In progress Pytania dot. QuFirewall - Jak zabezpieczyć serwer?

Silas Mariusz

SysOp
Administrator
Apr 5, 2008
9,398
1,870
153
www.devspark.pl
QNAP
TS-x77
Ethernet
1 GbE
Pytania dot. tematu: Jak to zrobić? - QuFirewall - Jak zabezpieczyć serwer przed atakami a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club

Jak zabezpieczyć serwer?
... i uchronić się przed atakami tj. malware typu Qlocker?
REKOMENDACJE EKSPERTÓW


  • Zainstaluj Malware Remover

  • Zaktualizuj oprogramowanie firmware

  • Włącz automatyczne aktualizacje

  • Wykonaj poniższy zestaw zalecany przez ekspertów QNAP (!)

  1. Wyłącz TELNET

  2. Zainstaluj QVPN i włącz protokół Qbelt

  3. Zmień domyślne porty, tj. SSH, FTP, Rsync, RTRR, panelu do zarządzania serwerem QNAP na wyższe z przedziału 30 000-50 000.

    UsługaOryginalny portPrzykładowy nowy port
    QTS Web808048080 *
    QTS Web SSL44348443 *
    SSH2248022 *
    FTP2140021 *
    Rsync87348873 *
    RTRR889948899 *
    QVPN/Qbelt44348443 *
    * Podane porty są dla przykładu. Użyj generator wysokich portów dla QNAP:
    QNAP Random Port Generator

    Gdzie zmienić domyślne porty?
    View attachment 38998


  4. W serwerze Web używaj standardowych portów: 80 i 443 dla SSL.

  5. Zainstaluj i włącz aplikację QuFirewall. Aktywuj w firewall Basic profile.

  6. Jeśli potrzebujesz zdalnego dostępu do serwera lub masz uruchomione aplikacje tj. jak Plex konieczne jest dodanie dodatkowych reguł.
    • zezwól na dostęp do serwera via QVPN/Qbelt

    • zezwól na zdalny dostęp dla Plex, aby inni użytkownicy mogli łączyć się z Twoim serwerem

    • jeśli korzystasz z Wordpress lub innych serwisów WWW, zezwól na dostęp na portach 80 i 443

    W tym celu edytuj aktywowany profil w aplikacji QuFirewall i dodaj odpowiednio poniższe reguły tak, aby uzyskać poniższy wzorzec.

    Bezpieczeństwo: Wysokie!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia

    Na tym etapie powinieneś zakończyć zabezpieczenia serwera.
    Dziękujemy!

  7. Jeżeli natomiast z jakiegoś powodu, korzystasz z większej ilości usług zdalnych, np. Music Station w Car Audio, udostępniasz albumy via QuMagie i jesteś zmuszony zastosować wyjątek i nie korzystać w tym celu z połączenia via VPN, skorzystaj z poniższego wzorca. Poniższe reguły w połączeniu ze zmianą portów zabezpieczą Twój serwer na ataki z botnetów pochodzących z innych rejonów niż Polska.

    Bezpieczeństwo: Średnio-Niskie

    Notka: Pamiętaj poniższe reguły są mniej zalecane niż wzorzec z punktu 6 z wykorzystaniem VPN!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48080,48443Porty zarządzania QNAP, Qsync, QuMagie... dostęp tylko z Polski
    Wyłącz tą regułę, aby uzyskać:
    Bezpieczeństwo: Średnio-wysokie
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ZezwólAllDowolne-TCP8096Port dla aplikacji Emby/Jellyfin*
    ZezwólAllDowolne-TCP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-UDP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-TCP48873Port Rsync dla HBS3
    ZezwólAllDowolne-TCP48899Port RTRR dla HBS3
    ZezwólAllDowolne-TCP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-UDP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-TCP14023-14024Port dla aplikacji SoulseekCloud
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia


    Dziękujemy
Objaśnienia
Edytowalna reguła:​
❌ – Reguła nieedytowalna​
✔ – Tak, należy dodać samemu​
⭐ – Reguła domyślna w Basic profile​
* Plex:​
W aplikacji Plex należy wyłączyć mapowanie portu i korzystać ze statycznego portu, tj. 32400.​
Często zadawane pytania
Q: Czy jeśli na routerze mam przekierowany tylko port QTS Web SSL, to czy muszę stosować te reguły?​
A: Tak. Filtrowanie według regionu odrzucić potencjalny atak botnetu pochodzący z krajów innych niż Polska.​
Ważna informacja
Powyższe reguły nie oznaczają, że możesz przestać monitorować aktywność na serwerze. Każda instalowana aplikacja w serwerze oraz oprogramowanie pokładowe firmware wymagają regularnych aktualizacji.​
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
391
54
28
Warszawa
QNAP
TS-x73
Ethernet
1 GbE
Zle to rozumiesz... to ze cos wpada w firewalla to jeszcze nie oznacza ze ktos cie atakuje. A do puki nie zobaczysz tego co ci pisalem wyzej to jest tylko gdybanie i nic wiecej.

