HOMELAB

จาก NAS ถึง Reverse Proxy: พื้นฐานความปลอดภัยที่คนทำ Homelab มักมองข้าม

Homelab ที่เริ่มจาก NAS และ reverse proxy มักสะดวกขึ้นเร็ว แต่ก็เพิ่มช่องทางเสี่ยงถ้าตั้งค่ากว้างเกินไป บทความนี้ชวนเช็ก misconfiguration ที่พบบ่อยและวิธีลดความเสี่ยงแบบ practical

Nattapon Chatprechakul

2 min read
Share
ภาพประกอบชั้นวาง homelab ที่มี NAS router firewall และ reverse proxy เป็นทางเข้าที่ถูกควบคุม

หลายคนเริ่มทำ homelab จากโจทย์ง่าย ๆ เช่น อยากมี NAS เก็บไฟล์ อยาก sync รูปจากมือถือ อยากเปิด dashboard จากนอกบ้าน หรืออยาก self-host service เล็ก ๆ ไว้ใช้เอง พอเริ่มมีหลาย service ขึ้นมา reverse proxy ก็เข้ามาช่วยให้จัดการ domain, certificate และ routing ได้สะดวกกว่าเดิม

ปัญหาคือความสะดวกตรงนี้มักทำให้ระบบที่เคยอยู่ในบ้านเริ่มมี "ประตู" มากขึ้นโดยไม่รู้ตัว NAS ที่เก็บรูป เอกสาร และ backup อาจอยู่ใกล้กับ service ทดลองเกินไป ส่วน reverse proxy ที่ตั้งใจให้เป็นทางเข้าหลัก อาจกลายเป็นทางผ่านที่เปิดกว้างกว่าที่คิด

บทความนี้ไม่ได้ชวนทำระบบ security ระดับองค์กรในบ้าน แต่ชวนดูพื้นฐานที่คนทำ homelab มักพลาด โดยเฉพาะ misconfiguration ที่แก้ได้ด้วยการออกแบบให้แคบลง ชัดขึ้น และดูแลต่อได้จริง

สาระตั้งต้นจากแหล่งอ้างอิง

ก่อนเรียบเรียงเป็นบทความ ผมสรุปแก่นจากแหล่งข้อมูลที่ใช้จริงไว้ก่อน:

  1. NIST SP 800-123 วางหลักพื้นฐานของ server security ไว้ชัดเจนว่า server ที่ให้บริการผ่าน network ต้องดูแลตั้งแต่ configuration, patching, account, access control, logging และ maintenance
  2. OWASP Web Security Testing Guide มีหมวด Configuration and Deployment Management Testing ที่เตือนเรื่อง network infrastructure, admin interface, HTTP method, HSTS, file permission และ configuration ที่ทำให้ข้อมูลรั่วได้
  3. CISA แนะนำเรื่อง ransomware ว่าควร harden ระบบสำคัญ อัปเดต infrastructure และเก็บ log จาก network device, host และ cloud service ให้เพียงพอต่อการสืบสวน
  4. CISA ยังย้ำเรื่อง backup แยกจาก network เพราะ ransomware มักพยายามกระจายไปยัง shared storage และระบบที่เข้าถึงได้
  5. Cloudflare เอกสารเรื่อง origin server protection ชี้ว่าถ้าใช้ reverse proxy แล้ว origin ยังถูกเข้าถึงตรงได้ การป้องกันหน้าบ้านอาจถูก bypass ได้ จึงควรจำกัดทางเข้า origin ให้ชัด

ถ้าแปลเป็นภาษาคนทำ homelab แก่นคืออย่าให้ NAS, admin UI, backend service และ reverse proxy ถูกมองเป็น "ของในบ้านที่ปลอดภัยโดยอัตโนมัติ" ทุกอย่างที่เปิดให้ network เห็นควรถูกตั้งคำถามว่าใครควรเข้าถึง ผ่านทางไหน และมีหลักฐานอะไรให้ตรวจย้อนหลังได้บ้าง

