大家好
因為最近在各處看到很多Qlocker災情,也有英國youtuber 發片說他的人生紀錄與公司影片完蛋了。小弟因為一年多前更新Nas版本被搞了一陣以後就沒再更新,也很怕沒更新被人入侵,所以對外全都關了,只開openvpn連回家用。
而小弟家用Nas約4年,在網路上看到不少熱心前輩會提醒,Nas放家裡不要裸奔。以下是小弟的設置,分享出來請各位前輩指教是不是還有可以補強的地方。
現在家中暫時停止了所有外網連線,DDNS服務,希望先避避風頭,等可以維持安全性以後再看怎麼啟用家中對外分享。
簡易架構圖
設定分為兩部分,第一部分是家中的router,第二部分是Nas
1. router/分享器設定。
1.1 WAN 設定。
1.1.1 關閉 Port forwarding.
1.1.2 關閉 DMZ
1.1.3 關閉 DDNS
1.2 開啟防火牆。不知道要設定什麼規則,因為防火牆說明有防止DoS,所以開上了。防火牆規則是空白。
1.3 系統,帳號設定。不准從WAN存取帳號。
2. Nas設定。 小弟這台是Q家的Nas,個人不想貼圖了,用字與設定可能偏向Q家,希望前輩們不吝指教。
2.1 安全設置。帳號登入以白名單管理,限定內網才能存取。
2.2 myQnapCloud
2.2.1 關閉 DDNS。
2.2.2 關閉 Publish service
2.2.3 關閉 PnP Port forwarding
2.2.4 關閉 Cloud Link
想請各位提醒不要裸奔的前輩看看,是不是還有什麼可以做的,不勝感激。
關閉廣告
飛行海鳥 wrote:
其實搞這麼多設定,我會建議從路由器直接把 nas 封鎖不能連網際網路簡單多了。
其實個人感覺沒用, 先前有提到, 如果內網 PC 不小心手抽筋點到 有問題email 或 網頁超連結,把病毒帶進來, 就形成破口汙染內網, 甚至讓 PC 當跳板, 直接幫 NAS 進行檔案加密...
其實好奇研究一下病毒演變, 過去只是惡作劇綁架網頁、刪刪檔案、搞掛電腦, 演變至今有 [勒索病毒] + [加密數字貨幣] 的一種 Business Model , 供給駭客養分, 感覺已經演變成新興專業集團產業鏈, 週期短和變現快...
幻想以 Qlocker 事件來看, 需要有人隨時留意更新檔的漏洞, 在短時間開發出勒索程式, 發動大規模的攻擊, 如果有成千上萬受害者想繳贖金, 必須要有客服人員協助服務繳款與解鎖...
駭客可能沒有直接與受害企業溝通, 猜測僱傭了一批線上客服, 7*24小時線上, 負責與受害者溝通, 並協商價格, 這個工作相當技術難度不大, 但需要人力較多, 線上時間較長, 所以外包給客服再合適不過了, 當受害企業向駭客錢包轉入比特幣的時候, 此錢包會分批次轉入其它成員... 類似詐騙集團有分: 車手、話務員、機房、水房、金主分工各司其職...
自己也認為沒有功不破城牆, 一些基本防護只是拖延被駭客發現及攻擊的機會, 裸奔設備只是先中獎(當吹哨者), 讓沒中獎的人, 多一點時間應變與防護... 不管是網路前輩 或者是 Q & S 官方都再三強調, 建議要 依循 321 備份原則, 為 NAS 上儲存的資料進行備份或再備份, 以保障資料安全...
Have a nice day~
aru wrote:
其實個人感覺沒用, 先前有提到, 如果內網 PC 不小心手抽筋點到 有問題email 或 網頁超連結,把病毒帶進來, 就形成破口汙染內網, 甚至讓 PC 當跳板, 直接幫 NAS 進行檔案加密...
我對Qlocker不了解,他是可以跨平台攻擊嗎?這樣是Windows 的 PC被感染,然後被感染的PC會攻擊 Linux base 的 S家, Q家 NAS?
目前家中東西簡單,這個貼討論的是簡單的作法。如果家庭要做到像您提到的不要有從筆電手機帶入的威脅,感覺是另一個大題目。比如有些貼提到用更多子網路或vlan切割的。小弟自己google的結果,大多的規劃都是提到:第一,設備買哪些。第二,家中格局走線怎麼走。第三,切割子網路讓筆電手機和攝影機等分流。並沒有找到如何設定切割子網路來保護家中的重要Nas,或者備份主機的。
如果有實際作法也很希望分享,希望有更多像我一樣自建家中網路的小白可以有點收穫,謝謝
關閉廣告