Auteur Topic: Risico gebruik van oude NAS op DSM 6.2  (gelezen 2304 keer)

Offline svgmr

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 2
  • Berichten: 32
Risico gebruik van oude NAS op DSM 6.2
« Gepost op: 08 augustus 2024, 19:09:24 »
Note: Ik had verwacht dit eenvoudig op het forum te vinden, maar dat lukte me niet, vandaar deze vraag. Mocht dit al ergens uitgebreid besproken zijn dan verontschuldig ik me en kan met het posten van de juiste link dit topic gesloten worden.

Ik (en waarschijnlijk vele anderen) hebben nog een NAS draaien die niet naar DSM7 kan upgraden. Echter gaat DSM 6.2 end of life dus zonder (veiligheids)updates.

Nu vraag ik me af: wat is het risico dat gebruikers lopen als ze DSM 6.2 en alle pakketen nog updaten naar de laatste versie en dan gewoon gebruik blijven maken van de NAS. Belangrijk: ik ga er dan vanuit dat de NAS niet is vanaf buiten je lokale netwerk (want anders begrijp ik dat je een significant risico loopt).

1e hypothese: als je de NAS alleen gebruikt voor opslag kan het geen kwaad. Klopt dat?

2e hypothese: als je alleen standaard synology pakketen gebruikt (bv. media server, backup paketten, opslaganalyzer, file station, oAauth service, universal search etc.) kan het geen kwaad. Klopt dat?

  • Mijn Synology: DS918+
  • HDD's: DS413

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 762
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #1 Gepost op: 08 augustus 2024, 21:48:19 »
Hier ook een 918+ op 6.2.4-25556 Update 7 en dat zal zo blijven tot die volledig stuk is.
Als je alle security best-practices volgt om je NAS voldoende af te schermen voor de "webinterface" zit je volledig goed, tenzij er nog een niet-ontdekte bug in DSM 6.2.4 zou zitten.
Niets is 100% zeker, maar zeg maar 99.9999%

Als je NAS enkel voor "opslag" gebruikt is dan scheelt dat weeral een héél pak tov een NAS vol toeters en bellen, met Synology en 3e party packages en tooltjes die weet ik wat allemaal doen...
Je loop sowieso een pak meer risico op de "PC" kant vanwaar je vb een mapped-drive hebt gemaakt naar de NAS. Als je ransomware via een mail binnen trekt kan dit bestanden op je NAS natuurlijk evengoed gaan encrypten, maar "DSM" (OS) raak je hiermee niet.

De Synology-paketten zijn allesinds altijd mee betrouwbaar dan 3e party of "community" packages.

Offline svgmr

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 2
  • Berichten: 32
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #2 Gepost op: 08 augustus 2024, 22:16:31 »
Maar een DS918+ kan toch gewoon naar DSM 7? (die heb ik ook, ik dacht dat alleen m'n DS413 op 6.2 moet blijven klungelen).

Ik heb geen 'mapped drive' gemaakt, maar heb wel m'n nas toegevoegd aan 'snelle toegang' in windows om er makkelijk bij te kunnen. Hierbij onthoud hij de credentials dus ik hoef niet steeds het wachtwoord in te vullen. Is dat ook nog een 'zwakte'?

  • Mijn Synology: DS918+
  • HDD's: DS413

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 762
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #3 Gepost op: 08 augustus 2024, 22:50:33 »
Ja m'n 918+ kan naar DSM6 maar ik doe het bewust niet. Heb wat USB-sticks steken en alles werkt prima & snel.

Citaat
Ik heb geen 'mapped drive' gemaakt, maar heb wel m'n nas toegevoegd aan 'snelle toegang' in windows om er makkelijk bij te kunnen. Hierbij onthoud hij de credentials dus ik hoef niet steeds het wachtwoord in te vullen. Is dat ook nog een 'zwakte'?