จุดพลาดแรก: เปิดพอร์ตเพราะอยากให้ใช้งานง่าย

ในช่วงทดลอง เรามักเปิดพอร์ตเพื่อให้เข้าถึง service ได้เร็ว เช่น NAS admin, photo app, dashboard, media server, Git server, Home Assistant หรือ SSH พอใช้งานได้แล้วก็ลืมกลับมาปิด หรือย้ายไปหลัง reverse proxy แบบไม่ทบทวนว่าอะไรควรเปิดจากข้างนอกจริง ๆ

หลักที่ผมใช้คือ service ที่เป็น admin interface ไม่ควรออกอินเทอร์เน็ตตรง เว้นแต่มีเหตุผลชัดและมีชั้นป้องกันที่เหมาะสม เช่น VPN, access proxy, MFA, allowlist หรือ policy ที่บังคับ identity ก่อนถึงระบบจริง

ถ้า service ต้อง public เช่น blog, portfolio, webhook endpoint หรือ app ที่ตั้งใจให้คนอื่นเข้าได้ ควรแยกออกจากระบบที่เก็บข้อมูลสำคัญ อย่าให้ public-facing container มี mount ไปยัง folder สำคัญของ NAS กว้างเกินจำเป็น และอย่าให้มันคุยกับทุก subnet ได้เพียงเพราะอยู่ใน Docker network หรือ VLAN เดียวกัน

ภาพประกอบ: การปิดทางเข้าที่เปิดกว้างเกินไปใน homelab

NAS ไม่ใช่แค่กล่องเก็บไฟล์

NAS ใน homelab มักกลายเป็นศูนย์กลางเร็วมาก เริ่มจากเก็บไฟล์ส่วนตัว แล้วต่อด้วยรูปภาพ backup จาก laptop, media library, shared folder, container volume, VM disk, snapshot และบางครั้งเป็นที่เก็บ secret หรือ config สำคัญด้วย

ความเสี่ยงคือเรามักให้สิทธิ์กว้างเกินไป เช่น ใช้บัญชี admin ในงานประจำวัน, เปิด SMB/NFS ให้หลายเครื่องเห็นเท่ากันหมด, ให้ container mount ทั้ง share ทั้งที่ต้องใช้แค่ folder เดียว, หรือปล่อยให้ backup user ลบข้อมูลปลายทางได้ง่ายเกินไป

แนวทางที่ practical คือแยก role ให้ชัด:

  1. บัญชี admin ใช้เฉพาะงานดูแลระบบ
  2. บัญชีผู้ใช้ทั่วไปเข้าถึงเฉพาะ folder ที่ต้องใช้
  3. service account ของ container หรือ automation มีสิทธิ์แคบที่สุด
  4. backup account ควรเขียน backup ได้ แต่ไม่ควรลบ snapshot หรือ backup เก่าได้ง่ายโดยไม่มี guardrail
  5. remote access เข้า NAS ควรผ่านทางที่ตรวจสอบตัวตนได้ ไม่ใช่เปิด admin UI ตรง

อีกเรื่องที่สำคัญคืออย่าสับสนระหว่าง RAID, snapshot และ backup RAID ช่วยเรื่อง disk failure บางแบบ Snapshot ช่วยย้อนกลับบางเหตุการณ์ แต่ backup ที่ดีต้องมีอย่างน้อยหนึ่งชุดที่ไม่ถูกแก้หรือลบได้ง่ายจากเครื่องหลัก ถ้า ransomware หรือบัญชีที่ถูกยึดเข้าถึง NAS และ backup share ได้พร้อมกัน ความเสียหายจะลามเร็วมาก

