有许多小伙伴最近兴奋地搭建了自己的飞牛NAS,看着教程一步步设置了外网访问,装上了各种影音、下载应用……玩得那叫一个不亦乐乎啊!
但是,你的NAS真的安全吗?NAS安全,并不是仅仅设置个密码这么简单哦!
小白就见到过很多很多小伙伴在公网状态下访问NAS的时候使用的http而不是https,有些甚至还没有密码锁定,这不闹呢吗?看得我焦虑症都来了。
01 安全漏洞,远比想象中更常见
许多小伙伴跟着教程几乎都能成功搭建服务,但是却对网络安全并没有一个清晰的认知,搞定了DDNS-GO让自己的NAS支持外网访问,之后就觉得已经完成了。其实不是的哦!
如果没有做好SSL证书部署、没有开启防火墙、没有设置好各个服务的密码,那咱们部署的视频库、下载工具甚至文件管理器等项目都是直接暴露在网络上,没有任何加密和防护。这也就是在网上咱们经常戏称的“网络肉鸡”。
网络肉鸡可能会被用于多种非法的网络服务,比如:
发动分布式拒绝服务攻击(DDoS)瘫痪目标服务器;
发送垃圾邮件;
在后台挖矿消耗计算资源;
窃取敏感数据;
作为跳板攻击其他系统;
这些行为往往隐蔽进行,用户可能察觉设备运行变慢、网络活动异常或出现未知进程;
看完这些,相信你对网络安全已经开始有了一定想要了解的心思了,咱们再继续往下讲。
02 HTTP和HTTPS的天壤之别
说到网络安全,首先肯定就是HTTP和HTTPS的区别了。
在这里咱们先想象一下:我要通过网络发送一封包含银行卡号和密码的信。
如果使用HTTP协议,就像把信息写在明信片上寄出去,任何人(邮递员、邻居甚至路人甲乙丙丁)都能看到上面的内容。所以你会发现咱们在用HTTP访问NAS管理界面或应用时,浏览器会提示“不安全”。
而HTTPS协议就是给这些信息加密:信件严格封装,只有指定的收件人(你的浏览器和NAS)才能打开读取内容。这样的做法好处是:就算有人截获了这封信,看到的也只是乱码。
设备绑定SSL证书的教程在文章底部【推荐阅读】处是有点的,请移步阅读。
03 既然有了HTTPS,为啥还要防火墙?
很多小伙伴可能又会说:“我都已经用了HTTPS,为什么还需要开启防火墙?”
所以这里就是HTTPS与防火墙的区别:
HTTPS保护的是传输过程中的数据,就像保护运送贵重物品的运输车。
防火墙保护的是设备本身,它决定了谁可以进、可以去哪个房间、可以做什么。
网络黑客们可能因为咱们设备加了SSL证书,从而无法窥探传输中的数据(HTTPS保护),但是他们可能尝试直接闯入咱们的NAS,这时候如果设备没有开启防火墙设置,那他们很容易就黑进来了。
特别是咱们使用公网IPv6/IPv4地址直接访问时,这样的方式风险其实很高,公网地址几乎是谁都能看得见,也能访问,可能就是缺了个密码。
防火墙如何设置比较安全?其实如果只是自己访问,那没必要把NAS暴露在公网上,使用节点小宝或者Zeroiter等虚拟局域网方式会更加安全。
如果一定要用公网方式访问NAS,那建议开启防火墙,且仅放行咱们真正需要的端口,比如,飞牛远程访问需要的5667端口。开放的端口越少,咱们的设备就越安全。
04 第三方应用的安全盲区
如果你部署了很多第三方应用服务,且NAS暴露在公网的状态,那一定要检查设备是否部署好了SSL证书、是否正确开启了防火墙还有给第三方应用服务设置账号和密码。
这里小白发现有很多小伙伴几乎都是把LibreTV、迅*、qBittorrent、小雅等第三方应用直接暴露在公网上……真的很刺激啊!
05 安全意识,比任何防护工具都重要
最后一个很刺激的事情是:虽然SSL证书部署好了,防火墙也开启了,但是……设置的密码居然很简单,居然是12345678……或者是00112233这种超简单的密码。
可以说,设置了这样的密码就跟没设置密码一样,仅仅只是给咱们一种虚假的安全感。
但是密码多且复杂真的记不住啊!嗯……这是个问题!但是现在有很多密码管理器其实也挺好用的。
--End--
最后记得检查一下你的NAS:用浏览器访问时地址栏是否有锁形图标?防火墙是否已经开启?第三方应用端口是否得到合理控制?
推荐阅读
飞牛做好ipv6动态解析域名之后,如何申请泛域名SSL证书?
飞牛的ipv6已动态解析到阿里云,访问显示不安全?教你绑定免费SSL证书
怕数据传输不安全?公网DDNS vs 虚拟局域网,哪种更安全?小白用户怎么选?
飞牛NAS部署DDNS之后,一定要开启飞牛的防火墙!切记切记!
连接飞牛NAS还要打开节点小宝客户端?这么麻烦是为了什么?
