作者americ (americ)
看板Network
標題[問答] NAS透過VPN或用port轉發 安全性有差嗎?
時間Sun Oct 18 00:41:11 2020
因為之前看到VPN對速度會有影響
所以目前只會使用port轉發的方式
後來想想, 安全性還是很重要, 所以在想是不是改用VPN
但是查了一下網路
所謂VPN的安全性
好像是指把通訊內容加密
那這樣對於被掃ip, 掃port, 的暴力試密碼
也是跟開port一樣
沒辦法防止的是嗎?
而且被破解VPN的話, 不只NAS受影響, 其它內網的電腦也會遭殃,
但用開port的方式, 也就只影響到NAS而已,
不知道我的想法對不對,
謝謝!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.230.150.28 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Network/M.1602952873.A.B60.html
※ 編輯: americ (36.230.150.28 臺灣), 10/18/2020 00:43:05
1F:→ americ: 爬前幾篇文 好像要用 SSL VPN+CA 10/18 02:13
2F:→ americ: 重點好像在CA 不知PORT的方式能用嗎? 10/18 02:24
3F:→ tomsawyer: 你就不要用帳號密碼登入 改用cert+密鑰就變ssl vpn了 10/18 16:30
4F:→ americ: 網路查是有VPN+CA的方式 可是怎麼樣把cert+密鑰 用在一般 10/18 16:53
5F:→ americ: 網路芳鄰的帳號密碼連線呢?? 10/18 16:54
6F:推 wasijimla: 網芳不要開對外,要連的時候先VPN回來再連,控管好VPN 10/18 19:07
7F:→ wasijimla: 的連線就好 10/18 19:07
8F:→ worldark: VPN弄到會被暴力破解也太鳥 10/19 10:33
如果只是帳密而已 那VPN也是一樣吧?
※ 編輯: americ (36.231.144.83 臺灣), 10/19/2020 12:13:58
9F:→ fonzae: 都加上CA,除非對方也拿到同樣CA才能登入 10/19 16:55
我覺得CA是最低風險的, 可是開PORT好像目前還沒有搭配CA的方式...
10F:→ fonzae: 不管你要用哪種方法,那都有風險,只是風險高跟低 10/19 16:56
11F:→ fonzae: 而SSL VPN有所謂的加密協定,不是那麼容易破解 10/19 16:56
想請教, 一般密碼被破解的情況, 是暴力破解多, 還是被看明碼破解呢?
因為SSL就我知道好像是傳輸加密, 主要是防止被看明碼這部份
12F:→ fonzae: 如果你很信任NAS OS層,你是可以直接開Port 10/19 16:57
請問可以舉例可能會有的問題嗎?
※ 編輯: americ (36.231.144.83 臺灣), 10/19/2020 19:38:52
13F:→ fonzae: 暴力破解就是嘗試,開Port就有可能被這樣破 10/20 01:14
14F:→ fonzae: 例如預設的Admin帳號,那麼就可以一直嘗試 10/20 01:14
15F:→ fonzae: 或者利用本身NAS的尚未修補漏洞進行控制更改高權密碼 10/20 01:15
16F:→ fonzae: SSL主要還是公鑰及私鑰認證 10/20 01:16
17F:→ fonzae: 多一個因素那就是CA 10/20 01:16
18F:→ fonzae: 會要你使用SSL VPN,主要在於多因素驗證 10/20 01:18
19F:→ fonzae: 而不希望你開PORT直連NAS,主要在NAS廠商不一定會立即修補 10/20 01:18
20F:→ fonzae: 之前監控設備集體攻擊某家平台導致癱瘓就是類似這種 10/20 01:19
21F:→ fonzae: 監控設備版本過舊,被統一操控進行國內癱瘓攻擊 10/20 01:19
22F:→ fonzae: 其次大多買這種監控設備鮮少會做到更新及外網禁連 10/20 01:20
謝謝f大 我對VPN概念淺 會再多研究...!
23F:→ tomsawyer: 可是網芳有ca類的認證嗎 先不說windows ad/server 10/20 12:32
※ 編輯: americ (36.231.144.83 臺灣), 10/20/2020 20:48:11
24F:→ deadwood: 只要是對外開放的服務包含VPN都可能被暴力嘗試啊 10/22 14:15
25F:→ deadwood: 要說VPN一定比較安全那也未必,例如你用NAS內建的VPN 10/22 14:18
26F:→ deadwood: 那不是等於把NAS直接對外了? 10/22 14:18
27F:→ deadwood: VPN比較安全也是有前提的,那就是VPN伺服器是獨立的 10/22 14:19
28F:→ deadwood: VPN server本身的軟體漏洞要修補、要防暴力嘗試、認證 10/22 14:20
29F:→ deadwood: 機制要安全(憑證認證或多因素認證) 10/22 14:21
30F:→ deadwood: 如果你直接把內部服務開port想做到安全也不是不行,但是 10/22 14:22
31F:→ deadwood: 如果開的服務好幾個,也有不只一種系統,就會有漏洞來不 10/22 14:23
32F:→ deadwood: 及補的問題,畢竟要維護的服務跟系統數量變多了 10/22 14:24
33F:→ deadwood: 如果對外只用VPN,連上VPN才能存取內網服務,基本上只要 10/22 14:25
34F:→ deadwood: 專心維護好VPN的安全就好,減少被攻擊的目標。 10/22 14:26