/10 14:20
35F:推 cellochou : NAS 不用对外开放 09/10 14:25
36F:→ cellochou : 只要跟行动装置都装上 ZeroTier 或是 TailScale 09/10 14:25
37F:→ cellochou : 就可以直接连线惹, 安全稳稳的 09/10 14:25
38F:→ shengshampoo: 不是说要买VPS 和SSL证书,而是如同原PO所需要的, 09/10 14:40
39F:→ shengshampoo: 保护VPS不被骇客入侵,如同外连公网的NAS,设定白 09/10 14:40
40F:→ shengshampoo: 名单IP清单,仅允许特定对象的IP登入VPS/NAS。 09/10 14:40
42F:→ shengshampoo: VPN 是一个解决方法,速度的确会掉一些,wireguard 09/10 14:49
43F:→ shengshampoo: 协议至少还不错。 09/10 14:49
45F:→ shengshampoo: Synology DSM + Cloudflare Tunnel 09/10 15:35
46F:→ Arbin : ZeroTier的问题是你永远不知道他的节点会往哪边绕. 09/11 05:37
47F:→ Arbin : .. 09/11 05:37
48F:→ shengshampoo: 楼上,zerotier 和 tinc vpn 一样属於P2P VPN,本 09/11 08:14
49F:→ shengshampoo: 来就不会固定制式走单一节点。 09/11 08:14
50F:→ asdfghjklasd: 用VPN , 不然前端就用有UTM/NGFW的FIREWALL 09/12 00:35
51F:推 changchichun: 请问要怎麽设定 "只有持有凭证的装置才能连线" ??? 09/12 09:26
52F:推 p72910 : 你要有固定ip跟网域,绑进ssl凭证 09/12 11:49
53F:推 lonberk : 不能 这次中勒索利用的是Q家NAS内的APP中的BUG 09/12 16:52
54F:→ lonberk : 只要有对外IP被扫到就会中 09/12 16:53
56F:→ shengshampoo: IP 扫描又不是最近才有,网路发展到现在 09/12 21:55
57F:→ shengshampoo: 就有一堆现成的黑牌白牌工具应用。 09/12 21:56
58F:→ shengshampoo: 不一定要有固定IP,DDNS也可以,但要有网域, 09/12 21:58
59F:→ shengshampoo: 就可以DNS验证签发SSL证书。 09/12 21:58
60F:→ shengshampoo: 就可以DNS验证签发免费SSL证书。 09/12 21:59
61F:→ shengshampoo: Letsencrypt BuyPass Google.com Public CA ZeroSSL 09/12 22:00
62F:推 p72910 : ddns要开port,我想朝完全不开port的方向去设定 09/12 22:23
63F:→ p72910 : 同时所有synology对外服务套件要能正常运作 09/12 22:24
64F:→ asdfghjklasd: 不开PORT 又要能对外,除非你一个人用... 09/12 23:41
65F:→ asdfghjklasd: 而一个人用那就用VPN就好了 09/12 23:41
66F:→ asdfghjklasd: 有一个只开一个PORT 但可以跑 多种PORT的方法 09/12 23:41
67F:→ asdfghjklasd: 而且第一个面对的也不是NAS 09/12 23:42
68F:→ asdfghjklasd: 有兴趣的可以去研究 sslh 09/12 23:42
69F:→ asdfghjklasd: ngrok 也可以看看 09/12 23:44
70F:→ asdfghjklasd: 以前玩过连上某个PORT 验证後,自动 Allow 连上的IP 09/12 23:48
71F:→ asdfghjklasd: 这 POrt 可以1024 以外的任一个PORT 比如 9527 09/12 23:48
72F:推 changchichun: 用网域申请SSL我知道,但是不懂怎麽设定才能 09/13 10:09
73F:→ changchichun: 「只有持有凭证的装置才能连线」?请问有参考网址 09/13 10:10
74F:→ changchichun: 或者是关键字可以查询嘛? 09/13 10:10
75F:→ shengshampoo: 中文找不到,就用英文单字找。 09/13 12:31
76F:→ asdfghjklasd: 我的VPN 有启用 OTP 09/13 22:43
77F:推 changchichun: 可以建议一下嘛?我真不知道怎麽下英文关键字去找 09/14 10:08
78F:→ changchichun: ssl + 「只有持有凭证的装置才能连线」 09/14 10:08
79F:→ changchichun: 翻到 Mutual Authentication 再来研究看看 09/14 10:09
80F:推 skasia886 : 1.直接防火墙设白名单 09/14 11:30
81F:推 NTUHandsome : 我好像用port knocking 09/27 21:21
82F:→ NTUHandsome : 前面摆一台router board用port knocking 09/27 21:22