NAS 的資訊安全

Steven 正在 eRay 的訓練課程上課中 ,
看到了 Run PC 2009 四月號 , 提到 NAS 以及
7個步驟教你如何檢測電腦是否中毒 (吳俊達) 這兩篇文章 ,
回想到這個常見問題 .

NAS 大部分是 Linux-based 作業系統 , 真要中毒的機會 ,
是比較低一點 , 但是當然不排除可能性 .
不過呢 , NAS 的系統回復比起 一般電腦 來得快多了
(如果一開始有保存 NAS 的 系統設定與韌體檔)
意思是 , 這個項目的風險相對較低 (比起 Windows-based)

這也讓我聯想到 Acer H340 ( Windows Home Server )
是不是也要經常 patch (修補作業系統) 以及 安裝 防毒軟體 ?
是不是過幾年 Microsoft 會告訴使用者 , 不再支援 WHS 更新了 😉
不過 , 話說回來 , Linux-based 的任何 NAS 也是有維護終了日期
(停止銷售後 , 不再有更新版本的韌體發布了) 二者半斤八兩了 .

一般的使用權限問題 , NAS 都有這樣的管理介面 , 對於 人員 <-> 目錄
之間的關係都會有自行定義的能力 . (讀/寫/刪除/存取…)

外部存取則可以透過防火牆條例管理 , 家用產品則需要 NAS 廠商多下點功夫 .
也應該顯現內部防火牆的功能啟用效果 .

NAS 有一大堆的大量檔案交換動作 , 既然 個人電腦端具有寫入 NAS 的權限 ,
意思就是有可能發生 感染後的檔案被 餵進 NAS 的共用目錄 .
這表示 個人電腦端的防毒有漏網之魚 , 而 NAS 端沒有審驗機制 .
NAS 廠商目前是假設每個個人電腦使用者都安裝了防毒軟體 ,
既然是個人電腦們在做交換檔案 , 在 NAS 上就會有人上傳有人下載 ,
這些掃毒工作 , 就讓 個人電腦下載端去處理 . 在 NAS CPU 尚未夠高速
夠有閒之前 , 恐怕還不會有一般使用者想看到的NAS即時掃毒功能 .

還有一種狀況 , 當個人電腦中毒 , 而且掛載了 NAS 某個目錄為網路磁碟機 ,
透過有存取權限的能力 , 病毒可以自由 “進出” 那些目錄 , 如果不幸裡面有
應用軟體執行檔 , 那麼檔案型病毒 , 是可以讓這些可執行檔案的下載者
哀鴻遍野的 . 可執行檔案中毒是滿慘的一件事情 , 治癒它嗎 ? 怕有餘孽 ,
想一刀砍了它 , 又想到取得不易或者沒有其他備份 , 兩難之間 ,
通常還是快刀斬亂麻 , 按下 Yes 全刪除了 .
不要上傳執行檔 , 至少 , 包裝成 ZIP 壓縮檔 , 都好過直接上傳執行檔 .

關於 NAS 裡面放置可執行檔的問題 , 我想到一個方法 , 各位可以參考一下 :
(這是我回答 Synology 討論區的時候 , 想到的方法)

常常有些自我解壓縮檔案 , 會包裝成可執行檔 , 例如 電腦遊戲 ,
檔案非常的大 , 單一檔案可能接近好幾 GB , 下載的時候 , 真是千辛萬苦 ,
可是一旦中毒了 , 該刪除還是保留呢 ?

我們如果把上述檔案 (可執行檔) 放在一個 NAS 共用資料匣 ,
又把這資料匣當作網路磁碟機 , 那就保證有危險了 , 除非 …
我們把 這個 放置可執行檔的共同資料匣 刻意設定成 使用者唯讀 的狀況 ,
這應該可以減緩因為一時電腦中毒 , 卻不小心連接上該資料匣 ,
所造成的病毒寫入傷害 , 各位可以參考試試看 , 如果覺得還有問題 , 我們繼續討論看看 .