近年網絡攻擊越趨頻繁,且針對個人設備 (如:PC、智能手機、NAS 等等) 的攻擊亦逐漸增多。相信有用 NAS 的讀者,近期在網絡上或多或少都會留意到一些關於 NAS 被黑客透過勒索軟件入侵加密的新聞,如 eCh0raix (暴力密碼破解)、Deadbolt (漏洞攻擊)、7even Security (漏洞攻擊) 、Qlocker (漏洞攻擊) 等等,當中幾個大品牌如 Asustor、Synology 及 QNAP等,都有受到攻擊,被入侵裝置內的檔案將會被加密,無法使用。而 NAS 內儲放了大量資料與數據,若無備份的話,可說是損失慘重。
若不想成為受害者,我們則必須為家中的網絡及 NAS 進行適當的設定,以加強網絡保安,避免被黑客入侵。而本篇教學文章正正就是針對 NAS 網絡儲存裝置而設的,幫助大家保護 NAS 內珍貴的資料,免受勒索軟件攻擊。
與外網分離免受黑客發現
1. 關閉 Router 及 NAS 的 UPnP 服務
UPnP 服務本來是為了讓各種裝置 (如:網絡打印機、掃描器、Gateway 和 NAS 等等) 便於連接而生。不過正正是這個便利,設備可以利用 UPnP 打開設備的 Port (連接埠) 讓設備服務曝光於互聯網中,讓黑客很容易在網絡上掃瞄到你的內聯網設備,從而攻擊入侵。
而部份 Router 及網絡設備,為了讓使用者可更簡單使用與設定而預設開啟這個 UPnP 功能,而在這個網絡攻擊盛行的年代,這是相當危險的,因此我們需要檢查並關閉 Router 及 NAS 的 UPnP 服務,避免網絡攻擊。
圖為 QNAP NAS 的 UPnP 設定 (已停用)
2. 停用 Port Forwarding
Port Forwarding (端口轉發) 適合對網絡知識比較深的用戶及專業網絡人員,並需要搭配對應的防火牆規則使用。若普通用戶使用 Port Forwarding 而又沒有搭配使用適當的保安設定,同樣是相當危險。因為這個功能同樣會讓你的 NAS 設備曝露在互聯網上,很容易被黑客搜索到並攻擊入侵。因此,如沒有必要,請勿設定 Port Forwarding 讓你的 NAS 曝露在互聯網上。
不論是 Synology 又還是 QNAP,都是建議不要暴露 NAS 在外網。
安全連線方式
由於上述的方式是將 NAS 設備與互隔網隔離開,因此若要從外網連線存取 NAS 就要透過其他方式,不能直接連線。而以下將會介紹兩個方法供大家使用。
1. 透過中繼伺服器連線
不少 NAS 品牌也有提供自己的中繼伺服器 (Relay Sever) 供其用戶安全連線到 NAS,而 QNAP 的則提供 myQNAPcloud Link,Synology 則提供 Smart Connect。而這些使用這些中繼伺服器的服務前,需要在 NAS 安裝並啟用相關的應用。
以 QNAP 的 myQNAPcloud Link 為例,用戶只需輸入已設定好的連結,就會先連接到 QNAP 提供的中繼伺服器,經過登錄 QNAP ID 認證後,再經其連接到 NAS 的登錄畫面,以存取使用。
myQNAPcloud 官方教學:傳送門
2. 使用 VPN 連線
用戶需先在內網 / NAS 上,設定好 VPN 服務 (如:WireGuard、OpenVPN、QBelt 等等) 。然後再透過 VPN 連接到 NAS 所在的內部網域,以存取 NAS。由於 VPN 本身除了支援加密傳輸外,還多了一重 VPN 的登錄認證,因此也是相當安全的連線方法。
QVPN 官方教學:傳送門
保持系統及應用更新
除了以上方式外,建議大家養成良好的更新習慣,保持 NAS 的系統與 APP 更新,以堵塞漏洞。若平時沒有太多時間去管理的話,可以開啟自動更新。
-
- QNAP APP Center 的自動更新設定頁面
-
- QNAP 作業系統的自動更新設定頁面
備份才是皇道
不論你是否做足保安設定,還是還是有定期更新,只要你存放的資料是重要的話,就需要建立複本備份。正確與合適的備份,除了可幫你避免黑客加密勒索帶來的損失外,外可以避免一些人為錯誤操作、系統損壞而帶來的資料損失。
而有關備份的觀念與方法,可參考以下的文章:
