In progress Pytania dot. QuFirewall - Jak zabezpieczyć serwer?

Silas Mariusz

SysOp
Administrator
Apr 5, 2008
9,398
1,870
153
www.devspark.pl
QNAP
TS-x77
Ethernet
1 GbE
Pytania dot. tematu: Jak to zrobić? - QuFirewall - Jak zabezpieczyć serwer przed atakami a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club

Jak zabezpieczyć serwer?
... i uchronić się przed atakami tj. malware typu Qlocker?
REKOMENDACJE EKSPERTÓW


  • Zainstaluj Malware Remover

  • Zaktualizuj oprogramowanie firmware

  • Włącz automatyczne aktualizacje

  • Wykonaj poniższy zestaw zalecany przez ekspertów QNAP (!)

  1. Wyłącz TELNET

  2. Zainstaluj QVPN i włącz protokół Qbelt

  3. Zmień domyślne porty, tj. SSH, FTP, Rsync, RTRR, panelu do zarządzania serwerem QNAP na wyższe z przedziału 30 000-50 000.

    UsługaOryginalny portPrzykładowy nowy port
    QTS Web808048080 *
    QTS Web SSL44348443 *
    SSH2248022 *
    FTP2140021 *
    Rsync87348873 *
    RTRR889948899 *
    QVPN/Qbelt44348443 *
    * Podane porty są dla przykładu. Użyj generator wysokich portów dla QNAP:
    QNAP Random Port Generator

    Gdzie zmienić domyślne porty?
    View attachment 38998


  4. W serwerze Web używaj standardowych portów: 80 i 443 dla SSL.

  5. Zainstaluj i włącz aplikację QuFirewall. Aktywuj w firewall Basic profile.

  6. Jeśli potrzebujesz zdalnego dostępu do serwera lub masz uruchomione aplikacje tj. jak Plex konieczne jest dodanie dodatkowych reguł.
    • zezwól na dostęp do serwera via QVPN/Qbelt

    • zezwól na zdalny dostęp dla Plex, aby inni użytkownicy mogli łączyć się z Twoim serwerem

    • jeśli korzystasz z Wordpress lub innych serwisów WWW, zezwól na dostęp na portach 80 i 443

    W tym celu edytuj aktywowany profil w aplikacji QuFirewall i dodaj odpowiednio poniższe reguły tak, aby uzyskać poniższy wzorzec.

    Bezpieczeństwo: Wysokie!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia

    Na tym etapie powinieneś zakończyć zabezpieczenia serwera.
    Dziękujemy!

  7. Jeżeli natomiast z jakiegoś powodu, korzystasz z większej ilości usług zdalnych, np. Music Station w Car Audio, udostępniasz albumy via QuMagie i jesteś zmuszony zastosować wyjątek i nie korzystać w tym celu z połączenia via VPN, skorzystaj z poniższego wzorca. Poniższe reguły w połączeniu ze zmianą portów zabezpieczą Twój serwer na ataki z botnetów pochodzących z innych rejonów niż Polska.

    Bezpieczeństwo: Średnio-Niskie

    Notka: Pamiętaj poniższe reguły są mniej zalecane niż wzorzec z punktu 6 z wykorzystaniem VPN!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0255.255.255.0/24AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllRegion: Polska-TCP48080,48443Porty zarządzania QNAP, Qsync, QuMagie... dostęp tylko z Polski
    Wyłącz tą regułę, aby uzyskać:
    Bezpieczeństwo: Średnio-wysokie
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ZezwólAllDowolne-TCP8096Port dla aplikacji Emby/Jellyfin*
    ZezwólAllDowolne-TCP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-UDP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-TCP48873Port Rsync dla HBS3
    ZezwólAllDowolne-TCP48899Port RTRR dla HBS3
    ZezwólAllDowolne-TCP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-UDP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-TCP14023-14024Port dla aplikacji SoulseekCloud
    ...
    ⭐ZezwólAll192.168.0.0255.255.255.0/24AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐❌OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia


    Dziękujemy
Objaśnienia
Edytowalna reguła:​
❌ – Reguła nieedytowalna​
✔ – Tak, należy dodać samemu​
⭐ – Reguła domyślna w Basic profile​
* Plex:​
W aplikacji Plex należy wyłączyć mapowanie portu i korzystać ze statycznego portu, tj. 32400.​
Często zadawane pytania
Q: Czy jeśli na routerze mam przekierowany tylko port QTS Web SSL, to czy muszę stosować te reguły?​
A: Tak. Filtrowanie według regionu odrzucić potencjalny atak botnetu pochodzący z krajów innych niż Polska.​
Ważna informacja
Powyższe reguły nie oznaczają, że możesz przestać monitorować aktywność na serwerze. Każda instalowana aplikacja w serwerze oraz oprogramowanie pokładowe firmware wymagają regularnych aktualizacji.​
 

