Evitar ataques externos en nuestros NAS QNAP

[Ganekogorta]

Me confundi tratando de cerrar cosas y cerre todo, ahora no puedo conectar al nas, hay modo de iniciarlo sin que cargue el qufirewall [emoji780]

Acabo de darme cuenta que también podemos desactivar aplicaciones instaladas desde la consola ssh.
Adjunto unas capturas para gestionar en este caso “Text Editor”

Vamos a gestión de Aplicaciones


Listamos las instaladas


Selecciona la que me interesa. En este caso TextEditor que la tengo detenida.


Elijo la acción a realizar. Incluso eliminarla con "remove"

[Raulitroxxx]

Hola pelagito

Si no puedes evitar tener accesible la nas vía web desde el exterior usando una vpn, activa medidas más restrictivas en el apartado de seguridad y mediante QuFirewall.

Lo primero en QuFirewall es rechazar accesos de otros países que no sean el nuestro.

Buenos días Ganekogorta, perdona que te haga una pregunta, es que después de leer los consejos que das sobre seguridad, tengo una duda que seguramente sea básica pero que no se como ejecutarla ya que soy un usuario con pocos conocimientos.

La duda que tengo es que me gustaría hacer como aconsejas que no sea accesible mi NAS desde el exterior, pero no se como ejecutar esto, entiendo que de lo que se trata es que no se pueda acceder con la IP externa. A mi, en principio me gustaría acceder desde fuera con la dirección de myqnapcloud o si lograse hacerlo con la VPN (en mi caso OpenVPN). De hecho, he hecho pruebas con la VPN intentado acceder desde fuera quitando la DDNS del myqnapcloud y con ella puesta pero no lo consigo, logro activarla desde fuera, me conecto con la VPN, y de hecho entro en mi router, por lo cual estaría en la red local pero si pongo la ip del nas (que está estática) no me abre la página.

Tengo configurado el Qfirewall, con reglas en subnet, y como primera regla la ip del router, la segunda regla la ip estática de la nas, y luego el puerto de la VPN, del PLEX, y las reglas de solo permitir conexiones provinientes de españa. Con esta configuarción parece que todo va bien pero la cosa es que desde fuera de casa sigo accediendo con la dirección de myqnapcloud y con la ip externa que la veo en el apartado de dns del myqnapcloud.

Espero haberme explicado bien. Gracias de antemano.

[Ganekogorta]

Hola

Vamos a diferenciar y definir algunos conceptos:
- los ddns de myqnapcloud debes usarlos. Si no quieres los de myqnapcloud, debes activarte en algún otro proveedor. Es la única forma de saber tu ip pública para llegar a tu router, a no ser que tengas ip estática. su uso no conlleva ningúngun riesgo de seguridad.
- No confundir myqnapcloud ddns con link o con el certificado ssl. Si recomiendo desactivar el link para acceder a las nas desde la web de qnap.
-en la configuración de la vpn se necesita saber tu ip pública (la informada por tu dirección de ddns) para abrir el túnel hacia tu red.
- en cuanto a Plex desde el exterior, ahí sí que debes abrir el puerto y hacerlo fuera de la vpn, siempre que quieras visionar desde el exterior de tu domicilio. Si no lo haces, no te hace falta abrir ese puerto.

[Raulitroxxx]

Hola

Vamos a diferenciar y definir algunos conceptos:
- los ddns de myqnapcloud debes usarlos. Si no quieres los de myqnapcloud, debes activarte en algún otro proveedor. Es la única forma de saber tu ip pública para llegar a tu router, a no ser que tengas ip estática.
- No confundir myqnapcloud ddns con link o con el certificado ssl. Si recomiendo desactivar el link para acceder a las nas desde la web de qnap.
-en la configuración de la vpn se necesita saber tu ip pública (la informada por tu dirección de ddns) para abrir el túnel hacia tu red.
- en cuanto a Plex desde el exterior, ahí sí que debes abrir el puerto y hacerlo fuera de la vpn, siempre que quieras visionar desde el exterior de tu domicilio. Si no lo haces, no te hace falta abrir ese puerto.

Gracias por responder Ganekogorta.

Vale entonces dejo dns de myqnapcloud activadas, en cuanto a cloudlink si lo tengo desactivado siempre.

