更多

    NAS 防爆保安必學

    近年來 NAS 逐漸普及化,不少家庭都有使用 NAS 備份各式裝置的檔案,但隨之而來的是愈來愈多針對 NAS 的網絡攻擊。即使大家從未中招,也是時候居安思危,做足 NAS 的保安工夫,今次將為新手帶來防爆保安教學。

    常見攻擊手法

    針對 NAS 的網絡攻擊,最常見的莫過於暴力破解攻擊 (Brute Force Attack),說穿了就是「撞密碼」,不斷嘗試使用 者帳號與密碼的組合,直到成功闖入系統為止。假設不限時間、不限次數,暴力攻擊理論上可以破解任何密碼,所以保安專家一直建議使用較長、較複雜的密碼(例如結合大小寫字母、數字、 符號等),大幅增加破解所花的時間及次數。當然黑客亦會採用字典攻擊,即是以常用密碼、英文單字之類,嘗試收窄範圍以加速破解。

    除了暴力破解,黑客往往是針對 NAS 系統或軟件的漏洞進行攻擊,例如數月前事件,就是針對系統及個別軟件的漏洞, 取得 NAS 權限並植入惡意程式,將檔案進行加密壓縮,並且刪除快照備份,迫使用家繳付贖金解鎖檔案。

    NAS用 家經常會遇到暴力破解攻擊。(圖片來源:imperva)

    這類型攻擊正是屬於勒索軟件。 除了直接針對 NAS 的攻擊,大家亦要提防經過內聯網的入侵,例如透過釣魚網站或電郵,先感染一台電腦,再以該電腦向同一網絡上的 NAS 進行攻擊。這類型攻擊往往更加複雜,需要防範的是內聯網上每一台裝置,而非單純要做好 NAS 本身的保安,最基本一步是要確保不同裝置的系統更新,亦要由日常習慣開始加強保安意識(例如不應隨便打開不明來歷的電郵附件),才能保障網絡上各裝置的安全。

    Qlocker之類勒索軟件,通常是經由系統或軟件漏洞植入。

    提升安全性示範機 Synology DS920+

    為求讓讀者對於保安功能有較清晰的概念,今次示範利用了市場上一款效能進階的產品,使用到 Synology 最新版的作業系統 DSM 7.0 進行,讓用戶可以較容易跟隨一些步驟。

    售價:$4,999 查詢:Hornington(3626 9899)

    其中所使用的 Synology DS920+,就是一款效能及擴充性都相當全面的 4-Bay 高階產品,核心採用到 Intel Celeron J4125 系列處理器,記憶體由過去的 DDR3 提升至 DDR4,同時可以升級最大記憶體容量至 8GB(4 GB + 4 GB)。而為了讓更多用戶可以透過 NAS 進行協作,DS920+ 跟同系列的 DS720+ 及 DS420+,同樣具備雙 M.2 SSD 擴充插槽的支援,以進一步提升 NAS 效能。

    兩組 Gigabit LAN 可通過 Link Aggregation 方式提升網絡傳輸速度。

    新手必讀 提升 NAS 保安 10 式

    NAS 本身就是連上網路的儲存裝置,方便用家隨時取得想要的檔案,而面對日益猖獗的網絡入侵,用家若要自保,「斬腳趾避沙蟲」只將 NAS 限制為 LAN 內聯專用又不太符合產品的初衷,因此再安全性和便利性之間權衡是很重要的。以下將以 Synology DSM 7.0 系統,示範新手必讀的保安招數,助大家提升 NAS 的網絡保安系數。

    第一式:停用 admin 帳號

    以往不少網絡產品的預設管理員帳號,名字都預設為「admin」,這當然成為黑客最先嘗試登入的帳號。建議 NAS 用家切忌使用「admin」作為任何使用者名稱,並且要到「控制台」→「使用者&群組」中,將「admin」使用者帳號設定為「停用」。

    如果沿用「admin」作為管理員帳號,等同於告訴黑客「不用 撞名,只需撞密碼」當然要停用。

    第二式:強制使用強密碼

    密碼強度要夠高,已經是老生常談,偏偏不少用家依然 沿用簡單組合的密碼,甚至直接以使用者名稱作為密碼,遇上入侵自然率先遭殃。為免個別使用者成為保安缺口,NAS 管理員可強制要求所有用家改用強密碼,例如混合大小寫、 加入數字或特殊符號等等,亦可禁止使用常用密碼、使用者名字之類,從而提升安全性。

    進入「控制台」→「使用者&群組」→「進階設定」中,選擇「啟動密碼強度限制規則」,即可自選對密碼的要求。

    第三式:啟用雙重驗證(2FA)

