Instruktaż/Tutorial Konfiguracja QuFirewall - czyli poradnik jak zabezpieczyć QNAP? - wersja dla regionu Polska

Status
Brak możliwości dodawania odpowiedzi.

Silas Mariusz

rm -rf /
Help us, GOD!
5 Kwiecień 2008
10 318
33
2 634
153
40
Nowy Sącz
forum.qnap.net.pl
QNAP
TS-x77
Ethernet
1 GbE
Jak zabezpieczyć serwer?
... i uchronić się przed atakami tj. malware typu Qlocker?
REKOMENDACJE EKSPERTÓW


  • Zainstaluj Malware Remover

  • Zaktualizuj oprogramowanie firmware

  • Włącz automatyczne aktualizacje

  • Wykonaj poniższy zestaw zalecany przez ekspertów QNAP (!)

  1. Wyłącz TELNET

  2. Zainstaluj QVPN i włącz protokół Qbelt

  3. Zmień domyślne porty, tj. FAQ SSH, FTP, Rsync, RTRR, panelu do zarządzania serwerem QNAP na wyższe z przedziału 30 000-50 000.

    UsługaOryginalny portPrzykładowy nowy port
    QTS Web808048080 *
    QTS Web SSL44348443 *
    FAQ SSH2248022 *
    FTP2140021 *
    Rsync87348873 *
    RTRR889948899 *
    QVPN/Qbelt44348443 *
    QVPN/OpenVPN119448194 *
    * Podane porty są dla przykładu. Użyj generator wysokich portów dla QNAP:
    QNAP Random Port Generator

    Gdzie zmienić domyślne porty?
    1641924267511.png


  4. W serwerze Web używaj standardowych portów: 80 i 443 dla SSL.

  5. Zainstaluj i włącz aplikację QuFirewall. Aktywuj w firewall Basic profile.

  6. Jeśli potrzebujesz zdalnego dostępu do serwera lub masz uruchomione aplikacje tj. jak Plex konieczne jest dodanie dodatkowych reguł.
    • zezwól na dostęp do serwera via QVPN/Qbelt

    • zezwól na dostęp do serwera via QVPN/L2TP-IPsec

    • zezwól na dostęp do serwera via QVPN/OpenVPN

    • zezwól na dostęp do serwera via QVPN/WireGuard

    • zezwól na zdalny dostęp dla Plex, aby inni użytkownicy mogli łączyć się z Twoim serwerem

    • jeśli korzystasz z Wordpress lub innych serwisów WWW, zezwól na dostęp na portach 80 i 443

    W tym celu edytuj aktywowany profil w aplikacji QuFirewall i dodaj odpowiednio poniższe reguły tak, aby uzyskać poniższy wzorzec.

    Bezpieczeństwo: Wysokie!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0 (/24)255.255.255.0AnyAnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllIP, podsieć IP: 10.2.0.0 (/24)255.255.255.0AnyAnyWszystkie usługi i porty w serwerze dostępne via QVPN/L2TP-IPSec
    ZezwólAllIP, podsieć IP: 10.8.0.0 (/24)255.255.255.0AnyAnyWszystkie usługi i porty w serwerze dostępne via QVPN/OpenVPN
    ZezwólAllIP, podsieć IP: 198.18.7.0 (/24)255.255.255.0AnyAnyWszystkie usługi i porty w serwerze dostępne via QVPN/WireGuard
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllAny-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllAny-UDP1701Port dostępu usługi QVPN/L2TP-IPSec traffic
    ZezwólAllAny-UDP500Port dostępu usługi QVPN/L2TP-IPSec IKE
    ZezwólAllAny-UDP4500Port dostępu usługi QVPN/L2TP-IPSec NAT-T
    ZezwólAllAny-UDP48194Port dostępu usługi QVPN/OpenVPN
    ZezwólAllAny-UDP51820Port dostępu usługi QVPN/WireGuard
    ZezwólAllAny-TCP80,443Porty dla serwera Web
    ZezwólAllAny-TCP32400Port dla aplikacji Plex*
    ...
    ⭐ZezwólAll192.168.0.0 (/24)255.255.255.0AnyAnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐OdmówAllAnyAnyAnyDomyślne:
    Odmów wszystkie pozostałe połączenia

    Na tym etapie powinieneś zakończyć zabezpieczenia serwera.
    Informacja: Kolejność ma znaczenie. Reguła odmów powinna być na końcu.
    Uwaga! Nie dodawaj reguły: Zezwól, All, Any, Any... - wtedy firewall przestanie mieć znaczenie.

    Dziękujemy!


  7. Jeżeli natomiast z jakiegoś powodu, korzystasz z większej ilości usług zdalnych, np. Music Station w Car Audio, udostępniasz albumy via QuMagie i jesteś zmuszony zastosować wyjątek i nie korzystać w tym celu z połączenia via VPN, skorzystaj z poniższego wzorca. Poniższe reguły w połączeniu ze zmianą portów zabezpieczą Twój serwer na ataki z botnetów pochodzących z innych rejonów niż Polska.

