In progress Pytania dot. QuFirewall - Jak zabezpieczyć serwer?

Silas Mariusz

SysOp
Administrator
Apr 5, 2008
9,494
16
1,903
153
37
www.devspark.pl
QNAP
TS-x77
Ethernet
1 GbE
Pytania dot. tematu: Jak to zrobić? - QuFirewall - Jak zabezpieczyć serwer przed atakami a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club

Jak zabezpieczyć serwer?
... i uchronić się przed atakami tj. malware typu Qlocker?
REKOMENDACJE EKSPERTÓW


  • Zainstaluj Malware Remover

  • Zaktualizuj oprogramowanie firmware

  • Włącz automatyczne aktualizacje

  • Wykonaj poniższy zestaw zalecany przez ekspertów QNAP (!)

  1. Wyłącz TELNET

  2. Zainstaluj QVPN i włącz protokół Qbelt

  3. Zmień domyślne porty, tj. SSH, FTP, Rsync, RTRR, panelu do zarządzania serwerem QNAP na wyższe z przedziału 30 000-50 000.

    UsługaOryginalny portPrzykładowy nowy port
    QTS Web808048080 *
    QTS Web SSL44348443 *
    SSH2248022 *
    FTP2140021 *
    Rsync87348873 *
    RTRR889948899 *
    QVPN/Qbelt44348443 *
    * Podane porty są dla przykładu. Użyj generator wysokich portów dla QNAP:
    QNAP Random Port Generator

    Gdzie zmienić domyślne porty?
    View attachment 38998


  4. W serwerze Web używaj standardowych portów: 80 i 443 dla SSL.

  5. Zainstaluj i włącz aplikację QuFirewall. Aktywuj w firewall Basic profile.

  6. Jeśli potrzebujesz zdalnego dostępu do serwera lub masz uruchomione aplikacje tj. jak Plex konieczne jest dodanie dodatkowych reguł.
    • zezwól na dostęp do serwera via QVPN/Qbelt

    • zezwól na zdalny dostęp dla Plex, aby inni użytkownicy mogli łączyć się z Twoim serwerem

    • jeśli korzystasz z Wordpress lub innych serwisów WWW, zezwól na dostęp na portach 80 i 443

    W tym celu edytuj aktywowany profil w aplikacji QuFirewall i dodaj odpowiednio poniższe reguły tak, aby uzyskać poniższy wzorzec.

    Bezpieczeństwo: Wysokie!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia

    Na tym etapie powinieneś zakończyć zabezpieczenia serwera.
    Dziękujemy!

  7. Jeżeli natomiast z jakiegoś powodu, korzystasz z większej ilości usług zdalnych, np. Music Station w Car Audio, udostępniasz albumy via QuMagie i jesteś zmuszony zastosować wyjątek i nie korzystać w tym celu z połączenia via VPN, skorzystaj z poniższego wzorca. Poniższe reguły w połączeniu ze zmianą portów zabezpieczą Twój serwer na ataki z botnetów pochodzących z innych rejonów niż Polska.

    Bezpieczeństwo: Średnio-Niskie

    Notka: Pamiętaj poniższe reguły są mniej zalecane niż wzorzec z punktu 6 z wykorzystaniem VPN!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48080,48443Porty zarządzania QNAP, Qsync, QuMagie... dostęp tylko z Polski
    Wyłącz tą regułę, aby uzyskać:
    Bezpieczeństwo: Średnio-wysokie
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ZezwólAllDowolne-TCP8096Port dla aplikacji Emby/Jellyfin*
    ZezwólAllDowolne-TCP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-UDP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-TCP48873Port Rsync dla HBS3
    ZezwólAllDowolne-TCP48899Port RTRR dla HBS3
    ZezwólAllDowolne-TCP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-UDP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-TCP14023-14024Port dla aplikacji SoulseekCloud
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia


