Auteur Topic: onveilige verbinding  (gelezen 8267 keer)

Offline zjwaemke

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 0
  • Berichten: 28
onveilige verbinding
« Gepost op: 18 juli 2015, 00:25:31 »
hallo

ik krijg altijd deze melding te zien met het opstarten en benaderen van mijn NAS (zowel via pc als smartphone).
Weet iemand wat hiertegen te doen is??
bedankt alvast
  • Mijn Synology: ds412+
  • HDD's: 4x WD40EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7989
  • Berichten: 44.008
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: onveilige verbinding
« Reactie #1 Gepost op: 18 juli 2015, 11:10:30 »
Of poort 5000 gebruiken of met een certificaat werken.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: onveilige verbinding
« Reactie #2 Gepost op: 18 juli 2015, 11:14:24 »
Of een andere browser gebruiken die hier beter mee omgaat.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: onveilige verbinding
« Reactie #3 Gepost op: 18 juli 2015, 22:26:24 »
Volgens mij is het niet meer mogelijk om een certificaat te krijgen voor een intern adres. Dus denk dat een andere browser danwel http:// overblijft. Dit laatste uiteraard niet als je de NAS ook extern wilt benaderen.
DS918+, DS713+, DS215J

Offline Lampje

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 5
  • Berichten: 85
Re: onveilige verbinding
« Reactie #4 Gepost op: 25 juli 2015, 20:23:55 »
je maakt zeker gebruik van een zelf ondertekend certificaat. Dan krijg je ook dit zoort meldingen.
Omdat het niet uitgegeven is door een officieele instantie. Moet je die controle zelf even doen. En als het klopt, dan als vertouwd aanmerken.

Offline zjwaemke

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 0
  • Berichten: 28
Re: onveilige verbinding
« Reactie #5 Gepost op: 09 augustus 2015, 21:12:28 »
sorry voor mijn late reactie....

ik begrijp het eigenlijk niet helemaal.
Hoe kan je gebruik maken van een officieel certificaat? Kun je dit downloaden? Gaat het om een certificaat in mijn IE / Google Chrome browser? Of ligt dit aan Windows
  • Mijn Synology: ds412+
  • HDD's: 4x WD40EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7989
  • Berichten: 44.008
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: onveilige verbinding
« Reactie #6 Gepost op: 09 augustus 2015, 21:18:33 »
Als je je NAS alleen thuis gebruikt dus, niet vanaf internet, dan kan je beter poort 5000 (http) i.p.v. 5001 (https), dan kan je het certificaat verder vergeten.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline zjwaemke

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 0
  • Berichten: 28
Re: onveilige verbinding
« Reactie #7 Gepost op: 09 augustus 2015, 21:21:02 »
ik gebruik de nas eigenlijk alleen maar thuis. Maar indien ik deze ook extern wil kunnen benaderen (bijvoorbeeld documenten benaderen/fotos/video's) loop ik dan een beveiligingsrisico?
  • Mijn Synology: ds412+
  • HDD's: 4x WD40EFRX

Offline Plerry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 289
  • Berichten: 1.504
  • Tom Poes, verzin een list ...
Re: onveilige verbinding
« Reactie #8 Gepost op: 10 augustus 2015, 03:35:51 »
HTTPS geeft je altijd een versleutelde (encrypted) verbinding (beveiligd tegen meelezen),
ongeacht of er een kloppend certificaat is of niet.
Dat geldt dus ook voor een verbinding van buitenaf.

Een certificaat dient ter verificatie dat de https-server echt is wie hij beweert te zijn.
Belangrijk voor bijv. een bank, waar anderen mogelijk een nep-site van de bank willen draaien
om zo gegevens te onderscheppen of betalingen naar andere rekeningen te sturen.

Synology verschaft een algemeen certificaat.
Uiteindelijk konden zij niet weten dat jij 192.168.1.133 als IP-adres voor je NAS ging gebruiken ...   ;D
Bovendien staat het de rest van de wereld vrij diezelfde keuze te maken.
Vandaar dat dat algemene certificaat nooit "klopt".

Voor prive gebruik is zo'n certificaat normaal niet belangrijk; als je te zien krijgt wat je verwacht te zien
(je NAS met wat daarop staat) mag je aannemen dat je met je eigen NAS verbonden bent.
Waarom zou een ander dat willen "faken"?
 
