作者zxc2331189 (阿拉花瓜)
看板Storage_Zone
標題[請益] NAS開放對外 設白名單才能連 能擋勒索?
時間Fri Sep 9 11:28:07 2022
是這樣的拉
最近又看到NAS出現被勒索狀況
看了一下 都有開放對外沒IP限制都能直接到網頁登入畫面?
以往被勒索好像都是這樣子的人中?
如果NAS上直接設白名單IP才能連
是不是就能擋下勒索軟體?
還是NAS上有開其他後門 開了白名單也沒用?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.183.128 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Storage_Zone/M.1662694089.A.1C1.html
※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 11:28:45
1F:→ maniaque : 看是 IP block policy 先行還是怎樣 09/09 11:37
2F:→ tomsawyer : 4 白名單就是iptables還是啥的檔 在系統層面 09/09 12:05
3F:→ tomsawyer : 我家破爛Q只有4.3更新 有對外 但白名單內網一點事 09/09 12:05
4F:→ tomsawyer : 都沒有 09/09 12:05
5F:→ robinsonXD : 如果是電腦被駭,內網SMB存取NAS,還是一樣會整組壞 09/09 12:11
6F:→ robinsonXD : 掉 09/09 12:11
7F:→ tsaigi : 問題是你怎麼知道你會用到哪些IP 09/09 12:34
8F:→ fujisawa : 這樣對外除了有固定IP不然感覺沒VPN實用吧 09/09 13:31
其實也不用固定IP 把自己IP發信到信箱或LINE,寫個腳本自己去開白名單
不過要先確認是不是開了白名單就能擋住外部掃NAS IP那種勒索 不然也是沒用
9F:→ comipa : GeoIP阿 只留台灣ip就會改善很多了 09/09 13:55
10F:→ comipa : 反正一切都是方便vs安全之間的取捨 09/09 13:55
11F:→ comipa : 電腦被駭那等於賊在你家裡 根本沒啥好討論的了 09/09 13:56
※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 14:16:34
12F:→ labbat : 一種鑰匙用信件寄出去的概念,不擔心信箱隱秘嗎 09/09 15:19
只有IP資訊應該是還好 除非信件被攔截而且對方知道這是幹什麼用的
13F:推 Baternest : 先VPN才能連NAS 又不是要服務公 眾 幹嘛直接對外? 09/09 16:47
VPN不是會降低速度嗎 而且也算另外一個坑吧 也是需要定時維護補漏洞
14F:推 p72910 : 可以購買SSL憑證,只有持有憑證的裝置才能連線 09/09 17:15
15F:→ p72910 : SSL買全球大廠comodo平均一年才1000多台幣而已 09/09 17:16
SSL憑證感覺可以研究看看
※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 18:55:38
16F:→ cs8425 : 樓上說的那種SSL憑證可以自己簽 不用另外花錢 09/09 19:22
17F:→ cs8425 : 綁域名的(https常見) 才需要第三方機構簽(費用另說 09/09 19:24
18F:→ shengshampoo: SSL 證書可以付費購買,也可以用常見的Let's encry 09/10 11:04
19F:→ shengshampoo: pt 等免費簽發。差異僅在於驗證簽發方式有差。線上 09/10 11:04
20F:→ shengshampoo: DNS驗證,或是實體企業商業驗證,商業目的的門面網 09/10 11:04
21F:→ shengshampoo: 站才會考量用付費SSL。 09/10 11:04
22F:→ shengshampoo: 原PO的想法和需求非常常見,只是適用場景比較偏向 09/10 11:06
23F:→ shengshampoo: 架站的資安領域。 09/10 11:06
24F:→ shengshampoo: 網路上有很多的類似教程,購買VPS 架設網站,VPS本 09/10 11:11
25F:→ shengshampoo: 身的後台管理和存取,僅允許前段用cloudflare 或是 09/10 11:11
26F:→ shengshampoo: 其他類似服務 IP 反代登入存取。也就是僅有白名單c 09/10 11:11
27F:→ shengshampoo: loudflare IP才可進入。 09/10 11:11
28F:→ shengshampoo: 抗CC,抗DOS打爆網站,禁止未授權的IP駭入等。 09/10 11:13
29F:→ shengshampoo: VPS 腳本更新cloudflare IP白名單清單, iptable 09/10 11:15
30F:→ shengshampoo: 防火牆設定僅允許cloudflare IP 進入。cloudflare 09/10 11:15
31F:→ shengshampoo: 也有相關的設定選項。 09/10 11:15
32F:→ seiya2000 : 買台家用NAS來放檔案還要買憑證架VPS也太誇張 09/10 13:24
33F:推 BraviaX95j : 我是買RT2600ac,內附的VPN PLUS好用,VPN進去就當區 09/10 14:20