Goh, je hebt natuurlijk een netwerk-locatie nodig en daar horen best credentials bij. Van belang is dat je gebruiker ook enkel toegang heeft op de folders waarop die moet zijn.
Zo heb ik vb een shared-folder voor "scans" afkomstig van m'n multifunctional printers/scanner. die heeft een eigen user/password en kan enkel in die folder schrijven. Op de PC's heeft de gebruiker enkel LEES-rechten op die folder bijvoorbeeld.

Een "zwakte" zou ik het niet noemen.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #4 Gepost op: 09 augustus 2024, 02:57:49 »
Ik heb geen 'mapped drive' gemaakt, maar heb wel m'n nas toegevoegd aan 'snelle toegang' in windows om er makkelijk bij te kunnen. Hierbij onthoud hij de credentials dus ik hoef niet steeds het wachtwoord in te vullen. Is dat ook nog een 'zwakte'?

Dat is zeker een zwakte.

Een aanvaller / hack met malware op een PC kan in die situatie mogelijk vrij gemakkelijk toegang hebben tot een NAS.
Dat is eerder bij een kennis van mij overkomen, wiens laptop en vervolgens ook de complete data op een NAS was versleuteld.
Waarbij hij  "tegen betaling"  de data weer terug zou kunnen krijgen.

Alleen DSM zelf, wat op een andere partitie van de NAS staat was niet "besmet".

Datgene wat  @DSGebruiker  meteen in  diens eerste reactie (2e alinea)  beschrijft.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 427
  • Arms are made for hugging
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #5 Gepost op: 09 augustus 2024, 08:11:52 »
Ik heb dezelfde situatie. Mijn strategie:
  • Lokale netwerk hang achter een degelijke firewall en is alleen via goed beveiligd (certificaten) VPN (niet op de NAS) extern bereikbaar
  • NAS is enkel NAS (dus network attached storage)
  • Geen gebruikers die niet weten wat ze doen (ik ben de enige gebruiker  8))
  • Geen Windows PCs   :P
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 8 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 8 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline svgmr

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 2
  • Berichten: 32
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #6 Gepost op: 09 augustus 2024, 13:29:20 »
Goede inzichten.

Voor een goede beveiliging met weinig risico:
- Ik kan voor de 'snelle toegang' in Windows naar m'n NAS beter de credentials niet laten onthouden. Iets minder handig, maar veiliger.
- M'n hele lokale netwerk is in basis niet benaderbaar vanuit buiten (geen portforwarding ingesteld). Dat is dus goed en scheelt een hoop.
- Vooral bij een DSM 6.2 NAS geen exotische apps gebruiken en alleen standaard synology apps gebruiken gericht op dataopslag.
- Admin account staat uit op de NAS en ik heb maar één account actief op de NAS met admin rechten die toegang heeft tot alle info
- Rechten per folder beter instellen voor andere 'gebruikers' zoals mediaplayers, printers etc. Daar zit voor mij nog winst. 

Een andere computer kopen of m'n vrouw toegang tot de NAS ontzeggen zullen we maar niet doen  8)

Als je dit in acht neemt is het risico van een oude 6.2 NAS te overzien?
  • Mijn Synology: DS918+
  • HDD's: DS413

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #7 Gepost op: 09 augustus 2024, 16:19:32 »
- M'n hele lokale netwerk is in basis niet benaderbaar vanuit buiten (geen portforwarding ingesteld). Dat is dus goed en scheelt een hoop.

Daar zit het hem niet in.  Als gebruiker van "internet" maak jezelf (en je vrouw) connectie met "buiten".
Met mogelijk dubieuze websites, cookies e.d.        Idem via apps op een telefoon, ophalen van mail etc.
Of krijg je "fishing" sms-jes of e-mail binnen, waar je net niet alert op bent, en doorklikt.

