How-To QuFirewall - Jak zabezpieczyć serwer przed atakami a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska

Status
Not open for further replies.

Silas Mariusz

SysOp
Administrator
Apr 5, 2008
9,538
17
1,915
153
37
www.devspark.pl
QNAP
TS-x77
Ethernet
1 GbE
Jak zabezpieczyć serwer?
... i uchronić się przed atakami tj. malware typu Qlocker?
REKOMENDACJE EKSPERTÓW


  • Zainstaluj Malware Remover

  • Zaktualizuj oprogramowanie firmware

  • Włącz automatyczne aktualizacje

  • Wykonaj poniższy zestaw zalecany przez ekspertów QNAP (!)

  1. Wyłącz TELNET

  2. Zainstaluj QVPN i włącz protokół Qbelt

  3. Zmień domyślne porty, tj. FAQ SSH, FTP, Rsync, RTRR, panelu do zarządzania serwerem QNAP na wyższe z przedziału 30 000-50 000.

    UsługaOryginalny portPrzykładowy nowy port
    QTS Web808048080 *
    QTS Web SSL44348443 *
    FAQ SSH2248022 *
    FTP2140021 *
    Rsync87348873 *
    RTRR889948899 *
    QVPN/Qbelt44348443 *
    QVPN/OpenVPN119448194 *
    * Podane porty są dla przykładu. Użyj generator wysokich portów dla QNAP:
    QNAP Random Port Generator

    Gdzie zmienić domyślne porty?
    1641924267511.png


  4. W serwerze Web używaj standardowych portów: 80 i 443 dla SSL.

  5. Zainstaluj i włącz aplikację QuFirewall. Aktywuj w firewall Basic profile.

  6. Jeśli potrzebujesz zdalnego dostępu do serwera lub masz uruchomione aplikacje tj. jak Plex konieczne jest dodanie dodatkowych reguł.

    • zezwól na dostęp do serwera via QVPN/Qbelt

    • zezwól na dostęp do serwera via QVPN/L2TP-IPsec

    • zezwól na dostęp do serwera via QVPN/OpenVPN

    • zezwól na dostęp do serwera via QVPN/WireGuard

    • zezwól na zdalny dostęp dla Plex, aby inni użytkownicy mogli łączyć się z Twoim serwerem

    • jeśli korzystasz z Wordpress lub innych serwisów WWW, zezwól na dostęp na portach 80 i 443

    W tym celu edytuj aktywowany profil w aplikacji QuFirewall i dodaj odpowiednio poniższe reguły tak, aby uzyskać poniższy wzorzec.

    Bezpieczeństwo: Wysokie!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0 (/24)255.255.255.0AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllIP, podsieć IP: 10.2.0.0 (/24)255.255.255.0AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/L2TP-IPSec
    ZezwólAllIP, podsieć IP: 10.8.0.0 (/24)255.255.255.0AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/OpenVPN
    ZezwólAllIP, podsieć IP: 198.18.7.0 (/24)255.255.255.0AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/WireGuard
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-UDP1701Port dostępu usługi QVPN/L2TP-IPSec traffic
    ZezwólAllDowolne-UDP500Port dostępu usługi QVPN/L2TP-IPSec IKE
    ZezwólAllDowolne-UDP4500Port dostępu usługi QVPN/L2TP-IPSec NAT-T
    ZezwólAllDowolne-UDP48194Port dostępu usługi QVPN/OpenVPN
    ZezwólAllDowolne-UDP51820Port dostępu usługi QVPN/WireGuard
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ...
    ⭐ZezwólAll192.168.0.0 (/24)255.255.255.0AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia

    Na tym etapie powinieneś zakończyć zabezpieczenia serwera.
    Informacja: Kolejność ma znaczenie. Reguła odmów powinna być na końcu.
    Uwaga! Nie dodawaj reguły: Zezwól, All, Any, Any... - wtedy firewall przestanie mieć znaczenie.

    Dziękujemy!


  7. Jeżeli natomiast z jakiegoś powodu, korzystasz z większej ilości usług zdalnych, np. Music Station w Car Audio, udostępniasz albumy via QuMagie i jesteś zmuszony zastosować wyjątek i nie korzystać w tym celu z połączenia via VPN, skorzystaj z poniższego wzorca. Poniższe reguły w połączeniu ze zmianą portów zabezpieczą Twój serwer na ataki z botnetów pochodzących z innych rejonów niż Polska.

    Bezpieczeństwo: Średnio-Niskie

    Notka: Pamiętaj poniższe reguły są mniej zalecane niż wzorzec z punktu 6 z wykorzystaniem VPN!

