Pomoc Pytania dot. QuFirewall - Jak zabezpieczyć serwer?

[Silas Mariusz]

Pytania dot. tematu: Jak to zrobić? - QuFirewall - Jak zabezpieczyć serwer przed atakami a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club

Jak zabezpieczyć serwer?
... i uchronić się przed atakami tj. malware typu Qlocker?
REKOMENDACJE EKSPERTÓW​

• Zainstaluj Malware Remover
  
  
• Zaktualizuj oprogramowanie firmware
  
  
• Włącz automatyczne aktualizacje
  
  
• Wykonaj poniższy zestaw zalecany przez ekspertów QNAP (!)

1. Wyłącz TELNET
   
   
2. Zainstaluj QVPN i włącz protokół Qbelt
   
   
3. Zmień domyślne porty, tj. SSH, FTP, Rsync, RTRR, panelu do zarządzania serwerem QNAP na wyższe z przedziału 30 000-50 000.
   
   

   Usługa	Oryginalny port	Przykładowy nowy port
   QTS Web	8080	48080 *
   QTS Web SSL	443	48443 *
   SSH	22	48022 *
   FTP	21	40021 *
   Rsync	873	48873 *
   RTRR	8899	48899 *
   QVPN/Qbelt	443	48443 *

   * Podane porty są dla przykładu. Użyj generator wysokich portów dla QNAP:
   → QNAP Random Port Generator
   
   Gdzie zmienić domyślne porty?
   Pokaż załącznik 38998
   
   
4. W serwerze Web używaj standardowych portów: 80 i 443 dla SSL.
   
   
5. Zainstaluj i włącz aplikację QuFirewall. Aktywuj w firewall Basic profile.
   
   
6. Jeśli potrzebujesz zdalnego dostępu do serwera lub masz uruchomione aplikacje tj. jak Plex konieczne jest dodanie dodatkowych reguł.
   • zezwól na dostęp do serwera via QVPN/Qbelt
     
     
   • zezwól na zdalny dostęp dla Plex, aby inni użytkownicy mogli łączyć się z Twoim serwerem
     
     
   • jeśli korzystasz z Wordpress lub innych serwisów WWW, zezwól na dostęp na portach 80 i 443
   
   W tym celu edytuj aktywowany profil w aplikacji QuFirewall i dodaj odpowiednio poniższe reguły tak, aby uzyskać poniższy wzorzec.
   
   Bezpieczeństwo: Wysokie!
   
   

   Domyślna reguła	Edytowalna reguła	Uprawnienia dostępu	Interfejs sieciowy	Źródło próbujące uzyskać dostęp	Maska podsieci dla adresacji IP	Protokół sieciowy	Port usługi	Notka referencyjna / Opis usług
   		Zezwól		Aplikacja				Domyślne: Aplikacje tj. Virtualization Station, Container Station
   		Odmów		PSIRT				Domyślne: Product Security Incident Response Team
   		Odmów		Ochrona dostępu adresów IP				Domyślne: Automatycznie zablokowane adresy IP po zbyt wielu nieudanych próbach logowania w określonym czasie
   	✔	Zezwól	All	IP, podsieć IP: 10.6.0.0	255.255.255.0/24	Any	Dowolny	Wszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
   	✔	Zezwól	All	Region: Polska	-	TCP	48021,45536-46559	Port serwera FTP oraz zakres portów trybu pasywnego
   	✔	Zezwól	All	Dowolne	-	UDP	48443	Port dostępu usługi QVPN/Qbelt
   	✔	Zezwól	All	Dowolne	-	TCP	80,443	Porty dla serwera Web
   	✔	Zezwól	All	Dowolne	-	TCP	32400	Port dla aplikacji Plex*
   				...
   	✔	Zezwól	All	192.168.0.0	255.255.255.0/24	Any	Dowolny	Domyślne: Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.: 192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
   				...
   		Odmów	All	Any		Any	Dowolny	Domyślne: Odmów wszystkie pozostałe połączenia

   
   Na tym etapie powinieneś zakończyć zabezpieczenia serwera.
   Dziękujemy!
   
   
7. Jeżeli natomiast z jakiegoś powodu, korzystasz z większej ilości usług zdalnych, np. Music Station w Car Audio, udostępniasz albumy via QuMagie i jesteś zmuszony zastosować wyjątek i nie korzystać w tym celu z połączenia via VPN, skorzystaj z poniższego wzorca. Poniższe reguły w połączeniu ze zmianą portów zabezpieczą Twój serwer na ataki z botnetów pochodzących z innych rejonów niż Polska.
   
   Bezpieczeństwo: Średnio-Niskie
   
   Notka: Pamiętaj poniższe reguły są mniej zalecane niż wzorzec z punktu 6 z wykorzystaniem VPN!
   
