QuickConnect and DDNS(synology.me)的分別 ?

為安全, 很多文章講不要用QuickConnect要用DDNS
是什麼原因 ?

提示: 作者被禁止或刪除 內容自動屏蔽

TOP

提示: 作者被禁止或刪除 內容自動屏蔽

TOP

本帖最後由 jackwong717 於 2022-2-24 16:49 編輯

回復 1 #raypoon

成功申請左qc,
可以登入到nas,
簡單而速度慢。
申請左ddns,
唔開port係登入唔到nas的,
唔好用nas外網存取/路由器配置,
Router 關Upnp,router開port比nas。
想再安全dd就唔好申請qc同port forwarding,
用router或nas開vpn,
登入vpn後當內網咁就可以登入。
Ps我有開qc,
有ddns port5000/5001
有用nas開openvpn,
但我有backup nas2部,
1部每日更新,1部每星期更新,
自動做完關機。
再有外置hdd backup。

下面有簡單教學去了解一下。

1.https://youtu.be/OREcJTZj53Y
2.https://youtu.be/iHKQlmr2-x4



Android 紅米note8pro

TOP

本帖最後由 jackwong717 於 2022-2-24 15:36 編輯

如果睇完都唔明白,而又想用外網連入,我會建議nas/外部存取/路由器果度咩都無set,
只申請qc,這樣比較安全。

我會相信synology多過一般人
(包括一班Youtuber)
大多都叫人用UPnP去開port。


Android 紅米note8pro

TOP

呢張圖係某CHING既,
一般人就係跟網上教學去設定,經UPNP,
NAS開了一大堆PORT都唔知,
咁就相對比用QC危險了

2.jpg (144.19 KB)

2.jpg

TOP

DDNS: 外面user --> 你部NAS
QuickConnect: 外面user --> Synology Server <-- 你部NAS

前者仍然受你Router/Firewall等控制, 你唔set uPnP/Port Forwarding外人係入唔到黎
後者乜都經哂Synology, 等於你完全相信Synology安全, 人人都可以經Synology Server再入黎八掛下, 撞下password

TOP

回覆  raypoon


    好多文章?例如呢?可能我見識少,可唔可以俾我睇吓? ...
ChingTszHong 發表於 2022-2-24 14:35


Here is 2 examples

1.
https://sportsclinictampico.com/ ... as-from-ransomware/

2.  From Taiwan Synology NAS 商用技術研究社  P.8
NAS的設定建議 2022-02-23-11:30更新
1.不要讓NAS直接接上外網要放在路由器或防火牆後面(不是物理性放置 )
2.關閉admin帳號登入
3.開啟兩因素身份驗證
(不要用Google Authenticator,建議使用Authy)
4.密碼建議使用數字+大小寫字母+符號
(網路上有密碼生產器,我用的是16位數的密碼然後不要選常用)
4.更改登入頁面預設的Port
(群暉 : 控制台>系統>登入入口>網頁服務)
5.去路由器關閉多餘的Port
6.不要去相信只要封鎖台灣以外IP就能安全的想法
(國外能夠透過台灣電腦當挑版攻擊所以鎖了根本沒用)
7.如果可以就不要開SMB(網路芳鄰)
(如果同個網路的電腦被攻擊,NAS就可能會遭受坡及)
8.不去用QuickConnect ID而是用DDNS
(群暉 : 控制台>連接能力>外部存取>DDNS>新增)
勾選 啟動 DDNS 支援讓使用者以註冊的主機名稱連接伺服器。
服務供應商:Synology (Synology有提供免費的域名)
主機名稱: 自己想名稱 .Synology.me (大多人都是用.Synology.me)
使用者名稱/電子郵件:NAS管理員名稱
密碼/金鑰:NAS管理員密碼
外部位址(IPv4):可以按自動設定
外部位址(IPv6):可以按自動設定
勾選 從 Let's Encrypt 取得憑證,並設定其為預設憑證
(可以獲取免費且自動續約的SSL憑證)
(當然,請不要以為用DDNS就不會被攻擊)
9.幫你的登入入口網站及其他頁面獲取SSL憑證
(群暉 : 控制台>連接能力>安全性>憑證)
10.可以設定自動封鎖功能
(群暉 : 控制台>連接能力>安全性>保護>自動封鎖)
(可以自動封鎖同一個嘗試登入的IP位置)
嘗試登入次數:建議設置2
幾分鐘內:建議設置4320(也就是三天)

TOP

QuickConnect 無視你 Firewall 直接所有流量指晒去你台 NAS
不論好與壞,當然吧理論上 無做 Port forward 是很安全。

但實際就叫你食屎, 用 QuickConnect 只要 Hacker 找到有 Zero-days bugs 再撞下 id 就可以輕鬆入侵,撞 IP 都有機會對方無 NAS , Synology ID 你話連入去果台唔係 Synology NAS 搵鬼信 ? 仲要 bypass 晒地區封鎖,而且當有 Bugs 出現時 S記是 堅持維持流量轉送服務,讓你的 NAS 被綁票完成。

Synology 既 DDNS 盡量都唔好用,因為都係輕易探出 子域名是否存在然後就暴露 IP ,當然吧你可能有限制地區,但不排除 Hacker 都係會搵返同你Server 同國家的跳板來 Hack 入去。 既然 搵到有 abcd.synology.me  咁這個 IP 好大機會會有連線,只要掃下 Port 又成功了。

最好還是自備 domain 或用 noip 那類,始終找到 你的 noip ddns 也不一定有 nas 存在,不過建議連 port forward都不要開,連 router 既 vpn server 再連會安全一點。 萬一真的想 port forward 就要搞 Reverse Proxy 綁定 domain 。

TOP

本帖最後由 t1174-3 於 2022-2-24 23:23 編輯

From Taiwan Synology NAS 商用技術研究社  P.8
這個有D 問題, 有點我不同意的.
比如. 8.不去用QuickConnect ID而是用DDNS, 但又用 .Synology.me
之所以不用 QC, 主要其實是用 QC或是 QNAP 的MYQCLOUD, 其實就是同HACK 說明你用的 NAS/OS 是乜吧. 那就是一個風險. 也是 HACK SCAN 時的第一批目標. 如果是不要用 QC 而用 DDNS, 就唔好用 SYNO (或是 QNAP 等) 自廠的 DDNS 啦. 而且用 DDNS, 多少就是要MAP PORT, 現在大多說就是 MAP PORT 出問題嘛.

而第7 點關 SMB 也是一個不太合理的方法. 雖然 SAMBA 多BUG, 不過一方面是內網, 一方面也是WINDOWS 主要用的, 要家用 MOUNT NFS 其實有D 不實用. 而且 NFS 其實只是少家用, 我不見得它就一定比 SAMBA 少問題.

TOP