Ice

Qnap reseller / Ubi advisor
Q's Reseller
Jan 16, 2018
1,180
369
83
QNAP
TVS-h1288X
Ethernet
10 GbE
Z ciekawości warto przyjrzeć się jak wygląda ruch w otwartym WAN'ie na ruterze brzegowym. Zakresy podlegają nieustannemu skanowaniu, czasami z niską częstotliwością czasami wręcz przeciwnie, a ich źródła - czasami kompletnie egzotyczne a czasami EU/PL - nie mają z tego tytułu znaczenia. W niektórych konfiguracjach sam QNAP dość intensywnie komunikuje się z egzotycznymi lokalizacjami i lepiej tego ruchu mu nie wyciąć.
W LAN'ie raczej nie ma się też co przejmować. 0.0.0.0 to zapewne fragment zapytania HIP/DHCPDISCOVER.
- I to już moja subiektywna ocena, ale generalnie gratuluję odwagi tym co wystawiają sobie QNAP'y na zewnątrz....
A dziękuję, chociaż nie uważam się za odważnego. Może świadomy i w miarę dobrze zabezpieczony.
 

m1si0

Entry Technician
Q Associate
Dec 4, 2015
47
3
8
blog.niteo.pl
QNAP
TS-x73A
Ethernet
1 GbE
Wiem, pytanie może i prozaiczne - ale gdzie są te logi? Szukam i jedyne co mam to zablokowano - ale czego? Gdy exportuję do excela tylko takie coś:
Code:
Deny amount=7,"Interface=All","Ports=","Protocol=Any","Source_IP=Any","Location=","Permission=Deny","Time=None","date=2022-01-13 18:37:00"
 

pigers

Long live Pr0xM0x
Administrator
Jul 26, 2013
13,282
2,200
230
www.buymeacoffee.com
QNAP
QuTScloud
Ethernet
100 GbE
  • ·
  • QuTScloud
  • ·
  • 100 GbE
  • ·
  • Ten którego QNAP jeszcze nie ma ! Najnowszy na Debianie !
jak włączysz logowanie szczegółowe do pliku, to zobaczsyz to w pliku PAC.
 
  • Like
Reactions: m1si0

m1si0

Entry Technician
Q Associate
Dec 4, 2015
47
3
8
blog.niteo.pl
QNAP
TS-x73A
Ethernet
1 GbE
jak włączysz logowanie szczegółowe do pliku, to zobaczsyz to w pliku PAC.
Aha. Czyli włączyć "Capture Events". Na automacie może być i Duration: 30? Czemu takie rzeczy nie są włączone od początku? I ile zdarzeń optymalnie?
 

pigers

Long live Pr0xM0x
Administrator
Jul 26, 2013
13,282
2,200
230
www.buymeacoffee.com
QNAP
QuTScloud
Ethernet
100 GbE
  • ·
  • QuTScloud
  • ·
  • 100 GbE
  • ·
  • Ten którego QNAP jeszcze nie ma ! Najnowszy na Debianie !

Nik_t

Entry Technician
Q Associate
May 23, 2017
43
7
8
QNAP
TS-x73
Ethernet
1 GbE
  • ·
  • TS-x73
  • ·
  • 1 GbE
  • ·
  • 5.0.0.xxxx@TS-473 / 5.0.0.1891 @TS-251A
Po wprowadzeniu zaleceń z wątku (wył. UPnP, QuFirewall wg profilu z VPN) straciłem dostęp Qfilem i apkami ze smartPhona.
Po pierwsze gdzie można zmienić ich port - Wydaje mi się, że używają portu 450, ale gdzie go zmienić/ustawić (Qfile, MusicStation/Qmusic, Qsync).
Po drugie czy przestało działać przez firewall'a czy brak przekierowania portów (po wył. UPnP). Z drugiej strony nie działają nawet bezpośrednio w LAN.

W tym wypadku mowa o TS-251A, najnowszy firmware.
 

Damian

Network Architect
Q's Professional
Jan 22, 2016
474
83
28
QNAP
TVS-x71
Ethernet
802.11ad
Otwierasz każdą aplikację i szukasz... W Qfile lewy górny róg trzy kreski i Zarządzaj stacją NAS
 

Nik_t

Entry Technician
Q Associate
May 23, 2017
43
7
8
QNAP
TS-x73
Ethernet
1 GbE
  • ·
  • TS-x73
  • ·
  • 1 GbE
  • ·
  • 5.0.0.xxxx@TS-473 / 5.0.0.1891 @TS-251A
Otwierasz każdą aplikację i szukasz... W Qfile lewy górny róg trzy kreski i Zarządzaj stacją NAS
Chodzi o zmianę portu w QNAP, na nowy/wysoki. Z poziomu applikacji w QNAP (np File Station) nie widzę takiej opcji.
 

