แม้ว่าคนธรรมดาตัวเล็กๆ อย่างเราๆ ท่านๆ อาจจะไม่ใช่เป้าหมายโจมตีของพวกแฮกเกอร์และผู้ไม่หวังดีทั้งหลาย แต่ถ้าคุณซื้อ QNAP NAS ไป แล้วกะจะให้มันเชื่อมต่อกับอินเทอร์เน็ต เพื่อที่เวลาไม่ได้อยู่บ้าน อยู่ออฟฟิศ แล้วจะได้สามารถเข้ามาดึงไฟล์ได้ หรือแชร์ไฟล์ให้ใครต่อใครได้ เราก็ควรต้องป้องกันตัวเองเอาไว้บ้างนะครับ บล็อกตอนนี้ก็เลยจะมาขอแนะนำวิธีป้องกันตัวเองขั้นพื้นฐานให้ได้ทราบกัน
1. อย่าลืมอัปเดตเฟิร์มแวร์ และซอฟต์แวร์ให้ใหม่ล่าสุดเสมอ
ทั้งเฟิร์มแวร์และแอปบน QNAP NAS จะมีการอัปเดตอยู่เป็นระยะๆ ไม่ใช่แค่เพื่อเพิ่มฟีเจอร์ หรือแก้ปัญหาบั๊กของซอฟต์แวร์เท่านั้นหรอกนะ แต่บางทีก็มีการอุดช่องโหว่ด้านความปลอดภัยด้วย ฉะนั้นเราต้องให้แน่ใจว่ามีการอัปเดตทั้งเฟิร์มแวร์ (ที่จะอัปเดตระบบปฏิบัติการ QTS ของ QNAP NAS) กับแอปต่างๆ ที่เราติดตั้งเอาไว้ให้ใหม่ล่าสุดเสมอ
โดยปกติ ถ้าเราหมั่นล็อกอินเข้าหน้าจอ QTS ที่เอาไว้บริหารจัดการ QNAP NAS เวลามีเฟิร์มแวร์ใหม่ หรือแอปใหม่รอการอัปเดต มันจะมีการเด้งเตือนเราครับ เราก็สามารถคลิกเพื่อเข้าไปดูได้เลย แต่ถ้าเราอยากจะเข้าไปดูด้วยตัวเอง
● เข้าไปที่ App Center แล้วเราก็จะเห็นรายชื่อของแอปที่มีเวอร์ชันใหม่รอการอัปเดต เราก็กดอัปเดตจากตรงนั้นได้ (อ่านวิธีการติดตั้งและอัปเดตแอป)
● ส่วนเฟิร์มแวร์ ให้ไปที่ Control Panel > System > Firmware Update แล้วตรงแถบ Live Update ให้คลิก Check for Update (อ่านวิธีการอัปเดตเฟิร์มแวร์)
แต่ขอเตือนไว้ก่อนว่า ก่อนจะอัปเดตเฟิร์มแวร์ ควรจะอ่าน Release note เอาไว้ก่อนด้วยนะครับ เพราะผมเคยเจอเคสที่เฟิร์มแวร์บางรุ่นมันมีปัญหา เวลาจะอัปเดตไปเป็นเฟิร์มแวร์เวอร์ชันที่ใหม่กว่า มันอัปเดตผ่าน Live Updaate ไม่ได้ ต้องดาวน์โหลดเฟิร์มแวร์มาอัปเดตแบบ Manual แทน ดังนั้น กันไว้ดีกว่าแก้นะครับ ส่วนใครที่อัปเดตเฟิร์มแวร์แล้วล้มเลว ผมเคยเขียนบล็อกที่พูดถึงแนวทางการแก้ปัญหากรณีอัปเดตเฟิร์มแวร์แล้วล้มเหลวเอาไว้ อาจพอช่วยอะไรได้บ้าง แต่ถ้าทำตามแนวทางนี้ไม่ได้ ก็ต้องติดต่อศูนย์บริการนะครับ
2. เปิดใช้ 2-step Verification
