共计 3629 个字符,预计需要花费 10 分钟才能阅读完成。
過去一定期間、NASのセキュリティに関する話題が脚光を浴びてきました。特に、アカウントログイン、リモートアクセス、公共ネットワークへの露出に関しては、fnOSフライングカウNASのような家庭用・個人用デバイスのセキュリティ問題を無視することはできません。
昨年はfnOS Flying Cow NASに関連したセキュリティ問題にも遭遇した。アカウントのログイン、リモートアクセスポータルの公開、その他の状況などだ。正しいパスワードを持つ管理者アカウントが、エラーでログインできない状況にも遭遇しました。かなり深刻な事態にまで発展していますが、実はこれは一つのことを物語っています:一般人がログインする以上、セキュリティ上のリスクは避けられない。
リモート・アクセスは便利ですが、便利さとリスクはしばしば隣り合わせです。NASへのいつでもどこでもアクセス」を追求する一方で、多くのユーザーはその背後にあるセキュリティコストを無視しています。写真、ファイル、オーディオ・ビデオ・データ、さらにはアカウント・データまでもが保存されているNASにとって、適切なリモート・アクセス・ソリューションは、その後の安心の使用を直接左右します。
YouTubeにアクセスできるインターネット環境でこのページを開いてご覧ください。
図解の詳細については下記を参照されたい。
FnOS FlyingNoise NASへのリモートアクセスを保護しなければならない理由
NASのリモートアクセスを「エクストラネット上でNASを開けるだけ」と理解している人は多い。私の知る限り、アカウント・パスワードはセキュリティを意識したものではないが、現実には、デバイスがパブリック・ネットワーク環境にさらされている限り、スキャンされ、探られ、さらにはログインを試みられ続ける可能性があるということだ。
リスクは通常、いくつかの主な原因から生じる:
まずログインポータルの公開.
パブリック・ネットワークがNASのログイン・ページに直接アクセスできる限り、スキャンされ、侵害を試みられる可能性は理論上あり得ます。 以下のスクリーンショットは、保護されていない、ddnsでマッピングされたパブリック・ネットワークの直接リモート・ログインの状態を示しています。
第二に、さらに致命的なことがある。平文伝送の問題.
アクセスプロセスでTLS暗号化が有効でない場合、ログイン情報、アクセスデータは、いくつかのネットワーク環境では盗難の危険性があり、セカンダリ暗号化がない場合は裸で実行しているのと同じで、リスク要因は圧倒的です。
さらに口座自体のセキュリティ.
パスワードが弱い、パスワードが重複している、二次認証が有効になっていないなどは、多くのユーザーが見落としがちな問題である。アカウントのセキュリティが不十分だと、どんなに便利なリモート・アクセス・ソリューションでも、隠れた入り口になってしまう可能性がある。
したがって、リモート・アクセスとは、単に「接続できる」ということではなく、3つのことが重要なのである:
安全に接続できるか、安定して接続できるか、高速で接続できるか。
FlyingNiu NASにリモートアクセスする最も安全な方法:Cloudflareトンネル
セキュリティの観点から見ると、個人的には、フライング・ブルのNASをリモートで使用する最も安全な方法の1つは クラウドフレア・トンネル にアクセスできるようにする。
このソリューションの最も重要な特徴は、単に「リモートでログインできる」ことではなく、アクセス方法に非常に重要な隠蔽層があることだ。
それを読み解くことができる:
人々はあなたの家のドアがどこにあるのか知らない。
YouTubeにアクセスできるインターネット環境でこのページを開いてご覧ください。
図解の詳細については下記を参照されたい。
一方、Cloudflare Tunnelのアイデアは、Cloudflareを通じて安全なチャネルを作成し、保護されたドメインの下にローカルサービスをマッピングすることです。このように
- ローカルポートを直接公開する必要はない
- アクセス時のTLS暗号化をサポート
- 外部から直接、本当の入場を察知されにくい
