Nieuwe mappen op DS 106 default vanaf internet toegankelijk?

[LeendertB]

Tot mijn afgrijzen bleken zowel Public als een andere nieuwe map met persoonlijke/zakelijke gegevens die ik op mijn nieuwe DS 106 gemaakt had enige dagen vanaf internet bereikbaar !!!
De situatie is dat de DS NAS via een Speedtoch breedband modem bereikbaar is gemaakt via de optie 'standaard server' in de speedtouch.

Een nieuwe map die je in de DS aanmaakt krijgt automatisch als gebruikers de USERS van de LOCAL GROUP, en wel met RW rechten. In deze USERS blijkt ook Guest te zitten.

Gevolg is dat, ook als je alleen jezelf toegang denkt te geven tot die nieuwe map, dat ook anderen er bij kunnen, EN DAT WERKT DUS OOK VIA INTERNET als je (bv voor gebruik als web server) inkomend verkeer doorsluist naar je mooie nieuwe servertje.

REMEDIE: verwijder die USERS groep uit de toegangsrechtenlijst van alle shares, tenzij je hem bewust wilt open zetten. En test of je als andere gebruiker wel of geen toegang hebt tot je nieuwe mappen. Controleer je access via de connection logging, en kijk of er geen rare guest acces is geweest.

Als dit inderdaad standaard is, is dat een heel gevaarlijke default instelling.

[LeendertB]

Aanvulling:
via de conncection log kun je zien wie er conctact heeft gezocht met de betreffende share. In Unix (linux) systemen worden meestal loggings bijgehouden waar je kunt zien of er bv filies gekopieerd zijn. Weet iemand of dit ook op de Synology het geval is, en zo ja hoe ik daar bij kan komen?

Alvast bedankt voor het meedenken.

[Anonymous]

Vandaag geprobeerd, maar de 'USERS' groep stond er bij mij niet standaard tussen nadat ik een nieuwe share had gemaakt.. alleen de administrator..
De 'Public' map is overigens bedoelt om voor iedereen toegankelijke te zijn.. Misschien nieuwere software versie?

[LeendertB]

Demon, bedankt voor de reactie.
Op mijn DS draait firmware versie : 2.0.1 - 3.0368.
Ik heb voor de zekerheid nog even test gedaan en share TEST aangemaakt  en niets meer gedaan dan in tabblad Shared Folder CREATE aangeklikt en de share TEST gemaakt en OK geklikt. Dan verschijnt deze share met in de rechthoek aan de rechterkant als User Privilges:

==Local Groups ==
users - RW

En, zoals gezegd, in de groep USERS zit dus standaard de GUEST die zonder wachtwoord toegang heeft. Ook de default RW rechten vind ik erg vreemd.

Ook de kreet Local Groups zette mij op het verkeerde been, aangezien de betreffende share hier binnen het LAN best gezien mag worden, maar daar buiten dus zeker niet.[/list]

[Anonymous]

Ik heb het ook geprobeerd, maar gelukkig houd mijn Linksys router dit tegen. Echter via welke IP poort worden deze shares aangemaakt. Immers soms het op afstand kunnen benaderen van je NAS een uitkomst. Nu zit ik op een klus waarbij de FTP poort bij het bedrijf is uitgeschakeld, en dan kan ik op deze wijze toch bij mn documenten komen!

[LeendertB]

Michel,
Heb je wel de webserver draaien? In dat geval moet in ieder geval poort 80 (http) geforward worden. Nu ik erover nadenk: in mijn Speedtouch modem geef je een 'interne server' op waar alle verkeer heen gaat (dus worden alle poorten geforward, neem ik aan, ik ben niet zo'n IP kenner). Misschien is het ook mogelijk om alleen poort 80 te forwarden, dat beperkt het risico weer wat meer.

Ik heb het inmiddels ook zo ingesteld dat de betreffende share niet meer standaard getoond wordt naar buiten (vinkje aanzetten).

Ik maak de genoemde share ´gewoon´ aan als admin via de webinterface (default op poort 5000). Ik heb FTP niet ingeschakeld gehad. Ik zou niet weten hoe men deze shares heeft kunnen benaderen van buitenaf. Misschien dat je met een poort sniffer een poort kan vinden die je toegang geeft???

[Bob]

Ten eerste klopt het dat wanneer je de default server (standaard server)selecteert hij al het verkeer zal doorsturen naar het opgegeven IP. Ook dus Samba aanvragen, telnet , ftp etc. Beter is het alleen de benodigde poorten van een te gebruiken service door te sturen (b.v. voor http en https 80 en 443).

De groep users is de standaard groep van de DS waar elke nieuwe gebruiker in zal komen te staan. Ook dus het gast account.

De enige logs die er zijn te vinden staan in /var/log/ (even nagekeken via telnet). Hier staat niet meer over externe connecties dan al via de webinterface is weergegeven.

[LeendertB]

Bob, bedankt.
Na een firmware update van mijn Speedtouch modem was het mogelijk om alleen ingaand verkeer poort 80 te forwarden naar port 80 van de DS. Het instellen van een 'standaard server' is weliswaar makkelijker, maar ook gevaarlijker aangezien dat inderdaad ALLE ingaand verkeer naar de DS leidt.

[ger]

Hoi allen,

Het verhaal wat hier over users en guest verwijderen is geschreven werkt bij mij niet.
Met het aanmaken van een nieuwe user krijg ik steeds deze error.

Data can not be applied.
The system is updating security information. Please try again later. (441)(400)
Click on [Back] to return to the last page.

Dus krijg ik geen account gemaakt.
Wie weet een oplossing?
Thanx,

Ger

[Anonymous]

Ik herken het verhaal van de automatische guest toewijzing. Dat heb ik ook op mijn ds106J.

Het guest account is niet te verwijderen uit de standaard "users" groep.

Echter bij het aanmaken van een nieuwe share, staat er ook een vinkje bij "Go to user privilege setup page right after the shared folder has been created". Daar kan je dan de guest er weer uithalen.

Bestaande shares kan je ook controleren met de optie "shared folders / view edit".

Als ik een server heb draaien, probeer ik altijd via een externe verbinding of e.e.a. klopt. Tevens controleer ik de toegang van buitenaf via http://scan.sygate.com

hth

[LeendertB]

Het verwijderen van de Guest is een goede gewoonte. Ik blijf erbij dat het veiliger is om een nieuwe share default alleen door admin te laten benaderen en dan vervolgens rechten toe te kennen aan andere gebruikers voorzover nodig, zeker voor een apparaat dat zo gemakkelijk toegang geeft vanaf internet.

[Anonymous]

Het verwijderen van de Guest is een goede gewoonte.

Dat zou het kunnen zijn, maar het verwijderen lukt niet uit de users groep (tenminste niet met de nieuwste firmware helaas).

Frank

[ger]

Hoi allen,

Ik had laatst deze error:

Data can not be applied.
The system is updating security information. Please try again later. (441)(400)
Click on [Back] to return to the last page.

Om van deze error af te komen moet je de ff resetten en weg is die error.
Nu kan ik groepen en users toevoegen cq. verwijderen.

Grt.,
Ger