attacchi mail server

Gestire la posta elettronica sul NAS, sincronizzazione di agenda e contatti
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: attacchi mail server

Messaggio da dMajo »

Alcune precisazioni: i blocchi del firewall si basano sull'origine del traffico. Quello del nas blocca solo il traffico in ingresso e non in uscita.
Per origine s'intende l'iniziatore della sessione/richiesta, il traffico di ritorno/risposta fa parte della stessa regola.
Quindi in caso di ddns il nas sarà sempre in grado di aggiornare il record, a prescindere.
AleROMA79 ha scritto: ecco come l'ho impostato
https://www.dropbox.com/s/42cyi20hh5525 ... l.JPG?dl=0
Non ho intenzione di disquisire sulla scelta delle nazioni del blocco geografico, ognuno faccia come vuole.
Però dal punto di vista tecnico, perche il firewall funzioni va impostato così:
  • nella foto postata, nella tendina dove vedi tutte le interfaccie devi selezionare ogni singola nic del nas (solo la 1 nel caso del tuo DS216) e in fondo alla pagina scegliere "nega" come opzione di default.
    Ora tutto il traffico in ingresso per cui non esiste un eccezione verrà bloccato
  • Poi nella sceda tutte le interfaccie, come prima regola imposti il blocco degli ip geografici segliendo le nazioni che vuoi bloccare e impostando l'azione su "nega"
  • Poi nelle regole successive devi impostare un azione "consenti" per tutti i servizi(porte) che vuoi rendere disponibili come (dsm-5000, smb, le varie station, ...) segliendo tutti gli IP per renderli disponibili da internet
    Oppure scegliendo la subnet locale (presumibilmente 192.168.1.0/24) per renderli accessibili solo dalla LAN.
    (Esempio: tutti gli IP ler le porte aggiuntive ssl delle varie station, ma solo IP locali per il DSM-5000/1)
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
AleROMA79
Utente
Utente
Messaggi: 356
Iscritto il: martedì 23 dicembre 2014, 19:15

Re: attacchi mail server

Messaggio da AleROMA79 »

dMajo ha scritto:Alcune precisazioni: i blocchi del firewall si basano sull'origine del traffico. Quello del nas blocca solo il traffico in ingresso e non in uscita.
Per origine s'intende l'iniziatore della sessione/richiesta, il traffico di ritorno/risposta fa parte della stessa regola.
Quindi in caso di ddns il nas sarà sempre in grado di aggiornare il record, a prescindere.
AleROMA79 ha scritto: ecco come l'ho impostato
https://www.dropbox.com/s/42cyi20hh5525 ... l.JPG?dl=0
Non ho intenzione di disquisire sulla scelta delle nazioni del blocco geografico, ognuno faccia come vuole.
Però dal punto di vista tecnico, perche il firewall funzioni va impostato così:
  • nella foto postata, nella tendina dove vedi tutte le interfaccie devi selezionare ogni singola nic del nas (solo la 1 nel caso del tuo DS216) e in fondo alla pagina scegliere "nega" come opzione di default.
    Ora tutto il traffico in ingresso per cui non esiste un eccezione verrà bloccato
  • Poi nella sceda tutte le interfaccie, come prima regola imposti il blocco degli ip geografici segliendo le nazioni che vuoi bloccare e impostando l'azione su "nega"
  • Poi nelle regole successive devi impostare un azione "consenti" per tutti i servizi(porte) che vuoi rendere disponibili come (dsm-5000, smb, le varie station, ...) segliendo tutti gli IP per renderli disponibili da internet
    Oppure scegliendo la subnet locale (presumibilmente 192.168.1.0/24) per renderli accessibili solo dalla LAN.
    (Esempio: tutti gli IP ler le porte aggiuntive ssl delle varie station, ma solo IP locali per il DSM-5000/1)
ciao dmajo
grazie per la risposta

scusami ma alla fine non ho capito bene se bloccando tutti gli ip, tranne quelli italiani, posso avere qualche blocco o qualche app che non funziona??
vorrei bloccare il traffico a tutti tranne ip regione italia, dato che all'estero non mi serve!!
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
AleROMA79
Utente
Utente
Messaggi: 356
Iscritto il: martedì 23 dicembre 2014, 19:15

