Pytania dot. tematu: Jak to zrobić? - QuFirewall - Jak zabezpieczyć serwer przed atakami a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club
Jak zabezpieczyć serwer?
... i uchronić się przed atakami tj. malware typu Qlocker?
REKOMENDACJE EKSPERTÓW
- Zainstaluj Malware Remover
- Zaktualizuj oprogramowanie firmware
- Włącz automatyczne aktualizacje
- Wykonaj poniższy zestaw zalecany przez ekspertów QNAP (!)
- Wyłącz TELNET
- Zainstaluj QVPN i włącz protokół Qbelt
- Zmień domyślne porty, tj. SSH, FTP, Rsync, RTRR, panelu do zarządzania serwerem QNAP na wyższe z przedziału 30 000-50 000.
* Podane porty są dla przykładu. Użyj generator wysokich portów dla QNAP:
Usługa Oryginalny port Przykładowy nowy port QTS Web 8080 48080 * QTS Web SSL 443 48443 * SSH 22 48022 * FTP 21 40021 * Rsync 873 48873 * RTRR 8899 48899 * QVPN/Qbelt 443 48443 *
→ QNAP Random Port Generator
Gdzie zmienić domyślne porty?
Pokaż załącznik 38998
- W serwerze Web używaj standardowych portów: 80 i 443 dla SSL.
- Zainstaluj i włącz aplikację QuFirewall. Aktywuj w firewall Basic profile.
- Jeśli potrzebujesz zdalnego dostępu do serwera lub masz uruchomione aplikacje tj. jak Plex konieczne jest dodanie dodatkowych reguł.
- zezwól na dostęp do serwera via QVPN/Qbelt
- zezwól na zdalny dostęp dla Plex, aby inni użytkownicy mogli łączyć się z Twoim serwerem
- jeśli korzystasz z Wordpress lub innych serwisów WWW, zezwól na dostęp na portach 80 i 443
W tym celu edytuj aktywowany profil w aplikacji QuFirewall i dodaj odpowiednio poniższe reguły tak, aby uzyskać poniższy wzorzec.
Bezpieczeństwo: Wysokie!
Domyślna
regułaEdytowalna
regułaUprawnienia
dostępuInterfejs
sieciowyŹródło próbujące
uzyskać dostępMaska podsieci
dla adresacji IPProtokół
sieciowyPort
usługiNotka referencyjna
/ Opis usługZezwól Aplikacja Domyślne:
Aplikacje tj. Virtualization Station, Container StationOdmów PSIRT Domyślne:
Product Security Incident Response TeamOdmów Ochrona dostępu adresów IP Domyślne: Automatycznie zablokowane adresy IP
po zbyt wielu nieudanych próbach logowania w określonym czasie✔ Zezwól All IP, podsieć IP: 10.6.0.0 255.255.255.0/24 Any Dowolny Wszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt ✔ Zezwól All Region: Polska - TCP 48021,45536-46559 Port serwera FTP oraz zakres portów trybu pasywnego ✔ Zezwól All Dowolne - UDP 48443 Port dostępu usługi QVPN/Qbelt ✔ Zezwól All Dowolne - TCP 80,443 Porty dla serwera Web ✔ Zezwól All Dowolne - TCP 32400 Port dla aplikacji Plex* ... ✔ Zezwól All 192.168.0.0 255.255.255.0/24 Any Dowolny Domyślne:
Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8... Odmów All Any Any Dowolny Domyślne:
Odmów wszystkie pozostałe połączenia
Na tym etapie powinieneś zakończyć zabezpieczenia serwera.
Dziękujemy!
- Jeżeli natomiast z jakiegoś powodu, korzystasz z większej ilości usług zdalnych, np. Music Station w Car Audio, udostępniasz albumy via QuMagie i jesteś zmuszony zastosować wyjątek i nie korzystać w tym celu z połączenia via VPN, skorzystaj z poniższego wzorca. Poniższe reguły w połączeniu ze zmianą portów zabezpieczą Twój serwer na ataki z botnetów pochodzących z innych rejonów niż Polska.
Bezpieczeństwo: Średnio-Niskie
Notka: Pamiętaj poniższe reguły są mniej zalecane niż wzorzec z punktu 6 z wykorzystaniem VPN!
Domyślna
regułaEdytowalna
regułaUprawnienia
dostępuInterfejs
sieciowyŹródło próbujące
uzyskać dostępMaska podsieci
dla adresacji IPProtokół
sieciowyPort
usługiNotka referencyjna
/ Opis usługZezwól Aplikacja Domyślne:
Aplikacje tj. Virtualization Station, Container StationOdmów PSIRT Domyślne:
Product Security Incident Response TeamOdmów Ochrona dostępu adresów IP Domyślne: Automatycznie zablokowane adresy IP
po zbyt wielu nieudanych próbach logowania w określonym czasie✔ Zezwól All IP, podsieć IP: 10.6.0.0 255.255.255.0/24 Any Dowolny Wszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt ✔ Zezwól All Region: Polska - TCP 48080,48443 Porty zarządzania QNAP, Qsync, QuMagie... dostęp tylko z Polski
Wyłącz tą regułę, aby uzyskać:
Bezpieczeństwo: Średnio-wysokie✔ Zezwól All Region: Polska - TCP 48021,45536-46559 Port serwera FTP oraz zakres portów trybu pasywnego ✔ Zezwól All Dowolne - UDP 48443 Port dostępu usługi QVPN/Qbelt ✔ Zezwól All Dowolne - TCP 80,443 Porty dla serwera Web ✔ Zezwól All Dowolne - TCP 32400 Port dla aplikacji Plex* ✔ Zezwól All Dowolne - TCP 8096 Port dla aplikacji Emby/Jellyfin* ✔ Zezwól All Dowolne - TCP 6881-6889 Porty dla aplikacji Download Station ✔ Zezwól All Dowolne - UDP 6881-6889 Porty dla aplikacji Download Station ✔ Zezwól All Dowolne - TCP 48873 Port Rsync dla HBS3 ✔ Zezwól All Dowolne - TCP 48899 Port RTRR dla HBS3 ✔ Zezwól All Dowolne - TCP 42000,6881 Porty dla aplikacji Rtorrent-Pro ✔ Zezwól All Dowolne - UDP 42000,6881 Porty dla aplikacji Rtorrent-Pro ✔ Zezwól All Dowolne - TCP 14023-14024 Port dla aplikacji SoulseekCloud ... ✔ Zezwól All 192.168.0.0 255.255.255.0/24 Any Dowolny Domyślne:
Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8... Odmów All Any Any Dowolny Domyślne:
Odmów wszystkie pozostałe połączenia
DziękujemyObjaśnieniaEdytowalna reguła:– Reguła nieedytowalna
✔ – Tak, należy dodać samemu– Reguła domyślna w Basic profile
* Plex:W aplikacji Plex należy wyłączyć mapowanie portu i korzystać ze statycznego portu, tj. 32400.Często zadawane pytaniaQ: Czy jeśli na routerze mam przekierowany tylko port QTS Web SSL, to czy muszę stosować te reguły?A: Tak. Filtrowanie według regionu odrzucić potencjalny atak botnetu pochodzący z krajów innych niż Polska.Ważna informacjaPowyższe reguły nie oznaczają, że możesz przestać monitorować aktywność na serwerze. Każda instalowana aplikacja w serwerze oraz oprogramowanie pokładowe firmware wymagają regularnych aktualizacji.
