在耶魯熊之前發表過的「【殭屍 NAS】你的 NAS 被駭客拿來當挖礦機了嗎 !? 」一文中,我們都了解了 NAS 現在也成為了一些駭客攻擊的目標了,防駭這件事已經從個人電腦,轉戰到 NAS 的領域來了,雖然在【殭屍 NAS】事件中,駭客只是植入挖礦程式來挖取比特幣,看起來對 NAS 來講沒有什麼危害,除了 CPU 總是滿載到 100% 之外 ...... XD,但這卻也代表了這台被入侵的 NAS 已經完全被駭客掌握了 !! NAS 中所有的檔案都可以被駭客任易觀看或是刪除,甚至把 NAS 的磁碟陣列刪掉都可以 !! 這可是很恐怖的!!
所以今天耶魯熊就要來教大家怎麼為家中的 NAS 做一些初級的防駭設定,把一些不入流的駭客擋在 NAS 外面 !!!
A. 防駭完美術:
駭客能駭進家中的 NAS,最主要就是因為這台 NAS 連上網路了,沒錯!!!! 不要讓 NAS 連上網路,這是最完美的防駭方法 !! ( 別去拿刀準備砍熊XDD ),所以如果你家中的 NAS 不需要分享給其他的親朋好友使用,那直接在 NAS 的網路設定中,把「路由」這個欄位清空,這樣就可以讓 NAS 無法連外了,當然駭客也進不來了,不過這樣就是百分百安全嗎 !? 也不一定喔,如果駭客是先進入家中有連上網路的電腦,再透過電腦連上這台只有家裡才能連的 NAS,那還是有機會入侵這台 NAS 的,也因此就算做了「讓 NAS 無法連外」的動作後,耶魯熊還是建議把下面的其他設定也一併做一下,這樣才能更安全喔
B. 修改預設的連線埠 (Port):
NAS 都會擁有自己的管理頁面,而要進入管理頁面時,都會透過一個連接埠 (Port) 來進行連線,像是 http://192.168.1.1:5000 這樣,後面的「5000」就是連接埠,目前較有名氣的台灣三大 NAS 廠,都有自己預設的連接埠,讓使用者可以使用瀏覽器連入管理頁面中,旦因為這些連接埠駭客們也都知道,所以如果我們的 NAS 一定要連上網路,那第一件事就是把預設的管理頁面連接埠改掉 !!! 下面耶魯熊會針對 ASUSTOR / QNAP / Synology 三家 NAS 的介面來教大家如何修改
PS. ASUSTOR / QNAP / Synology 是依字母順序排序
.ASUSTOR
連上 ADM 管理介面,點選「設定」
點選左側的「一般」這時就會看到右側出現紅框內的設定,請把二個通訊埠都改掉,再把二個勾都勾選起來,最後按下「套用」
.QNAP 
進入 QNAP 的管理介面 QTS 中,點選「控制台」
點選左側的「一般設定」後,把右側的紅框內的二個通訊埠改成非預設值,再把使用「安全連線」及「強制使用安全連線 (SSL)」前的核選框都勾起來,並按下「套用」
.Synology 
連入 Synology 的管理介面 DSM 中,點選「控制台」
進入「控制台」後再點選「外部存取」的圖示
點選右上方的「進階設定」分頁,把紅框內的「HTTP」及「HTTPS」後面的連接號碼改成非出廠預設,再把「啟動 HTTPS 安全連線」及「將 HTTP 連線自動導到 HTTPS 」前的核選框打勾
C. 關閉 SSH 及其它不需要的服務:
修改完了連入管理介面使用的預設連接埠後,接下來我們就要來把 NAS 上一些平常用不到的連線服務關閉掉,因為在駭客人侵的管道中,透過一些連線服務本身的安全性漏洞來做攻擊也是方法之一,如果自己的 NAS 不需要使用這些可以從遠端連入的服務,那把它們都關掉也是防駭的入門設定喔
.ASUSTOR
進入 ADM 管理介面後,點選「服務」的圖示
進入服務選單後,點選左側的「終端機」這時把右側的「啟用SSH服務」前的核選框取消勾選,再按下「套用」
接著再按下左側的「FTP 伺服器」把右側竹「啟用 FTP 伺服器」前的核選框取消勾選,再按下套用
.QNAP
進入 QTS 管理介面後,先點選「控制台」的圖示
進入控制台後,點選左側的「網路務服」展開它,接著再點選「FTP」,再把右側「啟用檔案傳輸 (FTP) 伺服器功能」前的核選框取消勾選,按下「全部套用」
取消 FTP 服務後,再點選左側的「Telnet / SSH」選項,接著把右邊「允許 Telnet 連線」/ 允許「SSH 連線」這二個選項前的核選框都取消勾選,再按下套用
.Synology
連入 Synology 的管理介面 DSM 中,點選「控制台」
進入「控制台」後再點選「外部存取」的圖示
點選左側的「終端機 & SNMP」選項,把右側的「啟動 Telnet 功能」/「啟動 SSH 功能」前的核選框都取消勾選,再按下套用
接著點選左側的「檔案服務」後,再把右側的「啟動 FTP 服務 (未加密)」/「啟動 SSL / TLS 加密服務 (FTPS)」前的核選框也全部取消勾選,接著按下套用
最後再按下左側的「檔案服務」,接著把右側的「啟動 SSH FTP 服務 (SFTP)」前面的核選框取消勾選,再按下套用
D. 防止帳號密碼被暴力破解:
高明的駭客,會去找出系統漏洞或是系統規畫時的不足處來做入侵,但有一種低級又沒實力的駭客,只能靠程式重覆輸入帳號和密碼不停的嚐試碰運氣來破解,所以當我們做好了一些初級的防駭設定後,接下來就要設定 NAS 如何處理這種沒實力的"害"客 ( 害耶魯熊想笑 XDD )
.ASUSTOR
連上 ADM 管理介面,點選「設定」
進入設定後,再點選左側的「 ADM Defender」,接著把右邊的「啟用網路防護」前面的核選框勾選起來,按下套用,這樣就設定好了
.Synology
連入 Synology 的管理介面 DSM 中,點選「控制台」
再點選「安全性」接著按下「自動封鎖」的分頁,把紅框處的「啟用自動封鎖」前的核選框勾起來,並且把「嚐試登入次數」設為 3,「幾分鐘內」設為 5,這樣只要有同一個來源 IP 在五分鐘內輸入錯 3 次密碼,就會被封鎖掉了
.QNAP
QNAP 目前還沒有這方面的設定,不過耶魯熊已經反應給 QNAP 內部朋友,建議加入這個功能,就讓我們看看之後 QNAP 的更新會不會有這個功能囉 ^^
延伸閱讀:
【超值】Synology 群暉t DS414 NAS DSM 5.0 最新搭載
【新手看了也會】把亂搞一通過的 hTC Butterfly 回復原廠做 OTA 升級 4.3 ( 加碼幫你 S-OFF !!! )
