1
msg7086 38 天前 3
不是爆破的问题,而是可能会有漏洞导致不需要爆破就能进入系统。
VMware 系统以前出过漏洞,登录界面不需要输入管理员账号密码,直接用漏洞就可以获得管理员权限。 更别说 NAS 这样民用级的东西了。 |
2
li19910102 38 天前 via iPhone 3
我家用的 nas 以及公司用的 nas 在公网 ip 上暴露了好几年了,每时每刻都能看见不明设备 ip 扫描的记录,也没见被什么人黑进去,只要 nas 设置好防护就没什么问题。
|
4
MFWT 38 天前
比如说,我有 ABCD 四个服务暴露在公网,假设其中一个服务有漏洞,就有可能导致 NAS 被攻破
平时说的不要暴露在公网,严格来说指的是不要不做防护就暴露出来,还是刚刚那个例子,如果我用 VPN 把 ABCD 都包起来,再暴露,那么即使他们都有漏洞,也不必担心。假如真的那么不好运,VPN 有漏洞,那么更换 VPN 即可,不必费心排查其他漏洞 |
5
HeHeDa OP @li19910102 群晖系统能够查看扫描记录吗?只看到用户设置里面有登录历史
|
6
NoInternet 38 天前
如果只用 IPV6 访问的话,这东西时不常会变,地址又那么多,再来个高位端口被扫到应该挺难的。是不是就安全多了。
如果碰巧被有漏洞的人扫到了入侵了安了后门了那就不好说了。 |
8
msg7086 38 天前
@HeHeDa 以前没出现过漏洞不代表不会有漏洞。
毕竟连 CPU 设计不当都会导致数据侧信道泄露这个普通人你说会想得到嘛。 所以一般来说要安全的话,就要用信得过的协议和软件,比如直接用 SSH 连接访问,然后祈祷 SSH 不要爆出奇怪的漏洞,又比如用 wireguard 或者 zerotier 之类的 VPN 走内网隧道来访问。 当然了,安全性和便捷性本就是冲突的,只要你自己能接受一定的妥协就行。 |
10
swiftg 38 天前 via iPhone
@HeHeDa 刚出的新闻,群晖出了个核弹级的 0day 漏洞,通过公网 ip 和 qc 都可以被执行,直接获取 root 权限,不需要登录。还好是白帽先发现的,刚出了紧急更新
|
11
halofingle 38 天前 via iPhone 1
一般来说,至少要做一下端口映射,不要把原服务端口直接暴露到公网,对于 http 服务还可以做一下反向代理。
|
12
kekylin 38 天前
按最小暴露原则使用,非必要服务不要直接暴露在公网。需要暴露的服务做好防护措施再暴露出来。
我自己使用动态公网 IP 四年多了,到现在都没有遇到过被攻击的现象。 NAS 服务搭建起来,多人使用如果说有些服务不直接暴露在公网,使用体验大大打折扣。 |
14
lxh1983 38 天前 via iPhone 2
只要一直最新版本的软件和系统,没有那么多 0day 。0day 值钱的很,为了抓你的肉鸡浪费 0day 可不合算。要真的安全,你得像保密网络一样,物理隔离
|
15
dfdd1811 38 天前
换个端口,我之前一直 https+otp 也没啥事,就暴露页面,ssh 没有。现在用 vpn 是怕运营商找茬
|
16
jaylee4869 38 天前
我 nas 一般暴露公网都来个蜜罐,看它怎么玩😅
|
17
SouLX 38 天前
我暴露一年多了 公网 ip unraid ,之前开 ssh 被爆破了 一直在跑字典,后来关了就好了。域名 映射了 差不多是个服务在公网。没啥事
|
18
idragonet 38 天前
增加 IP 白名单
|
19
frankilla 38 天前
lucky 反代,然后只开了一个端口号,算不算暴露?