Mozesz miec w swojej sieci zainfekowany inny serwer/komputer ktory sie moze dobijac do Qnapa. Mozliwosci jest wiele. Ale jak juz mowilem, z fusów nie wróże.
No to chyba faktycznie nie za bardzo rozumiem jak firewall działa (w sumie poza QNAPem to nigdy nie miałem styczności z takimi tematami) więc prośba o jakieś proste wyjaśnienie. Bo ja to rozumiem tak, że skoro firewall w QNAPie blokuje dostęp to znaczy, że ktoś z zewnątrz próbuje się do niego dostać. Tylko wydawało mi się to niemożliwe, bo niejako adres IP jest na routerze, a aby dostać się do QNAPa to trzeba jeszcze mieć otwartą drogę czyli jakiś port. W tym przypadku co opisuje to nie mam na routerze żadnego portu otwartego do QNAPa (ani do żadnego innego urządzenia w sieci).
Ale to prośba o sprostowanie, bo chyba źle to rozumiem.

A wracając do moich urządzeń to wygląda to tak:

QNAP A - publiczne IP, brak rejestracji w myqnapcloud, od jakiegoś czasu brak otwartych portów na routerze oraz też od jakiegośczasu brak serwera VPN itd. W QuFirewall miałem standardowe podstawowe reguły + dodana dawno temu reguła, aby dostęp miała sieć z VPN (10.10.1.0/24) - po wyłączeniu serwera VPN nie usunąłem tego wpisu w QuFirewall.
Od kilku dni (w innym temacie na forum pokazywałem wykresy) widać bardzo dużą liczbę odrzuceń przez QuFirewall. A wczoraj wieczorem, tak jak to w poprzednim poście pokazywałem, w ogóle w QuFirewall nie otwierała mi się zakładka Event Counts. Ponieważ restart aplikacji i QNAPa nie pomógł to przeinstalowałem QuFirewall. Włączone podstawowe filtry, ale tym razem nie dodawałem dostępu dla sieci 10.10.1.0/24 (no bo obecnie nie korzystam z VPN na tym QNAPie). I od tej pory liczba odrzuceń wynosi kilka-kilkanaście na godzinę. Co to dokładnie jest to napiszę jak zbiorę logi i przeanalizuję.
1641902357438.png


Ale mam w innej lokalizacji drugiego QNAPa, konfiguracja taka sama jak na tym pierwszym, z tą różnicą, że tam korzystam z VPN więc na routerze mam przekierowany jeden porty do QNAPa. W QuFirewall również dodane reguły dla dostępu dla sieci z VPN (10.10.2.0/24).

I tam również kilka dni temu było widać duży wzrost odrzuceń, ale były pojedyncze dni kiedy ich liczba była niewielka. I tam widać, że liczba blokad gwałtownie spadła w nocy 9/10 stycznia.
1641902397442.png


I tak się zastanawiam czy na tym pierwszym QNAPie to akurat przypadek, że w momencie przeinstalowania QuFirewall ataki ustały (też to robiłem koło północy ale w dniu 10/11 stycznia) czy te blokady do tej pory były z innego powodu, a po restarcie QuFirewalla ich nie ma?

W drugiej lokalizacji również planuję najpierw zebrać logi i zobaczyć co tam siedzi. I tak samo powtórzę to kiedy liczba blokad gwałtownie wzrośnie.

Ale jeśli się okaże, że te blokady nie pochodzą z mojej sieci (która ma pełny dostęp do QNAPa) tylko z zewnątrz to właśnie chciałbym aby mi ktoś wytłumaczył w jaki sposób te QNAPy są widoczne z zewnątrz (skoro tylko na drugim jest otwarty jeden port dla VPN)?
 

Silas Mariusz

SysOp
Administrator
Apr 5, 2008
9,398
1,870
153
www.devspark.pl
QNAP
TS-x77
Ethernet
1 GbE
Jest sens używać vpn do tego celu? Czy działania opisane w turtorialu są wystarczające.
Ja używam metody z punktu 6 i jest okay.

Bo ja to rozumiem tak, że skoro firewall w QNAPie blokuje dostęp to znaczy, że ktoś z zewnątrz próbuje się do niego dostać. Tylko wydawało mi się to niemożliwe, bo niejako adres IP jest na routerze, a aby dostać się do QNAPa to trzeba jeszcze mieć otwartą drogę czyli jakiś port.
Tak router może być pewnego rodzaju firewall'em - ale bardzo podstawowym.
Zadaniem firewalla jest blokowanie:
- adresu IP jeśli niepoprawnie się loguje kilka razy (Fail2ban)
- jeśli pochodzi z innych regionów świata (GeoIP rejection)
- jeśli jego adres IP jest na którejs z list (PSIRT)
etc etc
To o niczym nie świadczy. Może oznaczać tylko, że Firewall odrzuca dodatkowe zapytania bo nie otworzyłeś innych portów. Pawliko napisał dość precyzyjnie...
Zle to rozumiesz... to ze cos wpada w firewalla to jeszcze nie oznacza ze ktos cie atakuje. A do puki nie zobaczysz tego co ci pisalem wyzej to jest tylko gdybanie i nic wiecej.
To może być nawet broadcast sieciowy, rozgłaszanie serwera czasu, dhcp i etc.
 
