How-To Jak zabezpieczyć serwer przed atakami typu Qlocker a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska

Status
Not open for further replies.

Silas Mariusz

SysOp
Administrator
Apr 5, 2008
9,144
7
1,803
153
37
www.devspark.pl
QNAP
TS-x77
Ethernet
1 GbE
Jak zabezpieczyć serwer?
... i uchronić się przed atakami tj. malware typu Qlocker?
REKOMENDACJE EKSPERTÓW


  • Zainstaluj Malware Remover

  • Zaktualizuj oprogramowanie firmware

  • Włącz automatyczne aktualizacje

  • Wykonaj poniższy zestaw zalecany przez ekspertów QNAP (!)

  1. Wyłącz TELNET

  2. Zainstaluj QVPN i włącz protokół Qbelt

  3. Zmień domyślne porty, tj. FAQ SSH, FTP, Rsync, RTRR, panelu do zarządzania serwerem QNAP na wyższe z przedziału 30 000-50 000.

    UsługaOryginalny portPrzykładowy nowy port
    QTS Web808048080 *
    QTS Web SSL44348443 *
    FAQ SSH2248022 *
    FTP2140021 *
    Rsync87348873 *
    RTRR889948899 *
    QVPN/Qbelt44348443 *
    * Podane porty są dla przykładu. Użyj generator wysokich portów dla QNAP:
    QNAP Random Port Generator

    Gdzie zmienić domyślne porty?
    1641924267511.png


  4. W serwerze Web używaj standardowych portów: 80 i 443 dla SSL.

  5. Zainstaluj i włącz aplikację QuFirewall. Aktywuj w firewall Basic profile.

  6. Jeśli potrzebujesz zdalnego dostępu do serwera lub masz uruchomione aplikacje tj. jak Plex konieczne jest dodanie dodatkowych reguł.
    • zezwól na dostęp do serwera via QVPN/Qbelt

    • zezwól na zdalny dostęp dla Plex, aby inni użytkownicy mogli łączyć się z Twoim serwerem

    • jeśli korzystasz z Wordpress lub innych serwisów WWW, zezwól na dostęp na portach 80 i 443

    W tym celu edytuj aktywowany profil w aplikacji QuFirewall i dodaj odpowiednio poniższe reguły tak, aby uzyskać poniższy wzorzec.

    Bezpieczeństwo: Wysokie!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia

    Na tym etapie powinieneś zakończyć zabezpieczenia serwera.
    Dziękujemy!

  7. Jeżeli natomiast z jakiegoś powodu, korzystasz z większej ilości usług zdalnych, np. Music Station w Car Audio, udostępniasz albumy via QuMagie i jesteś zmuszony zastosować wyjątek i nie korzystać w tym celu z połączenia via VPN, skorzystaj z poniższego wzorca. Poniższe reguły zabezpieczą Twój serwer w 95% przypadków.

    Bezpieczeństwo: Średnie

    Notka: Pamiętaj poniższe reguły są mniej zalecane niż wzorzec z punktu 6 z wykorzystaniem VPN!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48080,48443Porty zarządzania QNAP, Qsync, QuMagie... dostęp tylko z Polski
    Wyłącz tą regułę, aby uzyskać:
    Bezpieczeństwo: Średnio-wysokie
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ZezwólAllDowolne-TCP8096Port dla aplikacji Emby/Jellyfin*
    ZezwólAllDowolne-TCP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-UDP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-TCP48873Port Rsync dla HBS3
    ZezwólAllDowolne-TCP48899Port RTRR dla HBS3
    ZezwólAllDowolne-TCP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-UDP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-TCP14023-14024Port dla aplikacji SoulseekCloud
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia


    Dziękujemy
Objaśnienia
Edytowalna reguła:​
❌ – Reguła nieedytowalna​
✔ – Tak, należy dodać samemu​
⭐ – Reguła domyślna w Basic profile​
* Plex:​
W aplikacji Plex należy wyłączyć mapowanie portu i korzystać ze statycznego portu, tj. 32400.​
plex_static_port.png
Często zadawane pytania
Q: Czy jeśli na routerze mam przekierowany tylko port QTS Web SSL, to czy muszę stosować te reguły?​
A: Tak. Filtrowanie według regionu odrzucić potencjalny atak botnetu pochodzący z krajów innych niż Polska.

