本篇教學僅做一個示範,因為老密只有QNAP的機器,因此本篇教學已QNAP功能頁面為準,若你是其他廠牌,可參考其中原理說明再進行設定。順帶說明,示範截圖的頁面並不全是老密的真實設定,請不要推測老密的設定,老密只是普通的非專業人士做心得分享而已,若有說明不到位的部分,歡迎討論。
在此說明,矛與盾,沒有超級鋒利的矛,也沒有攻不破的盾,適時的更新系統有益機器健康。是的,其實老密還是主張適當更新系統,尤其是非專業人士,尤其是你的機器有開啟網路服務的時候。
在說明網路安全的時候,我們首先要了解,即使是目前檯面上的網路大亨們,不管是微軟、蘋果、甲骨文、索尼還是任何你說得出來的大廠巨擘,通通都被駭客入侵過。這些專業的伺服器,專人二十四小時值守還有各種高手專家坐鎮,依然中招,所以有的時候不能怪廠商的機器有問題,而是你開了一個服務就等於開了一個門,你能上鎖,他就能暴力破或是用技巧開鎖,而你買機器為了什麼?為的不就是因為你的機器有這些功能讓你使用。
而NAS並非專業伺服器,他許多的客戶屬於家用系統家用玩家,因此老密認為,適當的更新作業系統有益於機器健康,因為沒有不出錯的系統,只在於你有沒有適時的更新防護,這也是老密選擇QNAP的一個原因,因為只有真正專業的大廠才會持續更新功能以及重大安全性更新。
首先在系統管理可以看到系統通訊埠、安全連線通訊埠,這是最常見的,基本防護之一。所謂系統通訊埠有點類似門牌號碼,你以為我住在南京西路8080號,但其實我把門牌改了,小偷探路找到的是廢棄空地。如果你要修改這個數值,可以先把整個NAS有用到的值都看一下,然後設定一個不重複的就可以了,記住不要選11111、22222、12345這種數字,設這種有改等於沒改。
其次是安全連線 (HTTPS) 的部分,這部分也建議打勾,當你傳輸的資料都進行加密,即使出門在外,透過公用網路連接回來的過程中即使訊號被攔截,對方收到的也是一團無法辨識的亂碼,在不確定資料價值的情況下,一般沒有人傻到對這類資料進行加密破解。而如何要擁有HTTPS呢?這部份我們後面在說明。
一般來說,如果你的NAS是營業用的才會選擇「接受所有連線」,不然通常都是選擇「拒絕清單內的連線」與「僅接受清單內的連線」這兩種。
- 「拒絕清單內的連線」就是傳說中的黑名單,被列入下方清單中的連線一率拒絕,可以使用「加入」功能自行增加要封鎖的IP或是透過存取保護來新增黑名單。
- 「僅接受清單內的連線」就是白名單,只有在下面清單中被列入的IP才可以進入NAS。使用「加入」功能自行增加要許可的IP。要注意的是,當你開啟白名單功能的時候,IP存取保護會自動反白無法使用。
QNAP的設計裡念很簡單,非黑即白、非白即黑。黑名單就是完全禁止進入,就算你帳號密碼正確也不能進入,沒有例外。白名單就是只要帳號密碼正確就一律許可,也沒有例外。黑白名單二選一,沒有又接受又拒絕的情況。如果你開啟了黑名單功能,又不幸忘記密碼,失敗次數過多被封鎖,就要換另一支手機或電腦,或請同事使用另一個IP進入後台,刪除IP封鎖才能繼續使用。
一般來說,如果你的NAS有提供網路服務(聯外辦公、遠端管控之類),大概都會使用黑名單功能,不管使用者IP位置,只要帳密正確即可進入。如果你的NAS僅供辦公室或廠區內部使用,則可開啟白名單功能,只有辦公室內或廠區內IP才能連線進入。
在這裡,老密選擇全部勾選,不論是否有啟用的功能一律勾選,也就是說不管這個大門我有沒有開放,我都派個保鑣去看門。時間選擇最大的30分鐘,次數選擇的是最少的5次,IP封鎖時間選擇1天即可。也就是說,在最大範圍時間內,犯最少次錯誤,就封鎖一天。這裡有人可能會有疑問,為什麼不終身封鎖?這些IP來自不同國家,老密這輩子也不見得會去到這個國家使用到這個IP,直接封鎖一輩子不是一勞永逸嗎?