ภาพประกอบ: NAS ที่มีบัญชี สิทธิ์ snapshot และ backup แยกชั้นกัน

Reverse proxy ต้องเป็นด่านควบคุม ไม่ใช่แค่ตัวแจกทาง

Reverse proxy อย่าง Nginx, Caddy, Traefik หรือ Cloudflare Tunnel ช่วยให้ homelab ดูเป็นระเบียบขึ้นมาก เราสามารถใช้ domain แยก service จัดการ TLS certificate และซ่อน backend port ที่รก ๆ ได้ แต่ reverse proxy ไม่ได้ทำให้ระบบปลอดภัยเองโดยอัตโนมัติ

จุดพลาดที่เจอบ่อยคือคิดว่า "อยู่หลัง reverse proxy แล้วปลอดภัย" ทั้งที่ backend ยังถูกเข้าถึงตรงผ่าน IP และ port เดิมได้ หรือ proxy route ไปถึง admin interface โดยไม่มี authentication ชั้นหน้า หรือ service ภายในเชื่อ header จาก proxy โดยไม่ตรวจว่า request มาจาก proxy จริงไหม

แนวทางที่ควรทำคือให้ reverse proxy เป็นเส้นทางที่ตั้งใจไว้จริง ๆ:

  1. ปิด port backend ไม่ให้เข้าจากอินเทอร์เน็ตตรง
  2. จำกัด firewall ให้ backend รับ traffic จาก reverse proxy หรือ network ที่จำเป็นเท่านั้น
  3. แยก public service ออกจาก admin service
  4. ใช้ TLS ให้ถูกต้อง และถ้าอยู่หลัง proxy ภายนอก ให้ระวังไม่ให้ origin ถูก bypass
  5. เปิด access log และเก็บพอให้ดูย้อนหลังได้
  6. ใช้ rate limit, basic auth, SSO หรือ access policy กับ service ที่ไม่ควรเปิดกว้าง

สำหรับ homelab บางกรณี Cloudflare Tunnel, Tailscale, NetBird หรือ VPN overlay อาจปลอดภัยกว่าเปิด port ตรง เพราะลดพื้นที่ให้ถูก scan จากอินเทอร์เน็ต แต่เครื่องมือเหล่านี้ก็ต้องตั้ง policy ให้ดี ถ้า tunnel เข้าได้ทั้ง LAN โดยไม่มีการแยกสิทธิ์ ความเสี่ยงก็ยังอยู่

ภาพประกอบ: reverse proxy เป็น checkpoint ก่อนเข้าบริการภายใน homelab

แยก network เท่าที่ดูแลไหว

การแยก network ไม่จำเป็นต้องเริ่มจาก VLAN สิบชุด ถ้าทำแล้ว debug ไม่ไหวก็อาจสร้างปัญหาใหม่ แต่ homelab ที่มี NAS และ service เปิดจากข้างนอกควรมีขอบเขตอย่างน้อยบางระดับ

ตัวอย่างที่เริ่มได้จริงคือแยกเป็น 3-4 กลุ่ม:

  1. เครื่องใช้งานหลัก เช่น laptop และมือถือ
  2. server หรือ NAS ที่เก็บข้อมูลสำคัญ
  3. public-facing service หรือ reverse proxy
  4. IoT และ guest device ที่ไม่ควรเห็นระบบสำคัญ

ถ้ายังทำ VLAN ไม่ได้ อย่างน้อยใช้ firewall rule, Docker network, service binding และ router guest network ให้เป็นประโยชน์ ตัวอย่างง่าย ๆ คือให้ reverse proxy คุยกับ backend เฉพาะ port ที่จำเป็น, IoT เข้าอินเทอร์เน็ตได้แต่ไม่เห็น NAS, และ admin UI ฟังเฉพาะ private IP หรือ VPN interface

Log ที่ควรมีเมื่อเกิดเรื่อง

หลายคนคิดเรื่อง log หลังจากเกิดปัญหาแล้ว ซึ่งมักสายไป ถ้า service ถูกเข้าถึงผิดทาง สิ่งที่อยากรู้ทันทีคือเข้ามาจากไหน ใช้บัญชีอะไร ผ่าน reverse proxy หรือ bypass มา backend ตรง มีไฟล์อะไรถูกแตะ และ backup ล่าสุดยังดีอยู่ไหม