    單靠密碼可能只能拖延入侵者的步伐,為帳號加入雙重驗證(2FA),用家登入 NAS 除了要輸入帳號及密碼,還需要輸入 6 位數字之一次性驗證碼(OTP),為 NAS 增加多一道防線。較常用的 2FA 手機 App 包括《Google Authenticator》、《Microsoft Authenticator》等,亦可以使用 Synology 自家的《Secure SignIn》,初次使用前需要與 NAS 進行配對,之後每次登入打開手機 App 即可取得驗證碼。

    點選右上角的人像圖示,進入「個人設定」→「帳號」→「登入方式」,可啟用「雙重驗證」。
    選擇「驗證碼(OTP)」,接下來可使用 2FA 手機 App 進行配對。

    第四式:改埠號起碼防止白撞

    Synology 的管理介面預設使用埠號 HTTP 5000 與 HTTPS 5001 的連接埠(或稱通訊埠)接入,不過那麼多人使用他們的產品,埠號 5000 與 5001 早已是公開的秘密,入侵者首先都會試一試這個埠。更改登入埠號雖然對防止入侵作用不大,但起碼可以防止小混混來白撞。

    設定 NAS 登入入口

    開啟「控制台>登入入口>DSM」,更改「DSM 連接埠(HTTP)」和「DSM 連接埠(HTTPS)」,其中「DSM 連接埠(HTTPS)」是 SSL 加密連接登入,比較安全,但就需要有憑證。連接埠的數值由 1024-65535 自由選擇,當然不應該選擇 3306(數據庫) 這類知名的連接埠(本例為 12344 和 12345)。
    至於「將 DSM 桌面的HTTP 連線自動導到 HTTPS」,即是強制使用SSL加密登入連線,已經匯入或申請憑證的話就可以勾選這個選項令登入更加安全,但如果未有憑證下就打勾這個選項,就需要複雜程序來修正,所以對網絡和Linux 不了解的話還是不踫為妙。

    第五式:停用 SSH 服務

    一般家庭用家未必會接觸到 SSH 或 Telent,有關功能可透過終端機指令進入 NAS 系統底層,而且是 root 最高權限,稍一不慎隨時成為 NAS 自己打開的後門。假如讀者不懂得甚麼是 SSH,基本上就是不會用得著有關功能,直接停用就是最穩妥的做法。

    「 控制台」→「終端機 & SNMP」→「終端機」頁面中,不勾選Telent 與 SSH 兩項目即可。

    第六式:防火牆 防外也要防內

    很多人以為只要在無線路由器設定好防火牆防範外來黑客入侵,但其實家中防禦一樣重要。由於現在筆電成主流, 一人一機,假如有家人對網絡保安意識低,經常流連高危網站的話,就很容易「引狼入室」,把木馬程式帶進家中網絡,所以 NAS 設置對內防火牆也一樣重要。

    大家可以將常用到的網絡應用分成「對外」和「僅供對內」兩種,例如管理介面、DLNA/UPnP 多媒體伺服器、Bonjour、與 Mac 分享檔案之類多數只會在家中內網使用,而 Audio Station、File Station、Surveillance Station、Synology Drive Server 等就需要連接外網。如果大家覺得有需要,還可以在內網再細分,限定特定裝置才能存取某項服務,例如只有電視機才能存取 Video Station 和 DLNA/UPnP 多媒體伺服器,防止小朋友從學習電腦存取影片。

    設定 IP 位址

    在防火牆區分內、外網都要設定 IP 位址,其中內網 IP 位址為 192.168.x.x,第三個數位視乎路由器設定而定,一般品牌預設多數是 1 或 100,第四個數位就由 1-255,每部裝置指派一個,所以就能針對指定裝置作設定。

    首先進入「控制台>安全性>防火牆」1,確認已勾選「啟動防火牆」2,在「防火牆設定檔」一欄按右邊的「編輯規則」3 按鈕。
    選擇其中一條規則按「編輯」,或者按「新增」建立新的規則。
    選擇「從內建服務的清單選取連接埠」,並按下右邊的「選擇」1
    在服務清單中勾選想要批准同一範圍 IP 登入的服務,完成後按「確定」。
    對於「來源 IP」,如果是想讓外網登入所選服務的話,可以選擇「所有」,否則就要選「特定 IP」並按右邊的「選擇」2
    輸入想要批准登入服務的 IP 位址,可以是單一主機,也可以輸入一段 IP 範圍。完成後按「確定」。
    在「操作」決定是「允許」登入服務還是「拒絕」登入服務之後就可按「確定」退出。再按一下「確定」就完成。

