PTT數位生活區 / Storage_Zone (儲存裝置)

[請益] NAS開放對外 設白名單才能連 能擋勒索?

看板Storage_Zone (儲存裝置)作者 (阿拉花瓜)時間1年前 (2022/09/09 11:28), 1年前編輯推噓11(11069)
留言80則, 19人參與, 1年前最新討論串1/2 (看更多)
是這樣的拉 最近又看到NAS出現被勒索狀況 看了一下 都有開放對外沒IP限制都能直接到網頁登入畫面? 以往被勒索好像都是這樣子的人中? 如果NAS上直接設白名單IP才能連 是不是就能擋下勒索軟體? 還是NAS上有開其他後門 開了白名單也沒用? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.183.128 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1662694089.A.1C1.html ※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 11:28:45
09/09 11:37, 1年前 , 1F
看是 IP block policy 先行還是怎樣
09/09 11:37, 1F
09/09 12:05, 1年前 , 2F
4 白名單就是iptables還是啥的檔 在系統層面
09/09 12:05, 2F
09/09 12:05, 1年前 , 3F
我家破爛Q只有4.3更新 有對外 但白名單內網一點事
09/09 12:05, 3F
09/09 12:05, 1年前 , 4F
都沒有
09/09 12:05, 4F
09/09 12:11, 1年前 , 5F
如果是電腦被駭,內網SMB存取NAS,還是一樣會整組壞
09/09 12:11, 5F
09/09 12:11, 1年前 , 6F
09/09 12:11, 6F
09/09 12:34, 1年前 , 7F
問題是你怎麼知道你會用到哪些IP
09/09 12:34, 7F
09/09 13:31, 1年前 , 8F
這樣對外除了有固定IP不然感覺沒VPN實用吧
09/09 13:31, 8F
其實也不用固定IP 把自己IP發信到信箱或LINE,寫個腳本自己去開白名單 不過要先確認是不是開了白名單就能擋住外部掃NAS IP那種勒索 不然也是沒用
09/09 13:55, 1年前 , 9F
GeoIP阿 只留台灣ip就會改善很多了
09/09 13:55, 9F
09/09 13:55, 1年前 , 10F
反正一切都是方便vs安全之間的取捨
09/09 13:55, 10F
09/09 13:56, 1年前 , 11F
電腦被駭那等於賊在你家裡 根本沒啥好討論的了
09/09 13:56, 11F
※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 14:16:34
09/09 15:19, 1年前 , 12F
一種鑰匙用信件寄出去的概念,不擔心信箱隱秘嗎
09/09 15:19, 12F
只有IP資訊應該是還好 除非信件被攔截而且對方知道這是幹什麼用的
09/09 16:47, 1年前 , 13F
先VPN才能連NAS 又不是要服務公 眾 幹嘛直接對外?