- パブリックIPを持っていなくてもリモートで使用できる。
それが最大の安全価値だ。
さらに進んで 二次検証セキュリティレベルは高くなる。
先ほどビデオの中で述べたように、こう読むことができる:
たとえ誰かがドアの場所を知っていたとしても、ドアを開ける前に “警察署に鍵を取りに行く ”必要がある。
つまり、攻撃者はアクセス・アドレスを知らなければならないだけでなく、実際にシステムに侵入するために追加の認証プロセスを経なければならない。このアプローチは、ほとんどの平均的なホームユーザーや小規模オフィスユーザーにとっては、すでにかなり堅実なソリューションとなっている。パブリックIPがない不安と決別:Cloudflareトンネル/ゼロトラストで真に共有可能なFNOS NAS無料リモートアクセス・ソリューション - Technology King こちらもご興味のある方は、以前のブログをご覧ください。
そしてもう一つの利点がある:
パブリックIPアドレスを持たないユーザーに適している。
多くのホームネットワークにはパブリックネットワーク環境がないため、従来のDDNSソリューションは直接機能しませんが、Cloudflare Tunnelはこの制限を回避することができます。多くのユーザーにとって、Cloudflare Tunnelは安全であるだけでなく、非常に実用的です。(興味のあるパートナーは、このブログやユーチューブチャンネルに注意を払うことができます:技術古い王、私は後でナスリモートセキュリティアクセスタンピングの補足ビデオで出てくることができます)。
第三に、公衆ネットワークがある場合、最適な速度はやはりDDNSです。
もちろん、セキュリティだけが問題ではありません。多くのNASユーザーにとって、リモート・アクセスにはもう一つ、スピードという現実的な問題がある。
ホームネットワークがもともとパブリックネットワークに対応している場合、純粋にアクセス効率の観点からはDDNSベースの直接接続ソリューションは、スピードの点では依然として最良の選択である。
YouTubeにアクセスできるインターネット環境でこのページを開いてご覧ください。
図解の詳細については下記を参照されたい。
理由は簡単だ:
エクストラネットへのアクセス速度は、結局のところ、以下の事実によって制限される。家庭用ブロードバンドのアップロード帯域幅.
言い換えれば、パブリックネットワークのリンクが安定し、正しく解決される限り、この方法は基本的にホームネットワーク環境で達成できる最高のリモートアクセス速度である。
そのため、多くのユーザーは、DDNSリモートアクセスが実際の使用において非常に「直接的」で「高速」であると感じています。ファイル管理であれ、フォトアルバムの閲覧であれ、オンラインビデオの再生であれ、パブリックネットワークへの直接接続がより良い体験をもたらすことが多い。
しかし、そこに問題がある。
過去には、多くのユーザーが高速アクセスを実現するためにこの種のソリューションを使用してきたが、多くの場合、このようなソリューションの使用は、高速アクセスを実現するために不可欠なものであった。暗号化されていない、または暗号化が不十分な方法.
この場合、スピードは非常に良いが、セキュリティは明らかに不十分である。特に、ログインページがパブリックネットワークに直接公開されており、データ転送がTLSで保護されていない場合、リスクが高まる。
つまり、DDNSプログラムの核となる矛盾は、実は常に明白だったのだ:
スピードは素晴らしいが、適切に暗号化され保護されていなければ、セキュリティは損なわれる。
フライング・ブルのNAS新機能の意義:DDNSソリューションの安全性を高める
最近のフライング・ブルNASのアップデートの新機能の最大の価値はここにあると思う:
これは単に機能項目を1つ追加するだけでなく、これまでのリモートアクセスの最も重大な欠点の1つであった暗号化と自動管理機能。
現在はフライング・カウがサポートしている:
- TLS証明書を引き出す
- DDNSドメイン名のバインド
- サードパーティドメイン名のサポート
- 自動更新ドメイン名の解決
どういう意味ですか?