สำหรับ homelab ผมจะเริ่มเก็บ log จากจุดสำคัญก่อน:

  1. router หรือ firewall
  2. reverse proxy และ access proxy
  3. NAS login, failed login, privilege change, snapshot และ backup job
  4. VPN หรือ tunnel
  5. service ที่เปิดจากภายนอก

ไม่จำเป็นต้องเก็บทุก debug log ตลอดเวลา แต่ควรมีข้อมูลพอให้ตอบคำถามพื้นฐาน และควรกำหนด retention ให้เหมาะกับพื้นที่ เช่น 7-30 วันสำหรับ log สำคัญในบ้าน อาจพอสำหรับหลายกรณี ถ้าอยากลงรายละเอียดเรื่องนี้ อ่านต่อได้ที่ วิธีวาง Log และ Monitoring สำหรับ Homelab แบบเรียบง่ายแต่ใช้งานได้จริง

Checklist ที่ควรทบทวนก่อนเปิด service

ก่อนเอา service ใด ๆ ออกนอกบ้าน ผมแนะนำให้ถามตามนี้:

  1. Service นี้จำเป็นต้องเข้าจากอินเทอร์เน็ตจริงไหม
  2. ถ้าไม่จำเป็น ใช้ VPN, tunnel หรือ access proxy แทนได้ไหม
  3. มี admin UI อยู่ path เดียวกับ public endpoint หรือเปล่า
  4. Backend ยังเข้าถึงตรงผ่าน IP/port ได้ไหม
  5. Service ใช้บัญชีหรือ token ที่สิทธิ์กว้างเกินจำเป็นไหม
  6. Container mount folder จาก NAS เกินกว่าที่ต้องใช้หรือไม่
  7. มี MFA หรือ identity layer สำหรับระบบสำคัญหรือยัง
  8. Backup ถูกแยกจากเครื่องหลัก และลอง restore แล้วหรือยัง
  9. มี log จาก reverse proxy, NAS และ remote access พอให้ตรวจย้อนหลังไหม
  10. ถ้าปิด service นี้ชั่วคราว จะกระทบอะไรบ้าง

ถ้าตอบข้อเหล่านี้ไม่ได้ ยังไม่ควรรีบเปิด service นั้นออกอินเทอร์เน็ต การชะลอหนึ่งวันเพื่อปิดรูพื้นฐานมักคุ้มกว่าการแก้ปัญหาหลังข้อมูลรั่วหรือไฟล์หาย

อ่านต่อที่เกี่ยวข้อง

สรุป

NAS และ reverse proxy เป็นสองส่วนที่ทำให้ homelab ใช้งานได้จริงขึ้นมาก แต่ก็เป็นสองส่วนที่ทำให้ความเสี่ยงเพิ่มขึ้นเร็วถ้าตั้งค่ากว้างเกินไป

หลักคิดที่ผมใช้คืออย่าเปิดทางเข้ามากกว่าที่จำเป็น อย่าให้ NAS เป็นที่รวมทุกสิทธิ์ อย่าเชื่อว่า reverse proxy ปลอดภัยเองถ้า origin ยัง bypass ได้ และอย่าเก็บข้อมูลสำคัญโดยไม่มี backup ที่กู้คืนได้จริง

ความปลอดภัยของ homelab ไม่ได้อยู่ที่มี tool เยอะ แต่อยู่ที่เราเข้าใจเส้นทางเข้าออกของระบบ รู้ว่าข้อมูลสำคัญอยู่ตรงไหน จำกัดสิทธิ์ได้พอดี และมี log พอให้ตอบคำถามเมื่อเกิดเรื่อง

แหล่งอ้างอิง

Cybersecurity · Homelab · Technology — written in Thai & English
LinkedIn · RSS Feed · About · Subscribe