Auteur Topic: Beveiligings issues in de Disk Station Manager v2.0-0590  (gelezen 3613 keer)

Offline Emilio

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 85
    • http://www.emilioplaza.nl
Beveiligings issues in de Disk Station Manager v2.0-0590
« Gepost op: 07 april 2008, 20:32:10 »
Hi iedereen,

Een vriend van mij wees me op de volgende beveiligings issues in de Disk Station Manager v2.0-0590.

A security analysis of Disk Station Manager v2.0-0590
http://www.synology.com/enu/forum/viewt ... =88&t=7674

Voorkomt dat TCP 5000, TCP 5001, TCP 22 en TCP 23 van buiten je netwerk open staat

Emilio
http://ontheroad.xs4all.nl FSG3
http://ontheroad.xs4all.nl:8081 DS107
DS107+ FW DSM 2.0-0640 | FSG3 fw 4.4.5 | PopCorn Hour A100 | Conceptronic CH3SNAS FW 14 | Xtreamer Full HD Mediastreamer | Mediaplayer 25 | HQ AVSWITCH-60 | Sony BDP-S300

Offline Matr1x

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 270
  • -Ontvangen: 772
  • Berichten: 5.093
Re: Beveiligings issues in de Disk Station Manager v2.0-0590
« Reactie #1 Gepost op: 07 april 2008, 22:57:28 »
Ik vind je titel een beetje misleidend... net alsof versie 590 voor beveiligingsproblemen zorgt. Het ligt natuurlijk helemaal aan jezelf of je de boel open gooit of niet. Ik ga er dan wel even van uit dat iedereen zo ondertussen het internet op gaat via een router met een fatsoenlijke firewall. Als je dan niet zelf je poorten open zet, komt er echt niemand zomaar binnen.

Een tip voor lezers die nu een beetje in paniek raken: laat Shields-Up! je poorten checken: http://www.grc.com
  • Mijn Synology: DS224+
  • HDD's: 2x HAT3300-4T
  • Extra's: MR2200ac / RT2600ac

Offline wontcachme

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 136
    • http://www.campingdebut.nl/
Re: Beveiligings issues in de Disk Station Manager v2.0-0590
« Reactie #2 Gepost op: 07 april 2008, 23:40:54 »
test gedaan, alles is stealth.

Ik heb die discussie een beetje gevolgd over de beveiligings problemen en heb er zelf niet zon problemen mee. Als je de NAS thuis gebruikt en een fatsoenlijke firewall/router gebruikt en de goede poorten die eventueel nodig zijn openstelt dan heb je nog niet zon groot probleem. Als synology ook in de komende firmware update die "lekken" dicht of in ieder geval grotendeels dan gaat het gewoon goed.

In het engelse forum vind ik het een beetje opgeblazen worden.  DGuido schrijft nu dat hij zijn cs407 weg doet omdat hij hem niet vertrouwd in zijn netwerk en niet wacht op een firmware update. Dat vind ik wel erg snel om te zeggen, aangezien synology nog niet eens de kans heeft gehad om een nieuwe firmware uit te brengen. Het begint me nu meer vooral te ergeren aangezien als er iemand niet mee eens is gelijk een persoonlijke aanval wordt ingezet.

Offline Matr1x

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 270
  • -Ontvangen: 772
  • Berichten: 5.093
Re: Beveiligings issues in de Disk Station Manager v2.0-0590
« Reactie #3 Gepost op: 08 april 2008, 13:28:52 »
Opgeblazen of niet, ik kan me voorstellen als je er bedrijfsgevoelige informatie op hebt staan en bepaalde poorten open moet zetten om er extern bij te kunnen, dan zou ik me ook wel een beetje zorgen maken. Bjorn schreef ooit wel eens in een reactie op een poort 5000 onderwerp dat het prima beveiligd is zolang je het admin wachtwoord maar niet vrijgeeft. Dat vind ik een beetje te makkelijk gedacht, want ieder account is te hacken. Helaas zit de IP auto-block functie alleen op de FTP server, want die zou eigenlijk overal moeten werken. Dat is voor mij ook wel de reden op alleen poort 8080 (photo station) vrij te geven.
  • Mijn Synology: DS224+
  • HDD's: 2x HAT3300-4T
  • Extra's: MR2200ac / RT2600ac

