How-To Jak zabezpieczyć serwer przed atakami typu Qlocker a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska

Status
Not open for further replies.

gentillo

Systems Admin...
Q's Expert
Nov 10, 2012
239
1
16
18
46
Nowy Sącz
QNAP
TS-x73
Ethernet
1 GbE
Udało się wszystko fajnie poustawiać. Mam jednak jeszcze jedną wątpliwość. Mam na telefonie ustawiony qbelt i poprzez niego łączę się z serwerem. Ale to nie jest tak, że w tym momencie sam serwer jest w jakiś sposób chroniony przez VPN? Jest ustanowione szyfrowane połączenie pomiędzy qnapem a telefonem. Żeby VPN chronił sam serwer muszę ustawić połącznie VPN jako główną bramę dostępu serwera do internetu. Prawidłowo rozkminiam?
 

gentillo

Systems Admin...
Q's Expert
Nov 10, 2012
239
1
16
18
46
Nowy Sącz
QNAP
TS-x73
Ethernet
1 GbE
Jest sens używać vpn do tego celu? Czy działania opisane w turtorialu są wystarczające.
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
Zle to rozumiesz... to ze cos wpada w firewalla to jeszcze nie oznacza ze ktos cie atakuje. A do puki nie zobaczysz tego co ci pisalem wyzej to jest tylko gdybanie i nic wiecej.

Mozesz miec w swojej sieci zainfekowany inny serwer/komputer ktory sie moze dobijac do Qnapa. Mozliwosci jest wiele. Ale jak juz mowilem, z fusów nie wróże.
No to chyba faktycznie nie za bardzo rozumiem jak firewall działa (w sumie poza QNAPem to nigdy nie miałem styczności z takimi tematami) więc prośba o jakieś proste wyjaśnienie. Bo ja to rozumiem tak, że skoro firewall w QNAPie blokuje dostęp to znaczy, że ktoś z zewnątrz próbuje się do niego dostać. Tylko wydawało mi się to niemożliwe, bo niejako adres IP jest na routerze, a aby dostać się do QNAPa to trzeba jeszcze mieć otwartą drogę czyli jakiś port. W tym przypadku co opisuje to nie mam na routerze żadnego portu otwartego do QNAPa (ani do żadnego innego urządzenia w sieci).
Ale to prośba o sprostowanie, bo chyba źle to rozumiem.

A wracając do moich urządzeń to wygląda to tak:

QNAP A - publiczne IP, brak rejestracji w myqnapcloud, od jakiegoś czasu brak otwartych portów na routerze oraz też od jakiegośczasu brak serwera VPN itd. W QuFirewall miałem standardowe podstawowe reguły + dodana dawno temu reguła, aby dostęp miała sieć z VPN (10.10.1.0/24) - po wyłączeniu serwera VPN nie usunąłem tego wpisu w QuFirewall.
Od kilku dni (w innym temacie na forum pokazywałem wykresy) widać bardzo dużą liczbę odrzuceń przez QuFirewall. A wczoraj wieczorem, tak jak to w poprzednim poście pokazywałem, w ogóle w QuFirewall nie otwierała mi się zakładka Event Counts. Ponieważ restart aplikacji i QNAPa nie pomógł to przeinstalowałem QuFirewall. Włączone podstawowe filtry, ale tym razem nie dodawałem dostępu dla sieci 10.10.1.0/24 (no bo obecnie nie korzystam z VPN na tym QNAPie). I od tej pory liczba odrzuceń wynosi kilka-kilkanaście na godzinę. Co to dokładnie jest to napiszę jak zbiorę logi i przeanalizuję.
1641902357438.png


Ale mam w innej lokalizacji drugiego QNAPa, konfiguracja taka sama jak na tym pierwszym, z tą różnicą, że tam korzystam z VPN więc na routerze mam przekierowany jeden porty do QNAPa. W QuFirewall również dodane reguły dla dostępu dla sieci z VPN (10.10.2.0/24).

I tam również kilka dni temu było widać duży wzrost odrzuceń, ale były pojedyncze dni kiedy ich liczba była niewielka. I tam widać, że liczba blokad gwałtownie spadła w nocy 9/10 stycznia.
1641902397442.png


I tak się zastanawiam czy na tym pierwszym QNAPie to akurat przypadek, że w momencie przeinstalowania QuFirewall ataki ustały (też to robiłem koło północy ale w dniu 10/11 stycznia) czy te blokady do tej pory były z innego powodu, a po restarcie QuFirewalla ich nie ma?

W drugiej lokalizacji również planuję najpierw zebrać logi i zobaczyć co tam siedzi. I tak samo powtórzę to kiedy liczba blokad gwałtownie wzrośnie.

Ale jeśli się okaże, że te blokady nie pochodzą z mojej sieci (która ma pełny dostęp do QNAPa) tylko z zewnątrz to właśnie chciałbym aby mi ktoś wytłumaczył w jaki sposób te QNAPy są widoczne z zewnątrz (skoro tylko na drugim jest otwarty jeden port dla VPN)?
 

