หากคุณไม่ต้องการมีปัญหาด้านความปลอดภัยกับเซิร์ฟเวอร์ NAS ของคุณ คุณไม่ควรเปิดเผยพอร์ตการจัดการกับอินเทอร์เน็ต แม้ว่าเราคิดว่าการใช้รหัสผ่านที่ดีสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบของเรา ด้วยการยืนยันแบบสองขั้นตอน การเปลี่ยนพอร์ตเริ่มต้นของ NAS และแม้กระทั่งการเปิดใช้งาน HTTPS ความจริงก็คือ หากคุณเปิดพอร์ตบนเราเตอร์ไปยัง NAS แสดงว่าคุณกำลังเรียกใช้ข้อผิดพลาดร้ายแรง อันตราย คอมพิวเตอร์ของคุณถูกแฮ็ก อาชญากรไซเบอร์ใช้ประโยชน์จากการเข้าถึงอุปกรณ์ประเภทนี้จากระยะไกลเพื่อใช้ประโยชน์จากช่องโหว่และควบคุมทั้งหมด วันนี้ในบทความนี้เราจะบอกคุณว่าคุณสามารถทำอะไรได้บ้างเพื่อเข้าถึงจากอินเทอร์เน็ตอย่างปลอดภัย
เข้าถึงผ่านเซิร์ฟเวอร์ VPN ของ NAS
โซลูชันนี้ได้รับการแนะนำมากที่สุดเนื่องจากความง่ายในการกำหนดค่าและการรักษาความปลอดภัยที่มีให้ ถ้าเรากำหนดค่า VPN เซิร์ฟเวอร์ของเซิร์ฟเวอร์ NAS นั้นเอง และเปิดพอร์ตที่เกี่ยวข้องบนเราเตอร์ของเราเพื่อเชื่อมต่อจากอินเทอร์เน็ต เราจะสามารถเชื่อมต่อระยะไกลกับคอมพิวเตอร์ด้วยความปลอดภัยสูงสุด และทั้งหมดนี้ราวกับว่าเราเชื่อมต่อผ่านเครือข่ายภายในบ้าน
เพื่อให้สามารถเชื่อมต่อในลักษณะนี้ได้ เราจะต้องกำหนดค่าเซิร์ฟเวอร์ OpenVPN หรือ WireGuard เซิร์ฟเวอร์ VPN หรือกำหนดค่าทั้งสองอย่างพร้อมกันสำหรับการใช้งานประเภทต่างๆ เนื่องจากโดยทั่วไปแล้วระบบทั้งหมดจะเข้ากันได้กับโปรโตคอลหลายตัวที่เราสามารถใช้ได้พร้อมๆ กันโดยไม่มีปัญหา ต้องขอบคุณความเป็นไปได้ในการกำหนดค่าอุโมงค์ข้อมูล VPN เราจะเข้าถึงคอมพิวเตอร์ของเราได้อย่างปลอดภัย เนื่องจากสำหรับการเชื่อมต่อ จำเป็นต้องมีใบรับรองและคีย์ส่วนตัวที่เกี่ยวข้องซึ่งอยู่ภายใต้โดเมนของเราเท่านั้น
ด้วยวิธีนี้ในเราเตอร์เราเพียงแค่ต้อง เปิดพอร์ตเซิร์ฟเวอร์ VPN และเราจะไม่เปิดเผยหน้าเว็บการดูแลระบบ NAS โดยตรง เพื่อป้องกันการโจมตีจากอาชญากรไซเบอร์ หากอาชญากรไซเบอร์ทำการสแกนพอร์ตและค้นหาพอร์ต VPN ที่เปิดอยู่ พวกเขาทำอะไรไม่ได้มากเพราะไม่มีคีย์ส่วนตัวสำหรับเชื่อมต่อ
ตั้งค่าพร็อกซีย้อนกลับด้วยการตรวจสอบสิทธิ์เพิ่มเติม
ในช่วงไม่กี่ปีที่ผ่านมา ผู้ผลิต NAS กำลังผสานรวม reverse proxy เข้ากับระบบปฏิบัติการของพวกเขาเอง อย่างไรก็ตาม คุณยังสามารถติดตั้ง Traefik reverse proxy ยอดนิยมเป็นคอนเทนเนอร์ Docker ได้ ผู้ผลิตเช่น QNAP, ASUSTOR หรือ Synology อนุญาตให้คุณติดตั้ง คอนเทนเนอร์เทียบท่า เพื่อขยายฟังก์ชันการทำงานของอุปกรณ์เพิ่มเติม
ในกรณีนี้ หากเราติดตั้ง reverse proxy เราจะสามารถเข้าถึงเว็บไซต์การดูแลเซิร์ฟเวอร์โดยป้อนโดเมนย่อยหรือ URL เฉพาะ ซึ่งทำให้อาชญากรไซเบอร์เชื่อมต่อได้ยาก ในกรณีนี้ เราจะต้องเปิดพอร์ต 443 ของเว็บเซิร์ฟเวอร์พร็อกซีย้อนกลับเท่านั้น เพื่อไปที่เว็บไซต์การดูแลเซิร์ฟเวอร์ในภายหลัง
พร็อกซีย้อนกลับช่วยให้เราสามารถเพิ่มมาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อบรรเทาและป้องกันการโจมตีและการบุกรุกที่อาจเกิดขึ้นกับบริการต่างๆ ต่อไปนี้คือมาตรการรักษาความปลอดภัยทั่วไปและแนะนำบางส่วนที่เราควรใช้:
- จำกัดการเข้าถึงทรัพยากรต่างๆ ตามประเทศ ตามที่อยู่ IP ต้นทาง
- บล็อกที่อยู่ IP ตามความพยายามในการเข้าถึงคอมพิวเตอร์
- เพิ่มการตรวจสอบสิทธิ์ครั้งแรกเพื่อให้สามารถเข้าถึงทรัพยากรที่ใช้ร่วมกันได้ การตรวจสอบสิทธิ์นี้สามารถเป็นแบบพื้นฐานด้วยชื่อผู้ใช้และรหัสผ่าน หรือใช้ Oauth เพื่อตรวจสอบสิทธิ์กับ Google โดยตรง
- เพิ่มนโยบายส่วนหัวที่ปลอดภัยเพื่อใช้
- จำกัดจำนวนคำขอต่อวินาที เพื่อลดการโจมตีจำนวนมากที่สามารถทำได้
อย่างที่คุณเห็น การกำหนดค่า reverse proxy ที่มีความปลอดภัยเพียงพอเป็นอีกวิธีหนึ่งในการเชื่อมต่ออย่างปลอดภัยกับ NAS ของเรา สิ่งที่คุณไม่ควรทำคือเปิดเผยพอร์ตการดูแลระบบกับอินเทอร์เน็ต เพราะทุกคนสามารถเข้าถึงและใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยในเว็บเซิร์ฟเวอร์ได้