เพราะ Username กับ password บางทีมันเดากันได้ บางทีก็โดน Phishing (หมายถึงกระบวนการทางจิตวิทยาสังคมของพวกผู้ไม่หวังดี ที่จะหลอกให้ผู้ใช้งานบอก Username กับ Password) ดังนั้น หากต้องการให้ปลอดภัยขึ้นไปอีกขั้น คือการเปิดใช้ 2-step Verification เพื่อให้ผู้ใช้งานต้องเอารหัสแบบใช้ครั้งเดียว (One Time Password หรือ OTP) มากรอกตอนล็อกอิน ซึ่งก็จะทำให้มั่นใจได้ว่า แม้จะโดนเอา Username กับ Password ไป อย่างน้อยถ้าแฮกเกอร์มันไม่ได้ OTP เราไปด้วยก็อย่าหวังว่าจะล็อกอินเข้ามาได้ (อ่านบล็อก เพิ่มความปลอดภัยให้การล็อกอินด้วย 2-step authentication)
ขั้นต่ำๆ คือ ผู้ใช้งานที่เป็น Admin ควรเปิดใช้ 2-step Verification นี้ แต่ถ้าจะให้ดีที่สุดคือ ผู้ใช้งานทุกคนควรจะเปิดใช้งานครับ แต่น่าเสียดายที่ QNAP NAS ยังไม่มีฟีเจอร์ในการบังคับให้ผู้ใช้งานต้องเปิดใช้ 2-step Verification ซึ่งจริงๆ ผมอยากให้มีมาก มันจะเป็นประโยชน์อย่างยิ่งโดยเฉพาะในกรณีของผู้ใช้งานระดับองค์กร
3. ถ้าทำให้ผู้ใช้งานทุกคนเปิดใช้ 2-step Verification ไม่ได้ ก็กำหนด Password policy ซะ
เพราะ QNAP NAS ไม่ให้เราตั้งบังคับให้ผู้ใช้งานทุกคนต้องเปิดใช้ 2-step Verification ดังนั้นเราก็ต้องไปพึ่งพาในส่วนของนโยบายรหัสผ่าน (Password policy) แทนครับ
ให้ไปที่ Control Panel > System > Security แล้วไปแถบ Password Policy แล้วกำหนดเลยว่าจะให้รหัสผ่านต้องเป็นยังไงบ้าง ถ้าต้องการโหดกว่านั้น สามารถกำหนดให้ผู้ใช้งานต้องเปลี่ยนรหัสผ่านเป็นระยะๆ ได้ด้วย กำหนดไปเลยว่าต้องเปลี่ยนทุกๆ กี่วัน
4. คิดให้ดีตอนสร้างบัญชีผู้ใช้งาน ให้สิทธิเท่าที่จำเป็น
ผมเจอเคสผู้ใช้งานและเจ้าหน้าที่ไอทีมักง่ายบ่อยมาก คือ ขี้เกียจมาแก้ ขี้เกียจมาเปลี่ยน พอสร้างผู้ใช้งานมาก็เปิดสิทธิให้เต็มเหนี่ยวจนแทบจะเป็น Admin ของเครื่องอยู่แล้ว อะไรแบบนี้ ผลก็คือ Admin อะ เก่ง ป้องกันตัวเองจากการโดนแฮกได้หมด แต่ผู้ใช้งานประมาท โดนแฮกไป แต่เพราะดันมีสิทธิแทบจะเป็น Admin แฮกเกอร์เลยได้อาศัยเป็นช่องทางการถล่มระบบไปเลย
ฉะนั้น คิดให้ดีๆ ตอนที่สร้างบัญชีผู้ใช้งาน เขาควรจะมีสิทธิแค่ไหน ให้ไปแค่นั้นพอ ถ้าต้องเพิ่มสิทธิให้ ค่อยมาพิจารณากันทีหลัง ผู้ใช้งานเองก็ต้องตระหนักถึงความชิบหายที่อาจจะมาเยือน หากตัวเองพลั้งพลาดโดนแฮกไป ว่ามันจะทำให้ระบบบรรลัยได้แค่ไหนด้วย
