[請益] NAS開放對外 設白名單才能連 能擋勒索?

作者zxc2331189 (阿拉花瓜)

看板Storage_Zone

標題[請益] NAS開放對外設白名單才能連能擋勒索?

時間Fri Sep 9 11:28:07 2022

是這樣的拉最近又看到NAS出現被勒索狀況看了一下都有開放對外沒IP限制都能直接到網頁登入畫面? 以往被勒索好像都是這樣子的人中? 如果NAS上直接設白名單IP才能連是不是就能擋下勒索軟體? 還是NAS上有開其他後門開了白名單也沒用? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.183.128 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1662694089.A.1C1.html ※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 11:28:45

→ maniaque : 看是 IP block policy 先行還是怎樣 09/09 11:37

→ tomsawyer : 4 白名單就是iptables還是啥的檔在系統層面 09/09 12:05

→ tomsawyer : 我家破爛Q只有4.3更新有對外但白名單內網一點事 09/09 12:05

→ tomsawyer : 都沒有 09/09 12:05

→ robinsonXD : 如果是電腦被駭，內網SMB存取NAS，還是一樣會整組壞 09/09 12:11

→ robinsonXD : 掉 09/09 12:11

→ tsaigi : 問題是你怎麼知道你會用到哪些IP 09/09 12:34

→ fujisawa : 這樣對外除了有固定IP不然感覺沒VPN實用吧 09/09 13:31

其實也不用固定IP 把自己IP發信到信箱或LINE，寫個腳本自己去開白名單不過要先確認是不是開了白名單就能擋住外部掃NAS IP那種勒索不然也是沒用

→ comipa : GeoIP阿只留台灣ip就會改善很多了 09/09 13:55

→ comipa : 反正一切都是方便vs安全之間的取捨 09/09 13:55

→ comipa : 電腦被駭那等於賊在你家裡根本沒啥好討論的了 09/09 13:56

※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 14:16:34

→ labbat : 一種鑰匙用信件寄出去的概念，不擔心信箱隱秘嗎 09/09 15:19

只有IP資訊應該是還好除非信件被攔截而且對方知道這是幹什麼用的

推 Baternest : 先VPN才能連NAS 又不是要服務公眾幹嘛直接對外? 09/09 16:47

VPN不是會降低速度嗎而且也算另外一個坑吧也是需要定時維護補漏洞

推 p72910 : 可以購買SSL憑證，只有持有憑證的裝置才能連線 09/09 17:15

→ p72910 : SSL買全球大廠comodo平均一年才1000多台幣而已 09/09 17:16

SSL憑證感覺可以研究看看 ※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 18:55:38

→ cs8425 : 樓上說的那種SSL憑證可以自己簽不用另外花錢 09/09 19:22

→ cs8425 : 綁域名的(https常見) 才需要第三方機構簽(費用另說 09/09 19:24

→ shengshampoo: SSL 證書可以付費購買，也可以用常見的Let's encry 09/10 11:04

→ shengshampoo: pt 等免費簽發。差異僅在於驗證簽發方式有差。線上 09/10 11:04

→ shengshampoo: DNS驗證，或是實體企業商業驗證，商業目的的門面網 09/10 11:04

→ shengshampoo: 站才會考量用付費SSL。 09/10 11:04

→ shengshampoo: 原PO的想法和需求非常常見，只是適用場景比較偏向 09/10 11:06

→ shengshampoo: 架站的資安領域。 09/10 11:06

→ shengshampoo: 網路上有很多的類似教程，購買VPS 架設網站，VPS本 09/10 11:11

→ shengshampoo: 身的後台管理和存取，僅允許前段用cloudflare 或是 09/10 11:11

→ shengshampoo: 其他類似服務 IP 反代登入存取。也就是僅有白名單c 09/10 11:11

→ shengshampoo: loudflare IP才可進入。 09/10 11:11

→ shengshampoo: 抗CC，抗DOS打爆網站，禁止未授權的IP駭入等。 09/10 11:13

→ shengshampoo: VPS 腳本更新cloudflare IP白名單清單， iptable 09/10 11:15

→ shengshampoo: 防火牆設定僅允許cloudflare IP 進入。cloudflare 09/10 11:15

→ shengshampoo: 也有相關的設定選項。 09/10 11:15

→ seiya2000 : 買台家用NAS來放檔案還要買憑證架VPS也太誇張 09/10 13:24

推 BraviaX95j : 我是買RT2600ac,內附的VPN PLUS好用,VPN進去就當區 09/10 14:20

→ BraviaX95j : 網操作了 09/10 14:20

