大家好,我是Cherry,一个喜欢探索数码世界的玩家,很高兴与大家分享关于NAS网络存储的安全小知识。
许多使用NAS的小伙伴,常常会在夜深人静时思考一个问题:在公网传输数据的NAS,其安全性如何?比如在家中使用了NAS,是否担心运营商会获取到你的数据?在公司里使用NAS,是否担心网管会获取到你的隐私数据?或者你安装了各种各样的docker服务,这些服务是否安全,会不会在后台偷偷传输数据?毕竟,大多数人购买NAS的目的就是为了实现本地存储的绝对安全和隐私。
今天,我将从最基础的HTTP/HTTPS服务讲起,让大家了解NAS在公网传输时是否存在数据的风险,以及如何通过一些方法来避免数据的明文传输。
一、网络传输的安全性
1. 常见网络协议
HTTP是一种使用明文传输数据的协议,虽然数据装在请求中,普通用户不易直接获取,但如果被恶意攻击者截获,数据极易被解析。而HTTPS是HTTP之上增加了SSL/TLS加密协议,使请求传送不再以明文形式出现。
HTTP:明文传输协议,所有数据(包括URL、Cookie和POST请求内容)未经加密,可通过抓包工具直接截获,仅适用于不敏感信息传输。
SSL:一种加密协议,位于HTTP应用层与TCP传输层之间,为数据添加加密“外壳”。
HTTPS:HTTP over SSL/TLS的实践组合,通过SSL/TLS对HTTP通信加密,解决身份认证与数据隐私问题。
TLS:IETF在SSL 3.0基础上标准化的协议,成为现代HTTPS、邮件加密等场景的底层标准。
2. HTTPS和SSL
根据HTTP/HTTPS的性质,我们强烈建议使用HTTPS来访问Web服务。而在使用HTTPS时,我们会涉及到另一个重要内容——SSL。
简单来说,SSL是网站的身份证明,类似于“数字身份证”,是实现HTTPS安全通信的核心工具。SSL分为自签名和由可信机构颁发两种。
当用户访问HTTPS网站时,SSL会完成两个核心任务:验证网站身份和加密传输数据。
不可信主要包括过期、域名不符、CA不受信等。自签名虽然可以加密通信,但由于未经受信CA认证,浏览器会提示风险。
在NAS中,我们可以看到各种HTTP/HTTPS/TLS的端口。以极空间为例,在网络相关设置里,我们可以看到默认的直连端口,如HTTP(5055)、HTTPS(5056)、TLS(5050)。
可信一般由各大CA颁布,个人常用的是DV(如Let’s Encrypt),而企业常用OV或EV。SSL由公钥和密钥组成,公钥用于加密数据(公开可见),私钥用于解密。信息包含域名、有效期、颁发机构等。
在NAS里,也会提供SSL的服务,帮助我们管理官方服务、自定义服务的SSL申请、续签、替换等。以极空间为例,在网络相关设置-管理里,可以看到管理的相关功能。
自有一般适用于使用自己的域名的情况,支持手动上传、在线申请两种模式。申请的默认是3个月有效期,极空间支持安全的自动续签。
3. 关于安全所在的位置
安全大致保存在NAS的特定文件路径下,分别是私钥和文件。但请注意,自行验证文件路径时需注意风险。
二、文件存储的安全性
即使使用HTTPS协议,网络的绝对安全也无法保证,还有一些其他的加密方法可以参照。
例如,极空间内置的安全管理应用支持进行勒索病毒防护,而且Q1新版本也将发布防火墙、Clamav等额外的网络安全功能。
除了网络层面的安全措施,NAS自身的文件存储方面也有加密手段。极空间的保险箱工具可以设置密码保护,只有输入正确密码才能访问保险箱内的文件。一旦重置保险箱,所有数据加密并清除。
保险箱应用支持从极空间内部导入文件,也支持从PC端上传和导入文件/文件夹。还可以创建保密备忘录,虽然这个备忘录使用的是记事本功能,但它是单独被隔离在保险箱应用里的,外部无法打开。
除了备份和同步数据外,NAS的安全性同样重要。对于不熟悉网络和计算机知识的NAS用户来说,采用HTTPS+可信SSL的模式能大大减少数据被抓取的风险。真正的做好隐私保护需要从数据传输的源头做起。