这几天小白感觉都快被飞牛NAS的0day漏洞刷屏了……小白这飞牛都已经关机好久了,今天随便看了一下,发现这个事情还挺严重的,不过大部分小伙伴可能都没看懂,这里小白稍微解释一下:
“路径穿越+命令注入”复合型0day漏洞:该漏洞的危害性极高,使得HTTPS、强密码认证及防火墙策略等常规防御机制完全失效,为攻击者敞开了直接读取任意文件、并获取系统命令执行权限的大门。
很多小伙伴可能都看不懂这段文字,这就开始咱们今天要聊的内容!
正文开始
只要能被扫到就有安全风险
这意味着不管咱们是已经部署好了SSL证书、做了强密码认证、开启防火墙且仅开放一个端口作为web的访问入口都好,只要做了公网DDNS/Lucky或者是FnConnect(下面简称“fnc”),只要在公网状态下能被扫到,都挡不住。
什么叫公网状态下能被扫到?也就是任意一台设备通过任意网络都能通过域名访问到咱们的设备,就意味着会被扫到。
嗯……还是有点没看懂?那把域名比做家里的地址,把地址贴在公告栏上,任意一个小偷都能看到这个地址,这时候咱们慌不慌?
当然,这并不是说被扫到就一定中招!首先咱们需要赶紧把飞牛更新到最新的系统版本。
另外就是停止FnC的使用,因为飞牛NAS自带的FnC一共就那几个域名,用枚举法都能把某些小伙伴的飞牛NAS域名扫出来,特别是那些设置得很简单的,比如abc123前缀的,简单的英文+数字组合很容易就枚举出来了。
另外就是前几天申请的那种免费域名,风险其实还挺大的,小白这才部署了几天,扫描就有几千次。
其中只有几次是来自广东的IP,其他的都是些什么情况,自己看图:
整得小白赶紧把飞牛的IPv6关了,Lucky的动态解析也关掉了。
使用公网或者fnc转发方案的小伙伴,一定要部署好SSL证书、开启防火墙且减少暴露端口、更改web访问的端口5666/5667为其他、强制HTTPS、开启二次验证、开启多次验证错误进黑名单等方式,还有及时更新系统。
但是这样的方法依旧不是很保险,因为只要暴露在公网下,风险依旧在。
那么如何才能在异地状态下安全访问NAS呢?
异地安全访问NAS的方案
只有在公网下扫不到设备,才是第一步的安全。最坚固的堡垒,往往从让敌人找不到大门开始。
小白自己使用的异地方案日常仅有虚拟局域网:节点小宝+Zerotier。
虽然说这两个方案都很安全,但是使用Zerotier方案,流量有时候会到外国溜达一圈再回来,且有时候延迟很大,P2P不通的情况比较多。
所以小白自己使用的方案比较多的是节点小宝。
第一重防护:网络“隐身术”,从根源上杜绝扫描
节点小宝组网不依赖固定的公网IP和开放的端口:当你通过节点小宝组建虚拟网络时,你的设备(如家中NAS)并不会在公网上留下一个固定的、可被扫描到的入口。
设备之间的访问通道建立完全依赖于节点小宝客户端之间动态的、加密的“握手”协议。
第二重防护:“私密对讲机”通道,数据不经过他人之手
传统的中继转发或某些公共VPN服务,数据需要经过第三方服务器,这意味着你的“家书”交给一个陌生的邮差传递,途中有多少环节存在风险。
小白仔细研究了节点小宝的安全方案: “零信任”网络策略 与 P2P(点对点)直连技术:
零信任分发“对讲机”:每次咱们的设备异地访问家里的NAS时,节点小宝都会像分发一对独一无二的、经过严格身份认证的 “加密对讲机” 给双方。
建立私密P2P通道:设备间使用这对“对讲机”尝试建立一条直接且端到端的加密通话线路,咱们所有的数据都在这条专属线路上直接传输。
流量不经第三方:“通话”完全建立在咱们两台设备之间,数据流量不经过任何第三方服务器中转,从物理路径上就避免了数据在中间节点被监听、截获或篡改的风险。
第三重防护:“一次一密”的动态锁,为传输穿上防弹衣
假设咱们的设备在数据传输中存在理论上的流量劫持风险(比如在不安全的网络下),节点小宝的安全方案是:“一次一密”的动态密钥协商机制,并配合军用级别的256位强加密算法。
一次一密的动态密钥:咱们的每一次会话、甚至会话中的不同阶段,所使用的加密密钥都是临时动态生成的,且完全不同。咱们在每次通信都使用一把全新的、全球唯一的复杂密码锁,用完后就销毁。
256位加密:数据以目前商业级最高强度的256位加密算法上锁。在没有密钥的情况下,劫持者想要破解加密内容也会特别困难(至于多困难,你可以试试!)
--End--
动态解析公网IP确实体验很爽,但是如果真的考虑到设备安全问题,建议日常访问NAS还是用虚拟局域网吧!
用节点小宝构建一个由三层核心优势组成的“安全铁三角”:
网络层隐身:无公网IP暴露,零端口开放,让攻击者无从发现。
通道层私密:P2P直连,端到端加密,让数据不流经他手。
数据层铁壁:动态密钥,一次一密,让截获内容毫无意义。
咱们没心思成为网络安全专家,去折腾复杂的防火墙规则。不如把专业的事交给专业的人和专业的方案,从根本上杜绝安全风险才是正解。
推荐阅读
榨干每一兆带宽,用上节点小宝的NAS实测速度竟然这么快!还免费!
无需公网IP,2步搞定设备间异地访问互联
无需公网IP,使用节点小宝让设备异地互联的进阶玩法
0门槛打造跨端异地影视站:飞牛影视+节点小宝异地流畅看4K,远程视频全攻略!
从质疑到真香:小白使用「飞牛NAS」+「节点小宝」的花式操作
让两个不同地域的局域网互联?把电脑A的硬盘挂到电脑B?
异地访问NAS最好的方案是什么?
告别IP和端口!一个「快捷访问」让飞牛NAS服务跟你走
网络进阶教程:仅部署一个中心节点,即可访问局域网内所有设备
