Pomoc Pytania dot. QuFirewall - Jak zabezpieczyć serwer?

Silas Mariusz

rm -rf /
Help us, GOD!
5 Kwiecień 2008
10 349
34
2 781
153
40
Nowy Sącz
forum.qnap.net.pl
QNAP
TS-x77
Ethernet
1 GbE
Pytania dot. tematu: Jak to zrobić? - QuFirewall - Jak zabezpieczyć serwer przed atakami a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club

Jak zabezpieczyć serwer?
... i uchronić się przed atakami tj. malware typu Qlocker?
REKOMENDACJE EKSPERTÓW


  • Zainstaluj Malware Remover

  • Zaktualizuj oprogramowanie firmware

  • Włącz automatyczne aktualizacje

  • Wykonaj poniższy zestaw zalecany przez ekspertów QNAP (!)

  1. Wyłącz TELNET

  2. Zainstaluj QVPN i włącz protokół Qbelt

  3. Zmień domyślne porty, tj. SSH, FTP, Rsync, RTRR, panelu do zarządzania serwerem QNAP na wyższe z przedziału 30 000-50 000.

    UsługaOryginalny portPrzykładowy nowy port
    QTS Web808048080 *
    QTS Web SSL44348443 *
    SSH2248022 *
    FTP2140021 *
    Rsync87348873 *
    RTRR889948899 *
    QVPN/Qbelt44348443 *
    * Podane porty są dla przykładu. Użyj generator wysokich portów dla QNAP:
    QNAP Random Port Generator

    Gdzie zmienić domyślne porty?
    Pokaż załącznik 38998


  4. W serwerze Web używaj standardowych portów: 80 i 443 dla SSL.

  5. Zainstaluj i włącz aplikację QuFirewall. Aktywuj w firewall Basic profile.

  6. Jeśli potrzebujesz zdalnego dostępu do serwera lub masz uruchomione aplikacje tj. jak Plex konieczne jest dodanie dodatkowych reguł.
    • zezwól na dostęp do serwera via QVPN/Qbelt

    • zezwól na zdalny dostęp dla Plex, aby inni użytkownicy mogli łączyć się z Twoim serwerem

    • jeśli korzystasz z Wordpress lub innych serwisów WWW, zezwól na dostęp na portach 80 i 443

    W tym celu edytuj aktywowany profil w aplikacji QuFirewall i dodaj odpowiednio poniższe reguły tak, aby uzyskać poniższy wzorzec.

    Bezpieczeństwo: Wysokie!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia

    Na tym etapie powinieneś zakończyć zabezpieczenia serwera.
    Dziękujemy!

  7. Jeżeli natomiast z jakiegoś powodu, korzystasz z większej ilości usług zdalnych, np. Music Station w Car Audio, udostępniasz albumy via QuMagie i jesteś zmuszony zastosować wyjątek i nie korzystać w tym celu z połączenia via VPN, skorzystaj z poniższego wzorca. Poniższe reguły w połączeniu ze zmianą portów zabezpieczą Twój serwer na ataki z botnetów pochodzących z innych rejonów niż Polska.

    Bezpieczeństwo: Średnio-Niskie

    Notka: Pamiętaj poniższe reguły są mniej zalecane niż wzorzec z punktu 6 z wykorzystaniem VPN!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48080,48443Porty zarządzania QNAP, Qsync, QuMagie... dostęp tylko z Polski
    Wyłącz tą regułę, aby uzyskać:
    Bezpieczeństwo: Średnio-wysokie
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ZezwólAllDowolne-TCP8096Port dla aplikacji Emby/Jellyfin*
    ZezwólAllDowolne-TCP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-UDP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-TCP48873Port Rsync dla HBS3
    ZezwólAllDowolne-TCP48899Port RTRR dla HBS3
    ZezwólAllDowolne-TCP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-UDP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-TCP14023-14024Port dla aplikacji SoulseekCloud
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia


    Dziękujemy
Objaśnienia
Edytowalna reguła:​
❌ – Reguła nieedytowalna​
✔ – Tak, należy dodać samemu​
⭐ – Reguła domyślna w Basic profile​
* Plex:​
W aplikacji Plex należy wyłączyć mapowanie portu i korzystać ze statycznego portu, tj. 32400.​
Często zadawane pytania
Q: Czy jeśli na routerze mam przekierowany tylko port QTS Web SSL, to czy muszę stosować te reguły?​
A: Tak. Filtrowanie według regionu odrzucić potencjalny atak botnetu pochodzący z krajów innych niż Polska.​
Ważna informacja
Powyższe reguły nie oznaczają, że możesz przestać monitorować aktywność na serwerze. Każda instalowana aplikacja w serwerze oraz oprogramowanie pokładowe firmware wymagają regularnych aktualizacji.​
 
Z ciekawości warto przyjrzeć się jak wygląda ruch w otwartym WAN'ie na ruterze brzegowym. Zakresy podlegają nieustannemu skanowaniu, czasami z niską częstotliwością czasami wręcz przeciwnie, a ich źródła - czasami kompletnie egzotyczne a czasami EU/PL - nie mają z tego tytułu znaczenia. W niektórych konfiguracjach sam QNAP dość intensywnie komunikuje się z egzotycznymi lokalizacjami i lepiej tego ruchu mu nie wyciąć.
W LAN'ie raczej nie ma się też co przejmować. 0.0.0.0 to zapewne fragment zapytania HIP/DHCPDISCOVER.
- I to już moja subiektywna ocena, ale generalnie gratuluję odwagi tym co wystawiają sobie QNAP'y na zewnątrz....
A dziękuję, chociaż nie uważam się za odważnego. Może świadomy i w miarę dobrze zabezpieczony.
 
