Synology-Forum.nl
Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: Briolet op 01 september 2015, 13:48:16
-
CERT heeft voor de zoveelste keer een waarschuwing gegeven op UPnP op de router uit te zetten (zie: security.nl (https://www.security.nl/posting/441793/UPnP+in+routers+laat+aanvaller+firewall+aanpassen))
Via een javascript in de browser kan al een forward gemaakt worden in de router zodat kwaadwillenden rechtstreeks bij je PC kunnen. Dus zet UPnP zo snel mogelijk uit in je router.
Zonder UPnP werkt ook EZ-Internet niet meer en moet je gewoon de forwards met de hand instellen. Dan weet je ook precies wat er toegang krijgt en wordt er niets achter je rug om geforward.
-
Echt een belangrijke waarschuwing :!:
Daarom sticky gemaakt.
-
En gelijk uitgezet in mijn router, bedankt voor de waarschuwing
-
Test UPnP in de router via volgende link:
upnp-checker (https://www.grc.com/unpnp/unpnp.htm/)
-
Snap sowieso niet waarom synology er die onzin heeft inzitten.
-
De nas loopt op zich niet zoveel risico omdat daar een goede firewall in zit die doorgaans aan staat. Het probleem is de eigen PC die vaak slecht beveiligd is, of zwakke wachtwoorden heeft omdat men denkt dat er alleen toegang is vanaf het lokale netwerk.
De link van Jaantje hierboven laat een checker zien waarbij een externe site via de browser de UPnP functies kan checken. Dat dit werkt geeft al aan dat die externe site bij UPnP settings kan komen.
Het artikel geeft aan dat er ook UPnP protocollen bestaan die wel met authenticatie werken, alleen worden die zelden door routerfabrikanten geïmplementeerd. UPnP moet uit zichzelf werken, volgens deze routerfabrikanten, en als je allerlei authenticaties moet instellen, haakt de gemiddelde consument af. Als je iets op de router moet instellen is de router niet meer 'plug&play'.
-
Test UPnP in de router
Ikzelf gebruik altijd deze voor een snelle UPnP test, waarbij je ook je overige (service) ports kunt testen: Gibson Research Corporation (https://www.grc.com/intro.htm) | Menu > Services >> ShieldsUP!
Cheers
-
Snap sowieso niet waarom synology er die onzin heeft inzitten.
Om het de gebruikers nog makkelijker te maken.
-
Nee om de mensen die kwaad willen het makkelijker te maken.
Zo heb je namelijk totaal geen inzicht welke poort wordt opengezet.
-
De belangrijkste reden zal zijn dat ze mensen niet naar een andere manual willen doorverwijzen (Die van de router). Of je het in de router of de nas instelt maakt het niet moeilijker of gemakkelijker. Iemand die een nas heeft behoort toch al goed op de hoogte te zijn van zijn eigen router.
Alleen beweerd Synology dat ze veiligheid hoog in het vaandel hebben. Die hele security advisor geeft soms overdreven adviezen, vergeleken met het gebruik van deze Wizzard, die al die security adviezen onderuit haalt.
-
Nee om de mensen die kwaad willen het makkelijker te maken.
Dat is de bijkomende nadeel (en risico). Primair om het de gebruiker makkelijker te maken.
-
Die post was ironisch bedoeld
-
Ironie is lastig te lezen.. :thumbup:
-
Moet je tussen de regels kijken. Daar staat ie meestal :-)
-
Behalve in jouw geval, want je schreef maar één regel… :P
-
.....in de eerste reactie dan :lol:
-
Behalve in jouw geval, want je schreef maar één regel… :P
Hangt van schermbreedte e/o fontsize af :-)
-
Ik kreeg in TaT een melding van een nieuwe post hier???
-
Dat deel staat nu hier (https://www.synology-forum.nl/ddns-extern-benaderen/ftp-van-buitenaf-bereikbaar-maken/?topicseen).
-
Bedankt @Birdy!
-
Botnet van 100.000 routers gebruikt voor versturen van spam via lek in UPnP
Onderzoekers hebben een botnet van 100.000 routers ontdekt die worden gebruikt voor het versturen van spam. Om toegang tot de routers te krijgen maken de aanvallers gebruik van een kwetsbaarheid in Broadcom UPnP, dit is Broadcoms implementatie van het Universal Plug en Play (UPnP)-protocol.
