从飞牛漏洞看本质：如何才能更加安全访问异地NAS？-编程实验室

这几天小白感觉都快被飞牛NAS的0day漏洞刷屏了……小白这飞牛都已经关机好久了，今天随便看了一下，发现这个事情还挺严重的，不过大部分小伙伴可能都没看懂，这里小白稍微解释一下：

“路径穿越+命令注入”复合型0day漏洞：该漏洞的危害性极高，使得HTTPS、强密码认证及防火墙策略等常规防御机制完全失效，为攻击者敞开了直接读取任意文件、并获取系统命令执行权限的大门。

很多小伙伴可能都看不懂这段文字，这就开始咱们今天要聊的内容！

正文开始

这意味着不管咱们是已经部署好了SSL证书、做了强密码认证、开启防火墙且仅开放一个端口作为web的访问入口都好，只要做了公网DDNS/Lucky或者是FnConnect（下面简称“fnc”），只要在公网状态下能被扫到，都挡不住。

什么叫公网状态下能被扫到？也就是任意一台设备通过任意网络都能通过域名访问到咱们的设备，就意味着会被扫到。

嗯……还是有点没看懂？那把域名比做家里的地址，把地址贴在公告栏上，任意一个小偷都能看到这个地址，这时候咱们慌不慌？

当然，这并不是说被扫到就一定中招！首先咱们需要赶紧把飞牛更新到最新的系统版本。

另外就是停止FnC的使用，因为飞牛NAS自带的FnC一共就那几个域名，用枚举法都能把某些小伙伴的飞牛NAS域名扫出来，特别是那些设置得很简单的，比如abc123前缀的，简单的英文+数字组合很容易就枚举出来了。

另外就是前几天申请的那种免费域名，风险其实还挺大的，小白这才部署了几天，扫描就有几千次。

其中只有几次是来自广东的IP，其他的都是些什么情况，自己看图：

整得小白赶紧把飞牛的IPv6关了，Lucky的动态解析也关掉了。

使用公网或者fnc转发方案的小伙伴，一定要部署好SSL证书、开启防火墙且减少暴露端口、更改web访问的端口5666/5667为其他、强制HTTPS、开启二次验证、开启多次验证错误进黑名单等方式，还有及时更新系统。

但是这样的方法依旧不是很保险，因为只要暴露在公网下，风险依旧在。

那么如何才能在异地状态下安全访问NAS呢？

只有在公网下扫不到设备，才是第一步的安全。最坚固的堡垒，往往从让敌人找不到大门开始。

小白自己使用的异地方案日常仅有虚拟局域网：节点小宝+Zerotier。

虽然说这两个方案都很安全，但是使用Zerotier方案，流量有时候会到外国溜达一圈再回来，且有时候延迟很大，P2P不通的情况比较多。

所以小白自己使用的方案比较多的是节点小宝。

节点小宝组网不依赖固定的公网IP和开放的端口：当你通过节点小宝组建虚拟网络时，你的设备（如家中NAS）并不会在公网上留下一个固定的、可被扫描到的入口。

设备之间的访问通道建立完全依赖于节点小宝客户端之间动态的、加密的“握手”协议。

传统的中继转发或某些公共VPN服务，数据需要经过第三方服务器，这意味着你的“家书”交给一个陌生的邮差传递，途中有多少环节存在风险。

小白仔细研究了节点小宝的安全方案： “零信任”网络策略与 P2P（点对点）直连技术：

假设咱们的设备在数据传输中存在理论上的流量劫持风险（比如在不安全的网络下），节点小宝的安全方案是：“一次一密”的动态密钥协商机制，并配合军用级别的256位强加密算法。

一次一密的动态密钥：咱们的每一次会话、甚至会话中的不同阶段，所使用的加密密钥都是临时动态生成的，且完全不同。咱们在每次通信都使用一把全新的、全球唯一的复杂密码锁，用完后就销毁。
256位加密：数据以目前商业级最高强度的256位加密算法上锁。在没有密钥的情况下，劫持者想要破解加密内容也会特别困难（至于多困难，你可以试试！）