5. ตั้งเวลาให้ Malware Remover สแกน QNAP NAS เป็นระยะๆ ด้วย
QNAP NAS มันก็เหมือนกับเครื่องคอมพิวเตอร์เครื่องนึง ปัจจุบันมีผู้ใช้งานเยอะมาก ทั้งในองค์กรและบุคคลทั่วไป เดี๋ยวนี้ก็เลยมีพวกมัลแวร์ที่จ้องเล่นงาน QNAP NAS โดยเฉพาะอยู่ เขาถึงได้ให้ Malware Remover เป็นแอปมาตรฐานที่ติดตั้งมาพร้อมกับเฟิร์มแวร์เลยในตอนนี้
แต่ถึงจะมีติดตั้งมาให้เรียบร้อยแล้ว ก็ต้องไปตั้งค่าให้มันสแกน QNAP NAS เป็นประจำนะครับ จะได้แน่ใจว่าไม่มีอะไรแอบเข้ามา ไม่ต้องตั้งตอนกลางวันเวลาทำงานก็ได้ เดี๋ยวประสิทธิภาพในการให้บริการจะตก ผมเองก็ไปตั้งให้มันรันตอนตีสามของทุกวันแทน
6. ลงแอปใช้งานแต่พอจำเป็น พอร์ตไหนไม่ได้ใช้ก็ไปปิดซะ ถ้าจะเปิดอย่าใช้พอร์ตมาตรฐาน
QNAP NAS มันทำได้หลายอย่างมาก บางคนพอได้ไปก็เอาไปทำโน่น ลองนี่ เต็มไปหมด แต่พอไม่ได้ใช้ก็ลืมปิด ปล่อยมันทิ้งไว้แบบนั้น แต่หลายๆ แอปเนี่ย มันให้บริการผ่านอินเทอร์เน็ตได้ไง ถ้าเผลอเปิดทิ้งไว้ ก็เท่ากับเปิดช่องให้ผู้ไม่หวังดีเข้ามาได้ ถ้าแอปนั้นมันมีช่องโหว่อยู่ นี่คือโอกาสทองของพวกแฮกเกอร์เราดีๆ นี่เอง
ฉะนั้นแอปไหนไม่ได้ใช้ ไปลบออกเพื่อปิดการให้บริการ บริการไหนที่เป็นพื้นฐานของ QNAP NAS เราไม่ได้ใช้ ก็ไปปิดซะด้วย
และสำหรับบริการไหนที่เราจะเปิด ถ้าเลี่ยงได้ก็จงเลี่ยงอย่าไปใช้พอร์ตมาตรฐาน เช่น พอร์ตสำหรับ SSL ก็เปลี่ยนจาก 443 เป็นเลขอื่น เป็นต้น ก็จะช่วยป้องกันตัวเองจากการถูกสแกนพอร์ตเพื่อเตรียมโจมตีได้บ้าง
7. ใช้ myQNAPcloud ก็เปิดใช้ SSL ด้วย
ผู้ใช้งาน QNAP NAS ที่เปิดใช้ myQNAPcloud คือยอมให้มีการเชื่อมต่อกับระบบจากอินเทอร์เน็ตได้ ผมก็อยากให้เปิดใช้ secure connection (HTTPS) ด้วยนะ ไปเปิดได้ที่ Control Panel > System > General Settings ดูในแถบ System Administration ครับ ติ๊กถูกตรง Enable secure connection (HTTPS) ซะ เปลี่ยนพอร์ตได้ก็เปลี่ยนด้วย แล้วติ๊กถูกตรง Force secure connection (HTTPS) only ยิ่งดี เพราะจะทำให้เวลาเราล็อกอินเข้าหน้า QTS จะต้องทำผ่าน HTTPS เท่านั้น
