什麼是 UPnP 自動連接埠轉發?
UPnP 為通用隨插即用(Universal Plug and Play)的網路協定,是只要一組設定就能快速將正在使用的連接埠轉發到網路上其他設備的配置方式。UPnP 自動連接埠轉發被廣泛應用在各種網路設備,讓不同的設備能更有效率的互相溝通,並自動建立工作組態以進行資料分享等應用。
UPnP 自動連接埠轉發安全嗎?
從資安角度來看,UPnP 不算是一個安全協議,它使用網路 UDP Multicast 群組通信,沒有經過加密,也沒有認證。由於 UPnP 沒有經過認證,一台裝置可以對另一台裝置要求自動連接埠轉發,駭客可以利用 UPnP 的漏洞透過惡意檔案進行攻擊,感染系統並獲取控制權。雖然 UPnP 很便利,但也會讓裝置在公用網路上公開,使裝置更容易遭受惡意攻擊。
建議的安全連線方式
我們呼籲 NAS 使用者將 QNAP NAS 佈建於路由器及防火牆後方後面,且不取得公開 IP 位址。您也應停用手動連接埠轉發、自動連接埠轉發。您可以使用 QNAP 提供的 myQNAPcloud Link 服務,遠端安全存取 QNAP NAS。由於此服務使用中繼轉發,因此存取速度可能稍慢。
或者,您可開啟路由器或分享器的 VPN 伺服器功能。當您需要透過網際網路存取 QNAP NAS 時,先連接到路由器上的 VPN 伺服器,再安全連接到您的 QNAP NAS。其他遠端存取方法包括在 QNAP NAS 上安裝 QVPN Service 並啟用 VPN 伺服器,或佈署 QNAP 開發的 QuWAN SD-WAN 網路優化解決方案。
需要向網際網路開放通訊埠時,建議採取安全連線設定
針對需要向網際網路開放通訊埠的狀況,建議您採取以下系統設定及配置,確保連線安全:
- 將 QNAP NAS 安裝在路由器和防火牆後面,不允許 QNAP NAS 取得公開 IP 位址。關閉 QNAP NAS 的 UPnP 功能,並僅針對特定 QNAP NAS 服務所需的連接埠,啟用手動轉發。
- 若不使用 Telnet、SSH、網站伺服器、SQL 伺服器、phpMyAdmin 及 PostgreSQL 等服務,請加以停用。
- 在網際網路端避免使用預設連接埠編號,例如:80、443、8080、8081。請改用自訂/隨機的連接埠編號,例如:將 8080 改為 9527。
- 僅使用 HTTPS 加密連線,或其他加密連線,例如: SSH。
- 在 QNAP NAS 安裝 QuFirewall,並僅允許指定區域或網段的 IP 位址進行連線。
- 建立一個新的管理員帳戶,並停用預設管理員帳號(admin)。
- 所有使用者均應使用高強度的密碼,包括您在上一步所建立的新管理員帳戶。
- 在 QNAP NAS 啟用多重要素認證或兩步驟驗證。
- 啟用作業系統及 App 自動更新。
- 使用 IP 存取保護功能,拒絕登入失敗次數過多的 IP 位址。
推薦閱讀相關內容 >>
遠端存取 NAS 的資安防護方案:https://qnap.to/44h7hz