   

   Domyślna reguła	Edytowalna reguła	Uprawnienia dostępu	Interfejs sieciowy	Źródło próbujące uzyskać dostęp	Maska podsieci dla adresacji IP	Protokół sieciowy	Port usługi	Notka referencyjna / Opis usług
   		Zezwól		Aplikacja				Domyślne: Aplikacje tj. Virtualization Station, Container Station
   		Odmów		PSIRT				Domyślne: Product Security Incident Response Team
   		Odmów		Ochrona dostępu adresów IP				Domyślne: Automatycznie zablokowane adresy IP po zbyt wielu nieudanych próbach logowania w określonym czasie
   	✔	Zezwól	All	IP, podsieć IP: 10.6.0.0	255.255.255.0/24	Any	Dowolny	Wszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
   	✔	Zezwól	All	Region: Polska	-	TCP	48080,48443	Porty zarządzania QNAP, Qsync, QuMagie... dostęp tylko z Polski Wyłącz tą regułę, aby uzyskać: Bezpieczeństwo: Średnio-wysokie
   	✔	Zezwól	All	Region: Polska	-	TCP	48021,45536-46559	Port serwera FTP oraz zakres portów trybu pasywnego
   	✔	Zezwól	All	Dowolne	-	UDP	48443	Port dostępu usługi QVPN/Qbelt
   	✔	Zezwól	All	Dowolne	-	TCP	80,443	Porty dla serwera Web
   	✔	Zezwól	All	Dowolne	-	TCP	32400	Port dla aplikacji Plex*
   	✔	Zezwól	All	Dowolne	-	TCP	8096	Port dla aplikacji Emby/Jellyfin*
   	✔	Zezwól	All	Dowolne	-	TCP	6881-6889	Porty dla aplikacji Download Station
   	✔	Zezwól	All	Dowolne	-	UDP	6881-6889	Porty dla aplikacji Download Station
   	✔	Zezwól	All	Dowolne	-	TCP	48873	Port Rsync dla HBS3
   	✔	Zezwól	All	Dowolne	-	TCP	48899	Port RTRR dla HBS3
   	✔	Zezwól	All	Dowolne	-	TCP	42000,6881	Porty dla aplikacji Rtorrent-Pro
   	✔	Zezwól	All	Dowolne	-	UDP	42000,6881	Porty dla aplikacji Rtorrent-Pro
   	✔	Zezwól	All	Dowolne	-	TCP	14023-14024	Port dla aplikacji SoulseekCloud
   				...
   	✔	Zezwól	All	192.168.0.0	255.255.255.0/24	Any	Dowolny	Domyślne: Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.: 192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
   				...
   		Odmów	All	Any		Any	Dowolny	Domyślne: Odmów wszystkie pozostałe połączenia

   
   
   Dziękujemy

​

Objaśnienia​

Edytowalna reguła:​

– Reguła nieedytowalna​

✔ – Tak, należy dodać samemu​

– Reguła domyślna w Basic profile​

​

* Plex:​

W aplikacji Plex należy wyłączyć mapowanie portu i korzystać ze statycznego portu, tj. 32400.​

Pokaż załącznik 38977​

​

Często zadawane pytania​

Q: Czy jeśli na routerze mam przekierowany tylko port QTS Web SSL, to czy muszę stosować te reguły?​

A: Tak. Filtrowanie według regionu odrzucić potencjalny atak botnetu pochodzący z krajów innych niż Polska.​

​

Ważna informacja​

Powyższe reguły nie oznaczają, że możesz przestać monitorować aktywność na serwerze. Każda instalowana aplikacja w serwerze oraz oprogramowanie pokładowe firmware wymagają regularnych aktualizacji.​

 

[gentillo]

Wziąłem się w końcu za włączenie qfirewall. I jest problem. Wszystko mam ustawione jak w instrukcji powyżej i nie działa qbelt. Tzn. wg statusu łączy się ale nie mam dostępu do serwera po jego adresie w mojej sieci. Dodatkowo próba wyłączenia qfirewall kończy się monitem o podanie hasła. Problem w tym, że nie chodzi o hasło do danego profilu bo takie hasło odrzuca jako nieprawidłowe. WTF??

 

[Ice]

zobacz czy na QVPN masz domyślną bramę jako Twoją sieć.

 

[gentillo]

Nie ustawiałem w ogóle profilu połączeń vpn. Pewnie to trzeba zrobić. Ale co z tym hasłem do qufirewall??

 

[Ice]

We don't know. It's a bug.

Połączono posty: 10 Styczeń 2022

Jak usuniesz, to nie poprosi o hasło ;]

 

[Damian]

Ktoś już próbował z tym hasłem. I mu poszło wyłączenie firewalla po włączeniu konta admin i podaniu jego hasła przy wyłączeniu firewalla.

 

[kasownik]

Jak na routerze mam tylko port QTS Web SSL i Plex przekierowany na QNAP to musze te reguły dodawać, potrzebny mi w ogóle QuFirewall?

 

[Silas Mariusz]

Jak na routerze mam tylko port QTS Web SSL i Plex przekierowany na QNAP to musze te reguły dodawać, potrzebny mi w ogóle QuFirewall?

Jeśli masz QTS Web to musisz aby odseparować resztę świata od połączeń z PL.

Połączono posty: 10 Styczeń 2022

Hmmm. Brakuje reguły ze po VPN dowolny port. Zmień regule SSH Qbelt na wszystkie protokoły.