  • Like
Reactions: Pawliko

tomek2712

Nowy użytkownik
Noobie
Dec 30, 2021
1
0
1
QNAP
TS-x53D
Ethernet
100 Mbps
Witajcie,
mam pytanko z "innej beczki" - jeśli posiadam przekierowanie portów, ale dla torrent'a na dockerze (klient w dockerze z innym adresem IP (bridge) niż Qnap) to jak to się ma do QFirewall i ogólnie bezpieczeństwa Qnap'a?
 

pigers

Long live Pr0xM0x
Administrator
Jul 26, 2013
13,282
2,200
230
www.buymeacoffee.com
QNAP
QuTScloud
Ethernet
100 GbE
  • ·
  • QuTScloud
  • ·
  • 100 GbE
  • ·
  • Ten którego QNAP jeszcze nie ma ! Najnowszy na Debianie !
docker zwykle jest omijany przez firewalla .. pytanie jak to QNAP zrobił ;)
 

gentillo

Systems Admin...
Q's Expert
Nov 10, 2012
254
18
18
Nowy Sącz
QNAP
TS-x73
Ethernet
1 GbE
A jak do tego całego tematu wpisują się serwisy typu ddns? Niestety mój IPS nie daje stałego adresu. Może to mieć jakiś ujemne skutki czy jest neutralne.
 

pigers

Long live Pr0xM0x
Administrator
Jul 26, 2013
13,282
2,200
230
www.buymeacoffee.com
QNAP
QuTScloud
Ethernet
100 GbE
  • ·
  • QuTScloud
  • ·
  • 100 GbE
  • ·
  • Ten którego QNAP jeszcze nie ma ! Najnowszy na Debianie !
brak związku , wazny jest adres IP , nie DDNS .. i masz na mysli ISP ?
dodam jedno słowo: geolokalizacja.
 

winiak

Entry Technician
Q Associate
Apr 18, 2020
67
7
8
QNAP
TS-x53D
Ethernet
802.11ac
zmieniłem porty i nie mogę dostać się do nas, ani w sieci lokalnej ani poprzez smartlink :/ przy póbie użycia qfinder dostaje zwrotkę - witryna nie osiągalna, serwer odrzucił połączenie. Jakieś pomysły?
 

Pawliko

TP-Link Architect
Noobie
Nov 9, 2021
105
60
28
QNAP
TS-x53A
Ethernet
1 GbE
Skoro zmieniles porty to rozumiem ze podajesz je przy logowaniu sie do panelu?
http://twojeipdoqnapa:numerportu
 

Kamil84

System Engineer
Q Specialist
Nov 28, 2012
169
34
28
Warszawa
QNAP
TS-x53D
Ethernet
1 GbE
zmieniłem porty i nie mogę dostać się do nas, ani w sieci lokalnej ani poprzez smartlink :/ przy póbie użycia qfinder dostaje zwrotkę - witryna nie osiągalna, serwer odrzucił połączenie. Jakieś pomysły?
reset 3 sekundy z tyłu obudowy
 
  • Like
Reactions: Silas Mariusz

winiak

Entry Technician
Q Associate
Apr 18, 2020
67
7
8
QNAP
TS-x53D
Ethernet
802.11ac
Skoro zmieniles porty to rozumiem ze podajesz je przy logowaniu sie do panelu?
http://twojeipdoqnapa:numerportu
tak podaje nowy nr portu i dostaje zwrotkę o odrzuceniu połączenia. Serwer działa bo dostęp do zmapowanych dysków mam. Przez QFindera mogę zalogować się do niektórych ustawień ale już panelu QTS nie mogę wywołać
 

Pawliko

TP-Link Architect
Noobie
Nov 9, 2021
105
60
28
QNAP
TS-x53A
Ethernet
1 GbE
tak podaje nowy nr portu i dostaje zwrotkę o odrzuceniu połączenia. Serwer działa bo dostęp do zmapowanych dysków mam. Przez QFindera mogę zalogować się do niektórych ustawień ale już panelu QTS nie mogę wywołać
Bazujac na screenie z 1 postu Silasa, do panelu qnapa logujesz sie tak:

http://192.168.1.25:48080
https://192.168.1.25:48043

za 192.168.1.25 podstaw swoj adres IP