[請益] NAS開放對外 設白名單才能連 能擋勒索?
是這樣的拉
最近又看到NAS出現被勒索狀況
看了一下 都有開放對外沒IP限制都能直接到網頁登入畫面?
以往被勒索好像都是這樣子的人中?
如果NAS上直接設白名單IP才能連
是不是就能擋下勒索軟體?
還是NAS上有開其他後門 開了白名單也沒用?
--
看是 IP block policy 先行還是怎樣
4 白名單就是iptables還是啥的檔 在系統層面
我家破爛Q只有4.3更新 有對外 但白名單內網一點事
都沒有
如果是電腦被駭,內網SMB存取NAS,還是一樣會整組壞
掉
問題是你怎麼知道你會用到哪些IP
這樣對外除了有固定IP不然感覺沒VPN實用吧
其實也不用固定IP 把自己IP發信到信箱或LINE,寫個腳本自己去開白名單 不過要先確認是不是開了白名單就能擋住外部掃NAS IP那種勒索 不然也是沒用
GeoIP阿 只留台灣ip就會改善很多了
反正一切都是方便vs安全之間的取捨
電腦被駭那等於賊在你家裡 根本沒啥好討論的了
一種鑰匙用信件寄出去的概念,不擔心信箱隱秘嗎
只有IP資訊應該是還好 除非信件被攔截而且對方知道這是幹什麼用的
先VPN才能連NAS 又不是要服務公 眾 幹嘛直接對外?
VPN不是會降低速度嗎 而且也算另外一個坑吧 也是需要定時維護補漏洞
可以購買SSL憑證,只有持有憑證的裝置才能連線
SSL買全球大廠comodo平均一年才1000多台幣而已
SSL憑證感覺可以研究看看
※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 18:55:38樓上說的那種SSL憑證可以自己簽 不用另外花錢
綁域名的(https常見) 才需要第三方機構簽(費用另說
SSL 證書可以付費購買,也可以用常見的Let's encry
pt 等免費簽發。差異僅在於驗證簽發方式有差。線上
DNS驗證,或是實體企業商業驗證,商業目的的門面網
站才會考量用付費SSL。
原PO的想法和需求非常常見,只是適用場景比較偏向
架站的資安領域。
網路上有很多的類似教程,購買VPS 架設網站,VPS本
身的後台管理和存取,僅允許前段用cloudflare 或是
其他類似服務 IP 反代登入存取。也就是僅有白名單c
loudflare IP才可進入。
抗CC,抗DOS打爆網站,禁止未授權的IP駭入等。
VPS 腳本更新cloudflare IP白名單清單, iptable
防火牆設定僅允許cloudflare IP 進入。cloudflare
也有相關的設定選項。
買台家用NAS來放檔案還要買憑證架VPS也太誇張
我是買RT2600ac,內附的VPN PLUS好用,VPN進去就當區
網操作了
NAS 不用對外開放
只要跟行動裝置都裝上 ZeroTier 或是 TailScale
就可以直接連線惹, 安全穩穩的
不是說要買VPS 和SSL證書,而是如同原PO所需要的,
保護VPS不被駭客入侵,如同外連公網的NAS,設定白
名單IP清單,僅允許特定對象的IP登入VPS/NAS。
VPN 是一個解決方法,速度的確會掉一些,wireguard
協議至少還不錯。
Synology DSM + Cloudflare Tunnel
ZeroTier的問題是你永遠不知道他的節點會往哪邊繞.
..
樓上,zerotier 和 tinc vpn 一樣屬於P2P VPN,本
來就不會固定制式走單一節點。
用VPN , 不然前端就用有UTM/NGFW的FIREWALL
請問要怎麼設定 "只有持有憑證的裝置才能連線" ???
你要有固定ip跟網域,綁進ssl憑證
不能 這次中勒索利用的是Q家NAS內的APP中的BUG
只要有對外IP被掃到就會中
IP 掃描又不是最近才有,網路發展到現在
就有一堆現成的黑牌白牌工具應用。
不一定要有固定IP,DDNS也可以,但要有網域,
就可以DNS驗證簽發SSL證書。
就可以DNS驗證簽發免費SSL證書。
Letsencrypt BuyPass Google.com Public CA ZeroSSL
ddns要開port,我想朝完全不開port的方向去設定
同時所有synology對外服務套件要能正常運作
不開PORT 又要能對外,除非你一個人用...