Wiem, pytanie może i prozaiczne - ale gdzie są te logi? Szukam i jedyne co mam to zablokowano - ale czego? Gdy exportuję do excela tylko takie coś:
Kod:
Deny amount=7,"Interface=All","Ports=","Protocol=Any","Source_IP=Any","Location=","Permission=Deny","Time=None","date=2022-01-13 18:37:00"
 
Czyli włączyć "Capture Events"
Tak

Na automacie może być i Duration: 30?
30 czego ? Tak długo aż będziesz miał potrzebne informacje.

Czemu takie rzeczy nie są włączone od początku?
Wiesz ile zasobów to wciąga ? To służy do sprawdzania i tylko tego .. sprawdziłeś co i jak i wyłączasz ..

I ile zdarzeń optymalnie?
?
 
Po wprowadzeniu zaleceń z wątku (wył. UPnP, QuFirewall wg profilu z VPN) straciłem dostęp Qfilem i apkami ze smartPhona.
Po pierwsze gdzie można zmienić ich port - Wydaje mi się, że używają portu 450, ale gdzie go zmienić/ustawić (Qfile, MusicStation/Qmusic, Qsync).
Po drugie czy przestało działać przez firewall'a czy brak przekierowania portów (po wył. UPnP). Z drugiej strony nie działają nawet bezpośrednio w LAN.

W tym wypadku mowa o TS-251A, najnowszy firmware.
 
To się może nie dogadamy. W Qnapie zmieniasz porty (przez www) tak jak masz to na pierwszej stronie opisane (nawet ładnie z screenami). Qfile ma swoje ustawienia na telefonie. I w każdej aplikacji na telefon ustawiasz nowy port. Co masz na myśli przez 'Z poziomu applikacji w QNAP nie widzę takiej opcji;?
 
  • Lubię to
Reakcje: Silas Mariusz
Mam nadzieję, że jednak idzie się dogadać.
Rozumiem zmianę portów w QNAP i robię to przez www. Moje pytanie wynikało właśnie z tego, że myślałem że QNAP (dawniej powiedziało by się Master) narzuca apkom (dawnije by się pow. Slave'om) jakim portem się z nim mają łączyć (stąd było pytanie gdzie te porty dla Qfile, Qsync etc ustawić u Mastera).
Okazało się, że w regule Firewalla zrobiłem literówkę w porcie, dlatego port ustawiany w Qfile nie działał a tym samym Qfile się nie logował.
Teraz rozumiem, że w apce np Qfile decyduję jakim portem połączyć się z QNAP (a on/Master to akceptuje). Byleby teraz ten port był otwarty w Firewall i przekierowany na Routerze (dla VPN). Czy tak?
 
Aplikacje na komórce działają na tym samym porcie co port www qnapa. Chcesz mieć dostęp z zewnątrz np. dla Qflle puszczasz ten port w firewallu/routerze. VPN to inna sprawa. Chcesz się nim posługiwać (co jest rekomendowane) puszczasz sam port na którym VPN działa i tylko on. Wtedy jak chcesz pracować na Qfile najpierw uruchamiasz na komórce VPN.
 
Czemu po zastosowaniu powyższych ustawień mam problem z urządzeniami smart? Co chwila gubią sieć. Ich diody migają komunikując jakieś błędy....
 
Czemu po zastosowaniu powyższych ustawień mam problem z urządzeniami smart? Co chwila gubią sieć. Ich diody migają komunikując jakieś błędy....
@Pawliko stłukł szklana kulę wiele lat temu
typowy problem - nie działa, ratunku, ale kurwa co dokładnie nie działa , to już nie łaska napisac ?! urzadzenia smart sa jak auta, jest ich pierdyliard !
 
  • Lubię to
Reakcje: Silas Mariusz
@Pawliko stłukł szklana kulę wiele lat temu
typowy problem - nie działa, ratunku, ale kurwa co dokładnie nie działa , to już nie łaska napisac ?! urzadzenia smart sa jak auta, jest ich pierdyliard !
Przełączniki sonoff do włącz wyłącz światło.. Przełączniki są w sieci domowej. Najdziwniejsze że działają z przerwami. Dodatkowo na panelu ustawień my qnap cloud mam wyświetlone brak łączności przez internetu.
OPIS PRODUCENTA Urządzenie umożliwia bezprzewodową kontrolę za pomocą WiFi nad większością urządzeń elektronicznych w naszym domu. Z łatwością możemy podłączyć do niego oświetlenie oraz inne urządzenia lub nawet całe przedłużacze. Produkt ten łączymy z routerem, który ma dostęp do internetu, co pozwala na sterowanie nim z każdego miejsca na świecie poprzez smartfon. Jednym urządzeniem może sterować większa liczba osób, która uzyska dostęp do przełącznika za pomocą aplikacji, czyli np wszyscy domownicy. Do sterowania wystarczy telefon z androidem lub iOS. Urządzenie bardzo proste w podłączeniu. Możliwa integracja z Amazon, Google Home, Google Nest, IFTTT, eWeLink
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. qufirewall
  2. Qufirewall blokuje lan ip
  3. TS-251A
  4. brak możliwości rejestracji na forum
  5. UPnP
  6. port 48080
  7. qumagie port
  8. deny amount=
  9. polaczenia qnap
  10. torrent
  11. Logowanie
  12. qufirewall konfiguracja
  13. jellyfin
  14. blokowanie ip
  15. Firewall dla rtorrent
  16. firewall
  17. qumagie
  18. qbelt szyfrowane
  19. qfirewall
  20. PSIRT
  21. ssh
  22. myqnapcloud jak wyłączyć
  23. konfiguracja firewall