[教學] 關於臉書某 NAS 社團詢問關於封鎖 MAC

看板Network作者pichubaby (Pichu Chen)時間3年前 (2021/05/08 16:13)推噓0(0推 0噓 2→)

留言2則, 2人參與討論串1/1

原文的問題是這樣：請問Synology可以限定mac才能連線嗎？這樣不是絕對安全了嗎？原本想說下面應該有正確答案，不過六個小時過去了還沒有，看到的答案是「如果真有利可圖，搞破壞的人大可去 amazon 租一堆 mac 來連線，就算你真的能限制只有 mac 才能連線，那有什麼用？」「HTTP 唯一能判斷系統的只有 User-Agent 然而這個很容易就能偽造了，根本不需要租 Mac」「老話一句，不想中毒就不要接觸外界，不想壞電腦就不要開機」所以我覺得我應該可以出來說明一下，畢竟如果台灣的民間網段多了一堆跳板其實也很麻煩。 =========================== 首先提到網路本質，基本上在兩台主機一條線連起來就可以當作最基本的網路然後我們會想要加入第三台主機，這時候資訊（或說封包）傳遞上就會有目的地位址的問題，A主機出發的封包是要傳遞到 B 主機還是 C 主機。那這樣在同一個區域網路間的定址位置就是 L2 的位置，在乙太網路也就是我們所俗稱的 MAC 位置。 [主機A]-----------------------------------------[主機B] XX:XX:XX:00:00:01 XX:XX:XX:00:00:02 這是一個區域網路但是後來我們想要把不同網路互相串聯，所以出現了網際網路=Internet，要注意的是這的網際網路和網路是有點不同的。上面幾行提到的網路可以把它想成是主機和主機間在同個區網內的網路網際網路則是區網和區網之間的網路。那封包要怎麼從使用者4G上網的區域網路一路傳傳傳，走到家裡中華電信小烏龜後的區域網路的這個問題就是網際網路要處理的問題，在這邊我們發明了另一種位置叫做網際網路位置，Internet Protocol Address 俗稱 IP 位置。 [網路A]----------------------------------------[網路B] 140.117.183.0/24 103.129.146.0/24 2001:288:8001:13::/64 2403:7f40:ff00::/64 這是網際網路對於網路和網路之間的轉換，我們會利用 Gateway 也就是閘道器來轉換，那在不考慮 NAT的前提下， Gateway 會幫我們把封包往下一個 Router 轉傳，傳到目的地網路的 Gateway。也就是說，在目的地網路中是看不到來源網路主機的 MAC Address 的。 ^ 這句話是重點，麻煩記下來。對於 MAC Address 的封鎖，只對於在同個區域網路有效，對於來自網際網路的連線無效。和 MAC Address 可以被複製，可以買，Amazon可以申請等等的一點關係都沒有。這種常識應該是在 Network 版稍微爬一下文就能知道的。 ======================== 再來是安全的部分，原則上資訊安全必須要考慮目標物的價值才能判斷出這個東西所承受的風險在哪邊。舉例來說，比特幣發明人中本聰的區塊鏈私鑰明顯承受的風險會比一般市井小民的高。換種方式舉例，如果有個人有辦法盜取銀行存款，但是只能盜取一個帳戶，那他會選擇郭台銘還是一個剛出社會的大學生？所以說通常在家用NAS因為資安風險不高，一般人不會把抓到會被金管會重罰的資料或是 APPLE新一代電腦的主機板設計圖放在家中NAS，所以也不太會有攻擊者對這個標的有興趣自然而然資安隨便做都不會被打。因為一般人的 NAS 根本不是什麼咖，坦白講是這樣。那為什麼 qlocker 之類的手法還能得逞？因為他就像是詐騙集團一樣隨便打電話，假如有人接就問候一下他家長輩，和他說他小孩被綁架了。十之八九正常人都知道那是詐騙集團會掛他電話，但是還是會有人中獎。中獎之後對方就會按照指示去做一些動作，例如用ATM把錢轉到指定帳號。所以最簡單的方式是把市話停用 (X) 限制要先打入總機才能打進分機 (?) 和家中長輩提醒現在詐騙很多，教他們如何分辨詐騙 (O) 那像是 qlocker 這樣的攻擊手法就像是詐騙集團突然發現一種新的話術可以騙倒我們家中的 NAS = 長輩，然後原廠來不及出懶人包，長輩們就照指示做下去了。那除了被動的不斷更新以外，實際上還可以針對未授權的訪問建置黑名單系統。像是 Whoscall 就是電話號碼的黑名單系統，那 IP Address 基本上也有黑名單系統，可能 QNAP 或是 S 家的工程師這是第一次聽過。這叫做 IP Blacklist 像是這邊有很長一串： https://whatismyipaddress.com/blacklist-check 他會藉由一些資安專家在網路上隨機放置的主機作為蜜罐 (Honeypot) 因為他本身是沒有特別服務的，所以理論上任何人都不應該找他，也就是對他發出連線的 IP Address 基本上就是攻擊者或是已經中毒變成殭屍的主機。接著他把這個 IP Address 回報給黑名單資料庫，黑名單資料庫根據回報狀況以及網段聲譽等評價自動把警告傳給該網路的濫用負責人，同時公告這個 IP Address 是黑名單請大家一起排擠他(?) 然後該 IP 的使用者必需要到資料庫上面用自然人的方式詳述連線原因，然後才會被放行。詳細的作法有興趣的 NAS 廠我覺得可以約時間來討論看看，看整體費用如何分攤之類的。基於我這邊還有受到贊助維護 ifconfig.tw 這個公用服務的前提下，整體應該不會太困難 --------------------------- 另外一個個人用戶可以考慮的做法是加大掃描空間，也就是停用 IPv4 只用 IPv6 這樣在 IPv4 的話一個網段大約是 256 個 IP 以目前 IPv4 不足的現況來說的話，幾乎隨便測試都能找到有人正在使用的 IP，對於攻擊者來說攻擊的合理性很高。但是在 IPv6 的話一個網段大約是 2^64 次方個 IP 大約是全世界 Global IP 總數的平方。就強度而言要掃中某個區域網路內的某個 IP 大約等於十位數的大小寫混合密碼也就是假如他這樣可以在合理時間例如十分鐘內掃描到的話，那十位數大小寫混合的密碼基本上在當年都可以被宣告為不安全了。在用數學的方式驗證一次的話 2^64 除上 86400 秒，再假設他一毫秒可以嘗試一次的話大約需要 213,503,982,335 天可以掃描完所有 IP 假設他是用平行的方式發出一個TCP Syn封包是 64 Byte, 而中間的網路有 10Gbps 的容量大約需要 1,272,583 天可以掃描完所有 IP 因此會讓掃描IP的手法在幾年內變得十分不實際。順帶一提，同樣的計算方式掃描完中山大學的網段大約是一分鐘到 0.3 毫秒，掃瞄完整個Internet 大概是 50 天或是 29.6 秒。 ================= 以上，如果這篇文章有做到什麼幫助的話歡迎轉發，或是用P幣贊助這篇文章 : ) -- 此篇文章以 CC BY-SA 4.0 發表。咖啡是一種豆漿，茶是一種蔬菜湯。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.230.209.239 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Network/M.1620461590.A.C77.html