[教學] 用 Cloudflare 保護你的 Synogloy .

freefdhk

近排 NAS 既世界太多安全漏洞，更新得慢隨時中左招都唔知，甚至有未被發現既漏洞。

普通用家可能沒有太多時間不停去緊貼行程，
所以分享靠 Cloudflare WAF 平台去額外保護 NAS 既安全。

溫馨提示 ，世上沒有最安全的系統，只能把風險降低，歡迎大家一起想想如何提升安全。
本文主要是為不方便使用 VPN 提升安全級別的情況下使用.
Firewall 也建議設定 禁止 NAS 主動對外連線防止不法連線。

已知的問題 :

• VideoStation 不支援 HTTPS 連線 , 所以只能 HTTP.
  
• 經 Cloudflare 連進來的連線在 NAS 記錄會是 CF 的 IP , 會造成無法封鎖撞密碼.
  (不知道未來的DSM會否加入 mod_cloudflare 插件。)
  
• Cloudflare WAF 未必能真正阻攔針對 Synology injection 類漏洞.
  
• 雖然可限制地區 , 但 使用 Cloudflare CDN 只能使用預設 Port 80/443 會有一定風險。
  (因為綁定域名所以對方也要知道這子域名的存在才能開始進一步)
  

1. 建立一個 CNAME 形式既 SubDomain 指去 Nas 既 DDNS.
(如果 NAS 是有固定 IP 唔行 CNAME + DDNS 都可以 , 而且 DDNS 個名最好唔好俾其他人知 , 避免有其他暴露了 IP 既問題。 )

2021-4-25 01:24

2. CloudFlare 防火場規則
指明  剛剛建立的 subdomain 只準 香港連線.  
(阻擋大量惡意連線)

2021-4-25 01:24

3. 記得打開 Cloudflare 的 Web 應用程式防火牆 。

4. Synology 防火場規則 將 CloudFlare 既 IP List 設為允許 80 連線進 NAS.
其餘的所有連線都拒絕.   記得選岩網卡.
(記得在頂層加入內網 IP 可連線至 NAS 的端口 , 不然按確定後無法再管理. )

2021-4-25 01:24

5. 在 應用程式入口 -> 建立存取控制設定檔
將 Cloudflare 的 CIDR IP LIST 寫進 允許 , 然後在最後填上 其他的全拒絕。

2021-4-25 01:24

1. 103.21.244.0/22                        103.21.244.0        103.21.247.255
   
2. 103.22.200.0/22                        103.22.200.0        103.22.203.255
   
3. 103.31.4.0/22                        103.31.4.0        103.31.7.255
   
4. 104.16.0.0/13                        104.16.0.0        104.23.255.255
   
5. 104.24.0.0/14                        104.24.0.0        104.27.255.255
   
6. 108.162.192.0/18                108.162.192.0        108.162.255.255
   
7. 131.0.72.0/22                        131.0.72.0        131.0.75.255
   
8. 141.101.64.0/18                        141.101.64.0        141.101.127.255
   
9. 162.158.0.0/15                        162.158.0.0        162.159.255.255
   
10. 172.64.0.0/13                        172.64.0.0        172.71.255.255
    
11. 173.245.48.0/20                        173.245.48.0        173.245.63.255
    
12. 188.114.96.0/20                        188.114.96.0        188.114.111.255
    
13. 190.93.240.0/20                        190.93.240.0        190.93.255.255
    
14. 197.234.240.0/22                197.234.240.0        197.234.243.255
    
15. 198.41.128.0/17                        198.41.128.0        198.41.255.255
    
16. 
    
17. https://www.cloudflare.com/zh-tw/ips/

複製代碼

6. 在 應用程式入口 -> 反向代理伺服器 建立規則
設定你的 Cloudflare subdomain 80 連線  選擇 剛剛的 存取控制設定檔  目的地指去 Synology Panel Port.

2021-4-25 01:24

7. 大功告成，這樣你可以透過 手機Apps 連線 domain:80  方式連到 你的 NAS.

8. 最後你需要測試以下事情 :
1. VPN 去其他國家看看是否能成功連線 , 如果能成功代表 Firewall 失效了.
2. 測試以外網 IP 是否成功連線到  NAS WAN IP : 80 , 如果成功 即是 NAS 的 Firewall 沒完成。
3. 存取控制設定檔 , 建立並指向一個新的只有 拒絕. 看看能否成功拒絕所有連線 , 測試反向代理是否有保護能力。

溫馨提示 ，世上沒有最安全的系統，只能把風險降低，
但使用 Cloudflare CDN 的話會只能以 Port 80/443 形式可能也會有其他風險，
使用 VPN 後才能連線至 NAS 才是最有效的防禦。

tcbyxo

唔明申請完Cloudflare後，怎樣加自己domain上去！

tongkai

https://support.cloudflare.com/h ... rvers-to-Cloudflare

回覆 2# tcbyxo

hoktong

我用 DSM 裏面個自動 update ip 去 CF, 唔駛CNAME 去 DDNS

https://www.hkepc.com/forum/redi ... 06&pid=38934967

freefdhk

我用 DSM 裏面個自動 update ip 去 CF, 唔駛CNAME 去 DDNS
hoktong 發表於 2021-4-25 15:10

原來而家 Synology 已經支援 Update Cloudflare A Record.
唔用 Synology 個 sub-domain 應該仲更安全. 起碼唔會比人撞 *.synogloy.me

javacomhk

用vpn server 已經係最容易最方便最經濟嘅方面，都唔明點解要用其他的service，又有限制。

竹皮

中既好似都係QNAP，麻煩出個QNAP教學

freefdhk

用vpn server 已經係最容易最方便最經濟嘅方面，都唔明點解要用其他的service，又有限制。 ...
javacomhk 發表於 2021-4-25 18:12

以前會諗住 Router NAT (Forwarding / Mapping) 去 NAS 個 VPN Service Port .
不過而家 NAS 個底咁弱弱都唔知會唔會連 VPN 都有 bugs， 所以 VPN 用返 Router 內鍵先安全，

Cloudflare CDN 係岩 電視駁 VideoStation / AudioStation 呢類唔 Friendly 駁 VPN 既懶人選擇 .
如果唔玩呢件野，用 VPN 當然最穩陣過 Cloudflare WAF。

javacomhk

以前會諗住 Router NAT (Forwarding / Mapping) 去 NAS 個 VPN Service Port .
不過而家 NAS 個底咁弱 ...
freefdhk 發表於 2021-4-25 18:34

VPN Server 係響router 之後 (自家 LAN之前) 起多個network segment。有的router 會有呢的功能，如果沒嘅話，用隻 radpberry pi 3b 都起到。唔係你講個個 NAS Service port。外面internet 係要經過VPN 先可以入到 local LAN 先再可以login LAN 內嘅machine 包括NAS。即係話你個 NAS 要經2個門先入到，要VPN 有漏洞同時NAS 有漏洞先有機會入到，而呢個被入侵機會率係一定細過依家。

tongkai

同意"入侵機會率係一定細過依家"
不過街外人因為 WFH 關係, 已經專攻 VPN 弱點, 所以都要時常更新, 或停左佢避風頭

SonicWall宣布緊急釋出修補程式，以解決已被駭客開採的SMA 100 系列SSL VPN設備零時差漏洞
駭客利用Pulse Secure VPN裝置4項安全漏洞，對各國政府組織發動攻擊
Cring勒索軟體現在對Fortinet OS漏洞發動攻擊

回覆 9# javacomhk