Qnap QuFirewall

SCUDERIA

Apprenti
16 Février 2018
32
1
8
Hello,
Avec le dernier QTS est apparu ce Firewall dans Security Counselor.
Je l'ai donc activé, en laissant les parametres originaux et en activant Basic Protection.
Depuis toute les heures j'ai une alerte, pour me dire que plus de 30 paquets ont été refusé.
Sur 24h, j'ai 85000 paquets de refusé.
D'après vous que dois-je faire ?
 
Bonjour,
J'ai également activé QuFirewall il y a quelques jours et reçois les même notifications depuis.
Plus gênant, ce matin, le NAS n'était plus visible sur le réseau et l'interface admin plus accessible. Après redémarrage forcé, les fichiers sont à nouveau accessibles, mais pas l'interface admin....
En lien avec QuFirewall? En tous cas, il n'était pas annoncé comme en bêta, sauf l'icone une fois installé....
 
Security Counselor, c'est le truc qui ne sert à rien à part nous faire ch**
Supprimé il y a longtemps :geek:
 
Bonjour

Les alertes c'est cool avoir le détaille de l'alerte serrait mieux car savoir que quelqu'un essaie d'entrer la ou il n'a pas le droit c'est bien mais sens avoir la possibilité de savoir qui c'est ca ne sert vraiment pas a grand chose faut dire
Dans les option apparemment de QuFirewall les log sont garder 30 jours apparemment mais ou sont stocké les fameux logs ?

Car moi ce qui m'intéresse c'est de savoir si cela viens d'un des réseau interne ou du wan et dans ce cas le bloquer au niveau router directement et non attendre que les paquet continu d'arriver jusqu'au NAS l'idée est bonne mais ca manque clairement option et de détails car une alerte simple ont va pas aller bien loin avec ca.

Si vous avez des infos je suis preneur pour l'emplacement des logs actuellement seul truc trouvé est une capture de 30 minutes des paquets pour déterminer la sources donc clairement pas pratique.

Bonne journée
 
Perso je n'ai pas installé QuFirewall sur mon Nas . En ce qui concerne les Log il existe : QuLog Center avec un journal des évènements système et un journal des accès au système
 
zypos a dit:
Perso je n'ai pas installé QuFirewall sur mon Nas . En ce qui concerne les Log il existe : QuLog Center avec un journal des évènements système et un journal des accès au système

Bonjour @zypos merci pour votre réponse
Malheureusement QuLog est encore une appli qui ne sert malheureusement pas a grand chose car NON complète malheureusement car celle ci ne répertorie seulement les identifications fait sur le system identification intégrer au NAS et donc les logs ou accès autre (vms, container, ect) sont tout simplement ignorés d'où le QuFirewall qui pourrait être vraiment pertinent pour vérifier ou logger c'est accès réseau au minimum source et destination mais même cela QuFirewall n'est pas capable de le faire avant avec la pseudo blacklist intégrer au system au moins je pouvais envoyer un mail ou sms auto avec l'IP en claire qui avait tenté énormément accès au NAS maintenant faudrait la même chose pour QuFirewall car nous prévenir d'une potentiels attaque avec le nombre X de packet émis contre le NAS c'est bien mais cela sert pas a grand chose si ont ne peux identifier l'attaquant potentiel.

Mais merci de ton aide et effectivement si c'est une personne qui essai de s'identifier sur un des services du NAS qui utilise le system authentification intégrer au NAS dans ce cas la votre image dans le précédent message correspond tous a fait pour identifier le coupable et pourquoi pas récupérer IP et la blacklister en amont sur le ROUTER

Bonne journée
 
identifier le coupable et pourquoi pas récupérer IP et la blacklister en amont sur le ROUTER
De mon expérience perso , la majorité des tentatives de connexion indésirable provienne de robots ; utilisant comme identifiant : admin , user , guest , administrator ....
Par des connexions très rapprocher ( pour ne pas dire en rafale) il essaye de bloquer le serveur
Récupérer l' IP ne sert pas à grand chose car dans ce cas l'IP est très volatile . Effectivement je n'ai ni VM ni conteneur :? d'où ma réponse
 
Bonjour,

J'ai installé cette appli, et choisi le mode Restricted Security.

Sur mon mail je suis spam sans cesse du message suivant :

Nom de l'appli : QuFirewall
Catégorie : Événements de pare-feu
Message : [QuFirewall] In time of 2021-04-28 11:36:01 ~ 2021-04-28 11:37:01, the denied amount reach the set threshold: 30.

Que faut il comprendre ?

De plus, depuis l'attaque sur mon Nas ( Qlocker ), j'ai désactivé :

Qnapcloud
Réacheminement des ports UpnP
My DDNS
MyQnapCloudLink

Donc en théorie mon nas n'est plus accessible depuis l'extérieur, donc à quoi correspond le message d'alerte du firewall ?

Merci
 
Ishido a dit:
Bonjour,

J'ai installé cette appli, et choisi le mode Restricted Security.

Sur mon mail je suis spam sans cesse du message suivant :

Nom de l'appli : QuFirewall
Catégorie : Événements de pare-feu
Message : [QuFirewall] In time of 2021-04-28 11:36:01 ~ 2021-04-28 11:37:01, the denied amount reach the set threshold: 30.

Que faut il comprendre ?

De plus, depuis l'attaque sur mon Nas ( Qlocker ), j'ai désactivé :

Qnapcloud
Réacheminement des ports UpnP
My DDNS
MyQnapCloudLink

Donc en théorie mon nas n'est plus accessible depuis l'extérieur, donc à quoi correspond le message d'alerte du firewall ?

Merci

Bonjour @Ishido

Ce message corresponds a un minimum de 30 blocages réalisé par QuFirewall sur des IPs non autorisée dans les règles pare-feu durant la période de temps choisie dans les options de QuFirewall ce peut être autant des tentatives accès des réseaux LAN (interne) que a partir du Wan (externe) pour vérifier cela activez "captures des évènements" durée max 30 min seulement malheureusement moi cela te permettra d'exporter un fichier "QuFirewall_XXXXX.pcap" a la fin celui peux être ouvert avec Wireshark et lu directement ou ouvert avec Wireshark et ensuite exporté en fichier .csv pour le travailler avec des scripts et sortir une liste des IPs uniques attaquantes et les bloquer automatiquement par exemple sur un router en amont.

Mais pour votre cas utiliser Wireshark directement ou simplement exporter en csv grâce à Wireshark puis lire avec notepad++ par exemple permettra identifier quel IP essai d'accéder au NAS et sur quel port exactement et de résoudre vos alertes.

Bonne journée