Auteur Topic: oude [critical] bug weer terug  (gelezen 2646 keer)

Offline B3rt

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 33
  • Berichten: 358
oude [critical] bug weer terug
« Gepost op: 08 maart 2016, 00:49:01 »
Niet te geloven, kom er net achter dat de router een oude beveiligings bug weer terug heeft gezet in de laatste firmware.

Als je de firewall zo instelt dat als niets is gedefinieerd de poort dicht staat en als je dan een poort forward aan maakt dan staat deze poort voor IEDEREEN open!!

Dus stel je maakt de volgende regel aan:

in de firewall:
poort 22 afkomstig van een specifiek IP 1.2.3.4 geeft je toegang en de rest NIET
Daarnaast maak je een forwarder aan van poort 22 (pub en private) naar intern ip 10.0.0.5

Als alles correct zou zijn dan kan alleen IP 1.2.3.4 poort 22 bereiken op intern IP 10.0.0.5

Mar helaas, door de bug staat nu poort 22 open op apparaat 10.0.0.5 voor de gehele buiten wereld!!

Dit is echt een zeer dikke beveiligings lek en al een keer gefixt in een vorige update, maar sinds kort dus weer terug (kwam ik per toeval achter), ik zag in mijn diskstation log heel veel vreemde verbindingen voorbij komen. Na onderzoek bleek dus de poort ineens open te staan, dit was vreemd omdat ie alleen open staat volgens de firewall voor specifieke IP adressen...
Na wat eenvoudige testen kwam ik er dus achter dat dit blijkbaar voor iedereen 'ineens' openstaat met als gevolg dat ik een tijdje stond te spammen etc.

Heb ook direct een ticket ingestuurd, wellicht dat meerdere gebruikers dit ook kunnen melden zodat ze per direct een spoed update voor kunnen releasen hiervoor.
  • Mijn Synology: DS1515+
  • HDD's: 5 x WD30EZRX
  • Extra's: 2x250SSD cache + 6GB

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: oude [critical] bug weer terug
« Reactie #1 Gepost op: 08 maart 2016, 02:36:27 »
Nee, die "bug" is niet opnieuw terug.

De wijze van implementatie dat Port Forwarders altijd  vóór de Firewall uitgaan  is er  altijd  al geweest.
Daar was nog nooit iets aan veranderd.
Met andere woorden, Firewall regels die je instelt hebben geen effect op achterliggende apparaten, waarvoor je port forwarders hebt ingesteld.

Dat er nooit iets op dit specifieke punt eerder aan gedaan is, kun je teruglezen in de release notes van updates.
Er komt nergens een beschrijving voor dat dit zou zijn veranderd.

Het is dus zaak op achterliggende apparaten zoals een NAS tevens daar heel goede Firewall regels in te stellen.
(Op een NAS zitten ten slotte geen "port forwarder" instellingen, en is die specifieke "uitzondering" niet van toepassing).

Het enige wat ik bij een eerdere melding naar Synology als antwoord terug heb ontvangen was dat het in een "toekomstige" versie van SRM mogelijk zou worden aangepast.

"Hi.....
Developers already checked this issue, unfortunately this is software limitation at the moment. This is because Router behavior is defined port forwarding as a higher priority, so if you setup port forwarding rules, the related firewall rules will not take effect. As a temporary workaround, we will suggest to add firewall rules on NAS, and we will support this function in the future SRM release, we apologize for the inconvenience."


DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline B3rt

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 33
  • Berichten: 358
Re: oude [critical] bug weer terug
« Reactie #2 Gepost op: 10 maart 2016, 12:46:08 »
dit lek was al gedicht, ook vandaag nog eens bevestigd door synology, zie hier hun reactie:

Citaat
What you suggested has been in SRM 1.0.1. Firewall will be checked before port-forwarding for external access.

