相信有使用過或者接觸過NAS的使用者們都知道NAS的方便之處,除了各家廠商有不同的套件及優點外,最大共同的特色就是簡易存取,只要將機器接上電源、網路線,初始化後設定按一按,就可以由電腦直接連到NAS上去做存取,直接將NAS的硬碟當做電腦上的硬碟、資料夾,隨時可以進去作業,並且可以設定不同的權限,讓不同部門、不同身分的人可以存取不同的資料夾,更可以設定資料夾中某個身分為唯讀(只能讀取不能寫入)或者是可讀也可寫,另一個更方便的點就是,只要經過一些步驟設定,使用者在外面也可以直接存取到家裡或者是公司的NAS。
但你知道嗎? 若將NAS開啟對外連線,是有風險的事情喔!
前言
在今年七月(2022-07)又有一款新的勒索病毒攻擊,名為Checkmate,根據QNAP以及twertcc(台灣電腦網路危機處理暨協調中心)的資安新聞、資安通報顯示,此勒索病毒是透過開啟SMB Windows檔案分享並且對外的NAS裝置發動字典檔做暴力嘗試攻擊,也就是利用程式一直以不同的密碼瘋狂的嘗試存取對外開放的NAS直到成功為止,若成功駭入,就會將NAS上的檔案做加密!
根據QNAP給出的建議,最主要就是避免將檔案存取服務(SMB)在網路上公開,也就是以前我們文章中有提到的虛擬伺服器、通訊補轉發的445 port。
那如果對外的通道關閉了,我們之後要怎麼從外面存取NAS呢?
用 安全性 較高的方式存取NAS
VPN(虛擬私人網路)
現在新型的路由器部分都有內建VPN服務,可以將連入的設備視為路由器底下的區域網路。舉個例子,筆者家中的這台路由器就有內建的VPN服務,只要稍加設定就可以建立VPN的伺服器,連入VPN後就會將連入的設備視為VPN伺服器的內部網路而非外部網路,就可以像先前設定的網路磁碟機一樣連線至NAS囉!
但這個方法會有幾個小缺點,像是比較低階或舊型的產品可能無此功能,且架設VPN可能會讓路由器加重負擔,網路速度也會因VPN而變慢,但是作為簡單的又安全的方式,在路由器上架設VPN還是一個挺不錯的選擇!
設定白名單
另一種方式,則是開起對外連線並設定白名單,白名單的意思就是[只允許名單內的人可以訪問],另一種說法就是[禁止非名單內的人訪問],但這個名單須利用Windows 10內建的防火牆,且這個名單只能設定IP位址,所以你如果使用白名單的方法想利用手機的4G/5G網路來連回家裡或是公司的NAS幾乎是不太可能的,因為手機的行動網路的IP會因基地台的關係一直在變動,但若你只是要在”擁有固定IP的地方”來連線到NAS,這個方案還是可以考慮的! 防火牆的設定可以參考我們先前寫關於防火牆的文章。
只要將文內範例1防火牆規則找到檔案共享的地方做編輯設定白名單即可。
其實不管對外或者是只對內的NAS,只要有將網路線接上都是有風險的事情。除了這次的Checkmate是透過外網暴力攻擊以外,2017年的wannacry則是透過SMB的漏洞入侵,並且感染”區域網路“內的所有電腦,所以就算你沒有開啟對外直連的通道,還是有機會被其他種勒索病毒攻擊!
在這勒索病毒橫行的時代,還是最好有多重備份,您可以參考我們先前撰寫關於321備份原則,開始進行備份吧!