09/09 16:47, 13F
VPN不是會降低速度嗎 而且也算另外一個坑吧 也是需要定時維護補漏洞
09/09 17:15, 1年前 , 14F
可以購買SSL憑證,只有持有憑證的裝置才能連線
09/09 17:15, 14F
09/09 17:16, 1年前 , 15F
SSL買全球大廠comodo平均一年才1000多台幣而已
09/09 17:16, 15F
SSL憑證感覺可以研究看看 ※ 編輯: zxc2331189 (220.132.183.128 臺灣), 09/09/2022 18:55:38
09/09 19:22, 1年前 , 16F
樓上說的那種SSL憑證可以自己簽 不用另外花錢
09/09 19:22, 16F
09/09 19:24, 1年前 , 17F
綁域名的(https常見) 才需要第三方機構簽(費用另說
09/09 19:24, 17F
09/10 11:04, 1年前 , 18F
SSL 證書可以付費購買,也可以用常見的Let's encry
09/10 11:04, 18F
09/10 11:04, 1年前 , 19F
pt 等免費簽發。差異僅在於驗證簽發方式有差。線上
09/10 11:04, 19F
09/10 11:04, 1年前 , 20F
DNS驗證,或是實體企業商業驗證,商業目的的門面網
09/10 11:04, 20F
09/10 11:04, 1年前 , 21F
站才會考量用付費SSL。
09/10 11:04, 21F
09/10 11:06, 1年前 , 22F
原PO的想法和需求非常常見,只是適用場景比較偏向
09/10 11:06, 22F
09/10 11:06, 1年前 , 23F
架站的資安領域。
09/10 11:06, 23F
09/10 11:11, 1年前 , 24F
網路上有很多的類似教程,購買VPS 架設網站,VPS本
09/10 11:11, 24F
09/10 11:11, 1年前 , 25F
身的後台管理和存取,僅允許前段用cloudflare 或是
09/10 11:11, 25F
09/10 11:11, 1年前 , 26F
其他類似服務 IP 反代登入存取。也就是僅有白名單c
09/10 11:11, 26F
09/10 11:11, 1年前 , 27F
loudflare IP才可進入。
09/10 11:11, 27F
09/10 11:13, 1年前 , 28F
抗CC,抗DOS打爆網站,禁止未授權的IP駭入等。
09/10 11:13, 28F
09/10 11:15, 1年前 , 29F
VPS 腳本更新cloudflare IP白名單清單, iptable
09/10 11:15, 29F
09/10 11:15, 1年前 , 30F
防火牆設定僅允許cloudflare IP 進入。cloudflare
09/10 11:15, 30F
09/10 11:15, 1年前 , 31F
也有相關的設定選項。
09/10 11:15, 31F
09/10 13:24, 1年前 , 32F
買台家用NAS來放檔案還要買憑證架VPS也太誇張
09/10 13:24, 32F
09/10 14:20, 1年前 , 33F
我是買RT2600ac,內附的VPN PLUS好用,VPN進去就當區
09/10 14:20, 33F
09/10 14:20, 1年前 , 34F
網操作了
09/10 14:20, 34F
09/10 14:25, 1年前 , 35F
NAS 不用對外開放
09/10 14:25, 35F
09/10 14:25, 1年前 , 36F
只要跟行動裝置都裝上 ZeroTier 或是 TailScale
09/10 14:25, 36F
09/10 14:25, 1年前 , 37F
就可以直接連線惹, 安全穩穩的
09/10 14:25, 37F
09/10 14:40, 1年前 , 38F
不是說要買VPS 和SSL證書,而是如同原PO所需要的,
09/10 14:40, 38F
09/10 14:40, 1年前 , 39F
保護VPS不被駭客入侵,如同外連公網的NAS,設定白
09/10 14:40, 39F
09/10 14:40, 1年前 , 40F
名單IP清單,僅允許特定對象的IP登入VPS/NAS。
09/10 14:40, 40F
09/10 14:45, 1年前 , 41F
09/10 14:45, 41F
09/10 14:49, 1年前 , 42F
VPN 是一個解決方法,速度的確會掉一些,wireguard
09/10 14:49, 42F
09/10 14:49, 1年前 , 43F
協議至少還不錯。
09/10 14:49, 43F
09/10 15:34, 1年前 , 44F
09/10 15:34, 44F
09/10 15:35, 1年前 , 45F
Synology DSM + Cloudflare Tunnel
09/10 15:35, 45F
09/11 05:37, 1年前 , 46F
ZeroTier的問題是你永遠不知道他的節點會往哪邊繞.
09/11 05:37, 46F
09/11 05:37, 1年前 , 47F
..
09/11 05:37, 47F
09/11 08:14, 1年前 , 48F
樓上,zerotier 和 tinc vpn 一樣屬於P2P VPN,本
09/11 08:14, 48F
09/11 08:14, 1年前 , 49F
來就不會固定制式走單一節點。
09/11 08:14, 49F
09/12 00:35, 1年前 , 50F
用VPN , 不然前端就用有UTM/NGFW的FIREWALL
09/12 00:35, 50F
09/12 09:26, 1年前 , 51F
請問要怎麼設定 "只有持有憑證的裝置才能連線" ???
