NAS有了公网IP后,请教大佬们,如何注重网络防护?
地点:魔都网络:魔都电信,NAS直连FTTR光猫,光猫拨号及端口转发
硬件:I7 -8700 es,16G内存,2.5G网口
操作系统:windows
本人能力:20年+的DIYer,但在网络方面属于稍强于小白,且没有linux基础
安全软件:火绒6.0+微软自带
在APP上找客服申请公网IP(IPv4),没想到电信十分爽气,而且告知只有IPV4,且改成公网IP后无法改回。有了公网IP后,设置了端口转发,可以远程桌面,webdav及一些网络应用。 随后火绒日志开始,频繁提示被各种IP网络爆破攻击,不停将提示的IP设为黑名单后,日志里每天上千条黑名单的IP尝试联入。(这两天一个218.90.122.42的IP,每隔1分多钟一条日志)
现有防护措施:火绒6.0;禁用了Admin、guest账户;13位的数字+大写+符号的密码
请教各位大佬,(1)操作系统上设置还要主意哪些方面?(2)如何进一步提升网络防护能力?(3)是不是360的网络防护和杀毒能力强于火绒?(广告这种的,自己可以避免的)有没有必要换?
谢谢各位大佬 把windows换了 最好是组局域网内网,比如用zerotier 你这个安全基本等于裸奔了,公网IP被打是日经,楼下等个大佬 关远程桌面 只开服务端口别的都不放行 windows也可以ssh连入 换掉windows 没那么严重吧, 我WIN NAS暴露在公网七八年了, 没被攻击过
用vpb远程回去操作最稳妥。 NAS 安装 fail2ban
电脑不要暴露远程桌面端口,用虚拟局域网连到家里再连电脑 路由器drop掉低端口号的入站,连回去用zerotier 买个防火墙硬件。。。。。。。。。。。。。。 IPV4的公网IP+端口转发是比较危险的。建议把端口封了,用V*P*N方式接入,再做远程桌面登录。 DDNS+威皮恩连回家,有公网IP了根本用不着zerotier之类的内网穿透 公网只暴露RDP端口,且做好fail2ban
其他端口不暴露,必须通过微屁恩组网后访问。
有公网建议直接l2tp ipsec,几乎所有设备都可以不安装客户端直接配置使用 防火墙设置严格点,只放行自己需要用到的端口
另外把一些默认端口都改掉 3389 22这些 对外只开放 V//PN 端口。 最好的办法就是VXN回去内网连接,其他的要设备,中一次勒索病毒够你苦恼很久 你不会是把mstsc端口转发了吧,这非常恐怖 nn1122 发表于 2024-8-5 08:10
DDNS+威皮恩连回家,有公网IP了根本用不着zerotier之类的内网穿透
zerotier不知道 tailscale强密码+mfa挺好的 反正有公网就p2p直连呗 chainofhonor 发表于 2024-8-5 08:37
防火墙设置严格点,只放行自己需要用到的端口
另外把一些默认端口都改掉 3389 22这些 ...
再弄一台小鸡开22 别的啥也不干就记录连入ip feed到服务器防火墙黑名单里 网络啊,首先路由器开启NAT防止直接访问到nas
然后防火墙也打开 不怕死啊 哈哈 hadis_zero 发表于 2024-8-5 15:53
没那么严重吧, 我WIN NAS暴露在公网七八年了, 没被攻击过
给个IP,让兄弟们试试[偷笑] 问题不大,黑客吃饱饭了盯上我[流汗][流汗][流汗] 看你形容是通过接入路由NAT到NAS的。
把服务的默认端口改掉,攻击就会少很多。 YsHaNg 发表于 2024-8-5 17:05
再弄一台小鸡开22 别的啥也不干就记录连入ip feed到服务器防火墙黑名单里
没必要浪费时间拉黑名单
扫IP的基本都是肉鸡
很久以前, 我做过一个实验, 找了一个弱密码的linux主机放在公网上, 然后等着。。。。
记不得过了多久,可能都忘了这回事儿, 有一天突然发现奇怪的网络连接, 但是常规的手段看不到进程(被隐藏), 真是太有意思了!
于是开始翻箱倒柜, 终于发现被当作肉鸡的一些代码,至今还保存着
要不lz也试试看, 放个什么机器在DMZ里 我也是公网+WIN NAS
改了3389和445端口,平时关闭端口转发,需要用的时候临时进路由开 hadis_zero 发表于 2024-8-5 15:53
没那么严重吧, 我WIN NAS暴露在公网七八年了, 没被攻击过
你没发现不等于你数据没有被人扫过。 关掉任何公网端口, 免得上门喝茶