而一個人用那就用VPN就好了
有一個只開一個PORT 但可以跑 多種PORT的方法
而且第一個面對的也不是NAS
有興趣的可以去研究 sslh
ngrok 也可以看看
以前玩過連上某個PORT 驗證後,自動 Allow 連上的IP
這 POrt 可以1024 以外的任一個PORT 比如 9527
用網域申請SSL我知道,但是不懂怎麼設定才能
「只有持有憑證的裝置才能連線」?請問有參考網址
或者是關鍵字可以查詢嘛?
中文找不到,就用英文單字找。
我的VPN 有啟用 OTP
可以建議一下嘛?我真不知道怎麼下英文關鍵字去找
ssl + 「只有持有憑證的裝置才能連線」
翻到 Mutual Authentication 再來研究看看
1.直接防火牆設白名單
我好像用port knocking
前面擺一台router board用port knocking
42
[閒聊] 為什麼Hololive Live要封台灣IP?剛剛突然想到還沒購買我齁的3rd Live門票,點開要購買時發現竟然被封IP!? 尋思應該是日本慣常的傲嬌民族性,封所有海外IP啦~ 可是要掛VPN上去買票時,不小心掛到美國,結果竟然可以購買!!! 那不就表示你齁是刻意把台灣IP封掉的嗎...?73
Re: [閒聊] 為什麼Hololive Live要封台灣IP?澄清一下,Cover在SPWN開的演唱會並不是全部都擋華文圈IP。 Cover在 niconico開了好幾次的 VARK演唱會也是全都沒有擋IP, 理論上,如果是為了避免政治上的麻煩,應該全部付費演唱會都擋才對。 事實就是有的擋了有的全開放,也有的是同一個地區IP有些人被擋有些人沒事。 另外,COVER最近開的官網fan club,提供的會員獨享節目也沒有擋IP24
Re: [情報] 華芸NAS遭到deadbolt勒索病毒盯上(新)48小時內又出現新一波Deadbolt勒索,這次包含Qnap也有攻擊 當前用NAS有對外開Port或服務(含SSH) 尤其裸奔等用戶請務必更新系統 (杰哥:我看你是很勇喔) 記得檢查有沒有異常登入記錄(還有瘋狂試密碼的) 沒有開對外port或服務也建議檢查看看資料有無異常,斷網避個風頭17
[閒聊] steam能上中國白名單嗎?剛剛打開水管看了一下首頁推薦 發現自己訂閱的單口相聲頻道發片了 看了一下 說著中國最近從黑名單,禁止中國人去某些網站轉變成 中國白名單,你只能去這些網站9
[請益] NAS連固定IP上下傳的速度最近用老設備裝了一台TrueNas Scale 22.02.1 cpu:Intel 1265L v4 MB: Gigabyte H97N-wifi RAM:DDR3 8g*2 SATA SSD 256g+HDD 1TB9
[問卦] 哪些id適合加入白名單?乳題 PTT有個功能是加入白名單 好像可以特別顯示那個人的id 有沒有推薦的id加入 像是多啦王、157、惡魔旅館等等7
[閒聊] 關於FTX的提現白名單地址閒聊, 我最近下載了FTX APP,放了1萬鎂進去,順手開啟提現白名單,確保安全, 結果連FTX交易所(也就是手機的FTX Pro)也適用同一個白名單功能了@@ 我還以為兩者功能分離... FTX交易所提款不方便,我就想要關閉白名單,6
[請益] 請問 QNAP NAS 不對外是指不能連上網嗎最近接手一台 QNAP NAS, 但之前的狀況會想讓人提高警覺。 我的 router 對外埠口只有一個 23456, 還在考慮要不要開給 nas 的管理介面用。 想問的是,所謂的對外,是指開放連入嗎?4
[請益] 固定IP 及 防火牆路由器 對NAS的幫助性大家好 去年買了DS1520+放著到現在,只有裝了Synology Photos app上傳照片用 其他功能還沒時間摸索 最近剛好家裡要請人裝監視器,廠商有Synology NAS教學設定服務 打算請廠商一起幫忙