En kun je op allerlei allerlei manieren malware en "botnets" oppikken, en besmet raken,
wat mogelijk toch niet wordt opgepikt door een net niet up-to-date firewall en virusscanner.

- Rechten per folder beter instellen voor andere 'gebruikers' zoals mediaplayers, printers etc. Daar zit voor mij nog winst. 

Het gaat niet zozeer om mediaplayers, en printers.  Maar simpel als je niet specifiek "admin" rechten nodig hebt,
omdat je niet elke dag admin "taken" hoeft in te zetten, voor gebruikers, zelfs al ben je de enige gebruiker.
Met een "gewoon" -niet admin-  gebruikers account inloggen.

(Maar ja, wie kan die discipline en geduld opbrengen met die werkwijze??)
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 762
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #8 Gepost op: 09 augustus 2024, 16:22:19 »
> Als je dit in acht neemt is het risico van een oude 6.2 NAS te overzien?

Mijn inziens zeker wel.
Als je *echt* paranoia bent kan je ook een techniek gebruiken waarbij je vb op een PC gerust een drive-mapping (vb drive X:) maakt maar ENKEL LEZEN van vb folders met foto's, belangrijke bestanden, media-files)

Je hebt nog een andere drive (vb Z:) op die PC waar je kan SCHRIJVEN/WISSEN etc.

Als je vb FOTO's vanaf je PC (die je van je smartphone/fototoestel hebt gehaald) naar je NAS wil brengen doe je dat in 2 "stages". Je schrijft het weg op drive "Z" en vervolgens log je in via DSM-Web en "move" je de bestanden via DSM naar ergens de folder die naar PC op drive X: (read-only) gemapped staat.

Zo kan een ransomware ofzo nooit iets wijzigen dat echt van belang is. Het maakt de zaken allemaal een stuk(je) lastiger, maar ingeval van besmetting op je PC beperkt je enorm de "schade" op de NAS-files.

Drive "X" en drive "Z" worden dan ook met 2 aparte users benaderd en op de NAS ingeregeld dat de "Z" user geen toegang heeft op de"X" etc.

Beetje ingewikkeld ;-)

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 427
  • Arms are made for hugging
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #9 Gepost op: 09 augustus 2024, 18:12:43 »
Het probleem is dat als de (Windows) PC verbinding kan maken met de NAS (bv. SMB), mogelijke exploits in het SMB protocol kunnen worden gebruikt om de NAS te hijacken. Het gebruik van usernamen/passwords en access levels is iets wat alleen triviale hacks nog gebruiken.
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 8 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 8 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 427
  • Arms are made for hugging
Re: Risico gebruik van oude NAS op DSM 6.2
« Reactie #10 Gepost op: 09 augustus 2024, 19:40:17 »
En het meest belangrijke: Zorg dat je regelmatig backups maakt en berg die veilig offline, liefst op een andere locatie, op.
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 8 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 8 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant


 

Beveiligings risico's

Gestart door MauvanBoard Photo Station / Photos

Reacties: 1
Gelezen: 1892
Laatste bericht 08 november 2010, 17:27:55
door Björn
DS415+ aanschaffen, of teveel risico

Gestart door WickedGameBoard Aankoopadvies

Reacties: 15
Gelezen: 2565
Laatste bericht 29 oktober 2021, 11:27:26
door SpeedyG
risico's synchroniseren cloudstation - externe computers

Gestart door GerardRBoard Cloud Station & Drive

Reacties: 8
Gelezen: 4454
Laatste bericht 01 juni 2015, 08:36:27
door Koensk
Risico

Gestart door jacobusBoard WebDav

Reacties: 5
Gelezen: 5297
Laatste bericht 25 december 2011, 21:57:28
door Nelesss
Ransomware risico verkleinen met USB backup

Gestart door JSSLBoard Data replicator & overige backupsoftware

Reacties: 1
Gelezen: 619
Laatste bericht 11 oktober 2020, 19:20:12
door André PE1PQX