Re: attacchi mail server

Messaggio da AleROMA79 »

dMajo ha scritto:Alcune precisazioni: i blocchi del firewall si basano sull'origine del traffico. Quello del nas blocca solo il traffico in ingresso e non in uscita.
Per origine s'intende l'iniziatore della sessione/richiesta, il traffico di ritorno/risposta fa parte della stessa regola.
Quindi in caso di ddns il nas sarà sempre in grado di aggiornare il record, a prescindere.
AleROMA79 ha scritto: ecco come l'ho impostato
https://www.dropbox.com/s/42cyi20hh5525 ... l.JPG?dl=0
Non ho intenzione di disquisire sulla scelta delle nazioni del blocco geografico, ognuno faccia come vuole.
Però dal punto di vista tecnico, perche il firewall funzioni va impostato così:
  • nella foto postata, nella tendina dove vedi tutte le interfaccie devi selezionare ogni singola nic del nas (solo la 1 nel caso del tuo DS216) e in fondo alla pagina scegliere "nega" come opzione di default.
    Ora tutto il traffico in ingresso per cui non esiste un eccezione verrà bloccato
  • Poi nella sceda tutte le interfaccie, come prima regola imposti il blocco degli ip geografici segliendo le nazioni che vuoi bloccare e impostando l'azione su "nega"
  • Poi nelle regole successive devi impostare un azione "consenti" per tutti i servizi(porte) che vuoi rendere disponibili come (dsm-5000, smb, le varie station, ...) segliendo tutti gli IP per renderli disponibili da internet
    Oppure scegliendo la subnet locale (presumibilmente 192.168.1.0/24) per renderli accessibili solo dalla LAN.
    (Esempio: tutti gli IP ler le porte aggiuntive ssl delle varie station, ma solo IP locali per il DSM-5000/1)

ciao dmajo
il mio problema è che mi ci connetto anche dal cellulare, quindi non ho un ip fisso ma cambia di volta in volta!!
ti posto come pensavo di impostare il firewall, potrebbe andar bene secondo te?? ancora non l'ho confermato per sicurezza!!
https://www.dropbox.com/s/fi3xuashbadp0 ... 1.JPG?dl=0

nelle singole schede lan, pppoe, vpn ho fatto NEGA tutto
poi in "tutte le interfacce" volevo fare cosi:
1) pensavo di abilitare tutta la rete interna per fare TUTTO
2-3-4) abilitare degli ip specifici che sono statici per fare TUTTO
5) il servizio vpn bloccato per tutti tranne quelli dei punti sopra
6) tutto il traffico di alcuni paesi stranieri bloccato TUTTO
7) un intervallo di ip ipotetico che utilizza il cellulare ad esempio 4.4.1.1 - 4.4.254.254 (generalmente cambiano solo le ultime 6 cifre) per fare TUTTO
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
Enry71
Utente
Utente
Messaggi: 163
Iscritto il: martedì 20 agosto 2013, 18:52

Re: attacchi mail server

Messaggio da Enry71 »

Confermo quanto detto da dMajo ( non avevo dubbi),
Dopo gli ultimi giorni di attacchi continui al server mail, nonostante avessi aperto il firewall solo ad alcune nazioni europee, ho seguito le sue indicazioni:
Ho creato regole e rifiutato: porte tutte e selezionato le nazioni ( l'unica pecca che ho riscontrato è che se ne possono selezionare solo 15 per volta, quindi bisogna creare più regole, ricordandosi dove si è arrivati, Dsm 5).
Dopo di che ho spostato in basso le regole esistenti con le porte e nazioni consentite.
Sono passate solo alcune ore da queste ultime modifiche e per ora non ho più avuto un attacco, vi farò sapere come va.
Era diventata una cosa insopportabile, spero possa aiutare.
GTW: Fritzbox 7490 (6.80) ISP:ADSL Wind Provider(100M) IP: Static
SWC: hp 1810 v2 8 porte
NAS: Synology ds 713+ 4 Gb Ram hd 2X3 WD red, sempre aggiornato ultima versione
CLI: Imac 27 fine 2013, Ubuntu
Smart Tv Samsung, Iphone 6, Ipad Air 2
AleROMA79
Utente
Utente
Messaggi: 356
Iscritto il: martedì 23 dicembre 2014, 19:15

Re: attacchi mail server

Messaggio da AleROMA79 »

Scusami ma invece di creare più regole di negazione con i 15 paesi a rischio, non puoi negare tutto e consentire solo a ip italiani??
In questo modo solo da Italia puoi accedere!!

Anche perché quanti e quali paesi metti??
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: attacchi mail server

Messaggio da dMajo »