    第七式:申請免費憑證提供安全連線

    Synology 有為 NAS 提供 DDNS 個人化域名服務,除了為家中的 NAS提供方便易記的域名之外,還提供了免費 SSL 憑證作加密連線,提升安全程度。

    開啟「控制台>Synology 帳戶」,登入或者註冊 Synology 帳戶。
    開啟「控制台>外部存取>DDNS」頁面,按「新增」按鈕。
    勾選「啟動 DDNS 支援⋯⋯」1,在主機名稱自訂一個名稱,並在右邊選擇一個喜歡又易記的網域2,其他的參數如 IP 位址會自動為大家設定好,按「確定」等一會就完成。
    「控制台 > 安全性 > 憑證」,選擇新增憑證,並選擇免費取得憑證。
    以後就可以憑這個個人化域名,以安全連線登入 NAS 服務,例如以 Audio Station 串流家中的音樂庫。

    第八式:啟用 IP 自動封鎖

    一旦 NAS 遭受惡意入侵,與其無了期等待攻擊結束,何不主動出手停止攻勢?NAS 設有 IP 自動封鎖功能,用家可自定於特定時間內,同一 IP 嘗試登入達到一定次數,即自動封鎖該 IP 位址,從而降低被撞中密碼的機會。不過要留意的是,入侵者的 IP 一旦變更,之前的封鎖就會失去作用。

    在「控制台」→「安全性」→「保護」中,選擇「啟動自動封鎖」,預設為 5 分鐘內嘗試登入 10 次即自動封鎖 IP,大家可自行調校兩個數值。
    點選「允許 / 封鎖清單」,可自行輸入 IP 位址,建立允許清單(即白名單)及封鎖名單(即黑名單)。

    第九式:啟用帳號保護

    自動封鎖功能可以避免來自單一 IP 的入侵,這一式的帳號保護功能,則是針對現有帳號加強防線。假如個別帳號於特定時間內,被嘗試登入達到一定次數,即會觸發帳號保護,到用家自定的時間後,才會解除封鎖。

    在「控制台」→「安全性」→「帳號」中可以找到「啟動帳號保護」選項,可針對「未信任用戶端」與「已信任用戶端」,設定不同的保護與解鎖條件。

    第十式:保持系統更新

    一般用家眼中,系統更新可能只是帶來新功能,但每次更新往往會包括安全性修復,時刻保持系統更新,有助防範於未然。NAS 作為連網使用的產品,安全性更新尤其重要,而負責任的廠商更會著力盡快解決安全性問題,例如 Synology 就設有產品安全事件應變小組,當有安全性弱點揭露時,進行即時的資安事件處理,包括 8 小時的弱點調查、15 小時的弱點修復,在 24 小時內解決弱點並釋出安全性更新。

    在「控制台」→「更新 & 還原」→「系統更新」→「更新設定」中,建議選擇「自動安裝修復重大安全性弱點及問題的重要更新」,時刻保持系統得到安全性更新。
    用家可使用「安全諮詢中心」套件,掃描系統、套件、使用者帳號、網絡等各方面的保安設定。

    最後緊記!備份.再備份

    很多人以為只要在無線路由器設定好防火牆防範外來黑客入侵,但其實家中防禦一樣重要。由於現在筆電成主流, 一人一機,假如有家人對網絡保安意識低,經常流連高危網站的話,就很容易「引狼入室」,把木馬程式帶進家中網絡,所以 NAS 設置對內防火牆也一樣重要。

    使用「Snapshot Replication」套件,可建立快照排程,例如每日對個別資料夾拍攝快照。
    用家可自定保留規則,保留指定日、週、月、年保留不同數目的舊版本快照。

    人算不如天算,NAS 本身,以至內部的硬碟,亦有機會出問題而影響到資料,更穩妥的做法是進行再備份,即是將 NAS 內資料再備份到其他目的地,例如另一台 NAS、外置硬碟、公有雲端服務等,提供多一份安心。

    使用「Hyper Backup」套件,可將資料夾以至系統設定備份到不同目的地,亦支援多版本備份。

    培養保安意識

    任何系統、任何裝置都可能有保安風險,作為用家完成上述的基本保安設定後,絕不是一勞永逸,更重要的是培養保安意識,諸如加強日常使用的密碼,收到電郵、短訊切勿亂按連結,保持系統更新等等,重要資料更需要備份、再備份,做好每一環節才能在網絡世界活得安心自在。

    您會感興趣的內容

    相關文章