Habemus cortafuegos de Qnap
#1
Thumbs Up 
Hola

Por fin Qnap tras los múltiples problemas de seguridad en las máquinas expuestas a Internet ha creado una app qpkg que es un cortafuegos llamado QuFirewall

   

Todavía esta en Beta, no soy amigo de las Betas pero visto como está el panorama de la seguridad recomiendo instalarla sobre todo de cara a una función que creo importante.

La instalación es sencilla, como cualquier qkpg. De momento está en español de Shakespeare   Tongue
   

Si ya tenemos activada la seguridad en el panel de control de bloqueo de ips, las incorporará Smile
   

Aquí nos da la opción de elegir entre tres opciones. 
Digamos que con la básica nos sirve para empezar, la segunda nos permite mas control sobre subredes y en la tercera tendremos más opciones aún.

Básicamente nos dan mas control a nivel de las diversa tarjetas de red a los que NAS puede acceder. 

Siempre podemos cambiarlos mas adelante.

   

Esta la veo muy interesante, por fin ponen bloqueos por GeoIP. Si elegimos Spain hará un filtrado y sólo permite ips de ese pais.
No es un bloqueo infalible, ya que cualquier "extranjero" si accede por una VPN con salida en España podrá intentar acceder.

Veo que luego la regla se puede editar y agregar mas países Smile


En este caso es una lista blanca de un país, pero no habría estado mal el permitir una lista negra de países a bloquear.
   

   

Aquí vemos todas las reglas que se están aplicando a todos mis adaptadores y entradas de red.
Ya veis que si elijo en vez de protección básica elijo una de las otras, el número de reglas aumenta.
   

Siempre podemos agregar reglas personalizadas a nuestra necesidades.

Recordad que lo mejor es cerrar todo por defecto y según vayamos necesitando, iremos abriendo los mínimos y necesarios accesos.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#2
buena noticia
Away
  Reply
#3
Buenisima,

Ya está instalado. A ver que tal.
  Reply
#4
Ganekogorta comenta: En este caso es una lista blanca de un país, pero no habría estado mal el permitir una lista negra de países a bloquear.

Se pueden bloquear perféctamente todos los paises que queramos. En cualquiera de los 3 Firewall Profiles de que disponemos le damos a Edit Profile y a continuación le damos a Add Rule:

   

Escogemos Deny y Region ( los paises o regiones que queramos ). Nota: El programa sólo deja escoger 14 países o regiones en una regla. Si queremos bloquear más deberemos crear más reglas.

   

Una vez realizado esto en un cortafuegos son tan importantes las reglas como su orden. El orden de ejecución de las reglas son de arriba hacia abajo. Por tanto las reglas que bloqueen tienen que estar arriba del todo. Así que una vez hayamos creado las reglas las subimos a la parte superior. Una vez creada la regla en la parte izquierda de la misma hay un botón que nos permite desplazarlas donde queramos.

   

   

Perdonadme pero no sé por qué al redactar el mensaje me sale intercalado font serif.....no se que. No encuentro la manera de quitarlo

Se me olvidaba, la regla que hay que dejar arriba del todo es la regla de salida del adaptador de red que tengamos. Si no lo hacemos así nos bloquea el acceso al nas ( me ha pasado a mí ). No debería de ser así pero pasa ya que las reglas de bloqueo son de entrada y no deben de afectar a las reglas de salida. Bug del programa.

   
  Reply
#5
Por cierto, otro sinsentido que he visto es que en la lista de paises a autorizar o bloquear ( Italia, Francia, Suiza, Camerún, etc ) hay uno llamado """Europe""". Así que cuidadín con el. Y ahora unas curiosidades didácticas para que os hagais una idea de todo esto. Las listas de bloqueo por paises que incluye este nuevo cortafuegos de Qnap las gestiona la empresa Maxmind: https://dev.maxmind.com/geoip/geoip2/geolite2/
Esta empresa tiene varias listas por paises de ips maliciosas que se diferencian entre gratuitas y de pago. Las de pago se diferencian de las gratuitas en la cantidad de ips que contienen y en la frecuencia de actualización. Lógicamente es de esperar que las que incluye Qnap en este cortafuegos serán las gratuitas. Estas listas se pueden implementar en otros cortafuegos. Para que veais como son os pongo una captura ( tengo todos los paises bloqueados excepto España ):