Ważna informacja
Powyższe reguły nie oznaczają, że możesz przestać monitorować aktywność na serwerze. Każda instalowana aplikacja w serwerze oraz oprogramowanie pokładowe firmware wymagają regularnych aktualizacji.​
 

gentillo

Systems Admin...
Q's Expert
Nov 10, 2012
239
1
16
18
46
Nowy Sącz
QNAP
TS-x73
Ethernet
1 GbE
Wziąłem się w końcu za włączenie qfirewall. I jest problem. Wszystko mam ustawione jak w instrukcji powyżej i nie działa qbelt. Tzn. wg statusu łączy się ale nie mam dostępu do serwera po jego adresie w mojej sieci. Dodatkowo próba wyłączenia qfirewall kończy się monitem o podanie hasła. Problem w tym, że nie chodzi o hasło do danego profilu bo takie hasło odrzuca jako nieprawidłowe. WTF??
 

Ice

Qnap reseller / Ubi advisor
Q's Excellence
Jan 16, 2018
1,092
1
326
83
35
QNAP
TVS-x72n
Ethernet
10 GbE
zobacz czy na QVPN masz domyślną bramę jako Twoją sieć.
 

gentillo

Systems Admin...
Q's Expert
Nov 10, 2012
239
1
16
18
46
Nowy Sącz
QNAP
TS-x73
Ethernet
1 GbE
Nie ustawiałem w ogóle profilu połączeń vpn. Pewnie to trzeba zrobić. Ale co z tym hasłem do qufirewall??
 

Ice

Qnap reseller / Ubi advisor
Q's Excellence
Jan 16, 2018
1,092
1
326
83
35
QNAP
TVS-x72n
Ethernet
10 GbE
We don't know. It's a bug.
Post automatically merged:

Jak usuniesz, to nie poprosi o hasło ;]
 

Damian

Network Architect
Q's Professional
Jan 22, 2016
405
67
28
QNAP
TVS-x71
Ethernet
802.11ad
Ktoś już próbował z tym hasłem. I mu poszło wyłączenie firewalla po włączeniu konta admin i podaniu jego hasła przy wyłączeniu firewalla.
 

kasownik

Entry Technician
Q Associate
Mar 4, 2014
37
1
8
46
Szczecin
QNAP
TVS-x71
Ethernet
10 Mbps
Jak na routerze mam tylko port QTS Web SSL i Plex przekierowany na QNAP to musze te reguły dodawać, potrzebny mi w ogóle QuFirewall?
 

Silas Mariusz

SysOp
Administrator
Apr 5, 2008
9,144
7
1,803
153
37
www.devspark.pl
QNAP
TS-x77
Ethernet
1 GbE
Jak na routerze mam tylko port QTS Web SSL i Plex przekierowany na QNAP to musze te reguły dodawać, potrzebny mi w ogóle QuFirewall?
Jeśli masz QTS Web to musisz aby odseparować resztę świata od połączeń z PL.
Post automatically merged:

Hmmm. Brakuje reguły ze po VPN dowolny port. Zmień regule FAQ SSH Qbelt na wszystkie protokoły.
 

gentillo

Systems Admin...
Q's Expert
Nov 10, 2012
239
1
16
18
46
Nowy Sącz
QNAP
TS-x73
Ethernet
1 GbE
Wyrezałem qufirewalla bo inaczej się nie dało. Cały czas byłem na adminie. Czy te defaultowe ustawienia zostawiamy tak jak są i dodajemy te z poradnika? Czy wystarczą tylko te z poradnika?
 

Attachments

  • 2022-01-10 (1).png
    2022-01-10 (1).png
    955.9 KB · Views: 102

Silas Mariusz

SysOp
Administrator
Apr 5, 2008
9,144
7
1,803
153
37
www.devspark.pl
QNAP
TS-x77
Ethernet
1 GbE
Wyrezałem qufirewalla bo inaczej się nie dało. Cały czas byłem na adminie. Czy te defaultowe ustawienia zostawiamy tak jak są i dodajemy te z poradnika? Czy wystarczą tylko te z poradnika?
Skorzystaj z aktualnego poradnika. Wszystko będzie cacy.
 

DoktorPC

Passing Basics
Beginner
Oct 5, 2021
1
1
3
46
QNAP
TVS-x82
Ethernet
1 GbE
A Qfile z iPhona na jakim porcie działa ?
 

