[请益] NAS开放对外 设白名单才能连 能挡勒索?

楼主: zxc2331189 (CCSS)   2022-09-09 11:28:07
是这样的拉
最近又看到NAS出现被勒索状况
看了一下 都有开放对外没IP限制都能直接到网页登入画面?
以往被勒索好像都是这样子的人中?
如果NAS上直接设白名单IP才能连
是不是就能挡下勒索软件?
还是NAS上有开其他后门 开了白名单也没用?
作者: shengshampoo (Sheng Shampoo)   2022-09-10 11:04:00
SSL 证书可以付费购买,也可以用常见的Let's encrypt 等免费签发。差异仅在于验证签发方式有差。线上DNS验证,或是实体企业商业验证,商业目的的门面网站才会考量用付费SSL。原PO的想法和需求非常常见,只是适用场景比较偏向架站的资安领域。网络上有很多的类似教程,购买VPS 架设网站,VPS本身的后台管理和存取,仅允许前段用cloudflare 或是其他类似服务 IP 反代登入存取。也就是仅有白名单cloudflare IP才可进入。抗CC,抗DOS打爆网站,禁止未授权的IP骇入等。VPS 脚本更新cloudflare IP白名单清单, iptable防火墙设定仅允许cloudflare IP 进入。cloudflare也有相关的设定选项。不是说要买VPS 和SSL证书,而是如同原PO所需要的,保护VPS不被骇客入侵,如同外连公网的NAS,设定白名单IP清单,仅允许特定对象的IP登入VPS/NAS。http://tny.im/tjkVPN 是一个解决方法,速度的确会掉一些,wireguard协议至少还不错。http://tny.im/tjlSynology DSM + Cloudflare Tunnel
作者: asdfghjklasd (好累的大一生活)   2022-09-12 00:35:00
用VPN , 不然前端就用有UTM/NGFW的FIREWALL
作者: changchichun (Eric Chang)   2022-09-12 09:26:00
请问要怎么设定 "只有持有凭证的装置才能连线" ???
作者: shengshampoo (Sheng Shampoo)   2022-09-12 21:53:00
http://tny.im/tjMIP 扫描又不是最近才有,网络发展到现在就有一堆现成的黑牌白牌工具应用。不一定要有固定IP,DDNS也可以,但要有网域,就可以DNS验证签发SSL证书。就可以DNS验证签发免费SSL证书。Letsencrypt BuyPass Google.com Public CA ZeroSSL
作者: asdfghjklasd (好累的大一生活)   2022-09-12 23:41:00
不开PORT 又要能对外,除非你一个人用...而一个人用那就用VPN就好了有一个只开一个PORT 但可以跑 多种PORT的方法而且第一个面对的也不是NAS有兴趣的可以去研究 sslhngrok 也可以看看以前玩过连上某个PORT 验证后,自动 Allow 连上的IP这 POrt 可以1024 以外的任一个PORT 比如 9527
作者: changchichun (Eric Chang)   2022-09-13 10:09:00
用网域申请SSL我知道,但是不懂怎么设定才能“只有持有凭证的装置才能连线”?请问有参考网址或者是关键字可以查询嘛?
作者: shengshampoo (Sheng Shampoo)   2022-09-13 12:31:00
中文找不到,就用英文单字找。
作者: asdfghjklasd (好累的大一生活)   2022-09-13 22:43:00
我的VPN 有启用 OTP
作者: changchichun (Eric Chang)   2022-09-14 10:08:00
可以建议一下嘛?我真不知道怎么下英文关键字去找ssl + “只有持有凭证的装置才能连线”翻到 Mutual Authentication 再来研究看看

Links booklink

Contact Us: admin [ a t ] ucptt.com