老密以前也是這樣想,所以累積了二萬多將近三萬筆的黑名單IP,後來才知道系統設定只有前面的數千筆會被檢驗,後面的黑名單完全沒有作用了。老密不知道為什麼會這樣,現在也找不到那份說明文件了,大驚小怪地到處查詢,才被朋友點醒。老密封鎖的那幾萬筆黑名單IP,基本都是向免洗筷一樣的一次性使用而已,真正有技術的駭客或黑客,都是使用跳板,也就是連接別人的IP來對你的NAS進行試探,一旦發現被封鎖了,或是基本密碼試探完了還沒有結果,就自動切斷,這個免洗IP也就拋棄了,以目前全球IP數量來說,在重複被下一個駭客使用的機率其實很低很低非常低,所以保留封鎖是沒有意義的,一天後就可以刪了。
而如果是半調子連IP都不會換,使用自己IP上陣的那種,基本上只要你密碼設的好,這類半吊子你就算什麼都不設定,他也根本沒有機會破解密碼闖入。
這裡同樣將所有功能都勾選,就算沒開啟的也勾選就對了。上面討論的都是針對IP,而這裡是針對帳號。建議設定的是「所有非管理群組的使用者」,因為我們在後面的介紹中會提到禁用admin帳號,因此必須選擇這一項目,避免萬一管理帳號被封鎖停用而無法進入管理後台。
這裡一般建議都打開,不要怕麻煩,你要想到如果你的帳號被破解,後面的資料回復更麻煩。複雜的密碼可以增加被破解的難度。
在密碼原則下其實還有一個設定是強迫使用者每三個月進行一次密碼變更,這部分老密其實沒有特別要求。這個功能比較建議使用在多人辦公環境下,因為每個人的使用習慣不一定,強迫修改密碼可以在一定程度上加強密碼安全。若是單人環境,而且密碼條件設定嚴格,可以視情況變更密碼,不用拘泥於三個月。
我們前面提到了禁用admin帳號,為什麼呢?因為帳號跟密碼組成一個可通行的身分帳號,而admin是最常用的最高權限的管理帳號名稱,等於你已經讓人破解一半了,因此通常會建議將admin帳號停用,讓闖入者搞不清楚你的管理帳號是什麼。
在這裡要注意變更管理帳號的流程,因為帳號名稱不能改,所以請新建一個帳號,然後用admin帳號授予管理權限,能開的都開,能勾的都勾。然後才能使用新管理帳號將admin帳號停用。在沒有第二個管理帳號的情況下,admin帳號會受到保護無法停用。
兩步驟驗證是我最推薦的功能,這個功能開啟後,就算你的密碼是12345,在對方沒有兩段驗證碼的情況下,也無法進入。當然,不代表你開了兩步驟驗證就可以設簡單密碼以防忘記,因為在整個NAS諸多功能中,是有很多功能無法使用兩階段驗證的,所以取個好記又難破解的密碼還是很重要的。
我們在前面提到過的HTTPS功能就是在這裡進行設定,一般來說SSL服務都是收費的,但也有免費的。例如Let’s Encrypt就是一家免費的SSL服務。
按照畫面上簡單的說明提示就可以自動完成申請,這時候可以看到免費使用的有效期限是90天,這時候再把自動更新打開,你的NAS就會在免費到期的時候自動幫你續約90天,一直無限期續約直到你的NAS停用為止。
有些朋友可能有些疑慮,免費與付費的差別在哪裡?其實在加密程度上是有一定的差別,但要破解仍然是十分困難,除非你被特定人鎖定攔截你所有的資料進行破解加密,否則若是正常程度下被攔截資料,在資料無法確認有價值前,應該是沒有人會特別針對你的資料進行破解,因此一般家用來說,使用免費SSL應該是相當足夠了。而免費SSL的另一個缺點當資料被破解造成損失的時候是沒有理賠的,但以家用來說,在沒有被針對的情況下,其實也足夠防護不容易產損失了。
最後老密還是要強調,沒有攻不破的盾,如果你不是專業人士,老密還是建議你在每次收到重大更新通知的時候進行韌體更新,因為還是有一些更專業更黑的人可以在一些看似很安全的規則裡面找到漏洞,這些漏洞大部分就不是單純依靠我們上面所提出的防護可以抗衡的,有些是必須關閉服務,但使用者又要用到該服務就無解了,這時候就必須透過韌體更新,從更深層的規則中封鎖漏洞。
而一般家用玩家顯然無法分辨什麼樣的漏洞要怎麼處理,因此老密認為最簡單的分辨法就是不要分辨,有重大安全就更新。有得更新好過一些孤兒機器售後不理,有問題要自己想辦法處理,不會處理就只能淪為礦機或是資料被綁架。而這裡還有個小技巧,有時候一些問題可能比較深入,原廠在修正的時候可能會對某些機器造成影響,就造成了不更新沒事,一更新就掛了。這時候可以選擇改在重大更新通知後三五七天再更新,如果因為更新會造成災情,那原廠通常在三五天後也會跟著修正完畢,這時候再進行更新相對安全。
這篇文章主要是以QNAP做分享,若日後老密有購入Synology機種,也許會再針對Synology的防護設定進行分享,但若你是一般使用者,其實老密在文章裡面有針對一些防護原理做說明,可以依照說明依樣畫葫蘆,也是可以完成安全防護設定的。