|
20
memorycancel 38 天前
把 IP 放出来,让论坛的道德黑客帮你渗透测试下(坏笑——)
|
21
hefish 38 天前 4
最大的危险莫过于被人黑进来,多年下载积攒的毛片被人剪切复制走。。。
|
22
WizardLeo 38 天前 5
主要是,“把 nas 暴露在公网”这件事本来就是每个人的理解不同的。
有人直接把端口映射到公网,搭配 admin/admin 弱口令就这么用了,最后付出了巨大的代价哭诉千万别把 nas 直接暴露公网。 另一个人套了反代,也没有用弱口令,连续几年都没事后他对前一个人的劝告嗤之以鼻。 |
23
TvT 38 天前 1
一言以蔽之:涉密不上网,上网不涉密
公网自然风险大增 |
24
swiftg 38 天前
@lxh1983 找 0day 可不是为了抓你一台当肉鸡。nas 在勒索病毒作者眼里可是金山银山,找出一个核弹漏洞就可以勒索几十万上百万的用户,nas 里存的可都是用户宝贵的数据,被加密了很大一部分人都得乖乖交钱
|
25
charley008 38 天前
重要数据异地多备份几份,爱勒索就勒索,大不了重装。我也没 ipv 的公网,顶多一个 ipv6 ,关键这 ipv6 时不时还自动更换地址,外加一个两步验证。这要是能扫到并入侵我也无话可说。
|
26
unbridle 38 天前
ipv6 暴露在公网,ssh 端口 22 没改,甚至连 sudo lastb 都没有记录
|
27
dcsuibian 38 天前
1 、使用非常用端口、非默认端口
2 、使用强密码 3 、https 4 、及时升级系统以防安全漏洞 基本做到以上这四点我感觉就可以了,我感觉风险不大。至少我是这么做的。 你想想那些公开的网站,比如淘宝、B 站,难道会因为害怕被攻击就不提供服务吗?不可能的。 暴露在公网肯定比不暴露更有风险。但因为害怕这一点风险就不去做我感觉有点因噎废食。 另外,我也是比较赞成套一层 WireGuard 之类的 vpn 的。我也是这么做的(用 WireGuard+smb 访问 NAS 内容)。不过我还是暴露了公网,毕竟我全家还在用 Synology Photos ,我不可能让我父母每次看照片前都要开个 vpn 。 |
28
xueyuehua 38 天前
问一下,我大部分设备都连的同一个 zerotier ,然后自己也用路由器搭了个 zerotier moon 节点,这个路由是有公网 ip 的,然后其他设备都会连接 moon 节点,但是都是默认使用那样,就是打开个路由器的防火墙之类的。这样算是暴露在公网吗
|
29
adoal 38 天前
并不是孤立地说这事很“危险”。当然可以安全的。但是你这样做了还要安全,自己需要像专业网安人员那样花很多精力做配置和长期维护。也就是说为安全付出的脑力成本明显大于不放公网。
至于用 qc……当然也不是 100%的安全,但是人家有专业团队做维护,而且通过 Saas 方式平摊了到每个用户的维护成本。 |
30
thevita 38 天前
有风险,看你整么权衡了,过去的话我会说没什么人会盯着你那点可怜的数据,以前有人到处采购路由器的漏洞,拿下之后也就干点广告的事(往流量里注入 广告, 替换 id 什么的),据说当时他们年流水好多个亿...现在嘛,,可能会被 ransom ( https://valicyber.com/resources/a-brief-history-of-nas-ransomware/)
|
31
reayyu 38 天前
套 CF 再加规则转发端口 被爆破几率大吗?
|
32
kk2syc 38 天前 1
20 年前,所有人都是 win2003 公网,微软还在更新,没问题。
20 年后,微软早已不更新,win2003 暴露在 ipv4 公网默认 3389 端口不用 30 秒就是肉鸡了。 安全取决于是否及时更新以及对应的系统厂家给不给力。 |
33
0xD800 38 天前
在家里部署 VPN ,用 VPN 访问!
|
34
lestat220255 38 天前 via Android
@xueyuehua 我同你的一样,甚至其他设备科学上网也是通过 zerotier 的内网 ip 连接家中软路由做系统代理。个人理解除非 zerotier 出现安全漏洞,否则应该是稳的
|
35
zoumouse 38 天前
|
36
beterhans 38 天前
你的 NAS 会从 你的 私人存储变成公用存储和 黑客用的肉鸡
|
37
icaca 38 天前
试试 openvpn 比较安全便捷 拨号进来所有设备都能访问
|
38
asdgsdg98 38 天前
脚本小子天天扫,扫到你卡的不行,试过一次就老实了
|
39
MADBOB 38 天前
群晖端口暴露公网用,有一段时间被疯狂尝试 admin 登录,然后设置了策略登录失败 1 次就锁 ip ,已经半年没受到过安全提醒了
|
40
zhucegeqiu 38 天前 via iPhone
只开一个 v2ray 的端口连回家+fail2ban
|
41
mozhizhu 38 天前
主要是,你永远不知道你安装的服务,是否安全可靠,所以,非必要不暴露;
vpn 回家、xray 反代回家,都可以实现从外面访问家里 |
42
laminux29 38 天前
Q:系统集成的各种功能不就是为了方便公网使用 nas 吗?