El problema mío, no se si es que no entiendo bien el concepto del acceso desde el exterior, es que  cuando refieres a no hacer accesible la nas desde el exterior, ¿para comprobar si es accesibble, tendría que intenetar entrar desde fuera de mi red con la dirección ip externa? Porque si hago eso entro en la web de QTS y me puedo logear, por lo que me da la impresión de que si se accede desde el exterior.

Perdóname si al no enterarme bien, estoy liándome en conceptos. Yo pensé que desde el exterior tendría que conectarme con VPN para que me abriese la web con la dirección externa, pero aunque no esté con la VPN me abre la interfez de QTS y me deja acceder.

Gracias de nuevo por atender las dudas 

[Ganekogorta]

Hola

La forma de saber si tu ip publica de tu dominio es accesible es usar un equipo de fuera de tu casa, o bien un equipo conectado a una red móvil 3g/4g (que es externa).
Y efectuar un escaneado de puertos con alguna herramienta. La mejor es NMAP, pero hay mas.
Al pasarla te dirá los puertos que son accesibles. 
Ahí solo deberías tener activo el de la VPN ( por ejemplo el 3333), si te sale el 443, el 80, el 22, el 21... es que están abiertos mas. Esos números son típicos de HTTPS, HTTP, SSH, FTP,... pero siempre se pueden cambiar y no te puedes fiar. Por ejemplo tu podías hacer cambiado el 80 por 1080 y estaría abierto este último, pero de cara a su funcionalidad y riesgos, son los mismos que el 80.

Vamos a suponer que tienes configurada la VPN con el puerto 3333. 
Si por ejemplo estando en tu domicilio para acceder a la gestión de la nas escribes http://172.16.0.50:8080, desde el exterior con la VPN desconectada... ya puedes escribir lo que quieras que no accedes ni tú, ni nadie.

Ahora nos conectamos con tu nas por VPN al puerto 3333, al escribir es misma dirección http://172.16.0.50:8080, si accederás a la web de gestión. Ya que estar conectado por vpn es  como estar en tu red de casa.
Y lo mismo se aplica a cualquier tipo de puerto y máquina de tu red de casa, accederás a todo como si estuvieses en tu domicilio.

Notarás que tu navegación no es tan rápida como estar en casa, pero es segura. La lentitud se debe a la menor velocidad de tu conexión y a la capa de cifrado que usa la VPN. Pero lo harás con total seguridad y todo el tráfico, aunque sea interceptado por el camino, va cifrado (no sabrán si ves una película o estas transfiriendo un documento).

Además hay otro efecto de la VPN. Supongamos que estás en www.rtve.es sólo permite su acceso a la gente que está en España. Estando en Francia y conectado a tu vpn de tu nas, si podrás conectarte a la web ya RTVE verá que el que accede es la ip publica de tu domicilio y no la de Francia.
Esto último lo saben los británicos, que para visionar contenidos, has de estar en UK y deben usar vpns con salida el UK estando en el extranjero.

[Raulitroxxx]

Hola

La forma de saber si tu ip publica de tu dominio es accesible es usar un equipo de fuera de tu casa, o bien un equipo conectado a una red móvil 3g/4g (que es externa).
Y efectuar un escaneado de puertos con alguna herramienta. La mejor es NMAP, pero hay mas.
Al pasarla te dirá los puertos que son accesibles. 
Ahí solo deberías tener activo el de la VPN ( por ejemplo el 3333), si te sale el 443, el 80, el 22, el 21... es que están abiertos mas. Esos números son típicos de HTTPS, HTTP, SSH, FTP,... pero siempre se pueden cambiar y no te puedes fiar. Por ejemplo tu podías hacer cambiado el 80 por 1080 y estaría abierto este último, pero de cara a su funcionalidad y riesgos, son los mismos que el 80.

Vamos a suponer que tienes configurada la VPN con el puerto 3333. 
Si por ejemplo estando en tu domicilio para acceder a la gestión de la nas escribes http://172.16.0.50:8080, desde el exterior con la VPN desconectada... ya puedes escribir lo que quieras que no accedes ni tú, ni nadie.