Binnen je eigen netwerk is encryptie meestal niet belangrijk.
Vandaar Birdy's advies om daar gewoon HTTP te gebruiken (voor DSM op port 5000).

Van buitenaf is het aan te raden HTTPS te gebruiken (voor DSM op poort 5001) en kan je de certificaat-melding te negeren.
Als alternatief kan je van buitenaf een VPN verbinding naar je thuisnetwerk opzetten.
Dat kan je doen in je NAS, maar soms ook in je router.
Omdat dan al het dataverkeer van/naar je thuisnetwerk al middels je VPN versleuteld is,
kan je dan veilig een gewone HTTP verbinding naar je NAS opzetten, en vermijd je de "verontrustende"
HTTPS meldingen dat het certificaat niet klopt of de site niet vertrouwd zou kunnen worden.
There are only 10 kinds of people: ... those who understand binary, and those who don't.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: onveilige verbinding
« Reactie #9 Gepost op: 10 augustus 2015, 11:54:28 »
Plerry heeft alles al goed uitgelegd. Als je een synology ddns naam gebruikt, kun je ook in de DSM settings onder beveiliging een certificaat aanmaken waarin je eigen ddns naam staat. Dat zal in eerste instantie dezelfde waarschuwing geven, totdat je je het certificaat in je OS of browser geïmporteerd hebt.

In theorie loop je een klein risico met het standaard certificaat omdat iedereen die de 'Private key" heeft je verkeer kan ontsleutelen. Standaard staat er volgens mij op elke nas dezelfde private key*. Als je via de settings een nieuw certificaat aanmaakt, wordt er een random private key gegenereerd.

*: Ik weet het niet zeker want voor hetzelfde geld kan dsm bij de installatie van dsm een uniek certificaat genereren. Verwachten doe ik dat eigenlijk niet, maar het zou wel interessant zijn om het zeker te weten. Wie?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: onveilige verbinding
« Reactie #10 Gepost op: 10 augustus 2015, 12:04:44 »

De ca.crt:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

De ca.key:

-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQCj0H97DSphuOuR4JHLErimlDfa1QEa0ZiypNtnNTwRS+dl6uPT
svngp4AV3NfEi7uNI/kVaKVDH0MrefqP7z5maCTxwio5JP6PxC4cyVGDt0MUZB9b
mw+TyP5uU1b6FAKrULilEm7S1TSkdaOBQK9CxdeQXo6hGeWXtlzxMr/6+wIDAQAB
AoGBAIPwnYzNmNImr83J04N9a633eVlO8FnacSOJtpFVBjFkMlcbLi7HW40/O+Hg
AwVyCjhuveMpato6Js6wq0gcyONGQYM1exdBUEvcoxY/rqBY7X5BmX8eRkskSvCq
hfQCGYvsMgKmLJwGEAWQIB0UhHrbhrRIAJ1PUW2a7Ot9ZWrJAkEA1tyb/l0ZKvrI
UpB78Q8/9dhB2oMVowN1Pji01SLFcNR75zCzTLa+Z7hxJKycgAkUFN//r1+VAP8M
rj7xKdyV5wJBAMMt0Y2CrQrotM+bN+3GAFg4PMmynjVctlmBzquK05ExxiRx776E
CPMbvQ529UIm/jARzIwuzaGhEHgX1rtUZ80CQAJ5qiZlBiwzlWk2FudxCIiZhDCz
P+WP3aLo3lRyQRoKqJ7CNd6VYF4rhsooXukusZeH+RcZH8tSJOBBA2A7FVMCQDtA
EohJ7iwMnq8TaLQW0o31bIayYZLDdVvQqyOqPjWqjYMMz4HfZTQf7JGSjTuqyKlh
Dd5UavoxAeXjHr25jtUCQQCdSGpUBV9J2tYpnV2oCoqcM2Q6kVXPsasQaaDw7TUb
mtEoE1JNtp3iFUl/pj8cxm6mvuXqj7C9Bu12H6YUXai8
-----END RSA PRIVATE KEY-----

De server.crt:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

De server.key:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

Dit zijn de originelen.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: onveilige verbinding
« Reactie #11 Gepost op: 10 augustus 2015, 14:43:35 »
Leuk, dan alleen nog vergelijken met de versie van een andere nas want ik heb geen originele referentie meer.