…
waaronder Asus, D-link, Zyxel, US Robotics, TP-link en Netgear.…
-
Ander voorbeeld
Een hacker die zichzelf HackerGiraffe noemt heeft op allerlei publiek toegankelijke Chromecasts en smart-tv's een YouTube-video afgespeeld waarin reclame wordt gemaakt voor de Zweedse Youtuber PewDiePie en wordt uitgelegd hoe gebruikers hun apparaat kunnen beveiligen.
De aanval is mogelijk dankzij Universal Plug and Play (UPnP), waardoor de Chromecasts en smart-tv's voor het internet toegankelijk zijn. Zowel HackerGiraffe als Google adviseren gebruikers dan ook om UPnP op hun router uit te schakelen,
-
Aanvullend:
..... alsmede poorten 8008, 8443 en 8009 niet te forwarden.
Synology standaard poorten:
8008 = HTTP CardDAV
8443 = HTTPS CardDAV
Dus, deze ook niet forwarden maar alternatieve poorten gebruiken, tenminste....als dat kan)
-
Security.nl (https://www.security.nl/posting/660322/Kwetsbaarheid+in+UPnP-protocol+maakt+verschillende+aanvallen+mogelijk) meld vandaag weer een nieuw lek in het UPnP protocol.
Dit lek is alleen een probleem als de UPnP poort open staat vanuit het internet. b.v. doordat het apparaat in een DMZ staat of de poort expliciet geforward is.
-
Halla Jaantje,
ik wilde deze gelijk uitproberen. Tijdens het aanklikken van de link gebeurde er niets.
Ik heb de link gekopieerd en deze op geplakt ook toen kreeg ik geen verbinding?
Vreemd???
Ik heb de link sowieso doorgemaild naar mezelf. Heb ik hem in ieder geval paraat.
-
Halla Jaantje,
Tijdens het aanklikken van de link gebeurde er niets.
Jaantje :?: komt helemaal niet in dit Topic voor.
En.....welke link ?
-
Er word geadviseerd om mijn UPnP uit te zetten voor kwaadwillenden.
Kijk ik in het logboek van mijn Netgear RAX80 dan zou ik tijdens het "gewoon" aanstaan van de UPnP dat er enorm veel word geblockt. Ik heb er handmatig enorm veel .su, .tr etc etc en nog meer van dat soort potentiële gluurders in de blocklist gezet. En deze worden tot nu allemaal geweerd/geblockt.
DDNS en QuickConnect kunnen niet samen in één bed, of is dat geen match?
-
Maar wat bedoel je met je Reactie aan Jaantje, dat was mijn vraag.
Halla Jaantje,
Tijdens het aanklikken van de link gebeurde er niets.
Jaantje :?: komt helemaal niet in dit Topic voor.
En.....welke link ?
-
Ik ga op zoek naar Jaantje :lol:
Ik ben haar kwijtgeraakt in de drukte.
dit is de link welke zij gaf:
http://upnp-check.rapid7.com/
-
Dat slaat dus nergens op, niemand gaat of kan je begrijpen (https://www.synology-forum.nl/ddns-extern-benaderen/zoveelste-waarschuwing-om-geen-ez-internet-te-gebruiken/msg297137/#msg297137)....
-
dit is de link welke zij gaf:
http://upnp-check.rapid7.com/
Wanneer dan en in welk Topic ?
-
Ik ga op zoek naar Jaantje :lol:
Ik ben haar kwijtgeraakt in de drukte.
dit is de link welke zij gaf:
http://upnp-check.rapid7.com/
Gebruik dan eens https://www.grc.com/unpnp/unpnp.htm
-
Halla Jaantje,
Tijdens het aanklikken van de link gebeurde er niets.
Jaantje :?: komt helemaal niet in dit Topic voor.
En.....welke link ?
4e post in dit topic.
-
4e post in dit topic.
Ahhh....overheen gelezen :silent:, tis overigens Reactie #3, om duidelijker te zijn ;)
-
@John Doe Geef voortaan even een verwijzing of citaatje, dat bespaart gedoe.