Ze gaan nu dus in de router kijken hoe dit kan
  • Mijn Synology: DS1515+
  • HDD's: 5 x WD30EZRX
  • Extra's: 2x250SSD cache + 6GB

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: oude [critical] bug weer terug
« Reactie #3 Gepost op: 10 maart 2016, 13:35:19 »
Ben benieuwd, want bij eerdere testen m.b.t. die port forwarding heb ik echt expliciet ondervonden dat port forwarders vóór Firewall regels gaan.
Zelfs met een van de voorlaatste SRM firmware updates versie  1.0.1-6007  waar dat dan naar jou zeggen gecorrigeerd zou zijn.

Zie "Stealth" checks met "ShieldsUp" < in het volgende bericht > en dan ergens halverwege het bericht ---> 2e plaatje,
waarbij ik de Synlogy router rechtstreeks als router gebruik achter het aansluitpunt van glasvezel.
Daar blijkt duidelijk uit, dat die vermeende fix niet van toepassing was.

Het zijn typisch de poorten die zijn geforward, die als "herkenbaar"worden opgemerkt, in dat geval wel als "gesloten" omdat de achterliggende NAS op dat moment fysiek is uitgeschakeld. De poorten zelf op de router worden feitelijk echter wel als "doorgang" gezien, dus "open", gezien vanuit de router.

Bij inschakelen van de NAS worden de doorgestuurde poorten alsnog tegengehouden door de Firewall van de NAS zelf, en geeft zo'n test een "Stealth mode", maar dat is dus geen verdienste van de Firewall van de router, maar die van de NAS.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline B3rt

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 33
  • Berichten: 358
Re: oude [critical] bug weer terug
« Reactie #4 Gepost op: 10 maart 2016, 13:44:05 »
zodra ik iets (meer) weet (van synology) meld ik het ;)
Ze gaan het bekijken en hopelijk ook fixen...
  • Mijn Synology: DS1515+
  • HDD's: 5 x WD30EZRX
  • Extra's: 2x250SSD cache + 6GB

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: oude [critical] bug weer terug
« Reactie #5 Gepost op: 05 oktober 2016, 04:18:01 »
@B3rt

Inmiddels is die onvolkomenheid of bug zoals je het zou kunnen noemen betreffende het beleid van de firewall ten aanzien van port forwarding aangepast. Je kunt nu op twee niveaus zelf kiezen wat je wilt. Zie aangepaste uitleg zoals ik het inmiddels heb uitgeprobeerd.
http://www.synology-forum.nl/synology-router/hoe-firewall-instellen-in-de-router/msg200596/#msg200596
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline B3rt

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 33
  • Berichten: 358
Re: oude [critical] bug weer terug
« Reactie #6 Gepost op: 07 oktober 2016, 13:39:54 »
ok thx...

werd tijd dat ze dat gingen aanpassen :)
  • Mijn Synology: DS1515+
  • HDD's: 5 x WD30EZRX
  • Extra's: 2x250SSD cache + 6GB


 

bestanden overzetten van oude naar nieuwe harde schijf DS212

Gestart door rjjdBoard NAS hardware vragen

Reacties: 2
Gelezen: 3492
Laatste bericht 22 december 2013, 10:23:05
door Tien
Re: Nieuwe NAS, oude schijven gebruiken

Gestart door ChessManiacBoard NAS hardware vragen

Reacties: 9
Gelezen: 1218
Laatste bericht 31 maart 2022, 17:00:32
door Birdy
VERPLAATST: Oude nas met oud dsm 4 TB alles overzetten naar een nieuwe nas met 12 TB

Gestart door BirdyBoard Windows

Reacties: 0
Gelezen: 1048
Laatste bericht 03 december 2019, 23:43:07
door Birdy
VERPLAATST: Re: Oude of nieuwe kopen

Gestart door Robert KoopmanBoard Aankoopadvies

Reacties: 0
Gelezen: 1016
Laatste bericht 10 oktober 2017, 11:54:03
door Robert Koopman
HD's in nieuwe nas plaatsen zonder oude nas

Gestart door RvbilsenBoard NAS hardware vragen

Reacties: 12
Gelezen: 3078
Laatste bericht 28 november 2015, 23:25:15
door Rvbilsen