แต่ถ้าเปิดแค่นี้ เวลาเราเชื่อมต่อ มันจะขึ้นข้อความแจ้งเตือนว่าการเชื่อมต่อไม่เป็นส่วนตัว (Your connection is not private) เพราะแม้เราจะเปิดใช้ HTTPS แต่มันไม่ได้มีใบ Certificate มายืนยันว่าเป็นเราจริงๆ ถ้าไม่ระวัง เราอาจจะโดนโจมตีแบบ Man-in-the-Middle เพื่อหลอกดูข้อมูลได้
วิธีที่จะให้แน่ใจว่าปลอดภัยชัวร์ 100% ก็คือ ไปสมัครใช้ SSL Certificate ครับ ซึ่งเราเลือกได้ทั้งแบบเสียเงิน (ซื้อได้จาก License Store ของ QNAP) หรือแบบฟรีๆ ก็ได้ (อ่านบทความ ติดตั้ง SSL Certificate ฟรีให้ QNAP NAS ใช้ myQNAPcloud แบบปลอดภัย)
ถ้าติดตั้ง SSL certificate เรียบร้อยแล้ว เวลาเราล็อกอินผ่าน URL ของ myQNAPcloud เราจะเห็นว่าตัวเบราวเซอร์คราวนี้มันขึ้นแล้วว่า Connection is secure ครับ Certificate นี้จะมีอายุ 90 วัน แต่ระบบจะทำการออกอันใหม่ให้โดยอัตโนมัติ ฉะนั้นใช้ไปเหอะ ไม่ต้องกลัวว่ามันจะมีปัญหา
อย่างไรก็ดี SSL certificate นี้มันออกให้กับ URL ของเรานะครับ ถ้าเราดันเชื่อมต่อผ่าน IP address แทน หรือ เข้าจาก Local network มันก็จะยังเจอ Error แบบเดิมๆ นะ ในส่วนของ Local network ไม่น่าห่วงอะไรเพราะโอกาสที่เราจะเจอปัญหา Man-in-the-Middle ต่ำอยู่ (ยกเว้นระบบ Network เราก็มีช่องโหว่เช่นกัน)
8. วางมาตรการสำรองข้อมูลเอาไว้ด้วย
เพราะสิ่งที่สำคัญที่สุดบน QNAP NAS ของคุณคือข้อมูลที่ถูกเก็บไว้ในนั้น ฉะนั้น คุณต้องวางแผนสำรองข้อมูลให้เหมาะสมกับมูลค่าของข้อมูลด้วย อันไหนที่จะหายไปก็ช่างมัน ก็ไม่ต้องแบ็กอัพก็ได้ แต่อันไหนที่ถ้าหายไปแล้วชีวิตลำบากหรือชิบหายไปเลย ก็ต้องวางแผนกันหน่อย จะทำ RAID เพื่อป้องกันข้อมูลหายจากปัญหาฮาร์ดแวร์ หรือจะทำแบ็กอัพออกไปไว้ที่ NAS ตัวอื่นหรือ External HDD หรือจะทำ Snapshots เอาไว้ อันนี้ต้องวางแผนให้ดี (อ่าน การสำรองข้อมูลคือการลงทุน ไม่ใช่ค่าใช้จ่าย, มือใหม่หัดใช้ QNAP NAS: Sync vs Backup เออ มันต่างกันยังไง?, QNAP NAS 101 – EP14: การใช้งาน HBS 3 เพื่อสำรองข้อมูล, มือใหม่หัดใช้ QNAP NAS: Snapshot คืออะไร แล้วมันต่างจากแบ็กอัพตามปกติยังไง?, ทำไมเราถึงต้องซื้อ QNAP NAS มาแบ็กอัพ QNAP NAS อีก? จำเป็นจริงๆ ไหม?, เครื่องมือ 5 ตัว สำหรับช่วยแบ็กอัพข้อมูลของเราให้ปลอดภัยด้วย QNAP NAS)
ภาพประกอบปกบล็อก: Background vector created by pikisuperstar – www.freepik.com
