เมื่อเร็วๆ นี้ มีประเด็นด้านความปลอดภัยที่ร้ายแรงมากกับผู้ใช้งาน QNAP NAS นั่นก็คือ การถูกโจมตีด้วย Ransomware ครับ ข้อมูลโดนเข้ารหัสจนวุ่นกันไปใหญ่ ผู้ใช้งานในประเทศไทยเองก็โดนไปหลายรายครับ ล่าสุดก็เคส Qlocker เมื่อเดือนเมษายนที่ผ่านมานี่เอง เมื่ออะไรๆ มันเริ่มสงบแล้ว ผมก็เลยขอถือโอกาสเขียนบล็อกเล่าให้ฟังซักหน่อย ว่าถ้าเราจำเป็นต้องป้องกันตัวเอง เลยควรจะทำยังไงดี
ถ้าเป็นไปได้ ไม่ควรเชื่อมต่อ QNAP NAS ให้สามารถเข้าถึงได้จากอินเทอร์เน็ตโดยตรง ถ้าคุณยังไม่รู้ว่ากำลังทำอะไรอยู่
คอมพิวเตอร์ทุกเครื่องที่เชื่อมต่อกับอินเทอร์เน็ต มีสิทธิโดนคุกคามผ่านออนไลน์ได้ทั้งนั้น ยิ่งเป็นระบบปฏิบัติการ หรือ ซอฟต์แวร์ที่คนใช้เยอะมากเท่าไหร่ ยิ่งเสี่ยงโดนโจมตีเท่านั้น เพราะมันคุ้มค่ากับแฮกเกอร์ที่จะโจมตีไง QNAP NAS ก็เช่นกัน หลังๆ คนหันมาใช้งาน NAS กันเยอะขึ้น เพราะมีข้อมูลที่ต้องเก็บมากขึ้น ยิ่ง Google เพิ่งเลิกให้บริการแบ็กอัพรูปภาพไปบน Google Photos ฟรีๆ แล้ว คนยิ่งหันมามาโซลูชันที่เป็น NAS มากขึ้นฮะ
แต่ผมจะย้ำเตือนเสมอว่า หากไม่จำเป็นละก็ ให้ปิดกั้นการเข้าถึง QNAP NAS จากอินเทอร์เน็ตซะ ก็จะปลอดภัยมากขึ้นครับ เพราะการโจมตีออนไลน์ส่วนใหญ่ ก็มักจะเกิดจากการโจมตีผ่านซอฟต์แวร์ ที่ยอมให้มีผู้ใช้งานเข้าถึงจากอินเทอร์เน็ตได้นี่แหละ ซึ่งบรรดาแฮกเกอร์เนี่ย เขามีเครื่องมือมากมายที่จะใช้ชี้เป้าได้เลยครับ
และจริงๆ แล้วไม่ต้องไปหาที่ไหนไกลเลยครับ แค่ไปที่ shodan.io นี่ก็สามารถเลือกสแกนหา QNAP ก็จะรู้แล้วว่ามี QNAP NAS อยู่ที่ IP address อะไรบ้าง เปิดพอร์ตอะไรอยู่บ้าง เลือกได้ถึงระดับประเทศ ยันจังหวัดที่ชุมสายอยู่ เรียกว่าถ้าจะเลือกเป้าหมายโจมตี คือโจมตีได้เฉพาะเจาะจงระดับนึงเลยเหอะ
และบอกเลยนะครับ เท่าที่ผมลองกดๆ ดูเนี่ย หลายๆ เครื่องยังคงใช้เลขพอร์ตมาตรฐานสำหรับการเข้าถึง QTS อยู่ (พอร์ต 8080) และไม่ได้เปิดใช้ SSL ด้วยซ้ำ คงไม่ต้องให้เดาต่อเลยว่า เขาไม่ได้น่าจะใช้ 2-step authentication ด้วย ประมาทขนาดนี้ อย่าแปลกใจนะครับว่าทำไม QNAP NAS ของคุณโดนโจมตี
ถ้าแค่อยากเข้ามาบริหารจัดการ QNAP NAS ได้ ใช้ myQNAPcloud LInk ดีกว่า