Pawliko

TP-Link Architect
smutnazaba.png
Nov 9, 2021
84
2
41
18
30
QNAP
TS-x53A
Ethernet
1 GbE
Ja u siebie Qufierwalla mam ustawioneo tak:
w8U9UEI.png


Nie mam zadnych portow przekierowanych do Qnapa, ale jezeli byl bym do tego zmuszony, to na qnapie stawiam server VPN, i robie rulke do firewalla ktora odblokuje konkretny port na ktorym stoi VPN.
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
A jak do tych proponowanych zabezpieczeń ma się oficjalne stanowisko QNAPa aby wyłączyć konto admina? Korzystać z niego nadal czy jednak wyłączać?

Przy okazji takie pytanie: jak to jest, że QNAP nie jest zarejestrowany w myqnapcloud, obecnie nie ma uruchomionego żadnego serwera VPN, na routerze nie jest przekierowany żaden port, UPnP wyłączone a i tak w QuFirewall tysiące prób logowania.
W jaki więc sposób te boty trafiają do mojego QNAPa?
 

Pawliko

TP-Link Architect
smutnazaba.png
Nov 9, 2021
84
2
41
18
30
QNAP
TS-x53A
Ethernet
1 GbE
A jak do tych proponowanych zabezpieczeń ma się oficjalne stanowisko QNAPa aby wyłączyć konto admina? Korzystać z niego nadal czy jednak wyłączać?
Skoro tak zalecaja to cos musi byc na rzeczy. Ja osobiscie dzialam na koncie admina, haslo mam z generatora. Jak dadza rade to obejsc, to wydaje mi sie ze nic nie pomoze :p

Przy okazji takie pytanie: jak to jest, że QNAP nie jest zarejestrowany w myqnapcloud, obecnie nie ma uruchomionego żadnego serwera VPN, na routerze nie jest przekierowany żaden port, UPnP wyłączone a i tak w QuFirewall tysiące prób logowania.
W jaki więc sposób te boty trafiają do mojego QNAPa?
Skoro masz wlaczone qufirewalla to zbierz logi do pliku i zobacz co to sa za polaczenia... Przeciez z fusów ci nikt nie powie co i kto sie laczy do ciebie...
fArc9AJ.png

Wejdz tutaj, kliknij start, poczekaj, sciagnij logi, otworz w wiresharku i zobacz.
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
Ok, sprawdzę, ale to w sumie dostanę tylko adresy IP które mnie atakują. Ale co mi to da? Przecież przy takich ustawieniach jak mam (czyli brak usług na zewnątrz, nawet brak VPN, nie ma przekierowanych portów itd) to QNAP w ogóle nie powinien być widziany z zewnątrz.
VM z Home Assistant albo kontroler UniFi w dockerze mogą stanowić jakąś lukę?

A tak w ogóle to właśnie mi QuFirewall oszalał, bo po przejściu do Event Counts wyświetla puste okienko:
1641850819232.jpeg


Pozostałe trzy zakładki się normalnie otwierają. Restart aplikacji oraz QNAPa nic nie przyniósł. Przeinstalowałem więc QuFirewall i znowu wszystko jest OK.
 

Pawliko

TP-Link Architect
smutnazaba.png
Nov 9, 2021
84
2
41
18
30
QNAP
TS-x53A
Ethernet
1 GbE
Ok, sprawdzę, ale to w sumie dostanę tylko adresy IP które mnie atakują.
Zle to rozumiesz... to ze cos wpada w firewalla to jeszcze nie oznacza ze ktos cie atakuje. A do puki nie zobaczysz tego co ci pisalem wyzej to jest tylko gdybanie i nic wiecej.
Przecież przy takich ustawieniach jak mam (czyli brak usług na zewnątrz, nawet brak VPN, nie ma przekierowanych portów itd) to QNAP w ogóle nie powinien być widziany z zewnątrz.
VM z Home Assistant albo kontroler UniFi w dockerze mogą stanowić jakąś lukę?
Mozesz miec w swojej sieci zainfekowany inny serwer/komputer ktory sie moze dobijac do Qnapa. Mozliwosci jest wiele. Ale jak juz mowilem, z fusów nie wróże.
 
Status
Not open for further replies.