Silas Mariusz

SysOp
Administrator
Apr 5, 2008
9,144
7
1,803
153
37
www.devspark.pl
QNAP
TS-x77
Ethernet
1 GbE
Jest sens używać vpn do tego celu? Czy działania opisane w turtorialu są wystarczające.
Ja używam metody z punktu 6 i jest okay.

Bo ja to rozumiem tak, że skoro firewall w QNAPie blokuje dostęp to znaczy, że ktoś z zewnątrz próbuje się do niego dostać. Tylko wydawało mi się to niemożliwe, bo niejako adres IP jest na routerze, a aby dostać się do QNAPa to trzeba jeszcze mieć otwartą drogę czyli jakiś port.
Tak router może być pewnego rodzaju firewall'em - ale bardzo podstawowym.
Zadaniem firewalla jest blokowanie:
- adresu IP jeśli niepoprawnie się loguje kilka razy (Fail2ban)
- jeśli pochodzi z innych regionów świata (GeoIP rejection)
- jeśli jego adres IP jest na którejs z list (PSIRT)
etc etc
To o niczym nie świadczy. Może oznaczać tylko, że Firewall odrzuca dodatkowe zapytania bo nie otworzyłeś innych portów. Pawliko napisał dość precyzyjnie...
Zle to rozumiesz... to ze cos wpada w firewalla to jeszcze nie oznacza ze ktos cie atakuje. A do puki nie zobaczysz tego co ci pisalem wyzej to jest tylko gdybanie i nic wiecej.
To może być nawet broadcast sieciowy, rozgłaszanie serwera czasu, dhcp i etc.
 
  • Like
Reactions: Pawliko

tomek2712

Nowy użytkownik
Noobie
Dec 30, 2021
1
0
1
50
QNAP
TS-x53D
Ethernet
100 Mbps
Witajcie,
mam pytanko z "innej beczki" - jeśli posiadam przekierowanie portów, ale dla torrent'a na dockerze (klient w dockerze z innym adresem IP (bridge) niż Qnap) to jak to się ma do QFirewall i ogólnie bezpieczeństwa Qnap'a?
 

pigers

Zawsze pytaj Silasa - wie lepiej bo ma ESXi
Administrator
Jul 26, 2013
12,803
5
2,043
230
www.buymeacoffee.com
QNAP
null
Ethernet
100 GbE
docker zwykle jest omijany przez firewalla .. pytanie jak to QNAP zrobił ;)
 

gentillo

Systems Admin...
Q's Expert
Nov 10, 2012
239
1
16
18
46
Nowy Sącz
QNAP
TS-x73
Ethernet
1 GbE
A jak do tego całego tematu wpisują się serwisy typu ddns? Niestety mój IPS nie daje stałego adresu. Może to mieć jakiś ujemne skutki czy jest neutralne.
 

pigers

Zawsze pytaj Silasa - wie lepiej bo ma ESXi
Administrator
Jul 26, 2013
12,803
5
2,043
230
www.buymeacoffee.com
QNAP
null
Ethernet
100 GbE
brak związku , wazny jest adres IP , nie DDNS .. i masz na mysli ISP ?
dodam jedno słowo: geolokalizacja.
 

Ice

Qnap reseller / Ubi advisor
Q's Excellence
Jan 16, 2018
1,092
1
326
83
35
QNAP
TVS-x72n
Ethernet
10 GbE
@Pawliko weź nie świruj i kup DMP. Będziesz zadowolony.
 

winiak

Entry Technician
Q Associate
Apr 18, 2020
66
7
8
32
QNAP
TS-x51
Ethernet
10 Mbps
zmieniłem porty i nie mogę dostać się do nas, ani w sieci lokalnej ani poprzez smartlink :/ przy póbie użycia Qfinder dostaje zwrotkę - witryna nie osiągalna, serwer odrzucił połączenie. Jakieś pomysły?
 

Pawliko

TP-Link Architect
smutnazaba.png
Nov 9, 2021
84
2
41
18
30
QNAP
TS-x53A
Ethernet
1 GbE
Skoro zmieniles porty to rozumiem ze podajesz je przy logowaniu sie do panelu?
http://twojeipdoqnapa:numerportu
 

winiak

Entry Technician
Q Associate
Apr 18, 2020
66
7
8
32
QNAP
TS-x51
Ethernet
10 Mbps
Skoro zmieniles porty to rozumiem ze podajesz je przy logowaniu sie do panelu?
http://twojeipdoqnapa:numerportu
tak podaje nowy nr portu i dostaje zwrotkę o odrzuceniu połączenia. Serwer działa bo dostęp do zmapowanych dysków mam. Przez QFindera mogę zalogować się do niektórych ustawień ale już panelu QTS nie mogę wywołać
 
Status
Not open for further replies.