แม้ผมจะเขียนสอนว่า ถ้าอยากให้เข้าถึง QNAP NAS ผ่านอินเทอร์เน็ตได้ ก็ให้ไปใช้บริการ myQNAPcloud ที่เป็น DDNS หรือสำหรับลูกค้า AIS (และเดี๋ยวนี้รวมถึง True Internet ด้วย) ก็จะใช้บริการ DDNS ของผู้ให้บริการเอง แต่ในทางปฏิบัติ ถ้าคุณอยากแค่เข้ามาใช้ QTS เพื่อบริหารจัดการ QNAP NAS (เช่น ใช้ File Station, Download Station อะไรพวกนี้) คุณก็ควรไปใช้ myQNAPcloud Link ซึ่งเราจะได้ URL มาในรูปของ SmartURL (https://qlink.to/ชื่อที่เราตั้งไว้ตอนเซ็ต myQNAPcloud) ครับ
การเชื่อมต่อผ่าน myQNAPcloud Link นี้มีข้อดีสองอย่างคือ
① มันเชื่อมต่อผ่าน VPN ของ QNAP ฉะนั้นจะปลอดภัย เพราะข้อมูลจะถูกเข้ารหัส แต่แลกมาด้วยการเชื่อมต่อที่อาจจะช้าหน่อย เพราะมันต้องวิ่งไปเซิร์ฟเวอร์ที่ QNAP ฮะ พูดง่ายๆ มันวิ่งออกนอกประเทศไปทีนึง แล้ววิ่งกลับมา
② แม้เราจะไม่ได้ Public IP address หรืออีกชื่อหนึ่งคือ IP จริง เราก็ยังคงจะสามารถเข้าถึง QNAP NAS ได้จากอินเทอร์เน็ต โดยที่ไม่ต้องไปเซ็ตค่า Port forwarding ใดๆ เลย
เพราะแบบนี้แหละ การเชื่อมต่อมาใช้งาน QNAP NAS ผ่าน myQNAPcloud Link ถึงได้ปลอดภัยกว่าเอา QNAP NAS มาต่อออกอินเทอร์เน็ตโดยตรง อ้อ! แต่อย่าลืมไปตั้งค่าที่ myQNAPcloud.com ให้ Device access control เป็น Private ด้วยนะครับ ไม่อย่างนั้นใครต่อใครก็จะสามารถเสิร์ชเจอ QNAP NAS ของเราได้ครับ
แต่ถ้าจำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตจริงๆ ละก็… อย่าลืมใช้ Firewall รู้จักเปลี่ยนเลขพอร์ต และปิดบริการที่ไม่จำเป็น
หากท้ายที่สุดแล้ว คุณต้องการใช้งานมากกว่าแค่บริหารจัดการ QNAP NAS ซึ่งนั่นอาจหมายความว่า คุณต้องยอมให้สามารถเข้าถึง QNAP NAS ผ่านอินเทอร์เน็ตได้ สิ่งที่คุณควรต้องทำเลยก็คือ
ใช้ Firewall กับ QNAP NAS ด้วย ซึ่งผมไม่ได้หมายถึงแอป QuFirewall นะครับ แต่ผมหมายถึงพวกฟีเจอร์ Firewall บนตัว Router หรือ สำหรับบริษัทห้างร้าน อาจจะต้องเป็นอุปกรณ์ Firewall ต่างหาก หรือเซิร์ฟเวอร์ที่ทำหน้าที่เป็น Firewawll ซักตัวเลย อย่าให้ QNAP NAS เป็นอุปกรณ์ที่ได้รับ Public IP โดยตรง (ซึ่งสำหรับผู้ใช้งานตามบ้าน นี่คงไม่ใช่ปัญหาอะไร)
ปิด UPnP บน Router เมื่อใช้ฟีเจอร์ Auto Router Configuration เสร็จ คืองี้ เพื่ออำนวยความสะดวกของผู้ใช้งานตามบ้าน QNAP เขามีฟีเจอร์ที่จะช่วยตั้งค่า Router ทำ Port forwarding ให้โดยอัตโนมัติ แต่มันต้องเปิดใช้ฟีเจอร์ UPnP บนตัว Router ก่อน QNAP NAS ถึงจะไปสั่งให้ Router ทำ Port forwarding ตามที่ต้องการได้ แต่เมื่อ QNAP NAS สั่งได้ ก็หมายความว่าแฮกเกอร์ก็ฉวยโอกาสใช้ UPnP นี่ทำมิดีมิร้ายเราได้เช่นกัน ฉะนั้น ใช้เสร็จ ปิดเถอะ … หรือใครฟิตจริงๆ ก็ไม่ต้องใช้ Auto Router Configuration ครับ ไปทำ Port forwarding เอาเองเลย
