Risico gebruik van oude NAS op DSM 6.2

[svgmr]

Note: Ik had verwacht dit eenvoudig op het forum te vinden, maar dat lukte me niet, vandaar deze vraag. Mocht dit al ergens uitgebreid besproken zijn dan verontschuldig ik me en kan met het posten van de juiste link dit topic gesloten worden.

Ik (en waarschijnlijk vele anderen) hebben nog een NAS draaien die niet naar DSM7 kan upgraden. Echter gaat DSM 6.2 end of life dus zonder (veiligheids)updates.

Nu vraag ik me af: wat is het risico dat gebruikers lopen als ze DSM 6.2 en alle pakketen nog updaten naar de laatste versie en dan gewoon gebruik blijven maken van de NAS. Belangrijk: ik ga er dan vanuit dat de NAS niet is vanaf buiten je lokale netwerk (want anders begrijp ik dat je een significant risico loopt).

1e hypothese: als je de NAS alleen gebruikt voor opslag kan het geen kwaad. Klopt dat?

2e hypothese: als je alleen standaard synology pakketen gebruikt (bv. media server, backup paketten, opslaganalyzer, file station, oAauth service, universal search etc.) kan het geen kwaad. Klopt dat?

[DSGebruiker]

Hier ook een 918+ op 6.2.4-25556 Update 7 en dat zal zo blijven tot die volledig stuk is.
Als je alle security best-practices volgt om je NAS voldoende af te schermen voor de "webinterface" zit je volledig goed, tenzij er nog een niet-ontdekte bug in DSM 6.2.4 zou zitten.
Niets is 100% zeker, maar zeg maar 99.9999%

Als je NAS enkel voor "opslag" gebruikt is dan scheelt dat weeral een héél pak tov een NAS vol toeters en bellen, met Synology en 3e party packages en tooltjes die weet ik wat allemaal doen...
Je loop sowieso een pak meer risico op de "PC" kant vanwaar je vb een mapped-drive hebt gemaakt naar de NAS. Als je ransomware via een mail binnen trekt kan dit bestanden op je NAS natuurlijk evengoed gaan encrypten, maar "DSM" (OS) raak je hiermee niet.

De Synology-paketten zijn allesinds altijd mee betrouwbaar dan 3e party of "community" packages.

[svgmr]

Maar een DS918+ kan toch gewoon naar DSM 7? (die heb ik ook, ik dacht dat alleen m'n DS413 op 6.2 moet blijven klungelen).

Ik heb geen 'mapped drive' gemaakt, maar heb wel m'n nas toegevoegd aan 'snelle toegang' in windows om er makkelijk bij te kunnen. Hierbij onthoud hij de credentials dus ik hoef niet steeds het wachtwoord in te vullen. Is dat ook nog een 'zwakte'?

[DSGebruiker]

Ja m'n 918+ kan naar DSM6 maar ik doe het bewust niet. Heb wat USB-sticks steken en alles werkt prima & snel.

Ik heb geen 'mapped drive' gemaakt, maar heb wel m'n nas toegevoegd aan 'snelle toegang' in windows om er makkelijk bij te kunnen. Hierbij onthoud hij de credentials dus ik hoef niet steeds het wachtwoord in te vullen. Is dat ook nog een 'zwakte'?

Goh, je hebt natuurlijk een netwerk-locatie nodig en daar horen best credentials bij. Van belang is dat je gebruiker ook enkel toegang heeft op de folders waarop die moet zijn.
Zo heb ik vb een shared-folder voor "scans" afkomstig van m'n multifunctional printers/scanner. die heeft een eigen user/password en kan enkel in die folder schrijven. Op de PC's heeft de gebruiker enkel LEES-rechten op die folder bijvoorbeeld.

Een "zwakte" zou ik het niet noemen.

[Babylonia]

Ik heb geen 'mapped drive' gemaakt, maar heb wel m'n nas toegevoegd aan 'snelle toegang' in windows om er makkelijk bij te kunnen. Hierbij onthoud hij de credentials dus ik hoef niet steeds het wachtwoord in te vullen. Is dat ook nog een 'zwakte'?

Dat is zeker een zwakte.

Een aanvaller / hack met malware op een PC kan in die situatie mogelijk vrij gemakkelijk toegang hebben tot een NAS.
Dat is eerder bij een kennis van mij overkomen, wiens laptop en vervolgens ook de complete data op een NAS was versleuteld.
Waarbij hij  "tegen betaling"  de data weer terug zou kunnen krijgen.

Alleen DSM zelf, wat op een andere partitie van de NAS staat was niet "besmet".

