- 16 Styczeń 2018
- 1 339
- 2
- 506
- 113
- 39
- QNAP
- TVS-h1288X
- Ethernet
- 10 GbE
Każdy ma jakiegoś swojego faworyta jeżeli chodzi o sprzęt. Silas, SiewcaRyżu - Microtik, Pawliko TP Link, ja z kolei preferuję Ubiquiti. Lubię ten sprzęt, bo jest dobry, jest to ciekawy i fajny ekosystem (podobnie jak Apple) - a przede wszystkim - łatwe w konfiguracji. Oczywiście, trzeba mieć pojęcie o sieciach, regułach itd, ale jest przyjazny w obyciu.
Przede wszystkim, Ubi w domowych warunkach dzielimy na dwie kategorie: serię EdgeMax i Unifi. Wcześniej używałem EdgeMax (ER-X, potem ER4) i tam większość rzeczy konfigurowało się głownie z CLI. Jako, że zacząłem hostować swoje strony i maile, wiedziałem, że warto mieć jakieś sensowne zabezpieczenie, bo jestem świadomy skanowania portów etc. Postanowiłem pójść już w wyższą półkę i zainwestować z Ubiquiti Dream Machine Pro. Jest to bardziej zaawansowany router, z Controlerem UNIFI - do zarządzania całą siecią serii Unifi z jednego, centralnego miejsca. Czyli - od routera, przez switche i anteny WiFi. Router ten (DMP w skrócie) ma wbudowany sprawnie działający IPS - intrusion prevention system o maksymalnej przepustowości 3,5Gbit/s.
Ale od początku. Tak wygląda główny panel na routerze:
Prosto, przejrzyście, jasno. Prędkość łącza i aktualna przepustowość, dane o klientach, aplikacjach (włączone DPI- deep packet inspection) i trochę informacji o WiFi.
Zakładka 3, UNIFI - wszystkie widoczne urządzenia UNIFI w całej sieci, którymi możemy zarządzać - tak jak wyżej, jasno i przejrzyście. Widać jak na dłoni, które urządzenia i w jakiej mierze korzysta w internetu a po kliknięciu któregoś urządzenia - szybka konfiguracja.
Dość o pierdołach, do meritum. Ostatnio na forum wiele osób pisało, że ich Qnapy są atakowane, że jak to tak, przecież Qnapy powinny być bezpieczne. Oczywiście są, jak nie otwierasz portów i nie pokazujesz światu, drzwi prosto do swojego serwera. Boty skanują sieć bez przerwy, aż w. końcu któryś Cię namierzy i zaczyna atakować Twój serwer, bo zostawiłeś drzwi lekko uchylone. Najlepiej, najbezpieczniej zostawić tylko porty do jakiegoś VPN i nie ma problemu. Co innego, jak potrzebne są inne usługi, jak np. FTP, WWW. Port 80 po którym łączą się strony (443 https) są nisko i każdy skaner namierza je w sekundy. W tej sytuacji, korzystam z IPS, żeby się zabezpieczyć, przed różnego rodzaju atakami.
Ubiquiti robi to jak Apple: prosto i przejrzyście i przede wszystkim dobrze. Jeden klik i ustalasz jaką chcesz ochronę i… tyle. Intrusion Prevention System zapobiega wszelakim atakom, blokując dane IP jeżeli próbują się dobrać do Twojej sieci. Dostajesz tylko komunikaty, z jakiego IP pochodził atak, na jaki port i jakiego rodzaju to atak, na jakiej podstawie został on zablokowany. Nie jest to jedna lista, tylko jest tego od groma.
Jak widać na powyższym obrazku, ataków jest sporo, więc warto się zabezpieczyć. Większość z Was trzyma ważne dane na serwerach, myślicie o RADIdach 10, 20 czy 100, a często zapomina się o tak podstawowej rzeczy jak o zabezpieczeniu dostępu do swojej sieci. Jeżeli ktoś Wam wpadnie do sieci, to RAID3000 Wam nic nie da, bo ktoś zaszyfruje Wasze dane (tak bywało). W ostatnim czasie głośno było o eCh0raix ten ransomware dał się wielu użytkownikom we znaki. Fakt, że sami sobie winni, bo większość używała haseł w stylu daniel1 lub 123456, ale lwia część użytkowników nie miała żadnych zabezpieczeń. Wtedy, wszystkie dane przepadły. Nawet dziś na czacie, @SiewcaRyżu śmiał się z PEKAES, bo im wykradli dane. 65GB danych ujawnionych w sieci. Zapewne mieli na 1/4 etatu informatyka za 500 złotych, który nawet nie wiedział i nie miał możliwości im zabezpieczyć sieci. Dziś, gdzie życie toczy się w internecie, na NASach trzyma się praktycznie wszystko, te dodatkowe kilka złotych w dobry router, a nie Dlinka <hehe> nie jest kosmiczną inwestycją, biorąc pod uwagę możliwe negatywne konsekwencje naszych zaniedbań.
