16-04-2020, 11:08 PM (Este mensaje fue modificado por última vez en: 16-04-2020, 11:08 PM por Ganekogorta.)
Hola
Cierra los accesos a la nas desde internet (todos los puertos YA)
Te están intentando entrar.
¿La tienes en la DMZ? ¿Como es que te intentan acceder?
Luego, activa la seguridad de la nas en el panel de control, haz que queden bloqueados para siempre los que fallan en su intento X veces en 30 minutos.
Luego abre los puertos mínimos y que necesites para trabajar con tu nas desde el exterior a tu red. Pero si no es tu caso, no abras puertos al exterior.
Nunca abras el puerto SSH, ni el telnet, ni SMB. Como mucho el https y sabiendo que tienes claves robustas.
Un saludo
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
17-04-2020, 07:54 AM (Este mensaje fue modificado por última vez en: 17-04-2020, 08:02 AM por nilsans.)
(16-04-2020, 11:08 PM)Ganekogorta escribió: Hola
Cierra los accesos a la nas desde internet (todos los puertos YA)
Te están intentando entrar.
¿La tienes en la DMZ? ¿Como es que te intentan acceder?
Luego, activa la seguridad de la nas en el panel de control, haz que queden bloqueados para siempre los que fallan en su intento X veces en 30 minutos.
Luego abre los puertos mínimos y que necesites para trabajar con tu nas desde el exterior a tu red. Pero si no es tu caso, no abras puertos al exterior.
Nunca abras el puerto SSH, ni el telnet, ni SMB. Como mucho el https y sabiendo que tienes claves robustas.
Pues no se como me están intentando entrar .. pero me he acojinado
LA DMZ la tengo desactivada en el router
los puerto que tengo abiertos son : el HTTP que es el 80 el de el SSL que es el 443 y uno del Torrent y otro del plex
Entrar no han entrado no he visto ninguna IP desconocida en usuarios conectados
Los puertos necesarios para entrar desde fuera son el: 8080, 8082 y el ftp que es el 20?
17-04-2020, 09:39 AM (Este mensaje fue modificado por última vez en: 17-04-2020, 09:47 AM por Ganekogorta.)
Hola
Vale, al no conocer tu escenario, me he puesto en el peor ... nas en DMZ [emoji33]
Pregunta ¿es necesario que tengas el 80 accesible desde internet? Seguro que no
En cuanto al 443, en tus manos queda, pero si no es estrictamente necesario, yo no haría accesible. Otra cosa es que me digas que tienes una web pública a la que van a acceder usuarios externos. Es recomendable que actives un certificado ssl tipo al de letsencrypt con dominio myqnapcloud.com
Lo de Plex y Torrent adelante.
No te recomiendo hacer visible el ftp de cara a internet, tampoco ssh, telnet, smb,... en realidad sólo habrías de abrir aquello mínimo indispensable que vaya a ser usado por otros usuarios. Como por ejemplo el https si fuese el caso
Si lo que quieres es gestionar la nas externamente y acceder a sus servicios desde un pc o móvil. Recomiendo activar el servidor OpenVPN y abrir únicamente el puerto de OpenVPN. Una vez se conecte tu equipo por vpn, accedes a todo lo de tu nas. Es decir tendríamos un único puerto abierto (cuando toque renovar el certificado ssl, hay que abrir el 80 y el 443 durante la renovación).
Independientemente de lo anterior, hay que activar la seguridad para ir creando una lista negra de ip con intentos fallidos [emoji48]
Vas a panel de control, seguridad y actívanos algo similar a las siguientes capturas:
No hace falta que se tome al pie de la letra, es orientativo, pero espero que se vea la idea de la sección seguridad
Un saludo
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
17-04-2020, 12:15 PM (Este mensaje fue modificado por última vez en: 17-04-2020, 12:19 PM por nilsans.)