Ahora nos conectamos con tu nas por VPN al puerto 3333, al escribir es misma dirección http://172.16.0.50:8080, si accederás a la web de gestión. Ya que estar conectado por vpn es  como estar en tu red de casa.
Y lo mismo se aplica a cualquier tipo de puerto y máquina de tu red de casa, accederás a todo como si estuvieses en tu domicilio.

Notarás que tu navegación no es tan rápida como estar en casa, pero es segura. La lentitud se debe a la menor velocidad de tu conexión y a la capa de cifrado que usa la VPN. Pero lo harás con total seguridad y todo el tráfico, aunque sea interceptado por el camino, va cifrado (no sabrán si ves una película o estas transfiriendo un documento).

Además hay otro efecto de la VPN. Supongamos que estás en www.rtve.es sólo permite su acceso a la gente que está en España. Estando en Francia y conectado a tu vpn de tu nas, si podrás conectarte a la web ya RTVE verá que el que accede es la ip publica de tu domicilio y no la de Francia.
Esto último lo saben los británicos, que para visionar contenidos, has de estar en UK y deben usar vpns con salida el UK estando en el extranjero.

Muchísimas gracias por tu  ayuda tan extensa y clara Ganekogorta, tengo aquí información para trastear y ver si logro configurar como aconsejas. 

Gracias de nuevo por tu colaboración, la verdad es que es un mundo bonito pero sin ayuda imposible de avanzar.

Un saludo, comentaré si lo he logrado.

[Ganekogorta]

Hola
No pasa nada. Si no sabe algo, se pregunta.

Es importante ir paso a paso y no lanzarse a todo de golpe que las nas tienen muchas funcionalidades y no necesitamos todas.

[eskatubeer]

Muchas gracias por este post.
Por fin he podido eliminar esos intentos de conexiones.
Tenia configurada unas reglas, pero al ser de diferentes IPs, no los conseguía bloquear.
Muchas gracias.

[Raulitroxxx]

Hola

La forma de saber si tu ip publica de tu dominio es accesible es usar un equipo de fuera de tu casa, o bien un equipo conectado a una red móvil 3g/4g (que es externa).
Y efectuar un escaneado de puertos con alguna herramienta. La mejor es NMAP, pero hay mas.
Al pasarla te dirá los puertos que son accesibles. 
Ahí solo deberías tener activo el de la VPN ( por ejemplo el 3333), si te sale el 443, el 80, el 22, el 21... es que están abiertos mas. Esos números son típicos de HTTPS, HTTP, SSH, FTP,... pero siempre se pueden cambiar y no te puedes fiar. Por ejemplo tu podías hacer cambiado el 80 por 1080 y estaría abierto este último, pero de cara a su funcionalidad y riesgos, son los mismos que el 80.

Vamos a suponer que tienes configurada la VPN con el puerto 3333. 
Si por ejemplo estando en tu domicilio para acceder a la gestión de la nas escribes http://172.16.0.50:8080, desde el exterior con la VPN desconectada... ya puedes escribir lo que quieras que no accedes ni tú, ni nadie.

Ahora nos conectamos con tu nas por VPN al puerto 3333, al escribir es misma dirección http://172.16.0.50:8080, si accederás a la web de gestión. Ya que estar conectado por vpn es  como estar en tu red de casa.
Y lo mismo se aplica a cualquier tipo de puerto y máquina de tu red de casa, accederás a todo como si estuvieses en tu domicilio.

Notarás que tu navegación no es tan rápida como estar en casa, pero es segura. La lentitud se debe a la menor velocidad de tu conexión y a la capa de cifrado que usa la VPN. Pero lo harás con total seguridad y todo el tráfico, aunque sea interceptado por el camino, va cifrado (no sabrán si ves una película o estas transfiriendo un documento).

Además hay otro efecto de la VPN. Supongamos que estás en www.rtve.es sólo permite su acceso a la gente que está en España. Estando en Francia y conectado a tu vpn de tu nas, si podrás conectarte a la web ya RTVE verá que el que accede es la ip publica de tu domicilio y no la de Francia.
Esto último lo saben los británicos, que para visionar contenidos, has de estar en UK y deben usar vpns con salida el UK estando en el extranjero.