A:不是。甚至应该仅内网使用。 |
44
Byleth 38 天前
@xueyuehua 这样的话,应该只有 moon 的中继端口是暴露在公网,zt 网络本身是零信任的,所以只要 zt 的 moon 服务器本身不出漏洞 ,应该就是很安全的
|
45
Les1ie 38 天前
尽量减少暴露在公网的服务吧,指不定哪天爆出来一个未授权命令执行就打崩了。
虽然 IPv6 地址稀疏难以被扫描到,但是仍然有很多方式可以进行 IPv6 的地址空间的资产探测,有兴趣的可以读一读 rfc7707 ,依靠 IPv6 地址的稀疏性作为安全屏障是不太可取的。 除去容易想到的从网站访问日志、流量镜像中获取 IPv6 地址守株待兔的方案,还有很多主动探测的方案。比如几年前比较经典的利用熵生成 IPv6 地址然后探测的方案 https://dl.acm.org/doi/10.1145/2987443.2987445 ,这个方案之后有很多类似算法的衍生方案。 另外,近几年群晖漏洞不断,虽然近期没有啥好用的未授权,但以前是有过严重漏洞的,防不住哪天就整个出来个大新闻。 https://conference.hitb.org/hitbsecconf2021ams/materials/D1T2%20-%20A%20Journey%20into%20Synology%20NAS%20-%20QC.pdf https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=synology https://www.cvedetails.com/vendor/11138/Synology.html 当然,话说回来,我们这些麻瓜不值得这种高等级魔法的攻击,但万一神仙打架伤到我们了也不太妙,还是稳妥一点比较好。 |
47
ychen997 38 天前
我目前在用 群晖套件 openvpn
|
48
TimPeake 38 天前
我一般是常用应用端口号 +1 暴露在公网的,比如 远程桌面 3389 ,我这边设置 3390 。这有啥问题吗
|
49
Pairdl 38 天前
有一次突然发现连续好几天持续的尝试登录失败,赶紧设置了两步验证和登录失败就封 IP ,现在很少了
|
50
PrinceofInj 38 天前
我所有的服务都开着公网端口暴露包括 Windows 主机也是 3389 直接暴露的,安全么?看日志经常见到一些扫描的,但是目前为止从未有被攻破的,唯一的一次,aria2c rpc 接口没设密码被扫到了,自动下了一些东西到硬盘上,我看了一下是一些破解的脚本,然而我的 aria2c 是运行在 Windows 上的,传上来的 Linux 脚本屁用没用,后来加了一个密码就可以了。
|
51
Aawhale 38 天前 via iPhone
提升安全性,可以添加两步验证机制:输入密码后通过邮箱验证。同时,配合限制 IP 访问频次的设置,可以有效减少异常登录提醒。我之前也担心类似问题,但通过这种方式后,未再收到异常访问提醒
|
52
Aawhale 38 天前 via iPhone
@Aawhale 公网 IP 每周会更换,设置起来较为繁琐,我最终放弃了 DDNS 方案。目前已放弃使用,同时也在关注是否有新的方法可以实现便捷的远程访问
|
53
MFWT 38 天前
@qa52666 我目前的方案是路由器,让路由器做访问网关,因为考虑到集成进梯子(安卓端无法同时开两个 VPN 接口),所以实际上用的是 Shadowsocks ,直接在路由器上部署服务器,然后手机去连接就行
|
54
YsHaNg 38 天前 via iPhone
@HeHeDa 白群用户应该前两天有收到邮件吧 https://www.synology.com/en-us/security/advisory/Synology_SA_24_20
|
56
moudy 37 天前
@msg7086 #8 是的,正规的 security 培训都假设现有的安全手段都有早晚会被干掉的一天。安全架构就是尽量推迟这个时间或者提高漏洞利用的成本,只要能达到无利可图,也能变相实现安全。
|
58
sn0wdr1am 37 天前
因为对于大多数人来说,网络安全都不太注意。
一旦被人扫描,并入侵成功,你的资料可能被人给加密,然后被勒索比特币等。 遇到一次,就老实了。 |
59
hyperbin 37 天前 via Android
说没漏洞的建议看看群晖的更新日志,只要群晖不小心漏一个 web 提权你就有遭殃的风险
|
60
