你是否常在網路論壇看到 “NAS裸奔” 相關文章呢?這個標題下的很貼切,意指 NAS(網路儲存設備)完全沒有受到保護措施,就赤裸裸地暴露在網際網路上。無論是駭客啊、病毒啊,甚至你的鄰居小王,只要有心,人人都可能隨便連進 NAS 亂搞。
裸奔到底會造成什麼影響呢?
資料外洩:敏感資料被不該看到的人看了,個人隱私、公司機密都可能曝光。
資料被篡改:你的資料可能被改得亂七八糟,無法使用。
勒索病毒攻擊:NAS 被勒索病毒攻擊,資料被加密,對方要你付錢才能解開。
服務中斷:NAS 被攻擊後可能會壞掉,影響日常運作和資料存取。
那麼怎樣才能避免 NAS 裸奔,又可以安全的使用外網連線呢?有些人覺得做好設定了,但是還是被入侵,到底哪裡出了問題?先別緊張,以下實戰教學將請處說明:
- 先在 NAS 開啟網路與虛擬交換器,查看目前廣域網路 IP:
- 使用手機行動網路,直接在手機瀏覽器輸入 NAS 廣域網路 IP 。如果可以連上,代表有路徑可以由外網連入 NAS,此狀況 NAS 可能會收到很多登入失敗訊息,進而增加入侵風險。或者,你可透過此網站 https://search.censys.io/ 輸入 NAS IP,快速確認別人能否透過外網敲門。
- 早期很多用戶會在 NAS 端啟用 UPnP 服務,造成外網入侵的風險。簡單來說,啟用 UPnP 服務會讓路由器 “很貼心的” 幫你設定好通訊埠轉發,也就是從外網打 IP 就可以直接連到你的 NAS 。建議用戶先將 UPnP 服務關閉 (步驟參考:控制台 > 網路 & 檔案服務 > 服務探索 > UPnP 服務 > 取消勾選 “啟用UPnP 服務” ),降低資安風險。
- 另外,你可以檢查一下路由器上 Port Forwarding、通訊埠轉發、虛擬伺服器、DMZ 等功能,若不小心將 NAS IP 跟連接埠號開啟,那麼有心人就可能透過外網連進你的 NAS。
- 以上檢查完,如果還是擔心有不小心開啟路徑的地方,沒有特殊需求的話,可以在路由器上直接設定 WAN 端取得浮動 IP 方式連線,不要使用 PPPoE 或是固定 IP 方式連線。此外,如果沒有開啟 Port Forwarding 的話,DDNS 服務也可以不用開啟,因為 DDNS 服務是將 NAS 所在 IP 轉換成網址。
- 設置 QuFirewall 防火牆規則,僅允許特定 IP 位址或網段訪問你的 NAS,並且停用未使用的服務和埠號,一般用戶設定 Basic Protection 即可。
以上步驟都有做好的話,外網直接輸入 IP 就無法連入你的 NAS 囉!
再來,大家常說的不要讓 NAS 連上網路,其實並不是真的要讓 NAS 斷網,而是透過上述方式,讓外網的未知使用者無法連到你的 NAS,NAS 本身還是可以正常存取外部網路作為韌體、防毒等更新使用。
如何安全的從外網連回 NAS
如果要從外網安全存取 NAS,最簡單的方式就是開啟 myQNAPcloud Link,也記得關閉 myQNAPcloud 上的 DDNS 服務,以降低資安風險。
比較進階的方式,則是從路由器端開啟 VPN 服務,現在稍微好一點的路由器都支援這個功能,設定也相當簡單。
如果啟用 VPN 服務,即使在外網,連上 VPN 後也能直接打內網 NAS IP 存取NAS 資料,比原本使用 Port Forwarding 等方式更方便。
除了上述步驟做好做滿,也請用戶經常檢查並安裝 QNAP 提供的最新韌體和軟體更新,修補已知的安全漏洞。