34F:→ BraviaX95j : 網操作了 09/10 14:20
35F:推 cellochou : NAS 不用對外開放 09/10 14:25
36F:→ cellochou : 只要跟行動裝置都裝上 ZeroTier 或是 TailScale 09/10 14:25
37F:→ cellochou : 就可以直接連線惹, 安全穩穩的 09/10 14:25
38F:→ shengshampoo: 不是說要買VPS 和SSL證書,而是如同原PO所需要的, 09/10 14:40
39F:→ shengshampoo: 保護VPS不被駭客入侵,如同外連公網的NAS,設定白 09/10 14:40
40F:→ shengshampoo: 名單IP清單,僅允許特定對象的IP登入VPS/NAS。 09/10 14:40
42F:→ shengshampoo: VPN 是一個解決方法,速度的確會掉一些,wireguard 09/10 14:49
43F:→ shengshampoo: 協議至少還不錯。 09/10 14:49
45F:→ shengshampoo: Synology DSM + Cloudflare Tunnel 09/10 15:35
46F:→ Arbin : ZeroTier的問題是你永遠不知道他的節點會往哪邊繞. 09/11 05:37
47F:→ Arbin : .. 09/11 05:37
48F:→ shengshampoo: 樓上,zerotier 和 tinc vpn 一樣屬於P2P VPN,本 09/11 08:14
49F:→ shengshampoo: 來就不會固定制式走單一節點。 09/11 08:14
50F:→ asdfghjklasd: 用VPN , 不然前端就用有UTM/NGFW的FIREWALL 09/12 00:35
51F:推 changchichun: 請問要怎麼設定 "只有持有憑證的裝置才能連線" ??? 09/12 09:26
52F:推 p72910 : 你要有固定ip跟網域,綁進ssl憑證 09/12 11:49
53F:推 lonberk : 不能 這次中勒索利用的是Q家NAS內的APP中的BUG 09/12 16:52
54F:→ lonberk : 只要有對外IP被掃到就會中 09/12 16:53
56F:→ shengshampoo: IP 掃描又不是最近才有,網路發展到現在 09/12 21:55
57F:→ shengshampoo: 就有一堆現成的黑牌白牌工具應用。 09/12 21:56
58F:→ shengshampoo: 不一定要有固定IP,DDNS也可以,但要有網域, 09/12 21:58
59F:→ shengshampoo: 就可以DNS驗證簽發SSL證書。 09/12 21:58
60F:→ shengshampoo: 就可以DNS驗證簽發免費SSL證書。 09/12 21:59
61F:→ shengshampoo: Letsencrypt BuyPass Google.com Public CA ZeroSSL 09/12 22:00
62F:推 p72910 : ddns要開port,我想朝完全不開port的方向去設定 09/12 22:23
63F:→ p72910 : 同時所有synology對外服務套件要能正常運作 09/12 22:24
64F:→ asdfghjklasd: 不開PORT 又要能對外,除非你一個人用... 09/12 23:41
65F:→ asdfghjklasd: 而一個人用那就用VPN就好了 09/12 23:41
66F:→ asdfghjklasd: 有一個只開一個PORT 但可以跑 多種PORT的方法 09/12 23:41
67F:→ asdfghjklasd: 而且第一個面對的也不是NAS 09/12 23:42
68F:→ asdfghjklasd: 有興趣的可以去研究 sslh 09/12 23:42
69F:→ asdfghjklasd: ngrok 也可以看看 09/12 23:44
70F:→ asdfghjklasd: 以前玩過連上某個PORT 驗證後,自動 Allow 連上的IP 09/12 23:48
71F:→ asdfghjklasd: 這 POrt 可以1024 以外的任一個PORT 比如 9527 09/12 23:48
72F:推 changchichun: 用網域申請SSL我知道,但是不懂怎麼設定才能 09/13 10:09
73F:→ changchichun: 「只有持有憑證的裝置才能連線」?請問有參考網址 09/13 10:10
74F:→ changchichun: 或者是關鍵字可以查詢嘛? 09/13 10:10
75F:→ shengshampoo: 中文找不到,就用英文單字找。 09/13 12:31
76F:→ asdfghjklasd: 我的VPN 有啟用 OTP 09/13 22:43
77F:推 changchichun: 可以建議一下嘛?我真不知道怎麼下英文關鍵字去找 09/14 10:08
78F:→ changchichun: ssl + 「只有持有憑證的裝置才能連線」 09/14 10:08
79F:→ changchichun: 翻到 Mutual Authentication 再來研究看看 09/14 10:09
80F:推 skasia886 : 1.直接防火牆設白名單 09/14 11:30
81F:推 NTUHandsome : 我好像用port knocking 09/27 21:21
82F:→ NTUHandsome : 前面擺一台router board用port knocking 09/27 21:22