seenthewind 37 天前
我补充一个观点:
nas 的本质是数据存储和数据分享,他默认会有很多自动发现、自动关联的服务自动运行,甚至还有特殊的调试维护命令后门之类的方便厂商维护支持的功能。 这些功能与我们传统意义上的 “安全” 是有矛盾的,换个话说,就是 “安全” 和 “方便” 是天生的矛盾,而 nas 作为市场化的产品,他肯定要重点做“方便”,顺带兼顾 “安全”。 就算是我略懂一点计算机安全知识,有段时间我懒得折腾,直接把 nas DMZ 到公网,在配置了防火墙和访问策略,关掉所有自动发现服务,密码尝试 3 次失败就永久 block ip , 就算这样我的防火墙每天收到上万次扫描阻拦日志。 后来我更懒的操心了,直接移回内网了。。 你如果想速度快点,有一个折衷的办法, 配置一个 wireguard , 把 wg 的 udp 服务端口设置在高位( 6 万左右),然后端口映射到公网,配置对内网的转发(或者干脆就在 wg 服务器上配本地反向代理)。 这样所有的外网访问内网收敛到 wg 的安全性,至少一个 udp 端口没那么显眼。。。 |
61
channlong 37 天前
我自己目前使用的是 QNap
1. 紧跟版本更新 2. 开启两步验证 |
62
zliea 37 天前
反正我是安装了 vpn server (之前用的路由器带的 l2tp ,android 高版本没有该选项),只暴露了 vpn 的端口,我感觉会相对安全一点。
|
63
ncbdwss 37 天前
qnap ,没开二次验证用了 3 年多没任何问题。开了二次验证到现在也有 4 年了。从未有过任何问题。
|
64
dream10201 37 天前
我目前所有服务都跑在 podman 里,域名解析到 IPv6 公网访问
|
65
x86 37 天前
别用弱口令之类的就行了,每天都被扫会尝试弱口令爆破,基本没人用大字典去爆破浪费时间的
|
66
alfawei 37 天前
公网 IP ,使用群晖暴露端口很多年,使用非常规端口,开启群晖的防火墙,自动封杀 IP ,保持系统更新。
|
67
Kimyx 37 天前
我的方案是使用 FRP 穿透,域名托管在 Cf ,前端全部套 Zero Trust -> Access 验证
|
68
bluehtt 37 天前
那些提醒你不要暴露公网的,其实和建议安装反诈软件的民警差不多。
为你好!!! |
69
iv8d 37 天前
比罗本强不了多少
|
70
zmcity 37 天前
如果你有定期换密码,开 2fa ,有新系统别管难不难用都会更新的习惯的话,放公网没什么问题。
有很多人会因为新系统某个功能不好用,就不更新了,这种情况下还是别暴露出来比较安全。 |
71
TossPig 37 天前
这问题怎么说,换个提法就明确了
新手司机在高速公路上变道有多危险? 新手司机请教,在 v3 经常看到一种说法高速公路车祸大多都是在变道的时候导致的。 应该是暴露在公网有风险,不然就没人敢提供公网服务了 问题 1 ,有可能,前提是群晖爆出 0day 漏洞,后果是没人再采用群晖的系统了,实际现象是我要有这个 0day ,肯定藏好不动,找机会来个大的,或者做一把白帽子。对个人用户没兴趣!~万一一用就被蜜罐了呢,这种 0day 自己不用也能卖好多钱的。 问题 2 ,看地区,目前的大多数人配置的 https 不是全过程加密的,正常通讯之前有个握手的过程,这时候 sni 会携带明文的域名,ISP 是能看到你绑定的域名的,按照国内现行法律会被警告,要求移出绑定或者直接给你黑洞了。 嘴一下提零信的,各单位构建零信网络,主要是单位内部多个系统参差不齐,都是各个部门在用,甚至还在没在维护都不清楚,人力成本上根本无法做到了解每个应用的流量特征,所以上 vpn 上 waf 上边缘的搞一堆, 自己的用的,比如我家里,哪个设备解析了一个哪个域名我都有记录,久了有点异常数据都是心中有数的 没有绝对的安全,走路也有突然跌倒的风险 |
72
lyfeixue316 37 天前
有公网 ip ,也不是直接暴露出去的,前端有一层 lucky ,做好 lucky 的防护,ufw 配置只开放部分端口
也有 ipv6 ,但是没有 ddns ,迄今暂时还算安全 |
73
lxh1983 37 天前
@swiftg 勒索付款率很低的,特别时针对个人的。重要数据都有备份,否则就算不被勒索,硬盘也有坏的一天,同样数据全无。所以用 Oday 做勒索的收益大部分比厂商或者骇客大赛的给的奖励少多了
|
75
yulgang 37 天前
