152
93
让NAS更安全的十个方法
2021-02-03 20:58:57
8点赞
33收藏
4评论
前言:
如果大家有留意到关于资讯安全的新闻的话,其实会发现网络上一直存在针对NAS的攻击。
不管是什么品牌的NAS,其实都存在不少未知的安全性漏洞,要用NAS用得更安全,更放心,就需要做好安全性设定,以降低被图谋不轨的人盯上的机会。
本次就为大家科普或者说介绍一些常用的安全性设定,让大家都可以把NAS设定得更安全。
以下会以QNAP NAS作为平台,其他品牌的NAS理论上都有提供类似的设定,大家只需要按相同逻辑设定即可~
目录:
1.使用强制密码
2.启用自动封锁功能
3.避免使用预设的连接端口
4.停用不必要的服务
5.只对外开放必要的服务
6.使用SSL 加密连线
7.启用系统连线记录
8.启用NAS 通知功能
9.保持系统及套件在最新的版本
10.安装安全性检查套件
正文:
本次操作平台为威联通的TS-551
TS-551 是一款五盘位NAS,盘位数量对于初级用户来说恰到好处,不用一次购入太多硬盘就可将盘位填满,节省预算。其中两盘位支持SSD高速缓存(2.5英寸),另外还有三盘位使用机械硬盘(2.5、3.5英寸均可),可以做到分层分区存储,提高传输性能和安全性。设计有两个千兆lan接口、两个USB2.0接口、两个USB3.0接口与一个电源接口,还有一个音频接口。这款机器还支持链路聚合,可拥有双倍的速度传输数据。
TS-551使用intel
Celeron J3355处理器,2.0GHz,可睿频至2.5GHz;采用的是X86构架,比ARM构架的还是要好用些;2GB初始内存,可扩展至8GB;4GB闪存,支持RAID
0/1/5/6/10、+ hot spare、single等RAID模式。
虽说算个入门产品,但是一点也不算差,该有的都有,对于小白来说用它来入NAS的门也比较合适。
下面进入正文!
1.使用强制密码
不少被攻破的NAS以及其它电子设备, 都是使用很简单或很容易猜到的密码。通过设定长度及复杂程度足够的密码,能大幅度增加黑客需要尝试的密码组合,从而达到提到安全性的效果。QNAP NAS 可以设定密码规则,能确保QNAP NAS 内所有的使用者账户的密码都有足够的长度及复杂程度,让NAS 被猜中密码的机会大幅降低。此外,系统管理员也可以设定密码过期日,来强迫使用者定期修改密码,避免黑客可以使用已经外流的密码登入NAS,进一步增加安全性。
设定密码规则可以强迫使用者设定强密码,也可以强制要求使用者定期修改密码
另外,由于大部分黑客都是针对「root」或「admin」之类的预设帐户进行攻击,因此也可以考虑把预设的「admin」帐户停用,用家需要先新增一个在「 administator」群组内的帐户,再用该帐户登入,才可以停用「admin」帐户。
除了使用强密码外,玩家还可以使用「两步验证」功能,在输入正确密码后,还需要使用应用程序产生一个有时效性的密码,才能成功登入。但要注意「两步验证」在某些地方是无效的,如「VPN」、「SAMBA」、「FTP」及「SSH」等,所以使用强密码还是有必要的。是必需的。
2.启用自动封锁功能
玩家需要启用自动封锁功能,在密码错误达一定的次数后,就把IP Address 直接封锁一段时间,甚至是永久封锁,即可避免攻击。
然而,请不要把错误次数设定得太低,以SAMBA 服务为例,Windows 系统在第一次连线时会自动使用Windows 的使用者帐户或Guest 帐户尝试连线到NAS,就有可能发生登入失败。因此,如果次数设定得太低的话,很容易就会把自己封锁掉,这时候就需要换个IP来帮自己解封,也十分麻烦。
通过「IP存取保护」,可以自动封锁在特定时间内多次登入失败的IP,阻止有心人碰密码
通过「IP帐户存取保护」,可以自动停用多次登入失败的使用者帐户,为玩家争取时间排除安全风险。
3.避免使用预设的连接端口
不少被攻破的NAS 都是使用预设的连接端口,因为黑客是采取「舍难取易」的策略,他们会用自动程序来扫描网络上的IP 地址,搭配一些NAS 的预设连接端口(如QNAP 是8080;Synology 是5000),找出NAS 并作为攻击对象。因此,改用其它连接端口能有效减小被黑客发现的机会,也降低了被攻击的可能性。
4.停用不必要的服务
一般来说,服务越多,潜在的漏洞就越多。因为NAS 往往都提供一大堆服务功能,当中必然包含玩家实际并未使用的服务,虽然NAS 的作业系统通常会把服务预设关闭,但玩家还是需要检查一下,把部分不必要或未使用的服务停用,减少潜在的漏洞。