Funziona così:
  1. Generica: nega bangladesh, cina, russia
  2. DSM: consenti porta 5000 a lan locale
  3. DSApps: consenti porte 7001(FS), 8001(DS), 8801(AS), 9008(VS), 9351(NS) a tutti
  4. WebMailPubblico: consenti porte 25, 53, 80, 443, 465, 993, 995 a tutti
  5. MailLocale: consenti porte 25, 110, 143 a lan locale
  6. SMB: consenti porte SMB a lan locale (192.168.1.0/24)
  7. SMB: consenti porte SMB a 10.0.0.0/8(range VPN)
  8. VPN: consenti porte server VPN a tutti (meglio non farlo sul NAS perche vanifica tutte le altre regole (sia del NAS che dell'eventuale firewall/router esterni) che invece continuano ad operare se il server VPN si trova sul router)
  9. Predefinita: nega
Le regole (attive) vengono applicate in ordine dall'alto verso il basso.
In questo caso ad esempio consentiamo a tutti(4), quindi internet, le porte della posta su SSL (connessione crittografata) ma limitiamo quelle non crittografate (5) solo alla lan locale. I dispositivi mobili (notebook, smartphone) useranno la regola 4 mentre i PC locali useranno la 5 alleggerendo così il lavoro del NAS.
Siccome nella stessa regola non possiamo filtrare gli ip geograficamente inseriamo a monte (1) il blocco geografico.
Risultato: la regola 4 consentirà a tutto il mondo internet (e dispositivi mobili quando in wifi) accesso al server di posta ma da tutto internet la regola 1 bloccherà gli ip geograficamente riconducibili a certe regioni/paesi.
L'opzione finale (predefinita) bloccherà la restante parte del traffico per il quale non esiste una regola che lo consenta. Se la scelta predefinita è consenti le regole non avranno effetto in quanto comunque in fondo tutto passerà. Ovvero, avranno effetto solo le regole "nega". E' però molto più semplice (una questione di proporzioni) negare tutto e creare le eccezioni "consenti".

Nel caso di uso del server VPN sul NAS vanno considerate nelle regole anche le subnet dalle quali il servizio assegna gli IP ai client
Personalmente gestisco più servizzi con la stessa regola, raggruppati tematicamente: Web (webserver, dns), Mail, Amministrazione remota (es 5001 raggiungibile da VPN telelavoro e/o VPN statiche branch-office, mai pubblicamente), Amministrazione locale( 5000 funzionante solo su lan locale), Servizi rete locali/remoti (quali NTP, SMB, PrintServer, DHCP .... mai pubblici, al massimo via VPN). Questo evita che mi sparisca la regola perche spesso durante l'aggiornamento delle app purttroppo qualche pezzo viene perso e va rispuntato il servizio (la porta) dal elenco.


Le regole così formate (anche più dettagliate, con le aperture minime e mirate in base ai client ed utilizzo dei servizi) ti proteggono anche in caso di errate configurazioni router (port forwarding) o in caso a divenire infetta ed attaccare fosse una macchina interna.
Una buona norma è inserire nella white list del blocco automatico IP un indirizzo non usato (o su altra subnet in caso di reti locali multiple) così si avrà sempre un IP franco ma del quale la macchina interna potenzialmente infetta non può abitualmente approfittarne.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
AleROMA79
Utente
Utente
Messaggi: 356
Iscritto il: martedì 23 dicembre 2014, 19:15

Re: attacchi mail server

Messaggio da AleROMA79 »

Ciao dmajo
Puoi aiutarmi nella mia configurazione del firewall??

Io vorrei negare accesso a tutto e dare accesso solo a ip italiano e a tutta la rete interna 192.xxx

Non uso web mail, download station, ecc..

Grazie mille
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
burghy86
Moderatore
Moderatore
Messaggi: 11358
Iscritto il: martedì 11 settembre 2012, 18:59

Re: attacchi mail server

Messaggio da burghy86 »

Lo avevi già fatto
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
AleROMA79
Utente
Utente
Messaggi: 356
Iscritto il: martedì 23 dicembre 2014, 19:15

Re: attacchi mail server

Messaggio da AleROMA79 »

Si ma non funziona bene
Stasera lo posto
Forse c'è qualcosa che non va
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
AleROMA79
Utente
Utente
Messaggi: 356
Iscritto il: martedì 23 dicembre 2014, 19:15

Re: attacchi mail server

Messaggio da AleROMA79 »

ciao a tutti
ora il firewall l'ho impostato cosi.. secondo voi va bene??

prima ho negato tutto
https://www.dropbox.com/s/u4fxfi7a0xe1a ... 4.JPG?dl=0
https://www.dropbox.com/s/901duuaz1hf4m ... 2.JPG?dl=0
https://www.dropbox.com/s/gvisf492mns8i ... 3.JPG?dl=0

poi ho dato l'acceso a quello che mi serviva
https://www.dropbox.com/s/fi3xuashbadp0 ... 1.JPG?dl=0
ho dato acceso a tutta la rete interna 192.xxx
ho dato accesso a 3 ip statici che mi servono per collegarmi da fuori
ho bloccato a tutti il servizio vpn (tranne i 3 ip sopra che possono fare tutto)
ho bloccato alcuni paesi (questa potrebbe non servire dato che ho negato a tutti già in precedenza??)
ho dato accesso a ip italiani (questa mi serve per connettermi dal cellulare o da casa di amici)

inoltre le notifiche vanno lasciate attivate??
https://www.dropbox.com/s/iuxk9ahlh8ezo ... l.JPG?dl=0

grazie mille
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
Rispondi

Torna a “Mail Server, Mail Station & Cal/CardDAV”