(17-04-2020, 09:39 AM)Ganekogorta escribió: Hola
No te recomiendo hacer visible el ftp de cara a internet, tampoco ssh, telnet, smb,... en realidad sólo habrías de abrir aquello mínimo indispensable que vaya a ser usado por otros usuarios. Como por ejemplo el https si fuese el caso
Si lo que quieres es gestionar la nas externamente y acceder a sus servicios desde un pc o móvil. Recomiendo activar el servidor OpenVPN y abrir únicamente el puerto de OpenVPN. Una vez se conecte tu equipo por vpn, accedes a todo lo de tu nas. Es decir tendríamos un único puerto abierto (cuando toque renovar el certificado ssl, hay que abrir el 80 y el 443 durante la renovación).
vale en seguridad lo he puesto como el tuyo
en cuanto al los puertos del router lo he dejado asi, cierro alguno mas?
lo que no me quedo muy claro es lo del OpenVPN donde se activa no lo veo en el qnap
17-04-2020, 01:04 PM (Este mensaje fue modificado por última vez en: 17-04-2020, 01:11 PM por Ganekogorta.)
Hola
Yo dejaría cerrados el 80 y el 8080 y también el ftp. Todos son puertos sin seguridad.
El Ftp nativo de qnap tiene (a lo mejor ya lo han arreglado) una vulnerabilidad. Además en caso de necesitar uno es mejor usar ftps o mejor aún sftp. Echa una ojeada a este artículo https://www.goanywhere.com/es/blog/sftp-...iferencias
Hola
Activa la seguridad y deja que vayan cayendo a la lista negra por exceso de intento fallidos [emoji48]
Y en cuanto una dmz. Es la abreviatura de Zona DesMilitarizada. Es una zona que no está bajo el paraguas de la seguridad de un router. Es decir tiene accesible todos los puertos [emoji2962]
Puedes echar una ojeada más en este enlace https://www.redeszone.net/2017/01/17/dmz...ilizacion/
Ni que decir tiene que NO hay que poner a los dispositivos en la DMZ, a no ser que quiera hacerse alguna prueba puntual y de poca duración.
Un saludo
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TS-453Be y TVS-673)
Un saludo
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
18-04-2020, 08:54 AM (Este mensaje fue modificado por última vez en: 18-04-2020, 08:59 AM por nilsans.)
(17-04-2020, 06:40 PM)bayuca escribió: Buenas .
A mi me ha ocurrido lo mismo que al compañero .
Una misma ip , ha intentado acceder , pero una barbaridad de veces en espacios de 1 segundo .
Que hago ¡¡¡¡¡ a parte de bloquear esa ip.
Que es la DMZ ?
La misma IP incluso teniéndola bloqueada y fuertos cerrados siguiendo todos loa consejos de seguridad de tu post, me esta intentando entrar otra vez y no se como ya ...
en 2 minutos mas de 100 intentos NAS Name: QnapNil Severity: Error Date/Time: 2020/04/18 08:50:48
App Name: Users Category: Login Message: [Users] Failed to log in via user account "admin". Source IP address: 202.72.245.58.
(17-04-2020, 10:56 PM)Ganekogorta escribió: Hola
Activa la seguridad y deja que vayan cayendo a la lista negra por exceso de intento fallidos [emoji48]
Y en cuanto una dmz. Es la abreviatura de Zona DesMilitarizada. Es una zona que no está bajo el paraguas de la seguridad de un router. Es decir tiene accesible todos los puertos [emoji2962]
Puedes echar una ojeada más en este enlace https://www.redeszone.net/2017/01/17/dmz...ilizacion/
Ni que decir tiene que NO hay que poner a los dispositivos en la DMZ, a no ser que quiera hacerse alguna prueba puntual y de poca duración.
Un saludo
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TS-453Be y TVS-673)
He leído el enlace y me lío un poco la verdad.
Yo en concreto tengo dos routers . EL de la operadora en mo do router y tengo otro que hace de puente en otra habitación. Entiendo que es en el de la operadora donde tendría que configurar las protecciones. Pero que es lo que tengo que hacer ??
Solo permitir a las ip que quiera ponerlas bajo DMZ ?? si es así, como puedo acceder desde mi móvil por ejemplo desde fuera si cada vez me asignan una ip.
La verdad es que me he acojonado bastante . Ayer configure en el Nas lo que pusiste , pero en el router me lío.