-
Dat slaat dus nergens op, niemand gaat of kan je begrijpen (https://www.synology-forum.nl/ddns-extern-benaderen/zoveelste-waarschuwing-om-geen-ez-internet-te-gebruiken/msg297137/#msg297137)....
Nou, nou zeg...... zo communiceren we niet met elkaar? Ik stel een normale vraag en geef een normaal antwoord. Iets vriendelijker over en weer is toch niet te veel gevraagd. Anders zou ik gewoon dit soort reacties achterwege laten.
-
Birdy, als dit voor jou "gedoe" is dan wil ik je verder danken......
-
Daar gaat het niet om....je had gewoon beter kunnen formuleren in dit Topic, dat heb ik toch aangegeven ?
Het schept alleen maar verwarring en ik was dit keer het haasje. ;)
-
Test UPnP in de router via volgende link:
upnp-checker (http://upnp-check.rapid7.com/)
idd daar gaat het niet om, bijzaak wordt nu hoofdzaak. Maar we kunnen elkaar wel op een normale manier aanspreken ipv op een belerende toon. Ik spreek andere mensen altijd aan zoals ik zelf ook aangesproken wens te worden.
Soms is het ook goed je eigen berichten na te lezen voordat je ze verzend vwb de toon ;)
Niet iedereen is zich ervan bewust.
btw . bovenstaand = de link van Jaantje.
-
:silent:
-
Maar goed.. Bottom line is dat uPNP eigenlijk niet gebruikt zou mogen worden, het is een groot veiligheidsrisico waar geen firewall tegen is opgewassen. (Het beste zou dus zijn om deze voorziening volledig uit de firmware te slopen maar dat is een andere discussie)
Wil je bepaalde features vanaf het web beschikbaar hebben vanaf je NAS, dan is het zeer aan te bevelen zelf in je router de betreffende poorten op en te zetten naar je NAS.
Nog liever zet je maar één poort open, n.l. die van OpenVPN (poort 1194), dan heb je gewoon het minste risico op vervelend gedoe.
-
Tot mijn grote verbazing stond in mijn Fritzbox 7490 het vinkje bij uPnP toch aan. Direct uitgevinkt.
-
Een UPNP vinkje op de Fritz!Box bij
HomeNetwork / Network / tab: Network Settings
is niet "gevaarlijk".
De omschijving daar is (in het Engels) "Transmit status information over UPnP Universal Plug & Play (UPnP) is used to provide connected computers with status information about the FRITZ!Box in the home network. It has no influence on the security settings of the FRITZ!Box." Het stelt slechts andere apparaten in staat (middels UPNP) bepaalde services van de Fritz!Box te herkennen, bijv. de Fritz!Box Mediaserver. Dat vinkje mag dus gerust blijven staan.
De "gevaarlijke" variant van UPNP, waarbij een applicatie een instelling in de Fritz!Box kan veranderen stel je in de Fritz!Box niet algemeen, maar per netwerk apparaat in, via
Home Network / Network / tab: Network Connections / de Edit knop (potlood-icon) achter het bewuste apparaat
en dan de optie "Permit independent port sharing for this device", met als omschrijving "This option allows this network device to independently open ports for sharing via PCP or UPnP."
-
QNAP heeft deze week opgeroepen om UPnP uit te zetten op je router. En dat is niet hun eerste oproep.
Zie security.nl: QNAP herhaalt oproep om UPnP en port forwarding op NAS uit te schakelen (https://www.security.nl/posting/767702/QNAP+herhaalt+oproep+om+UPnP+en+port+forwarding+op+NAS+uit+te+schakelen)
Maar wat voor QNAP geldt, geldt veel algemener, dus bij alle netwerken met belangrijke apparaten achter de router.
Begin deze maand heeft ransomeware al bij 11.000 QNAP apparaten toegeslagen. (security.nl (https://www.security.nl/posting/767724/Ransomware+versleutelt+ruim+11_000+QNAP-apparaten+via+zerodaylek))
Nogmaals, het gaat hier om QNAP, maar bij Synology zijn de risico's vergelijkbaar. Hoewel het hier niet UPnP betreft maar het blootstellen van hun photostation pagina aan het internet. En in die pagina zat een kritiek lek waardoor iedereen bij de nas kon komen.