    Bezpieczeństwo: Średnio-Niskie

    Notka: Pamiętaj poniższe reguły są mniej zalecane niż wzorzec z punktu 6 z wykorzystaniem VPN!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0 (/24)255.255.255.0AnyAnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllIP, podsieć IP: 10.2.0.0 (/24)255.255.255.0AnyAnyWszystkie usługi i porty w serwerze dostępne via QVPN/L2TP-IPSec
    ZezwólAllIP, podsieć IP: 10.8.0.0 (/24)255.255.255.0AnyAnyWszystkie usługi i porty w serwerze dostępne via QVPN/OpenVPN
    ZezwólAllIP, podsieć IP: 198.18.7.0 (/24)255.255.255.0AnyAnyWszystkie usługi i porty w serwerze dostępne via QVPN/WireGuard
    ZezwólAllRegion: Polska-TCP48080,48443Porty zarządzania QNAP, Qsync, QuMagie... dostęp tylko z Polski
    Wyłącz tą regułę, aby uzyskać:
    Bezpieczeństwo: Średnio-wysokie
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllAny-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllAny-UDP1701Port dostępu usługi QVPN/L2TP-IPSec traffic
    ZezwólAllAny-UDP500Port dostępu usługi QVPN/L2TP-IPSec IKE
    ZezwólAllAny-UDP4500Port dostępu usługi QVPN/L2TP-IPSec NAT-T
    ZezwólAllAny-UDP48194Port dostępu usługi QVPN/OpenVPN
    ZezwólAllAny-UDP51820Port dostępu usługi QVPN/WireGuard
    ZezwólAllAny-TCP80,443Porty dla serwera Web
    ZezwólAllAny-TCP32400Port dla aplikacji Plex*
    ZezwólAllAny-TCP8096Port dla aplikacji Emby/Jellyfin*
    ZezwólAllAny-TCP6881-6889Porty dla aplikacji Download Station
    ZezwólAllAny-UDP6881-6889Porty dla aplikacji Download Station
    ZezwólAllAny-TCP48873Port Rsync dla HBS3
    ZezwólAllAny-TCP48899Port RTRR dla HBS3
    ZezwólAllAny-TCP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllAny-UDP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllAny-TCP14023-14024Port dla aplikacji SoulseekCloud
    ...
    ⭐ZezwólAll192.168.0.0 (/24)255.255.255.0AnyAnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐OdmówAllAnyAnyAnyDomyślne:
    Odmów wszystkie pozostałe połączenia

    Informacja: Kolejność ma znaczenie. Reguła odmów powinna być na końcu.
    Uwaga! Nie dodawaj reguły: Zezwól, All, Any, Any... - wtedy firewall przestanie mieć znaczenie.

    Dziękujemy
Objaśnienia
Edytowalna reguła:​
❌ – Reguła nieedytowalna​
✔ – Tak, należy dodać samemu​
⭐ – Reguła domyślna w Basic profile​
Any – Dowolny (np. jakikolwiek protokół sieciowy TCP/UDP, jakikolwiek porty - innym słowem wszystkie)​
All – Wszystkie (np. wszystkie interfejsy sieciowe)​
* Plex:​
W aplikacji Plex należy wyłączyć mapowanie portu i korzystać ze statycznego portu, tj. 32400.​
plex_static_port.png
Często zadawane pytania
Q: Czy jeśli na routerze mam przekierowany tylko port QTS Web SSL, to czy muszę stosować te reguły?​
A: Tak. Filtrowanie według regionu może odrzucić potencjalny atak botnetu pochodzący z krajów innych niż Polska.​
Ważna informacja
Powyższe reguły nie oznaczają, że możesz przestać monitorować aktywność na serwerze. Każda instalowana aplikacja w serwerze oraz oprogramowanie pokładowe firmware wymagają regularnych aktualizacji.​
Masz pytania?
 
Status
Brak możliwości dodawania odpowiedzi.

Użytkownicy znaleźli tą stronę używając tych słów:

  1. qufirewall
  2. music station
  3. firewall
  4. zabezpieczenie
  5. L2TP/IPSec
  6. generator wysokich
  7. qnap zabezpieczyc
  8. wireguard rtorrent
  9. download station
  10. zabezpieczenie sieci
  11. qufirewall konfiguracja
  12. port 48080
  13. 6889
  14. jellyfin
  15. rtorrent ports
  16. openvpn firewall
  17. emby
  18. konfiguracja QuFirewall
  19. firewall vpn
  20. Jak zabezpieczyć
  21. jak zabezpieczyć qnap
  22. jak skonfigurować qufirewall?
  23. konfiguracja openvpn qnap
  24. firewall kolejnosc