つまり、パブリックネットワークがあれば、DDNS直接接続の絶対的な速度の利点を維持しながら、脆弱なセキュリティと証明書の自動更新を補うことができます。
以前は、多くの人が公衆ネットワークへのリモートアクセスを行っていた:
- より標準化されたドメイン名アクセス
- TLS暗号化通信
- ドメイン名の解決は自動的に更新される
- サードパーティドメインも独自の統合管理下に置くことができる。
こうすることで、全体的な経験は「働く」から「より安全で安定し、長期的な使用に適している」へとアップグレードされる。
平均的なユーザーにとって、このアップグレードは非常に理にかなっている。なぜなら、必ずしも複雑なシステム一式を構築する必要はなく、ロジックの本来の使い方において、重要なセキュリティ上の欠点が直接ギャップを埋めてくれるからだ。
V. CloudflareトンネルとDDNS、どう選ぶ?
これを読んでいる多くの人は、まだひとつのことを最も心配しているかもしれない:
この2つの選択肢のどちらを選ぶべきか?
選択はそれほど複雑ではなく、主にネットワークの状況と優先順位による。
もしそうなら公共ネットワークなしあるいは、セキュリティや本当のポータルを隠すこと、ポートの露出を防ぐことにもっと興味があるのであれば、Cloudflare Tunnelがより適切なソリューションになるでしょう。Cloudflare Tunnelの利点は、全体的なセキュリティの考え方がより完全であること、そしてデプロイメントが完了した後、基本的に外部はあなたの本当のサービスエントランスを直接認識することができないことです。
もしそうならオープンネットより高いアクセススピードとより低いトランジットロスをお望みであれば、DDNS直接接続の方がより良いソリューションであることに変わりはありません。特にFlyingNiuの新機能がTLS証明書、サードパーティドメイン名、自動アップデートをサポートしてからは、このタイプのソリューションの使いやすさとセキュリティは以前より成熟しています。
簡単に言えば、このように理解できる:
- Cloudflareトンネル:より安全側に
- DDNS + TLS: より速く、より効率的に
- DDNSは、公衆ネットワークがある場合の最適なパフォーマンスソリューションです。
- 公共のネットワークがない場合、トンネルは実用的で安全なソリューションだ。
VI.一択問題ではなく、飛翔する牛のNASリモートアクセスの核心的アイデア
実際、ほとんどのユーザーにとって、リモートアクセスは「スピード」と「セキュリティ」の間で絶対的な選択をする必要はない。
より賢明な考え方はこうだ:
お客様のネットワーク環境に応じて、最適なオプションをお選びください。
可能な限り低い露出面と可能な限り高いセキュリティを求めるのであれば、Cloudflare Tunnelを優先し、その後に二次認証をオーバーレイして保護を完全なものにします。
自宅の公衆帯域幅で最大限のアクセス効率を求めるなら、DDNS + TLSのルートを進み、証明書、ドメイン名、自動更新を設定し、過去の明示的なアクセス方法を避けるようにする。
この観点から、フライングブルの新機能アップデートは、実際には非常に価値がある。これは、元のリモートアクセスのロジックを逆転させるものではなく、元の「非常に強力な速度と一般的なセキュリティ」ルートに直接接続されたパブリックネットワークを作るために、よりバランスの取れたものになり始めた。
結論
FlyingNiu NASへのリモートアクセスは、常に「セキュリティ」と「効率性」のバランスの問題でした。
これまで多くのユーザーは、接続できるかどうかだけに注目し、アクセスプロセスが暗号化されているかどうか、ポートが公開されているかどうか、アカウントに特別な保護機能があるかどうかを真剣に考慮していませんでした。FlyingNiuがTLS証明書、DDNSドメイン名、サードパーティドメイン名、自動アップデートをサポートしたことで、パブリックリモートアクセスソリューションは以前よりずっと成熟しました。
を追求するのであれば最大限の安全性Cloudflare Tunnelは今でも非常に推奨されるソリューションだ;
を追求するのであれば最大アクセス速度フライング・カウには、このセットがある。 DDNS + TLS また、このようなことができるようになったことで、このプロジェクトに参加した甲斐があったというものだ。
その後、もしあなたが Cloudflare トンネル + セカンダリ認証 この、より高いセキュリティレベルのリモート・ソリューションは興味深いものであり、この部分についてはまた別の増刊号で徹底的に取り上げることができる。
Chinese 
English 
Spanish 
French 
German 
Japanese 
Portuguese 
Italian 
Dutch