Oczywiście, jest inna możliwość - pfsense lub opensense, o czym pisał na swoim blogu członek naszej załogi @grzenio.
Ale na dobry początek, niech każdy zacznie od QuFirewall.....
Przede wszystkim, Ubi w domowych warunkach dzielimy na dwie kategorie: serię EdgeMax i Unifi. Wcześniej używałem EdgeMax (ER-X, potem ER4) i tam większość rzeczy konfigurowało się głownie z CLI. Jako, że zacząłem hostować swoje strony i maile, wiedziałem, że warto mieć jakieś sensowne zabezpieczenie, bo jestem świadomy skanowania portów etc. Postanowiłem pójść już w wyższą półkę i zainwestować z Ubiquiti Dream Machine Pro. Jest to bardziej zaawansowany router, z Controlerem UNIFI - do zarządzania całą siecią serii Unifi z jednego, centralnego miejsca. Czyli - od routera, przez switche i anteny WiFi. Router ten (DMP w skrócie) ma wbudowany sprawnie działający IPS - intrusion prevention system o maksymalnej przepustowości 3,5Gbit/s.
Ale od początku. Tak wygląda główny panel na routerze:
Prosto, przejrzyście, jasno. Prędkość łącza i aktualna przepustowość, dane o klientach, aplikacjach (włączone DPI- deep packet inspection) i trochę informacji o WiFi.
Zakładka 3, UNIFI - wszystkie widoczne urządzenia UNIFI w całej sieci, którymi możemy zarządzać - tak jak wyżej, jasno i przejrzyście. Widać jak na dłoni, które urządzenia i w jakiej mierze korzysta w internetu a po kliknięciu któregoś urządzenia - szybka konfiguracja.
Dość o pierdołach, do meritum. Ostatnio na forum wiele osób pisało, że ich Qnapy są atakowane, że jak to tak, przecież Qnapy powinny być bezpieczne. Oczywiście są, jak nie otwierasz portów i nie pokazujesz światu, drzwi prosto do swojego serwera. Boty skanują sieć bez przerwy, aż w. końcu któryś Cię namierzy i zaczyna atakować Twój serwer, bo zostawiłeś drzwi lekko uchylone. Najlepiej, najbezpieczniej zostawić tylko porty do jakiegoś VPN i nie ma problemu. Co innego, jak potrzebne są inne usługi, jak np. FTP, WWW. Port 80 po którym łączą się strony (443 https) są nisko i każdy skaner namierza je w sekundy. W tej sytuacji, korzystam z IPS, żeby się zabezpieczyć, przed różnego rodzaju atakami.
Ubiquiti robi to jak Apple: prosto i przejrzyście i przede wszystkim dobrze. Jeden klik i ustalasz jaką chcesz ochronę i… tyle. Intrusion Prevention System zapobiega wszelakim atakom, blokując dane IP jeżeli próbują się dobrać do Twojej sieci. Dostajesz tylko komunikaty, z jakiego IP pochodził atak, na jaki port i jakiego rodzaju to atak, na jakiej podstawie został on zablokowany. Nie jest to jedna lista, tylko jest tego od groma.
Jak widać na powyższym obrazku, ataków jest sporo, więc warto się zabezpieczyć. Większość z Was trzyma ważne dane na serwerach, myślicie o RADIdach 10, 20 czy 100, a często zapomina się o tak podstawowej rzeczy jak o zabezpieczeniu dostępu do swojej sieci. Jeżeli ktoś Wam wpadnie do sieci, to RAID3000 Wam nic nie da, bo ktoś zaszyfruje Wasze dane (tak bywało). W ostatnim czasie głośno było o eCh0raix ten ransomware dał się wielu użytkownikom we znaki. Fakt, że sami sobie winni, bo większość używała haseł w stylu daniel1 lub 123456, ale lwia część użytkowników nie miała żadnych zabezpieczeń. Wtedy, wszystkie dane przepadły. Nawet dziś na czacie, @SiewcaRyżu śmiał się z PEKAES, bo im wykradli dane. 65GB danych ujawnionych w sieci. Zapewne mieli na 1/4 etatu informatyka za 500 złotych, który nawet nie wiedział i nie miał możliwości im zabezpieczyć sieci. Dziś, gdzie życie toczy się w internecie, na NASach trzyma się praktycznie wszystko, te dodatkowe kilka złotych w dobry router, a nie Dlinka <hehe> nie jest kosmiczną inwestycją, biorąc pod uwagę możliwe negatywne konsekwencje naszych zaniedbań.
Oczywiście, jest inna możliwość - pfsense lub opensense, o czym pisał na swoim blogu członek naszej załogi @grzenio.
Ale na dobry początek, niech każdy zacznie od QuFirewall.....