你好,VPN 回家后直连即可。
|
77
tjiaming99 37 天前
@li19910102 没发现不代表没被攻进去,系统级 0day 漏洞甚至可能可以绕过登录
|
78
tjiaming99 37 天前
@hefish 真是太痛了
|
79
evan9527 37 天前
我的是设置了黑名单,3 次尝试登陆错误拉黑 ip ,刚开始很多扫,慢慢就没有了。
|
80
buptzt8013 37 天前
@sn0wdr1am 不好意思,我的数据没有价值
|
82
gechang 37 天前
我不用的时候,直接路由器禁止 nas 上网
|
83
li19910102 37 天前
@tjiaming99 #77 所以說沒啥可擔心的,真正能攻擊你的人看不上,也不屑于浪费那个时间和精力去搞你;想搞你的人怕是没有那个能力,无非就扫描一下你的设备,然后 nas 上设置连续扫描一分钟直接永久拉黑就没什么可怕的了。
|
84
JKOR 37 天前
最外层加个反代,只开一个端口。
单用户访问的话可以在加一个客户端证书双向验证。 |
85
hewitt29 37 天前
还行吧,家里难道是固定 ip 么。。反正我家每天路由器重启后 ip 都会变
|
86
hafuhafu 37 天前
安全是相对的。
我倒是不怕被跑字典爆破密码这种,主要是怕暴露出来的服务甚至系统/工具链之类的本身有啥漏洞,又不对外提供服务,而且只有我自己用,反正只是多加一个简单步骤,几乎没成本还有收益何乐而不为。 云服务器这种拿来玩玩的我无所谓,但是家里的我肯定要尽量保证能力范围内的安全,就算数据不值钱,我也不希望有个入口谁都能来搞一下。 |
87
q958951326 37 天前
他有无数次机会,而你,只有一次。
|
88
lizy0329 37 天前
如果你安装了那些破解软件,就算是断网也能操作
|
89
keengrass 37 天前
任何东西公网都有危险,不上网最安全
|
90
karlguo7 37 天前 via iPhone
我也问下,我的路由器配置了光猫里找到的 ipv6 ,然后路由器设置防火墙拒绝一切外网访问是不是就安全了?
|
91
Xiangliangliang 37 天前
可以这样玩,类似 nginx 的虚拟主机,关键点是 ServerName 。如果是自己设置的域名则允许访问,不是则拒绝。可以使用现有的域名如 www.baidu.com ,或者任意自定义如 git.myself 指向你的 ip ,然后 dns 能解析到就行。这样就非常安全,一个人的网络空间。 /狗头
|
92
nodesolar 37 天前
给 nas 写了个服务,绑定飞书或者钉钉只有提交了白名单后才能畅通所有端口 嘿嘿
|
93
kakki 37 天前
我不用的时候 Nas 都是直接关机的
|
94
Binini 37 天前
电信不给我暴露的机会,(不提供公网 IP
|
95
haikea 37 天前
那你应该问问,如果你的 nas 被黑了,黑客能拿到什么有价值的东西。我能想到的,无非是币最值钱,然后是一些私密信息,照片之类的
|
96
auro233 37 天前
自用白裙,有同样穿透回家需求,搭的 frp+let's encrypt 的 https+不寻常端口+2fA 验证。除非是群晖系统漏洞问题,不然我觉得应该是没人有那闲工夫去故意去爆破你的。
|
98
kid1412621 37 天前 via iPhone
@Kimyx 直接用 cf tunnel ? 为啥还用 frp
|
99
swiftg 37 天前
@lxh1983 并不需要多高的付款率,10 个人里有一个人付款就够了,乘以几万十几万的基数就是笔非常可观的收入,绝对比奖金高。黑客的动机你完全不用担心,绝对是有利所图的。
也许你做了很好的备份,但并不代表所有人都是,应该说绝大多数人都没有很好的备份,就算备份,也是同一个机器里不同的硬盘备份,可是备份也会被勒索病毒加密,并且加密后的数据还会被同步到云端或异地,如果云端没有版本控制的话,照样完蛋。 你可以搜索下之前威联通铁威马被漏洞利用勒索的帖子,很多人都付钱了 扪心自问,如果我 nas 里的照片都被加密而且没有备份的话,我会付 5000 以内的赎金 |
100
swiftg 37 天前
@bluehtt https://www.synology.com/en-global/releaseNote/DSM 11 月 5 号的更新补丁,对应漏洞 CVE-2024-10443 。补丁放出来后就可以方便黑客逆向找到漏洞,相信还有大量的群晖设备没有更新
|