作者:林宜進 / 臺灣大學計資中心北區學術資訊安全維運中心工程師
NAS是一種常出現在校園網路中的IoT設備,如果沒有開啟相關的防護措施,容易遭到外部攻擊。本文將會以台灣市場市佔率較高的兩家廠牌為例,逐步的說明這兩家廠牌的防護措施該如何設定。
前言
近幾年網路附加儲存設備(Network Attached Storage,縮寫NAS)的資安事件頻傳,不論是遭大量密碼暴力破解攻擊、被植入勒索軟體加密重要檔案、或是CVE漏洞通報…等等,讓資安人員又多了一種設備需要注意。由於校園網路中的NAS設備可能因傳輸學術資料的要求,需要把NAS設置於公開IP而且不能設定連線白名單,這些因素會提高被外部攻擊成功的機會。
為了降低被攻擊的風險,以台灣市場市佔率較高的兩家廠牌—QNAP和Synology為例,以下內容會針對這兩家廠牌的各自防護設定作說明。
QNAP NAS防護設定
一、開啟網路存取防護
1. 開啟網路存取防護
2. 登入具有管理員權限的帳號,登入後開啟〔控制台〕(ControlPanel)。
圖1、啟動網路存取防護
3.在控制台的頁面的最左側,先選擇〔系統〕的〔安全設定〕。在〔安全設定〕的〔防護設定〕中,勾選〔啟動網路存取防護〕。
圖2、網路存取防護的相關設定
4. 最後按下〔套用〕,儲存設定。
二、關閉特定服務,以Telnet / SSH為例
1. 登入有管理員權限的帳號,開啟〔控制台〕。
2. 在控制台的頁面的最左側,選擇〔網路&檔案服務〕的〔Telnet / SSH〕,把允許Telnet / SSH連線的兩個選項反勾選。
圖3、關閉Telnet / SSH服務
3. 最後按下〔套用〕,儲存設定。
三、Malware Remover安裝教學—App Center安裝
1. 登入具有管理員權限的帳號,登入後再QNAP NAS網頁,點選App Center圖示。
圖 4、進入App Center
2. 進入App Center後點選搜尋按鈕,搜尋Malware Remover(這程式是一個可清除惡意軟體的程式)。找到此程式後安裝並執行掃描;若App Center搜尋不到此程式,可能為QTS版本太舊,請參考Malware Remover安裝教學—手動安裝 來安裝此程式。
圖 5、在App Center上搜尋Malware Remover (舊版畫面)
3. 安裝完成後,執行Malware Remover對NAS進行掃描。
圖6、Malware Remover掃描(舊版畫面)
4. 掃毒完成後請進入〔控制台〕,在〔系統〕的〔韌體更新〕之〔自動更新〕頁面上點擊更新系統,確保系統韌體處於最新版本。
圖7、確保系統韌體處於最新版本
四、Malware Remover安裝教學—手動安裝
1. 手動安裝前要先知道設備型號與韌體版本。登入具有管理員權限的帳號後到〔控制台〕,在〔系統〕的〔韌體更新〕之〔自動更新〕頁面中,有顯示韌體版本與設備型號,之後點擊更新系統,確保系統韌體處於最新版本。
2. 到QNAP官方網站上,在輸入自己設備型號後,在搜尋欄位輸入Malware Remover,找到該程式後下載檔案。
圖8、手動下載Malware Remover (新版畫面)
3. 將下載檔案解壓縮,會得到該應用程式的qpkg檔案。接下來請回到App Center進行手動導入安裝檔案
圖9、解壓縮檔案
4. 在App Center頁面中點擊手動安裝的頁面,把剛解壓縮完畢的.qpkg檔案上傳到NAS中安裝。安裝完成後,執行Malware Remover對NAS進行掃描。
圖10、在App Center進行手動安裝
Synology NAS防護設定
一、自動封鎖限制可疑IP位址
1. 登入具有管理員權限的帳號後前往〔控制台〕,到〔安全性〕(Security)頁面的〔帳號〕(Account)之自動封鎖(Auto Block)頁面。
圖11、到自動封鎖的頁面
2. 勾選啟動自動封鎖(Enable auto block),並設定自動封鎖條件:在幾分鐘內(Within minutes)試圖登入次數(Login attempts)超過指定次數就自動封鎖。
圖12、設定自動封鎖的條件參數
3. 最後按下套用(Apply),完成設定
二、關閉admin帳號(預設使用admin登入)
1. 用admin帳號登入後前往〔控制台〕的〔使用者帳號〕(User)頁面。
圖13、到使用者帳號頁面
2. 點擊建立(Create)按鈕來新增使用者,此動作會開啟新增使用者精靈視窗。在新增使用者的過程中請依照系統的提示,輸入必填項目;此外密碼請設定較複雜的組合,千萬不要便宜行事。
圖14、新增使用者
3. 把剛剛建立完成的新帳號加入在administrators群組,讓新帳號提升到admin權限;之後登出並使用新帳號登入。
4. 用新帳號登入後前往〔控制台〕的〔使用者帳號〕頁面,點選admin帳號,按下編輯(Edit),停用帳號(Disabled)。注意:在關閉admin帳號前,一定要確認至少要有一個具有admin權限的帳號,確認完成後才能關閉admin帳號。
參考資料
1.防微杜漸—QNAP NAS的資安管理。2018-03-15
網址:https://s.itho.me/cybersec/2018/pdf/0315_4F-4.pdf
2. QNAP APP Center下載。2020-11-10。
網址:https://www.qnap.com/zh-tw/app_center/?os=qts&version=4.5.1&type_choose=Security&II=
3. 如何提升Synology NAS安全性。2020-12-03。
網址:https://www.synology.com/zh-tw/knowledgebase/DSM/tutorial/Management/How_to_add_extra_security_to_your_Synology_NAS
4. 在Synology NAS上新增使用者。2020-12-03。
網址:https://www.synology.com/zh-tw/knowledgebase/DSM/help/DSM/AdminCenter/file_user_create