玩家可以到「系统状态」查看已启用的服务,并把不需要的服务停用来降低风险,顺带还能减少占用。
5.只对外开放必要的服务
黑客会针对不同服务的连接端口进行攻击,尝试利用漏洞或猜出密码。虽然NAS 通常挂在路由器上,路由器基本自带防火墙。但是,错误的设置比如使用 DMZ 功能,会把所有连接端口开放到NAS,或是把不必要的服务对外开放,会增加被攻击的风险。因此,只对外开放有需要在外网使用的服务也可以减低风险。
玩家应该避免把不必要的服务对外开放,例如「SSH」、「Telnet」等等
此外,在有多于一个网口 的NAS玩家可以启用QNAP 提供的「服务设定」(Service Binding)功能,这可以把特定的NAS 服务指定到某一个网口,确保服务只在有需要的端口 运行,减少NAS 被攻击的机会。
「服务设定」功能可以限制使者只能通过特定网口使用存取服务
6.使用SSL 加密连线
不少玩家没有使用SSL 加密连线,使密码以明文的方式经网络传送,增加被黑客窃取密码的机会。通过启用及使用SSL 加密连线,能让所有资料都在有加密的情况下传送,让黑客难以窃取密码,使NAS 更安全。玩家还可以配合NAS 厂商整合的免费SSL 凭证,让浏览器或应用程序不会跳出 SSL 凭证不正确的警告。
7.启用系统连线记录
启用系统连线记录可以让玩家更容易发现NAS 有没有被攻击,增加安全性。
因为启用连线记录在入门NAS 机型有可能轻微影响性能的关系,所以有时厂商会因性能考量而没有预设开启,所以玩家最好自己检查一下有没有启用连线记录,并设定检查有没有可疑的存取状况(也可以配合系统通知功能使用,让系统主动通知),以保安全。
通过记录可以清楚得知有什么文件曾经被访问或存取,也能得知使用者在什么时候、以什哪个IP 登入
建议为所有服务启用连线记录
8.启用NAS 通知功能
NAS 的通知功能让玩家清楚知道NAS 的状态,提早发现被攻击并以处理,能有效降低风险。大部分NAS 厂商都会提供通知功能,从最基本的Email 通知、 SMS 通知,到手机推送通知都会提供。威联通可以说是更进一步,提供了即时通讯通知功能,支持多个通知方法齐发,更可以根据不同的应用及事件严重程度自定通知规则,确保玩家能注意到重要的信息,做出相应的行动。
可以根据「事件」类型自定义通知
可根据「严重等级」类型自定通知
支持E-mail 通知
支持SMS 通知
支持Skype 及Facebook Messenger 通知
支持Qmanager App 及浏览器推送通知
9.保持系统及套件在最新的版本
旧版本的系统及套件通常都存在不少已知的安全性漏洞,不少黑客会利用已知的严重安全性漏洞进行攻击,并有可能在免密码的情况下直接攻破,数年前的SynoLocker 事件就是血淋淋的教训。因此,保持NAS 系统及套件在最新版本能有效减少漏洞数目,避免让黑客利用已知的安全性漏洞,降低NAS 被攻破的机会。
比较有规模的厂商都会对外公开安全性问题及修复进度,例如 Synology 和 QNAP ,都会提供相关讯息,如果仔细阅读,大部分建议都包含更新系统及套件,以修补安全性漏洞,可见保持固体在最新版本是十分重要的。
Synology产品安全性咨询:https://www.synology.cn/zh-cn/security/advisory
QNAP产品安全性咨询:https://www.qnap.com.cn/zh-cn/security-advisories
部分应用,也可在APP Center 的设置中打开自动更新功能,可以设置自动更新的时间及方式。
10.安装安全性检查套件
QNAP NAS 提供安全性检查套件「Security Counselor」,这些安全性套件会检查NAS 的设定,并提供设置建议让玩家参考,只要用家按照建议进行设定,就能确保NAS 更安全。此外,QNAP NAS 还有提供「Malware Remover」 套件,用来检查并移除恶意软件,确保NAS 系统干干净净。
Malware Remover 可以定期检查及自动删除恶意软件以及设定更新扫描计划
Security Counselor 可以设定安全等级,系统会按照安全等级进行安全性检查
在主界面,可以看到上一次的安全性检查结果
Security Counselor 能在检查后提供建议,使用者可以按照建议调整设定,让NAS 更安全
有需要的朋友可以根据自己情况进行设置~
本次分享就到这里,咱们下次再见!
值友4788212237
校验提示文案
诺斯nor
校验提示文案
[已注销]
校验提示文案
[已注销]
校验提示文案
值友4788212237
校验提示文案
诺斯nor
校验提示文案