    Dziękujemy
Objaśnienia
Edytowalna reguła:​
❌ – Reguła nieedytowalna​
✔ – Tak, należy dodać samemu​
⭐ – Reguła domyślna w Basic profile​
* Plex:​
W aplikacji Plex należy wyłączyć mapowanie portu i korzystać ze statycznego portu, tj. 32400.​
Często zadawane pytania
Q: Czy jeśli na routerze mam przekierowany tylko port QTS Web SSL, to czy muszę stosować te reguły?​
A: Tak. Filtrowanie według regionu odrzucić potencjalny atak botnetu pochodzący z krajów innych niż Polska.​
Ważna informacja
Powyższe reguły nie oznaczają, że możesz przestać monitorować aktywność na serwerze. Każda instalowana aplikacja w serwerze oraz oprogramowanie pokładowe firmware wymagają regularnych aktualizacji.​
 

Ice

Qnap reseller / Ubi advisor
Q's Reseller
Jan 16, 2018
1,189
1
378
83
36
QNAP
TVS-h1288X
Ethernet
10 GbE
A jak masz linucha to możesz portu poszukać:
nmap -sT ipserwera
 

Ice

Qnap reseller / Ubi advisor
Q's Reseller
Jan 16, 2018
1,189
1
378
83
36
QNAP
TVS-h1288X
Ethernet
10 GbE
Jak robiłeś QuFirewalla to KOLEJNOŚĆ MA ZNACZENIE ;] jak dałeś denny na początek, to uwala wszystko co pasuje i dalej nie sprawdza.
 
  • Like
Reactions: agrest

winiak

Entry Technician
Q Associate
Apr 18, 2020
67
7
8
33
QNAP
TS-x53D
Ethernet
802.11ac
i tutaj najpewniej jest problem, wcześniej jak mnei qufirewall uwalał to mogłem się dostać przez myqnap a teraz nawet tam mnie wywala
 

Ice

Qnap reseller / Ubi advisor
Q's Reseller
Jan 16, 2018
1,189
1
378
83
36
QNAP
TVS-h1288X
Ethernet
10 GbE
3sek reset i walcz od nowa.
 

winiak

Entry Technician
Q Associate
Apr 18, 2020
67
7
8
33
QNAP
TS-x53D
Ethernet
802.11ac
eh, tego się obawiałem, całą konfigurację trzeba będzie robić od nowa :/
 

Ice

Qnap reseller / Ubi advisor
Q's Reseller
Jan 16, 2018
1,189
1
378
83
36
QNAP
TVS-h1288X
Ethernet
10 GbE
za to się czegoś nauczysz :)
 

winiak

Entry Technician
Q Associate
Apr 18, 2020
67
7
8
33
QNAP
TS-x53D
Ethernet
802.11ac
trochę już się nauczyłem :) jeszcze muszę rozkminić dlaczego pihole przestaje działać ale pewno założe nowy topic do pod ten problem. Dostęp do dysków mam a dzisiaj już usypiam na klawiaturze więc pewno dopiero w weekedn wezme się za naprawę własnych błędów
 

lolo

Passing Basics
Beginner
Mar 7, 2017
29
5
3
52
QNAP
TS-x53Be
Ethernet
1 GbE
No cóż, router od dostawcy lub jeszcze lepiej jakiś Huawei czy inny tani, no ale wifi6, chińczyk , bez żadnej reputacji a wręcz z bardzo wątpliwą reputacją i efekty widać.
Nie miałem problemów za pierwszym razem i żadnych nie mam teraz.
Pierwszą i najważniejszą zaporą musi być router, bo robienie hocków klocków na urządzeniach za ruterem to leczenie choroby, a nie jej zapobieganie.
Dobrze skonfigurowany router nie powinien przepuścić żadnego bota.
 
