如何提升NAS的安全性

在〈遠距事務所 part 3-雲端硬碟〉一文中提到了NAS與其他儲存方案的比較，而〈勒索病毒連下兩城，NAS還能用嗎？〉一文中，進一步提到了NAS的風險與轉移前應該考量的一些因素。

如果目前沒有打算從NAS移轉到公有雲或其他儲存方案，該如何提升安全性、做好萬全準備？

備份321已經是流傳已久的原則，指的是3份備份、分別儲存在2種不同儲存介質、1份異地備份。透過備份321法則，幾乎可以確保資料不會毀損、遺失。

雖然備份321的原則看起來好像很簡單，但實際執行起來卻很困難。對於非專業的用戶而言更是近乎不可能的任務，因為成本過於高昂。

舉例而言，假設某用戶的資料主要是用NAS存取，而NAS若有組建RAID 1以上的磁碟陣列，基本上就有了第一份備份。而用戶再利用隨身硬碟將資料拷貝出來，可以達成第二份備份。但第三份備份就有點困難，更別提要用第2種介質。因為綜觀目前市面上的儲存介質，除硬碟之外，大概只剩DVD和磁帶。然而磁帶對於一般用戶而言太難取得；DVD雖然還買的到，但最大的雙層DVD也只能存不到10GB的資料，且燒錄的時間也非常久。總歸一句，就是花錢、花時間。

因此，如果你的資料的價值，沒有高到你願意用備份321的高規格處理，退而求其次，就是盡量做好NAS的安全設定，以及定期用外接硬碟冷備份。

由於NAS的廠牌非常多，我在〈遠距事務所 part 3-雲端硬碟〉一文中也有介紹過其中兩家，因此以下將以我目前正在使用的Synology NAS的介面做示範，其他廠牌應該都有一樣的功能，讀者可以上官網或從使用者手冊中找到相應的功能。

雖然很多NAS本身就有附帶管理port的功能介面，但直接把NAS接在小烏龜 (中華電信的終端數據機，俗稱小烏龜，也可以泛指固網的終端數據機)後面，風險還是很高。由於幾乎不可能期待小烏龜擔任好一個路由的角色，因此很多人戲稱這種直接將NAS接在小烏龜之後的行為為「裸奔」。也由於NAS直連網路，萬一預設的PORT沒改、密碼簡單、沒預防暴力破解，基本上被攻破也只是遲早的事情。

也因此，如果有使用路由器，就可以在NAS前面多增加一道屏障。雖然路由器不比防火牆，但就如同門鎖一般，脫慢速度、增加麻煩，就能很大機率降低被攻破的風險。

此外，使用路由器還能管理區域網路，控制區域網路內所有設備的連線，進一步降低NAS被「內賊」攻破的風險，算是一舉兩得。

目前多數NAS系統都有登入白名單的功能。白名單的作用，是建立「原則禁止登入，例外允許登入」的規則，可以有效減少被暴力破解的機率。以Synology NAS為例，是用IP Address建立白名單。只須進入「控制台→連線能力/安全性→允許/封鎖清單」頁面，新增允許存取的IP Address。

使用IP Address白名單對外網(網際網路)固然有用，但對內網(區域網路)卻不太有用。由於區域網路的IP Address大多都是透過DHCP伺服器隨機派發，可能每次設備開機的IP Address都不一樣，因此較不適合做為白名單的判斷基礎。而MAC Address具有唯一性與不易變更的特性，因此若有使用路由器，可以在路由器的DHCP頁面自訂裝置的固定IP，讓路由器判斷MAC Address後給予固定的IP Address，NAS再依據IP Address建立白名單，達成只讓特定裝置登入NAS的效果。

這個做法的效果眾說紛紜，因為其實用port scanner就可以輕易發現正在運行服務的埠號。

但就如同前面提到的門鎖比喻，更改NAS後台的預設埠號，雖然無法抵擋針對性的攻擊，但可以拖慢攻擊者。多浪費攻擊者一秒的時間，就多一分倖存的機會。

以Synology NAS為例，只需進入「控制台→系統/登入入口→網頁服務/DSM連接埠」更改掉原先預設的埠號(5000和5001)即可。

使用路由器、將NAS放在內網之中固然比較安全，但若使用者在外需要取用資料，還是會有所不便。因此有必要搭配路由器的VPN功能，以解決這個問題。(相關文章：遠距事務所 part 4-VPN)

有了VPN之後，NAS內建的對外連線功能就可以關閉，進一步降低NAS被外部存取的機會。以Synology而言，對外連線功能叫做QuickConnect，當然也可以自訂DDNS，效果大同小異。只需進入「控制台→連線能力/外部存取→QuickConnect/DDNS」頁面，取消或關閉功能即可。在關閉之前，NAS可能會要求你填寫email或其他備援聯絡方式，避免不慎關閉，只需照著指示填寫完畢即可。

快照 (Snapshot)，就是在某個時間點，將硬碟當下的狀態儲存起來，以作為將來還原的根據。依SNIA的定義，快照只保存當下資料區塊的metadata，並在還原時指向原資料區塊，以達成還原的效果。相較於鏡像或增量備份，快照的速度較快且所占容量極小。

Synology NAS可以透過套件中心安裝Snapshot Replication套件，定時建立快照。

但快照也不是萬用，若病毒或攻擊者取得NAS的管理權限或root權限，將快照紀錄刪除後再將檔案加密，就無法透過快照還原資料。這部分就必須搭配前面的路由器以及白名單防範。

由於NAS幾乎是全天候連網，而有連網的時候就有被攻擊的機會。因此準備離網的「冷備份」還是有其必要。

建立冷備份最快速、簡便的方式，就是用外接硬碟拷貝資料。透過USB介面進行複製，依資料量不同，大概可以在30分鐘~數小時內完成，每半個月或一個月進行一次，應該不會造成太大負擔。

任何設備連網，就有被攻擊的可能，而攻擊的手法也會不斷推陳出新。因此，在享受資料自主權利的同時，伴隨的義務就是必須自己確保資料的安全。

如果你覺得使用NAS的門檻還是太高，仍然可以隨時付費轉換到公有雲，但轉換前務必考慮清楚後續的隱藏成本 (相關文章：勒索病毒連下兩城，NAS還能用嗎？)；如果你還是決定繼續使用NAS，在不花錢請專業資安人員的前提下，自己多花一點時間學習如何設定是必要的。天下沒有白吃的午餐，任何解決方案都是有利有弊。

在這個離不開電子資料的年代，提升自己的資安知識，我想已經是每個人無可迴避的義務。