 

[gentillo]

Wyrezałem qufirewalla bo inaczej się nie dało. Cały czas byłem na adminie. Czy te defaultowe ustawienia zostawiamy tak jak są i dodajemy te z poradnika? Czy wystarczą tylko te z poradnika?

 

[Ice]

Solution for NAS Disconnection Caused by Malware Remover Update

 

[Silas Mariusz]

Wyrezałem qufirewalla bo inaczej się nie dało. Cały czas byłem na adminie. Czy te defaultowe ustawienia zostawiamy tak jak są i dodajemy te z poradnika? Czy wystarczą tylko te z poradnika?

Skorzystaj z aktualnego poradnika. Wszystko będzie cacy.

 

[DoktorPC]

A Qfile z iPhona na jakim porcie działa ?

 

[Silas Mariusz]

QTS Web i QTS Web SSL
8080 i 443

 

[Pawliko]

Ja u siebie Qufierwalla mam ustawioneo tak:

Nie mam zadnych portow przekierowanych do Qnapa, ale jezeli byl bym do tego zmuszony, to na qnapie stawiam server VPN, i robie rulke do firewalla ktora odblokuje konkretny port na ktorym stoi VPN.

 

[maks87]

A jak do tych proponowanych zabezpieczeń ma się oficjalne stanowisko QNAPa aby wyłączyć konto admina? Korzystać z niego nadal czy jednak wyłączać?

Przy okazji takie pytanie: jak to jest, że QNAP nie jest zarejestrowany w myqnapcloud, obecnie nie ma uruchomionego żadnego serwera VPN, na routerze nie jest przekierowany żaden port, UPnP wyłączone a i tak w QuFirewall tysiące prób logowania.
W jaki więc sposób te boty trafiają do mojego QNAPa?

 

[Pawliko]

A jak do tych proponowanych zabezpieczeń ma się oficjalne stanowisko QNAPa aby wyłączyć konto admina? Korzystać z niego nadal czy jednak wyłączać?

Skoro tak zalecaja to cos musi byc na rzeczy. Ja osobiscie dzialam na koncie admina, haslo mam z generatora. Jak dadza rade to obejsc, to wydaje mi sie ze nic nie pomoze

Przy okazji takie pytanie: jak to jest, że QNAP nie jest zarejestrowany w myqnapcloud, obecnie nie ma uruchomionego żadnego serwera VPN, na routerze nie jest przekierowany żaden port, UPnP wyłączone a i tak w QuFirewall tysiące prób logowania.
W jaki więc sposób te boty trafiają do mojego QNAPa?

Skoro masz wlaczone qufirewalla to zbierz logi do pliku i zobacz co to sa za polaczenia... Przeciez z fusów ci nikt nie powie co i kto sie laczy do ciebie...

Wejdz tutaj, kliknij start, poczekaj, sciagnij logi, otworz w wiresharku i zobacz.

 

[maks87]

Ok, sprawdzę, ale to w sumie dostanę tylko adresy IP które mnie atakują. Ale co mi to da? Przecież przy takich ustawieniach jak mam (czyli brak usług na zewnątrz, nawet brak VPN, nie ma przekierowanych portów itd) to QNAP w ogóle nie powinien być widziany z zewnątrz.
VM z Home Assistant albo kontroler UniFi w dockerze mogą stanowić jakąś lukę?

A tak w ogóle to właśnie mi QuFirewall oszalał, bo po przejściu do Event Counts wyświetla puste okienko:

Pozostałe trzy zakładki się normalnie otwierają. Restart aplikacji oraz QNAPa nic nie przyniósł. Przeinstalowałem więc QuFirewall i znowu wszystko jest OK.

 

[Pawliko]

Ok, sprawdzę, ale to w sumie dostanę tylko adresy IP które mnie atakują.

Zle to rozumiesz... to ze cos wpada w firewalla to jeszcze nie oznacza ze ktos cie atakuje. A do puki nie zobaczysz tego co ci pisalem wyzej to jest tylko gdybanie i nic wiecej.

Przecież przy takich ustawieniach jak mam (czyli brak usług na zewnątrz, nawet brak VPN, nie ma przekierowanych portów itd) to QNAP w ogóle nie powinien być widziany z zewnątrz.
VM z Home Assistant albo kontroler UniFi w dockerze mogą stanowić jakąś lukę?

Mozesz miec w swojej sieci zainfekowany inny serwer/komputer ktory sie moze dobijac do Qnapa. Mozliwosci jest wiele. Ale jak juz mowilem, z fusów nie wróże.

 

[gentillo]

Udało się wszystko fajnie poustawiać. Mam jednak jeszcze jedną wątpliwość. Mam na telefonie ustawiony qbelt i poprzez niego łączę się z serwerem. Ale to nie jest tak, że w tym momencie sam serwer jest w jakiś sposób chroniony przez VPN? Jest ustanowione szyfrowane połączenie pomiędzy qnapem a telefonem. Żeby VPN chronił sam serwer muszę ustawić połącznie VPN jako główną bramę dostępu serwera do internetu. Prawidłowo rozkminiam?

 

[Silas Mariusz]

Tak