พอร์ตใดที่ไม่ใช้ ก็ไม่ต้องไปทำ Port forwarding และถ้าทำ ก็อย่าใช้เลขพอร์ตมาตรฐาน เพราะทุกๆ พอร์ตที่เปิดให้บริการ ก็คือช่องทางที่แฮกเกอร์จะเข้ามาถึงตัว QNAP NAS ของเราได้ ฉะนั้น เปิดใช้เฉพาะเท่าที่จำเป็น เช่น ถ้าอยากจะเข้าถึง QTS ได้ ก็เปิดพอร์ตสำหรับเข้า Web administration ไว้ และเลือกเปิดแบบ Secure connection (HTTPS) ด้วย อยากใช้ FTP ก็เปิดพอร์ตสำหรับ FTP เป็นต้น แต่สำคัญที่สุดคือ อย่าไปใช้เลขพอร์ตมาตรฐาน ไอ้เลข 80, 443, 8080, 21, 22, 3306 อะไรพวกเนี้ย แฮกเกอร์ดูก็รู้แล้วว่าเปิดบริการอะไรไว้บ้าง ฉะนั้นถึงแม้ว่าบนตัว QNAP NAS จะยังคงใช้เลขพอร์ตนี้ให้บริการ แต่เวลาทำ Port forwarding ให้เปลี่ยนเป็นเลขอื่นไปซะ
เลือกใช้ VPN เพื่อเข้าถึงบริการเสมือนผ่าน Local network แทน ในกรณีที่เราต้องการให้ใช้บริการได้จากอินเทอร์เน็ต แต่ก็ไม่อยากให้สามารถเข้าถึงบริการเหล่านั้นผ่านอินเทอร์เน็ตได้โดยตรง เราก็ตั้ง VPN server เลยครับ ซึ่ง Router หลายยี่ห้อ ก็มีฟีเจอร์ในการเป็น VPN server ในตัว หรือจะเลือกใช้ VPN บน QNAP NAS ก็ได้ แนะนำให้ใช้ OpenVPN หรือ QVPN ได้เลยครับ เมื่อเชื่อมต่อผ่าน VPN มาแล้ว มันก็เสมือนว่าเราอยู่บนเน็ตเวิร์กเดียวกับ QNAP NAS แล้ว เราก็จะสามารถใช้บริการต่างๆ ได้ตามปกติ แม้จะไม่ได้ทำ Port forwarding เลย
การตั้งค่าอื่นๆ เพื่อเสริมความปลอดภัยให้ QNAP NAS
นอกจากนี้ คุณควรพิจารณาตั้งค่าต่างๆ เหล่านี้ เพื่อให้การใช้งาน QNAP NAS ผ่านอินเทอร์เน็ตมีความปลอดภัยมากยิ่งขึ้น
• ติดตั้ง QuFirewall แล้วเซ็ตให้มันอนุญาตให้การเข้าถึงผ่านอินเทอร์เน็ต ทำได้เฉพาะ IP address ที่มาจากประเทศที่ QNAP NAS ตั้งอยู่ (ซึ่งในกรณีนี้น่าจะเป็นประเทศไทย) เพราะแฮกเกอร์จำนวนไม่น้อย มันโจมตีมาจากต่างประเทศ
• กำหนดรหัสผ่านให้แข็งแรง เดายาก และอย่าลืมเปิดใช้ 2-step verification ด้วย ทั้งบนตัว QNAP NAS เอง และบน myQNAPcloud ด้วย
• ตั้งค่า IP access protection ให้บล็อก IP address ที่ล็อกอินล้มเหลวหลายๆ ครั้ง
