SMB worm gebruikt UPnP

[Briolet]

Ik lees net de volgende waarschuwing op Security.nl: VS+waarschuwt+voor+SMB-worm+die+tegen+Sony+werd+ingezet

Blijkbaar zijn er nog steeds mensen die hun PC niet met een sterk wachtwoord beveiligen zodat ze kwetsbaar zijn voor een 'brute-force' aanval.
Verder is het goed dat deze hack weer eens benadrukt hoe gevaarlijk UPnP op een router is. Allerlei malware kan daarmee de firewalls in je netwerk open gooien. Zorg er gewoon voor dat UPnP op de router uit staat en doe de forwardings in de router met de hand. Dan houd je tenminste zelf controle over de poorten die open staan in je firewall.

[Hofstede]

Het is ook altijd verwonderlijk dat er bij bedrijven die zo afhankelijk zijn van hun computersysteem er zulke grote gaten in de beveiliging zitten. En voornamelijk doordat de medewerkers zich niet aan de regels houden en graag allerlei deurtjes vanuit het werk naar thuis openzetten omdat dat zo makkelijk is. Of doodleuk allerlei USB-sticks die ze van huis meenemen of krijgen in hun computer stoppen.
Daarom gaan bij mij altijd de haren overeind staan als hier op het forum iemand komt die het niet voor elkaar krijgt om door de beveiliging van zijn werkgever thuis zijn NAS te bereiken en methodes zoekt om er doorheen te komen. En als zijn werkgever het wel toestaat dan weet die werkgever blijkbaar niet hoeveel risico hij loopt.

[Carolus09]

Hey Briolet,

Een helder verhaal t.a.v security UPnP,
Echter wat mij niet geheel duidelijk is als je de router handmatig instelt met port forwarding.
UPnP wordt uitgezet en de poorten verwijzen naar de NAS (handmatig router). Op de NAS (router configuratie-router instellen)kun je dan handmatig deze poorten instellen en of automatisch.

De NAS vindt je router echter deze geeft de melding dat de poorten al in gebruik zijn. Hier ben ik ff de weg kwijt om deze dan ingesteld te krijgen. Via de router automatische configuratie met UPnP is dit geen probleem echter (zonder router instelling) maar met reeds toegewezen poorten (handleiding van syno) zelf toevoegen.
Bij de NAS moet het toch ook kenbaar hoe deze naar buiten gaat en of op wat voor een manier.

Bij dit laatste stukje ben ik de route kwijt, de NAS wil deze poorten toch ook toevoegen aan de router of ben ik abuis!
Gr, Carolus

[SynologyNasUser]

Carolus09,
Ik begrijp de verwarring, volgens mij betekent het dat deze poorten kennelijk al eerder zijn ingesteld en dat je eens kunt controleren of er al op de NAS een lijst staat waarop de poorten zijn ingesteld.
Op de NAS zou je dan een lijst moeten vinden in "Firewall" waar deze poorten al zijn ingesteld.
In configuratiescherm, Externe toegang, router configuratie kan je dan lezen welke poorten er al open staan.
Wanneer je in dit scherm drukt op de "router instellen" button, dan worden de instellingen gecontroleerd en ingesteld.
Daar kan je dan ook de verbindingen testen.
Het is dan ook belangrijk om op je router te controleren of daar dezelfde lijst met doorstuur poorten ingesteld staat.
Voor bepaalde poorten wordt wel gewaarschuwd om deze beter dicht te houden!
Hoop dat dit duidelijkheid schept, succes.

[Briolet]

De NAS vindt je router echter deze geeft de melding dat de poorten al in gebruik zijn. Hier ben ik ff de weg kwijt om deze dan ingesteld te krijgen.

De nas mag niet kunnen zien dat de poorten al in gebruik zijn, als UPnP uit staat op de router. Als je die melding krijgt, dan staat UPnP toch nog aan.

UPnP laat het toe om dingen in de router in te stellen zonder gebruik van het router wachtwoord. Er zijn ook losse programmas om de UPnP router forward tabel aan te passen. Mijn Ubee had vroeger een bug dat UPnP na een router restart, spontaan weer aan ging. Het was gewoon schrikken als je zag, welke programmas poorten in je router open gaan zetten.
Mijn zus heeft b.v. Skype op heer telefoon staan. Elke keer als ze langs gekomen was, stonden er weer twee poorten geforward door Skype naar haartelefoon. Ook op mijn iBook stonden programmas die poorten forwarden naar mijn iBook. Ik beslis liever zelf of ik gaten in mijn firewall toelaat. Toen ik die bug ontdekte heb ik direct mijn netwerk weer omgegooid naar de router-achter-router configuratie. Dan moet men lekken in twee routers weten te vinden om binnen te komen.

[Carolus09]

Beste forum leden,  Thanks for the information,

Inderdaad best verwarrend, ff knutselen en vola
Ik heb UPnP uitgeschakeld in de router de poorten ingeklopt, de syno aangepast,
Bij het laten aanstaan van UPnP komt er inderdaad een melding. Alles ff getest en OK bevonden.
Bij het aanstaan van de router van UPnP wordt ook de loopback uitgeschakeld, al mijn devices worden beheerd in de router, dan is het vanuit een plaats support te leveren en ongevraagde devices komen er met hun MAC niet in!
Het mooie met de port forwarding is als er ff geen action plaats vindt wordt bij mij de verbinding verbroken.

Ik ben overgestapt van een WNDR4500V1-2 naar een Nighthawk R7500. Deze is net een paar maanden uit, de Syno herkende deze meteen, met de laatste FW erop gaat deze als een speer, de overige AP's in huis heb ik uit kunnen schakelen. Overal goede ontvangst, echt super device

In ieders geval mijn dank!