Datgene wat  @DSGebruiker  meteen in  diens eerste reactie (2e alinea)  beschrijft.

[sciurius]

Ik heb dezelfde situatie. Mijn strategie:

• Lokale netwerk hang achter een degelijke firewall en is alleen via goed beveiligd (certificaten) VPN (niet op de NAS) extern bereikbaar
• NAS is enkel NAS (dus network attached storage)
• Geen gebruikers die niet weten wat ze doen (ik ben de enige gebruiker  )
• Geen Windows PCs   

[svgmr]

Goede inzichten.

Voor een goede beveiliging met weinig risico:
- Ik kan voor de 'snelle toegang' in Windows naar m'n NAS beter de credentials niet laten onthouden. Iets minder handig, maar veiliger.
- M'n hele lokale netwerk is in basis niet benaderbaar vanuit buiten (geen portforwarding ingesteld). Dat is dus goed en scheelt een hoop.
- Vooral bij een DSM 6.2 NAS geen exotische apps gebruiken en alleen standaard synology apps gebruiken gericht op dataopslag.
- Admin account staat uit op de NAS en ik heb maar één account actief op de NAS met admin rechten die toegang heeft tot alle info
- Rechten per folder beter instellen voor andere 'gebruikers' zoals mediaplayers, printers etc. Daar zit voor mij nog winst. 

Een andere computer kopen of m'n vrouw toegang tot de NAS ontzeggen zullen we maar niet doen 

Als je dit in acht neemt is het risico van een oude 6.2 NAS te overzien?

[Babylonia]

- M'n hele lokale netwerk is in basis niet benaderbaar vanuit buiten (geen portforwarding ingesteld). Dat is dus goed en scheelt een hoop.

Daar zit het hem niet in.  Als gebruiker van "internet" maak jezelf (en je vrouw) connectie met "buiten".
Met mogelijk dubieuze websites, cookies e.d.        Idem via apps op een telefoon, ophalen van mail etc.
Of krijg je "fishing" sms-jes of e-mail binnen, waar je net niet alert op bent, en doorklikt.

En kun je op allerlei allerlei manieren malware en "botnets" oppikken, en besmet raken,
wat mogelijk toch niet wordt opgepikt door een net niet up-to-date firewall en virusscanner.

- Rechten per folder beter instellen voor andere 'gebruikers' zoals mediaplayers, printers etc. Daar zit voor mij nog winst. 

Het gaat niet zozeer om mediaplayers, en printers.  Maar simpel als je niet specifiek "admin" rechten nodig hebt,
omdat je niet elke dag admin "taken" hoeft in te zetten, voor gebruikers, zelfs al ben je de enige gebruiker.
Met een "gewoon" -niet admin-  gebruikers account inloggen.

(Maar ja, wie kan die discipline en geduld opbrengen met die werkwijze??)

[DSGebruiker]

> Als je dit in acht neemt is het risico van een oude 6.2 NAS te overzien?

Mijn inziens zeker wel.
Als je *echt* paranoia bent kan je ook een techniek gebruiken waarbij je vb op een PC gerust een drive-mapping (vb drive X:) maakt maar ENKEL LEZEN van vb folders met foto's, belangrijke bestanden, media-files)

Je hebt nog een andere drive (vb Z:) op die PC waar je kan SCHRIJVEN/WISSEN etc.

Als je vb FOTO's vanaf je PC (die je van je smartphone/fototoestel hebt gehaald) naar je NAS wil brengen doe je dat in 2 "stages". Je schrijft het weg op drive "Z" en vervolgens log je in via DSM-Web en "move" je de bestanden via DSM naar ergens de folder die naar PC op drive X: (read-only) gemapped staat.

Zo kan een ransomware ofzo nooit iets wijzigen dat echt van belang is. Het maakt de zaken allemaal een stuk(je) lastiger, maar ingeval van besmetting op je PC beperkt je enorm de "schade" op de NAS-files.

Drive "X" en drive "Z" worden dan ook met 2 aparte users benaderd en op de NAS ingeregeld dat de "Z" user geen toegang heeft op de"X" etc.

Beetje ingewikkeld ;-)

[sciurius]

Het probleem is dat als de (Windows) PC verbinding kan maken met de NAS (bv. SMB), mogelijke exploits in het SMB protocol kunnen worden gebruikt om de NAS te hijacken. Het gebruik van usernamen/passwords en access levels is iets wat alleen triviale hacks nog gebruiken.

[sciurius]

En het meest belangrijke: Zorg dat je regelmatig backups maakt en berg die veilig offline, liefst op een andere locatie, op.