   

Y para que os hagais una idea de la cantidad de ips que se bloquean ( todos los paises bloqueados excepto España ), otra captura:

   

Si os fijais en la parte derecha hay cerca de 400.000 entradas que hay que multiplicar por 20 ips que contiene cada entrada. O sea, cerca de 8 millones de ips distintas.
Como he dicho antes estas listas se actualizan cada cierto tiempo. Una captura a dia de hoy de la última actualización:

   

Como se ve se actualizaron el pasado dia 27 pero ya os digo que más o menos se actualizan cada 15 dias. Estoy hablando de la versión gratuita.

Y por si teneis algún cortafuegos en que podais implementar listas de bloqueo existen unas listas llamadas FireHOL mucho mejores que de las que estoy hablando. Son totálmente gratuitas y se actualizan varias veces al dia. Las podía haber incorporado Qnap al software. Las mejores son las FireHOL-Level1 - Level2 y Level3. 

Se pueden ver aquí: https://iplists.firehol.org/

Por ejemplo, la Level1 a día de hoy y a esta hora tiene más de 600 millones de ips maliciosas. Una captura:

   

Si alguno teneis algún cortafuegos donde poder implementarlas os pongo un enlace de un tutorial que hice en su momento para poder hacerlo:

https://forum.opnsense.org/index.php?topic=17596.0
  Reply
#6
Hola

Muy buenas aportaciones con esas listas

En cuanto al orden de las reglas es lo habitual. Se sigue un orden estricto de filtrado. Por ello las más restrictivas deben ir en las últimas posiciones.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#7
(01-11-2020, 11:01 PM)Ganekogorta Wrote: Hola

Muy buenas aportaciones con esas listas

En cuanto al orden de las reglas es lo habitual. Se sigue un orden estricto de filtrado. Por ello las más restrictivas deben ir en las últimas posiciones.

Gracias, ya sabes que me debes un Txakoli......( o dos...).... Smile

Por si te sirve de ayuda. Como he dicho las 3 listas más importantes son la Level1, Level2 y Level3, pero en https://iplists.firehol.org/ hay más listas. Te pongo una captura de las que yo utilizo:

   

Como se ve las tengo puestas como reglas de bloqueo de entrada en la Wan pero también se pueden poner como reglas de bloqueo de salida en la Lan para impedir el acceso a sitios maliciosos.

Nota: El número de Txakolis que me debes acaba de aumentar exponenciálmente...... Big Grin
  Reply
#8
Y hablando de seguridad. Nueva versión de firmware con varias correcciones de vulnerabilidades:

- Fixed a command injection vulnerability (CVE-2020-2509).
- Fixed a Python code injection vulnerability.
- Fixed an improper access control vulnerability.
- Fixed a command injection vulnerability.
- Fixed a security vulnerability in the Linux kernel (CVE-2020-24394).
  Reply
#9
(26-11-2020, 05:36 PM)yeraycito Wrote: Y hablando de seguridad. Nueva versión de firmware con varias correcciones de vulnerabilidades:

- Fixed a command injection vulnerability (CVE-2020-2509).
- Fixed a Python code injection vulnerability.
- Fixed an improper access control vulnerability.
- Fixed a command injection vulnerability.
- Fixed a security vulnerability in the Linux kernel (CVE-2020-24394).

actualizando y probando  Confused
Away
  Reply
#10
(26-11-2020, 08:55 PM)antonio13 Wrote:
(26-11-2020, 05:36 PM)yeraycito Wrote: Y hablando de seguridad. Nueva versión de firmware con varias correcciones de vulnerabilidades:

- Fixed a command injection vulnerability (CVE-2020-2509).
- Fixed a Python code injection vulnerability.
- Fixed an improper access control vulnerability.
- Fixed a command injection vulnerability.
- Fixed a security vulnerability in the Linux kernel (CVE-2020-24394).

actualizando y probando  Confused


pues tras actualizar me ha desconectado de myqnapcloud.y he tenido que volver a registrarme.
menos mal que no he tenido ningun problema con las contraseñas,pero mis dispositivos se han tenido que volver a parear.aviso,al que no ha actualizado aun por si le pasa lo mismo
Away
  Reply




Users browsing this thread: 1 Guest(s)