[問答] NAS透過VPN或用port轉發 安全性有差嗎?

看板Network作者 (americ)時間4年前 (2020/10/18 00:41), 4年前編輯推噓1(1033)
留言34則, 6人參與, 4年前最新討論串1/1
因為之前看到VPN對速度會有影響 所以目前只會使用port轉發的方式 後來想想, 安全性還是很重要, 所以在想是不是改用VPN 但是查了一下網路 所謂VPN的安全性 好像是指把通訊內容加密 那這樣對於被掃ip, 掃port, 的暴力試密碼 也是跟開port一樣 沒辦法防止的是嗎? 而且被破解VPN的話, 不只NAS受影響, 其它內網的電腦也會遭殃, 但用開port的方式, 也就只影響到NAS而已, 不知道我的想法對不對, 謝謝! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.230.150.28 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Network/M.1602952873.A.B60.html ※ 編輯: americ (36.230.150.28 臺灣), 10/18/2020 00:43:05

10/18 02:13, 4年前 , 1F
爬前幾篇文 好像要用 SSL VPN+CA
10/18 02:13, 1F

10/18 02:24, 4年前 , 2F
重點好像在CA 不知PORT的方式能用嗎?
10/18 02:24, 2F

10/18 16:30, 4年前 , 3F
你就不要用帳號密碼登入 改用cert+密鑰就變ssl vpn了
10/18 16:30, 3F

10/18 16:53, 4年前 , 4F
網路查是有VPN+CA的方式 可是怎麼樣把cert+密鑰 用在一般
10/18 16:53, 4F

10/18 16:54, 4年前 , 5F
網路芳鄰的帳號密碼連線呢??
10/18 16:54, 5F

10/18 19:07, 4年前 , 6F
網芳不要開對外,要連的時候先VPN回來再連,控管好VPN
10/18 19:07, 6F

10/18 19:07, 4年前 , 7F
的連線就好
10/18 19:07, 7F

10/19 10:33, 4年前 , 8F
VPN弄到會被暴力破解也太鳥
10/19 10:33, 8F
如果只是帳密而已 那VPN也是一樣吧? ※ 編輯: americ (36.231.144.83 臺灣), 10/19/2020 12:13:58

10/19 16:55, 4年前 , 9F
都加上CA,除非對方也拿到同樣CA才能登入
10/19 16:55, 9F
我覺得CA是最低風險的, 可是開PORT好像目前還沒有搭配CA的方式...

10/19 16:56, 4年前 , 10F
不管你要用哪種方法,那都有風險,只是風險高跟低
10/19 16:56, 10F

10/19 16:56, 4年前 , 11F
而SSL VPN有所謂的加密協定,不是那麼容易破解
10/19 16:56, 11F
想請教, 一般密碼被破解的情況, 是暴力破解多, 還是被看明碼破解呢? 因為SSL就我知道好像是傳輸加密, 主要是防止被看明碼這部份

10/19 16:57, 4年前 , 12F
如果你很信任NAS OS層,你是可以直接開Port
10/19 16:57, 12F
請問可以舉例可能會有的問題嗎? ※ 編輯: americ (36.231.144.83 臺灣), 10/19/2020 19:38:52

10/20 01:14, 4年前 , 13F
暴力破解就是嘗試,開Port就有可能被這樣破
10/20 01:14, 13F

10/20 01:14, 4年前 , 14F
例如預設的Admin帳號,那麼就可以一直嘗試
10/20 01:14, 14F

10/20 01:15, 4年前 , 15F
或者利用本身NAS的尚未修補漏洞進行控制更改高權密碼
10/20 01:15, 15F

10/20 01:16, 4年前 , 16F
SSL主要還是公鑰及私鑰認證
10/20 01:16, 16F

10/20 01:16, 4年前 , 17F
多一個因素那就是CA
10/20 01:16, 17F

10/20 01:18, 4年前 , 18F
會要你使用SSL VPN,主要在於多因素驗證
10/20 01:18, 18F

10/20 01:18, 4年前 , 19F
而不希望你開PORT直連NAS,主要在NAS廠商不一定會立即修補
10/20 01:18, 19F

10/20 01:19, 4年前 , 20F
之前監控設備集體攻擊某家平台導致癱瘓就是類似這種
10/20 01:19, 20F

10/20 01:19, 4年前 , 21F
監控設備版本過舊,被統一操控進行國內癱瘓攻擊
10/20 01:19, 21F

10/20 01:20, 4年前 , 22F
其次大多買這種監控設備鮮少會做到更新及外網禁連
10/20 01:20, 22F
謝謝f大 我對VPN概念淺 會再多研究...!

10/20 12:32, 4年前 , 23F
可是網芳有ca類的認證嗎 先不說windows ad/server
10/20 12:32, 23F
※ 編輯: americ (36.231.144.83 臺灣), 10/20/2020 20:48:11

10/22 14:15, 4年前 , 24F
只要是對外開放的服務包含VPN都可能被暴力嘗試啊
10/22 14:15, 24F

10/22 14:18, 4年前 , 25F
要說VPN一定比較安全那也未必,例如你用NAS內建的VPN
10/22 14:18, 25F

10/22 14:18, 4年前 , 26F
那不是等於把NAS直接對外了?
10/22 14:18, 26F

10/22 14:19, 4年前 , 27F
VPN比較安全也是有前提的,那就是VPN伺服器是獨立的
10/22 14:19, 27F

10/22 14:20, 4年前 , 28F
VPN server本身的軟體漏洞要修補、要防暴力嘗試、認證
10/22 14:20, 28F

10/22 14:21, 4年前 , 29F
機制要安全(憑證認證或多因素認證)
10/22 14:21, 29F

10/22 14:22, 4年前 , 30F
如果你直接把內部服務開port想做到安全也不是不行,但是
10/22 14:22, 30F

10/22 14:23, 4年前 , 31F
如果開的服務好幾個,也有不只一種系統,就會有漏洞來不
10/22 14:23, 31F

10/22 14:24, 4年前 , 32F
及補的問題,畢竟要維護的服務跟系統數量變多了
10/22 14:24, 32F

10/22 14:25, 4年前 , 33F
如果對外只用VPN,連上VPN才能存取內網服務,基本上只要
10/22 14:25, 33F

10/22 14:26, 4年前 , 34F
專心維護好VPN的安全就好,減少被攻擊的目標。
10/22 14:26, 34F
文章代碼(AID): #1VYnwfjW (Network)
文章代碼(AID): #1VYnwfjW (Network)