Buenas de nuevo Ganekogorta, he trasteado y leído y por fin voy cogiendo mejor algunos conceptos, o eso creo jeje  .

Ya tengo cerrado el acceso desde el exterior, ya que no se accede fuera de mi red local ni a mi ip pública ni al dominio de myqnapcloud. Por otro lado, tengo ya activa la VPN (OpenVPN) tanto para el portátil como para el iphone, y accedo desde fuera conectandome de forma local, para ello he redireccionado de forma remota en OpenVPN hacia el dominio de myqnapcloud, ya que las ip públicas van cambiando y se pierde si no la conexión. Hasta aquí creo que todo bien.

La gran duda que me queda respecto a esto es que no se porqué solo me funciona el iphone con la VPN si quito qufirewall (adjunto imagen de mi configuración), si lo tengo activado (qufirewall) me aparece la indicación VPN en el teléfono y la conexión en verde pero no conecta y no puedo navegar. Imagino que perderá las dns, pero no entiendo porque el qufirewall no me corta la conexión en el cliente del portátil y sí en el iphone cuando el archivo de configuración es el mismo, eso sí solo he creado un perfil de cliente (no se si es correcto).

Por último, instalé NMAP como aconsejaste y filtro la ip pública (tengo router de movistar) y me aparece el puerto 21 ftp abierto, cosa que sería una gran vulnerabilidad, pero mirando con otras herramientas y en el router no aparece abierto, es curioso, no se si a alguien le pasa también, me da la impresión que debe de ser algún protocolo que utiliza este router que estará solo en escucha o algo así.

Un saludo.

[yeraycito]

Hola, con qufirewall activo el iphone no te conecta porque no les has dado acceso mientras que al portatil sí le has dado acceso en qufirewall. Me explico. Al crear el servidor Openvpn en el nas lo habrás creado con un rango de direcciones ips para los distintos clientes que se van a conectar. Viendo la imagen que has puesto has debido de crear en el servidor Openvpn un rango de direcciones parecido a esto   192.168.1.50 - 192.168.1.52. También puedes haber hecho otro rango parecido pero a la vez distinto como por ejemplo   192.168.1.51 - 192.168.1.100 o también 192.168.1.52 - 192.168.1.60. Como ves las posibilidades son múltiples. 

En la imagen que has puesto tienes arriba 2 reglas. Con la primera regla pretendes dar acceso a una red entera que sería la que tienes configurada en Openvpn: 192.168.1.52/24. El problema es que esto de primeras ya está mál. Independientemente de los rangos que te he puesto antes la red correcta y que tendrías que poner sería 192.168.1.0/24.

La segunda regla que tienes en qufirewall es una regla de entrada en el puerto de openvpn y el protocolo udp con una única ip que has puesto: 192.168.1.52 que es la misma ip que has puesto en la primera regla. Así que sólo estás dando acceso a esta última ip que, por lo que dices, va a ser la que se le ha asignado al portatil.

Solución:

Elimina las dos reglas de arriba de qufirewall y crea una sóla en el puerto 1194, con el protocolo UDP y pones cómo origen 192.168.1.0/24

Una red tiene un rango de 254 posibles ips. La red 192.168.1.0/24 abarca desde la 192.168.1.0 hasta la 192.168.1.254 incluida la ip que has puesto 192.168.1.52 que será la de tu portatil y también la ip que se haya asignado al iphone. Para poner una regla de acceso en qufirewall basada en la red a la que le quieres dar acceso hay que poner la primera ip de esa red. Esto no tiene nada que ver con las ips de los clientes de Openvpn que hayas configurado porque lo que haces es asignar unas ips en el rango de la red que has escogido 192.168.1.0/24 que abarca desde la ip 0 a la 254.
Con esa red que pones como origen ya te cubre todos los rangos posibles que hayas configurado en Openvpn para los clientes de acuerdo a la imagen que has puesto.

En el nas, en el servidor Openvpn NO tienes que tocar nada.

A tener en cuenta: La red que crees en Openvpn tiene que ser siempre distinta a la que tengas en tu red lan. Si tu router y tu lan tiene la red 192.168.0.1 en este caso la tendrías bien porque tienes puesta la 192.168.1.0 para Openvpn.