Damian

Network Architect
Q's Professional
Jan 22, 2016
474
83
28
QNAP
TVS-x71
Ethernet
802.11ad
To się może nie dogadamy. W Qnapie zmieniasz porty (przez www) tak jak masz to na pierwszej stronie opisane (nawet ładnie z screenami). Qfile ma swoje ustawienia na telefonie. I w każdej aplikacji na telefon ustawiasz nowy port. Co masz na myśli przez 'Z poziomu applikacji w QNAP nie widzę takiej opcji;?
 
  • Like
Reactions: Silas Mariusz

Nik_t

Entry Technician
Q Associate
May 23, 2017
43
7
8
QNAP
TS-x73
Ethernet
1 GbE
  • ·
  • TS-x73
  • ·
  • 1 GbE
  • ·
  • 5.0.0.xxxx@TS-473 / 5.0.0.1891 @TS-251A
Mam nadzieję, że jednak idzie się dogadać.
Rozumiem zmianę portów w QNAP i robię to przez www. Moje pytanie wynikało właśnie z tego, że myślałem że QNAP (dawniej powiedziało by się Master) narzuca apkom (dawnije by się pow. Slave'om) jakim portem się z nim mają łączyć (stąd było pytanie gdzie te porty dla Qfile, Qsync etc ustawić u Mastera).
Okazało się, że w regule Firewalla zrobiłem literówkę w porcie, dlatego port ustawiany w Qfile nie działał a tym samym Qfile się nie logował.
Teraz rozumiem, że w apce np Qfile decyduję jakim portem połączyć się z QNAP (a on/Master to akceptuje). Byleby teraz ten port był otwarty w Firewall i przekierowany na Routerze (dla VPN). Czy tak?
 

Damian

Network Architect
Q's Professional
Jan 22, 2016
474
83
28
QNAP
TVS-x71
Ethernet
802.11ad
Aplikacje na komórce działają na tym samym porcie co port www qnapa. Chcesz mieć dostęp z zewnątrz np. dla Qflle puszczasz ten port w firewallu/routerze. VPN to inna sprawa. Chcesz się nim posługiwać (co jest rekomendowane) puszczasz sam port na którym VPN działa i tylko on. Wtedy jak chcesz pracować na Qfile najpierw uruchamiasz na komórce VPN.
 

chmiel75

Passing Basics
Beginner
Apr 16, 2017
12
2
3
QNAP
NMP-1000
Ethernet
802.11a
Czemu po zastosowaniu powyższych ustawień mam problem z urządzeniami smart? Co chwila gubią sieć. Ich diody migają komunikując jakieś błędy....
 

pigers

Long live Pr0xM0x
Administrator
Jul 26, 2013
13,282
2,200
230
www.buymeacoffee.com
QNAP
QuTScloud
Ethernet
100 GbE
  • ·
  • QuTScloud
  • ·
  • 100 GbE
  • ·
  • Ten którego QNAP jeszcze nie ma ! Najnowszy na Debianie !
Czemu po zastosowaniu powyższych ustawień mam problem z urządzeniami smart? Co chwila gubią sieć. Ich diody migają komunikując jakieś błędy....
@Pawliko stłukł szklana kulę wiele lat temu
typowy problem - nie działa, ratunku, ale kurwa co dokładnie nie działa , to już nie łaska napisac ?! urzadzenia smart sa jak auta, jest ich pierdyliard !
 
  • Like
Reactions: Silas Mariusz

chmiel75

Passing Basics
Beginner
Apr 16, 2017
12
2
3
QNAP
NMP-1000
Ethernet
802.11a
@Pawliko stłukł szklana kulę wiele lat temu
typowy problem - nie działa, ratunku, ale kurwa co dokładnie nie działa , to już nie łaska napisac ?! urzadzenia smart sa jak auta, jest ich pierdyliard !
Przełączniki sonoff do włącz wyłącz światło.. Przełączniki są w sieci domowej. Najdziwniejsze że działają z przerwami. Dodatkowo na panelu ustawień my qnap cloud mam wyświetlone brak łączności przez internetu.
OPIS PRODUCENTA Urządzenie umożliwia bezprzewodową kontrolę za pomocą WiFi nad większością urządzeń elektronicznych w naszym domu. Z łatwością możemy podłączyć do niego oświetlenie oraz inne urządzenia lub nawet całe przedłużacze. Produkt ten łączymy z routerem, który ma dostęp do internetu, co pozwala na sterowanie nim z każdego miejsca na świecie poprzez smartfon. Jednym urządzeniem może sterować większa liczba osób, która uzyska dostęp do przełącznika za pomocą aplikacji, czyli np wszyscy domownicy. Do sterowania wystarczy telefon z androidem lub iOS. Urządzenie bardzo proste w podłączeniu. Możliwa integracja z Amazon, Google Home, Google Nest, IFTTT, eWeLink