  • Like
Reactions: CrazyMario

gjpwz

Nowy użytkownik
Noobie
Jun 5, 2019
4
2
3
QNAP
TS-x53Be
Ethernet
1 GbE
Ma ktoś pomysł, jak odzyskać dostęp do dysku VJBOD po zmianie portów qnapa zgodnie z zaleceniami? Uparcie VJBOD chce się łączyć po poprzednim porcie (8080).
Gdzie to można zmienić, bez utraty zawartości dysku?
qnap.jpg
 

gjpwz

Nowy użytkownik
Noobie
Jun 5, 2019
4
2
3
QNAP
TS-x53Be
Ethernet
1 GbE
Uff, udało się, choć nie bardzo wiem jak ;)
Wymagało edycji z kota admina z wyłączoną 2 krokową weryfikacją :mad:
 
  • Like
Reactions: Silas Mariusz

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
393
1
55
28
35
Warszawa
QNAP
TS-x73
Ethernet
1 GbE
Dlatego do rulki dodalem wpis na 0.0.0.0

Swoja droga, mozesz mi powiedziec czy to jest zgodne ze sztuka czy nie. :)
@Silas Mariusz
Zgodne, tez sie zastanawialwem czy tego nie dopisac i w razie czego jeszcze
253.253.253.0/24
No i u mnie się nieco wyjaśniło.

Na jednym z QNAPów po analizie PCAP wyszło, że jest to adres 0.0.0.0 DHCP. Dodałem w QuFirewall regułę aby ten adres był Allow.

Natomiast na drugim QNAPie pojawia się adres 253.253.253.253 - może to głupie co napiszę, ale nie wiem co ten adres oznacza:) @Silas Mariusz pisałeś, żeby go może też dodać do QuFirewalla więc pewnie ja też to zrobię. Ale możesz mi wyjaśnić co się kryje pod tym adresem?
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
393
1
55
28
35
Warszawa
QNAP
TS-x73
Ethernet
1 GbE
Na jednym QNAPie gdzie głównie blokowany był adres 0.0.0.0 i od wczoraj kiedy to dodałem regułę w QuFirewall mam już nie setki czy tysiące blokad, a pojedyncze sztuki. Właśnie zbieram PCAP aby zobaczyć co to jest.
Na drugim QNAPie głównie blokowany był adres 253.253.253.253 i dopiero teraz dodałem go do reguł, zobaczy więc jutro czy się blokady wyzerowały czy jeszcze coś tam się dobija (z LAN lub z internetu).
 

lolo

Passing Basics
Beginner
Mar 7, 2017
29
5
3
52
QNAP
TS-x53Be
Ethernet
1 GbE
Tego QuFirewalla to student pierwszego roku informatyki pisał? Dobrze, że 127.0.0.1 nie trzeba do reguł dodawać.
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
393
1
55
28
35
Warszawa
QNAP
TS-x73
Ethernet
1 GbE
Przez ostatnie pół godziny miałem tylko dwa odrzucenia, jeden adres z Argentyny a drugi z Chin. Wygląda więc na to, że teraz jest wszystko OK, nic z sieci lokalnej nie podbija mi sztucznie statystyk, a to co się nalicza to faktyczne adresy z całego świata. No to teraz jak coś masowo zacznie skanować mojego QNAPa to powinienem to wyłapać w logach.:)
 

zito

Entry Technician
Q Associate
May 25, 2010
55
4
8
QNAP
TVS-x71U
Ethernet
1 GbE
Z ciekawości warto przyjrzeć się jak wygląda ruch w otwartym WAN'ie na ruterze brzegowym. Zakresy podlegają nieustannemu skanowaniu, czasami z niską częstotliwością czasami wręcz przeciwnie, a ich źródła - czasami kompletnie egzotyczne a czasami EU/PL - nie mają z tego tytułu znaczenia. W niektórych konfiguracjach sam QNAP dość intensywnie komunikuje się z egzotycznymi lokalizacjami i lepiej tego ruchu mu nie wyciąć.
W LAN'ie raczej nie ma się też co przejmować. 0.0.0.0 to zapewne fragment zapytania HIP/DHCPDISCOVER.
- I to już moja subiektywna ocena, ale generalnie gratuluję odwagi tym co wystawiają sobie QNAP'y na zewnątrz....