Het bovenstaande root certificaat (CA) is uitgegeven op: donderdag 21 mei 2015 09:16:19 Midden-Europese zomertijd

En het intermediate certificaat (server) is uitgegeven op: donderdag 21 mei 2015 09:16:25 Midden-Europese zomertijd

Dat is dus 6 seconden later. Ze zijn dus wel in één keer na elkaar aangemaakt. Beide gebruiken ze het SHA-256 handtekening algiritme dan Synology sinds kort gebruikt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: onveilige verbinding
« Reactie #12 Gepost op: 10 augustus 2015, 15:07:39 »
Als je via de settings een nieuw certificaat aanmaakt, wordt er een random private key gegenereerd.

Niet helemaal, als ik het script goed interpreteer maar ben daar niet zo goed in thuis.
Er wordt een serienummer en het MAC-adres van eth0 gebruikt.

In /usr/syno/etc/ssl staat mkcert.sh waar bovenstaande twee worden afgevraagt:

MkcertSerial="/usr/syno/etc/ssl/.mkcert.serial"
if [ ! -f $MkcertSerial ]; then
# get MAC address
serial=$(ifconfig eth0 | grep HWaddr | awk '{print $5}' | awk -F: "{print `date +%s`\$5\$6}")
if [ $((`expr length $serial` % 2)) -eq 1 ]; then
serial="${serial}1"
fi
echo $serial > $MkcertSerial

Serienummer vindt je hier: /usr/syno/etc/ssl/.mkcert.serial

Dat betekent dan, denk ik, dat als je het voor een tweede keer doet dat je hetzelfde certificaat krijgt, niet random lijkt het.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: onveilige verbinding
« Reactie #13 Gepost op: 10 augustus 2015, 17:35:12 »
Leerzaam.  ;)

Voor het genereren van een key, heb je geen seed nodig. Dat gaat met een commando als b.v.:
openssl genrsa -out private.key 2048OpenSSL zorgt dan voor een goede seed zodat de key elke keer uniek is.

Om de certificaten uit elkaar te houden kun je ook een serienummer toevoegen en een versienummer. Bij jouw root certificaat is het serienummer: 00 86 C0 CA 24 64 E5 36 80 en het versienummer 3.

Elke keer als je het certificaat vernieuwd moet je dan het serienummer gelijk houden en het versienummer ophogen. Dat nummer is echter te lang om een mac adres te kunnen zijn. Bij mijn zelfgemaakte certificaten die op de mac aangemaakt zijn met OpenSSL, is het serienummer ook steeds in dit formaat. (b.v. mijn huidige nr: 00 89 3A 0D 5F C2 CD 69 B6). Tenzij ik de config file aanpas en er een zelfgecreëerd serienummer aan toevoeg.

Echter, als ze er elke keer een ander serienummer in stoppen, op basis van de hardware in de nas, dan is de kans groot dat er ook echt elke keer een uniek certificaat aangemaakt wordt bij installatie van dsm.

PS: nu merk ik ook weer hoe snel deze complexe materie weer uit je brein wegvloeit. Het is al weer 6 maand geleden dat ik hier ingedoken was.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Onveilige Scripts SSL?

Gestart door SuperTurk10Board Web Station

Reacties: 2
Gelezen: 1581
Laatste bericht 11 juli 2015, 00:21:16
door SuperTurk10
Onveilige inloggen nas veranderen.

Gestart door Rene_2108Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 37
Gelezen: 2862
Laatste bericht 09 augustus 2022, 10:27:18
door Rene_2108
VERPLAATST: Onveilige inloggen nas veranderen.

Gestart door BirdyBoard Netwerk algemeen

Reacties: 1
Gelezen: 588
Laatste bericht 08 augustus 2022, 17:39:55
door Briolet
Onveilige downloads afscheiden

Gestart door FreaankBoard Download Station

Reacties: 4
Gelezen: 1091
Laatste bericht 18 december 2018, 14:39:33
door proxydude
Onveilige verbinding?

Gestart door JanSrBoard Synology DSM algemeen

Reacties: 29
Gelezen: 7715
Laatste bericht 21 oktober 2018, 09:50:05
door Dlanor