UPnP是通用随插即用的网路协定,是只要一组设定就能快速将正在使用的连接埠转发到网路上其他设备的配置方式。UPnP自动连接埠转发被广泛应用在各种网路设备,让不同的设备能更有效率的互相沟通,并自动建立工作组态以进行资料分享等应用。
UPnP 为通用随插即用(Universal Plug and Play)的网路协定,是只要一组设定就能快速将正在使用的连接埠转发到网路上其他设备的配置方式。UPnP 自动连接埠转发被广泛应用在各种网路设备,让不同的设备能更有效率的互相沟通,并自动建立工作组态以进行资料分享等应用。
UPnP 自动连接埠转发安全吗?
从资安角度来看,UPnP 不算是一个安全协议,它使用网路 UDP Multicast 群组通信,没有经过加密,也没有认证。由于 UPnP 没有经过认证,一台装置可以对另一台装置要求自动连接埠转发,骇客可以利用 UPnP 的漏洞透过恶意档案进行攻击,感染系统并获取控制权。虽然 UPnP 很便利,但也会让装置在公用网路上公开,使装置更容易遭受恶意攻击。
建议的安全连线方式
我们呼吁 NAS 使用者将 QNAP NAS 布建于路由器及防火墙后方后面,且不取得公开 IP 位址。您也应停用手动连接埠转发、自动连接埠转发。您可以使用 QNAP 提供的 myQNAPcloud Link 服务,远端安全存取 QNAP NAS。由于此服务使用中继转发,因此存取速度可能稍慢。
或者,您可开启路由器或分享器的 VP* 伺服器功能。当您需要透过网际网路存取 QNAP NAS 时,先连接到路由器上的 VP* 伺服器,再安全连接到您的 QNAP NAS。其他远端存取方法包括在 QNAP NAS 上安装QVP* Service并启用 VP* 伺服器,或布署 QNAP 开发的 QuWAN SD-WAN 网路优化解决方案。
需要向网际网路开放通讯埠时,建议采取安全连线设定
针对需要向网际网路开放通讯埠的状况,建议您采取以下系统设定及配置,确保连线安全:
- 将 QNAP NAS 安装在路由器和防火墙后面,不允许 QNAP NAS 取得公开 IP 位址。关闭 QNAP NAS 的 UPnP 功能,并仅针对特定 QNAP NAS 服务所需的连接埠,启用手动转发。
- 若不使用 Telnet、SSH、网站伺服器、SQL 伺服器、phpMyAdmin 及 PostgreSQL 等服务,请加以停用。
- 在网际网路端避免使用预设连接埠编号,例如:80、443、8080、8081。请改用自订/随机的连接埠编号,例如:将 8080 改为 9527。
- 仅使用 HTTPS 加密连线,或其他加密连线,例如: SSH。
- 在 QNAP NAS 安装 QuFirewall,并仅允许指定区域或网段的 IP 位址进行连线。
- 建立一个新的管理员帐户,并停用预设管理员帐号(admin)。
- 所有使用者均应使用高强度的密码,包括您在上一步所建立的新管理员帐户。
- 在 QNAP NAS 启用多重要素认证或两步骤验证。
- 启用作业系统及 App 自动更新。
- 使用 IP 存取保护功能,拒绝登入失败次数过多的 IP 位址。