09/12 09:26, 51F
09/12 11:49, 1年前 , 52F
你要有固定ip跟網域,綁進ssl憑證
09/12 11:49, 52F
09/12 16:52, 1年前 , 53F
不能 這次中勒索利用的是Q家NAS內的APP中的BUG
09/12 16:52, 53F
09/12 16:53, 1年前 , 54F
只要有對外IP被掃到就會中
09/12 16:53, 54F
09/12 21:53, 1年前 , 55F
09/12 21:53, 55F
09/12 21:55, 1年前 , 56F
IP 掃描又不是最近才有,網路發展到現在
09/12 21:55, 56F
09/12 21:56, 1年前 , 57F
就有一堆現成的黑牌白牌工具應用。
09/12 21:56, 57F
09/12 21:58, 1年前 , 58F
不一定要有固定IP,DDNS也可以,但要有網域,
09/12 21:58, 58F
09/12 21:58, 1年前 , 59F
就可以DNS驗證簽發SSL證書。
09/12 21:58, 59F
09/12 21:59, 1年前 , 60F
就可以DNS驗證簽發免費SSL證書。
09/12 21:59, 60F
09/12 22:00, 1年前 , 61F
Letsencrypt BuyPass Google.com Public CA ZeroSSL
09/12 22:00, 61F
09/12 22:23, 1年前 , 62F
ddns要開port,我想朝完全不開port的方向去設定
09/12 22:23, 62F
09/12 22:24, 1年前 , 63F
同時所有synology對外服務套件要能正常運作
09/12 22:24, 63F
09/12 23:41, 1年前 , 64F
不開PORT 又要能對外,除非你一個人用...
09/12 23:41, 64F
09/12 23:41, 1年前 , 65F
而一個人用那就用VPN就好了
09/12 23:41, 65F
09/12 23:41, 1年前 , 66F
有一個只開一個PORT 但可以跑 多種PORT的方法
09/12 23:41, 66F
09/12 23:42, 1年前 , 67F
而且第一個面對的也不是NAS
09/12 23:42, 67F
09/12 23:42, 1年前 , 68F
有興趣的可以去研究 sslh
09/12 23:42, 68F
09/12 23:44, 1年前 , 69F
ngrok 也可以看看
09/12 23:44, 69F
09/12 23:48, 1年前 , 70F
以前玩過連上某個PORT 驗證後,自動 Allow 連上的IP
09/12 23:48, 70F
09/12 23:48, 1年前 , 71F
這 POrt 可以1024 以外的任一個PORT 比如 9527
09/12 23:48, 71F
09/13 10:09, 1年前 , 72F
用網域申請SSL我知道,但是不懂怎麼設定才能
09/13 10:09, 72F
09/13 10:10, 1年前 , 73F
「只有持有憑證的裝置才能連線」?請問有參考網址
09/13 10:10, 73F
09/13 10:10, 1年前 , 74F
或者是關鍵字可以查詢嘛?
09/13 10:10, 74F
09/13 12:31, 1年前 , 75F
中文找不到,就用英文單字找。
09/13 12:31, 75F
09/13 22:43, 1年前 , 76F
我的VPN 有啟用 OTP
09/13 22:43, 76F
09/14 10:08, 1年前 , 77F
可以建議一下嘛?我真不知道怎麼下英文關鍵字去找
09/14 10:08, 77F
09/14 10:08, 1年前 , 78F
ssl + 「只有持有憑證的裝置才能連線」
09/14 10:08, 78F
09/14 10:09, 1年前 , 79F
翻到 Mutual Authentication 再來研究看看
09/14 10:09, 79F
09/14 11:30, 1年前 , 80F
1.直接防火牆設白名單
09/14 11:30, 80F
更多 zxc2331189 的文章
文章代碼(AID): #1Z6hB971 (Storage_Zone)
Storage_Zone 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 zxc2331189 的文章
文章代碼(AID): #1Z6hB971 (Storage_Zone)