推 cellochou : NAS 不用對外開放 09/10 14:25

→ cellochou : 只要跟行動裝置都裝上 ZeroTier 或是 TailScale 09/10 14:25

→ cellochou : 就可以直接連線惹, 安全穩穩的 09/10 14:25

→ shengshampoo: 不是說要買VPS 和SSL證書，而是如同原PO所需要的， 09/10 14:40

→ shengshampoo: 保護VPS不被駭客入侵，如同外連公網的NAS，設定白 09/10 14:40

→ shengshampoo: 名單IP清單，僅允許特定對象的IP登入VPS/NAS。 09/10 14:40

→ shengshampoo: http://tny.im/tjk 09/10 14:45

→ shengshampoo: VPN 是一個解決方法，速度的確會掉一些，wireguard 09/10 14:49

→ shengshampoo: 協議至少還不錯。 09/10 14:49

→ shengshampoo: http://tny.im/tjl 09/10 15:34

→ shengshampoo: Synology DSM + Cloudflare Tunnel 09/10 15:35

→ Arbin : ZeroTier的問題是你永遠不知道他的節點會往哪邊繞. 09/11 05:37

→ Arbin : .. 09/11 05:37

→ shengshampoo: 樓上，zerotier 和 tinc vpn 一樣屬於P2P VPN，本 09/11 08:14

→ shengshampoo: 來就不會固定制式走單一節點。 09/11 08:14

→ asdfghjklasd: 用VPN , 不然前端就用有UTM/NGFW的FIREWALL 09/12 00:35

推 changchichun: 請問要怎麼設定 "只有持有憑證的裝置才能連線" ??? 09/12 09:26

推 p72910 : 你要有固定ip跟網域，綁進ssl憑證 09/12 11:49

推 lonberk : 不能這次中勒索利用的是Q家NAS內的APP中的BUG 09/12 16:52

→ lonberk : 只要有對外IP被掃到就會中 09/12 16:53

→ shengshampoo: http://tny.im/tjM 09/12 21:53

→ shengshampoo: IP 掃描又不是最近才有，網路發展到現在 09/12 21:55

→ shengshampoo: 就有一堆現成的黑牌白牌工具應用。 09/12 21:56

→ shengshampoo: 不一定要有固定IP，DDNS也可以，但要有網域， 09/12 21:58

→ shengshampoo: 就可以DNS驗證簽發SSL證書。 09/12 21:58

→ shengshampoo: 就可以DNS驗證簽發免費SSL證書。 09/12 21:59

→ shengshampoo: Letsencrypt BuyPass Google.com Public CA ZeroSSL 09/12 22:00

推 p72910 : ddns要開port，我想朝完全不開port的方向去設定 09/12 22:23

→ p72910 : 同時所有synology對外服務套件要能正常運作 09/12 22:24

→ asdfghjklasd: 不開PORT 又要能對外,除非你一個人用... 09/12 23:41

→ asdfghjklasd: 而一個人用那就用VPN就好了 09/12 23:41

→ asdfghjklasd: 有一個只開一個PORT 但可以跑多種PORT的方法 09/12 23:41

→ asdfghjklasd: 而且第一個面對的也不是NAS 09/12 23:42

→ asdfghjklasd: 有興趣的可以去研究 sslh 09/12 23:42

→ asdfghjklasd: ngrok 也可以看看 09/12 23:44

→ asdfghjklasd: 以前玩過連上某個PORT 驗證後，自動 Allow 連上的IP 09/12 23:48

→ asdfghjklasd: 這 POrt 可以1024 以外的任一個PORT 比如 9527 09/12 23:48

推 changchichun: 用網域申請SSL我知道，但是不懂怎麼設定才能 09/13 10:09

→ changchichun: 「只有持有憑證的裝置才能連線」？請問有參考網址 09/13 10:10

→ changchichun: 或者是關鍵字可以查詢嘛？ 09/13 10:10

→ shengshampoo: 中文找不到，就用英文單字找。 09/13 12:31

→ asdfghjklasd: 我的VPN 有啟用 OTP 09/13 22:43

推 changchichun: 可以建議一下嘛？我真不知道怎麼下英文關鍵字去找 09/14 10:08

→ changchichun: ssl + 「只有持有憑證的裝置才能連線」 09/14 10:08

→ changchichun: 翻到 Mutual Authentication 再來研究看看 09/14 10:09

推 skasia886 : 1.直接防火牆設白名單 09/14 11:30

推 NTUHandsome : 我好像用port knocking 09/27 21:21

→ NTUHandsome : 前面擺一台router board用port knocking 09/27 21:22