oude [critical] bug weer terug

[B3rt]

Niet te geloven, kom er net achter dat de router een oude beveiligings bug weer terug heeft gezet in de laatste firmware.

Als je de firewall zo instelt dat als niets is gedefinieerd de poort dicht staat en als je dan een poort forward aan maakt dan staat deze poort voor IEDEREEN open!!

Dus stel je maakt de volgende regel aan:

in de firewall:
poort 22 afkomstig van een specifiek IP 1.2.3.4 geeft je toegang en de rest NIET
Daarnaast maak je een forwarder aan van poort 22 (pub en private) naar intern ip 10.0.0.5

Als alles correct zou zijn dan kan alleen IP 1.2.3.4 poort 22 bereiken op intern IP 10.0.0.5

Mar helaas, door de bug staat nu poort 22 open op apparaat 10.0.0.5 voor de gehele buiten wereld!!

Dit is echt een zeer dikke beveiligings lek en al een keer gefixt in een vorige update, maar sinds kort dus weer terug (kwam ik per toeval achter), ik zag in mijn diskstation log heel veel vreemde verbindingen voorbij komen. Na onderzoek bleek dus de poort ineens open te staan, dit was vreemd omdat ie alleen open staat volgens de firewall voor specifieke IP adressen...
Na wat eenvoudige testen kwam ik er dus achter dat dit blijkbaar voor iedereen 'ineens' openstaat met als gevolg dat ik een tijdje stond te spammen etc.

Heb ook direct een ticket ingestuurd, wellicht dat meerdere gebruikers dit ook kunnen melden zodat ze per direct een spoed update voor kunnen releasen hiervoor.

[Babylonia]

Nee, die "bug" is niet opnieuw terug.

De wijze van implementatie dat Port Forwarders altijd  vóór de Firewall uitgaan  is er  altijd  al geweest.
Daar was nog nooit iets aan veranderd.
Met andere woorden, Firewall regels die je instelt hebben geen effect op achterliggende apparaten, waarvoor je port forwarders hebt ingesteld.

Dat er nooit iets op dit specifieke punt eerder aan gedaan is, kun je teruglezen in de release notes van updates.
Er komt nergens een beschrijving voor dat dit zou zijn veranderd.

Het is dus zaak op achterliggende apparaten zoals een NAS tevens daar heel goede Firewall regels in te stellen.
(Op een NAS zitten ten slotte geen "port forwarder" instellingen, en is die specifieke "uitzondering" niet van toepassing).

Het enige wat ik bij een eerdere melding naar Synology als antwoord terug heb ontvangen was dat het in een "toekomstige" versie van SRM mogelijk zou worden aangepast.

"Hi.....
Developers already checked this issue, unfortunately this is software limitation at the moment. This is because Router behavior is defined port forwarding as a higher priority, so if you setup port forwarding rules, the related firewall rules will not take effect. As a temporary workaround, we will suggest to add firewall rules on NAS, and we will support this function in the future SRM release, we apologize for the inconvenience."

[B3rt]

dit lek was al gedicht, ook vandaag nog eens bevestigd door synology, zie hier hun reactie:

What you suggested has been in SRM 1.0.1. Firewall will be checked before port-forwarding for external access.

Ze gaan nu dus in de router kijken hoe dit kan

[Babylonia]

Ben benieuwd, want bij eerdere testen m.b.t. die port forwarding heb ik echt expliciet ondervonden dat port forwarders vóór Firewall regels gaan.
Zelfs met een van de voorlaatste SRM firmware updates versie  1.0.1-6007  waar dat dan naar jou zeggen gecorrigeerd zou zijn.

Zie "Stealth" checks met "ShieldsUp" < in het volgende bericht > en dan ergens halverwege het bericht ---> 2e plaatje,
waarbij ik de Synlogy router rechtstreeks als router gebruik achter het aansluitpunt van glasvezel.
Daar blijkt duidelijk uit, dat die vermeende fix niet van toepassing was.

Het zijn typisch de poorten die zijn geforward, die als "herkenbaar"worden opgemerkt, in dat geval wel als "gesloten" omdat de achterliggende NAS op dat moment fysiek is uitgeschakeld. De poorten zelf op de router worden feitelijk echter wel als "doorgang" gezien, dus "open", gezien vanuit de router.

Bij inschakelen van de NAS worden de doorgestuurde poorten alsnog tegengehouden door de Firewall van de NAS zelf, en geeft zo'n test een "Stealth mode", maar dat is dus geen verdienste van de Firewall van de router, maar die van de NAS.

[B3rt]

zodra ik iets (meer) weet (van synology) meld ik het
Ze gaan het bekijken en hopelijk ook fixen...

[Babylonia]

@B3rt

Inmiddels is die onvolkomenheid of bug zoals je het zou kunnen noemen betreffende het beleid van de firewall ten aanzien van port forwarding aangepast. Je kunt nu op twee niveaus zelf kiezen wat je wilt. Zie aangepaste uitleg zoals ik het inmiddels heb uitgeprobeerd.
http://www.synology-forum.nl/synology-router/hoe-firewall-instellen-in-de-router/msg200596/#msg200596

[B3rt]

ok thx...

werd tijd dat ze dat gingen aanpassen