Offline Björn

Re: Beveiligings issues in de Disk Station Manager v2.0-0590
« Reactie #4 Gepost op: 08 april 2008, 14:17:08 »
Citaat van: "Matr1x"
Bjorn schreef ooit wel eens in een reactie op een poort 5000 onderwerp dat het prima beveiligd is zolang je het admin wachtwoord maar niet vrijgeeft. Dat vind ik een beetje te makkelijk gedacht, want ieder account is te hacken.
Heb je ook de bijbehorende berekening gelezen over hoelang je gemiddeld nodig hebt om met bruteforce via http die account te hacken?  :wink:

Offline Emilio

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 85
    • http://www.emilioplaza.nl
Re: Beveiligings issues in de Disk Station Manager v2.0-0590
« Reactie #5 Gepost op: 08 april 2008, 20:16:24 »
Het is niet de bedoeling om er paranoia over te doen, maar het is wel iets om rekening mee te houden, ik krijg regelmatig mailtjes over router- en server instellingen, als ik wat testjes uitvoer blijkt dat alles vanuit het internet openstaat, daar zitten ook een aantal DS gebruikers bij die de DS gebruiken om hun bedrijfsmail en site te hosten.

Emilio
http://ontheroad.xs4all.nl FSG3
http://ontheroad.xs4all.nl:8081 DS107
DS107+ FW DSM 2.0-0640 | FSG3 fw 4.4.5 | PopCorn Hour A100 | Conceptronic CH3SNAS FW 14 | Xtreamer Full HD Mediastreamer | Mediaplayer 25 | HQ AVSWITCH-60 | Sony BDP-S300

Offline Matr1x

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 270
  • -Ontvangen: 772
  • Berichten: 5.093
Re: Beveiligings issues in de Disk Station Manager v2.0-0590
« Reactie #6 Gepost op: 09 april 2008, 22:55:31 »
Dat ben ik wel met Emilio eens. Veel mensen zetten veel te veel open omdat ze niet goed beseffen wat de gevolgen zijn. Als je met google eens zoekt op photo station krijg je een hele lijst van mensen die een Disk Station hebben. Vervolgens is het even checken of ze alleen de poort voor photo station vrijgeven of nog meer. Daarna is het een kwestie van de standaard users en wachtwoorden proberen en voor je het weet ben je ergens binnen. Bjorn schrijf wel dat er heel veel combinaties mogelijk zijn voor wachtwoorden, maar veel mensen gebruiken toch nog steeds heel voor de hand liggende wachtwoorden. Ik ben geen fanatieke hacker, maar gewoon nieuwsgierig  8)
  • Mijn Synology: DS224+
  • HDD's: 2x HAT3300-4T
  • Extra's: MR2200ac / RT2600ac

Offline Björn

Re: Beveiligings issues in de Disk Station Manager v2.0-0590
« Reactie #7 Gepost op: 10 april 2008, 08:27:42 »
Citaat van: "Matr1x"
Bjorn schrijf wel dat er heel veel combinaties mogelijk zijn voor wachtwoorden, maar veel mensen gebruiken toch nog steeds heel voor de hand liggende wachtwoorden. Ik ben geen fanatieke hacker, maar gewoon nieuwsgierig  8)
Dat klopt, maar dat heeft natuurlijk niets met de veiligheid van de DS te maken. Dat is gewoon minder slim van de eigenaar.


 

Beveiligings risico's

Gestart door MauvanBoard Photo Station / Photos

Reacties: 1
Gelezen: 1888
Laatste bericht 08 november 2010, 17:27:55
door Björn
Drive, belangrijke -beveiligings- upgrade 1.0.1-10253

Gestart door BirdyBoard Cloud Station & Drive

Reacties: 1
Gelezen: 998
Laatste bericht 08 februari 2018, 17:01:19
door Briolet
Beveiligings Certificaat HTTPS

Gestart door amijnhartBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 3
Gelezen: 1990
Laatste bericht 07 september 2017, 18:20:20
door Briolet
[OPGELOST] WordPress 4.0.1 BEVEILIGINGS Update

Gestart door m4v3r1ckBoard Wordpress package

Reacties: 2
Gelezen: 1957
Laatste bericht 26 november 2014, 16:41:36
door Birdy
Beveiligings melding.

Gestart door JrkBoard Windows

Reacties: 9
Gelezen: 1895
Laatste bericht 29 oktober 2020, 17:06:41
door Jrk