    Domyślna
    reguła
    Edytowalna
    reguła
    Uprawnienia
    dostępu
    Interfejs
    sieciowy
    Źródło próbujące
    uzyskać dostęp
    Maska podsieci
    dla adresacji IP
    Protokół
    sieciowy
    Port
    usługi
    Notka referencyjna
    / Opis usług
    ⭐❌ZezwólAplikacjaDomyślne:
    Aplikacje tj. Virtualization Station, Container Station
    ⭐❌OdmówPSIRTDomyślne:
    Product Security Incident Response Team
    ⭐❌OdmówOchrona dostępu adresów IPDomyślne: Automatycznie zablokowane adresy IP
    po zbyt wielu nieudanych próbach logowania w określonym czasie
    ZezwólAllIP, podsieć IP: 10.6.0.0 (/24)255.255.255.0AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/Qbelt
    ZezwólAllIP, podsieć IP: 10.2.0.0 (/24)255.255.255.0AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/L2TP-IPSec
    ZezwólAllIP, podsieć IP: 10.8.0.0 (/24)255.255.255.0AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/OpenVPN
    ZezwólAllIP, podsieć IP: 198.18.7.0 (/24)255.255.255.0AnyDowolnyWszystkie usługi i porty w serwerze dostępne via QVPN/WireGuard
    ZezwólAllRegion: Polska-TCP48080,48443Porty zarządzania QNAP, Qsync, QuMagie... dostęp tylko z Polski
    Wyłącz tą regułę, aby uzyskać:
    Bezpieczeństwo: Średnio-wysokie
    ZezwólAllRegion: Polska-TCP48021,45536-46559Port serwera FTP oraz zakres portów trybu pasywnego
    ZezwólAllDowolne-UDP48443Port dostępu usługi QVPN/Qbelt
    ZezwólAllDowolne-UDP1701Port dostępu usługi QVPN/L2TP-IPSec traffic
    ZezwólAllDowolne-UDP500Port dostępu usługi QVPN/L2TP-IPSec IKE
    ZezwólAllDowolne-UDP4500Port dostępu usługi QVPN/L2TP-IPSec NAT-T
    ZezwólAllDowolne-UDP48194Port dostępu usługi QVPN/OpenVPN
    ZezwólAllDowolne-UDP51820Port dostępu usługi QVPN/WireGuard
    ZezwólAllDowolne-TCP80,443Porty dla serwera Web
    ZezwólAllDowolne-TCP32400Port dla aplikacji Plex*
    ZezwólAllDowolne-TCP8096Port dla aplikacji Emby/Jellyfin*
    ZezwólAllDowolne-TCP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-UDP6881-6889Porty dla aplikacji Download Station
    ZezwólAllDowolne-TCP48873Port Rsync dla HBS3
    ZezwólAllDowolne-TCP48899Port RTRR dla HBS3
    ZezwólAllDowolne-TCP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-UDP42000,6881Porty dla aplikacji Rtorrent-Pro
    ZezwólAllDowolne-TCP14023-14024Port dla aplikacji SoulseekCloud
    ...
    ⭐ZezwólAll192.168.0.0 (/24)255.255.255.0AnyDowolnyDomyślne:
    Adresacja Twojej sieci z której masz pełny dostęp do serwera, np.:
    192.168.88.0/24, 192.168.0.0/24, 172.168.0.0/16, 10.0.0.0/8
    ...
    ⭐OdmówAllAnyAnyDowolnyDomyślne:
    Odmów wszystkie pozostałe połączenia

    Informacja: Kolejność ma znaczenie. Reguła odmów powinna być na końcu.
    Uwaga! Nie dodawaj reguły: Zezwól, All, Any, Any... - wtedy firewall przestanie mieć znaczenie.

    Dziękujemy
Objaśnienia
Edytowalna reguła:​
❌ – Reguła nieedytowalna​
✔ – Tak, należy dodać samemu​
⭐ – Reguła domyślna w Basic profile​
* Plex:​
W aplikacji Plex należy wyłączyć mapowanie portu i korzystać ze statycznego portu, tj. 32400.​
plex_static_port.png
Często zadawane pytania
Q: Czy jeśli na routerze mam przekierowany tylko port QTS Web SSL, to czy muszę stosować te reguły?​
A: Tak. Filtrowanie według regionu może odrzucić potencjalny atak botnetu pochodzący z krajów innych niż Polska.​
Ważna informacja
Powyższe reguły nie oznaczają, że możesz przestać monitorować aktywność na serwerze. Każda instalowana aplikacja w serwerze oraz oprogramowanie pokładowe firmware wymagają regularnych aktualizacji.​
Masz pytania?
 
Status
Not open for further replies.