Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties
Bron: Synology

Synology logo (45 pix)Synology heeft een nieuwe versie van Disk Station Manager 5.1 uitgebracht. Synology DSM is de beheersoftware die op diverse nas-producten van het bedrijf draait. De Disk, Cube en Rack Stations bieden meer dan alleen extra opslagruimte. Zo kunnen ook back-ups van alle clients op het netwerk worden gemaakt en kunnen bestanden via http, ftp, bittorrent, usenet en emule worden gedownload, zodat bijvoorbeeld energiegulzige pc's 's nachts uit kunnen, terwijl de download gewoon binnenkomt. Verder kunnen via de ingebouwde iTunes-server audio- en videobestanden over het netwerk worden gestreamd, kan met behulp van php en MySQL een dynamische website worden gehost en kan het apparaat als printserver fungeren.

Om versie 5.1 te kunnen installeren moet minimaal versie 5.0 aanwezig zijn. Deze update kan geïnstalleerd worden op nas-modellen die eindigen op 10 of hoger, wat een verbetering is, want voor de eerste uitgave van DSM 5.1 was nog minimaal een model vereist eindigend op 11. In versie 5.1 treffen we onder meer diverse verbeteringen aan de beveiliging aan. Zo is er een security advisor die je waarschuwt voor onveilige instellingen en staat de Application Armor kernel security module nu standaard aan. In versie 5.1 build 5022  update 1 treffen we de volgende verbeteringen aan:

Fixed Issues
  • Improved the stability of SHR expansion.
  • Improved stability of iSCSI transfer.
  • Fixed a vulnerability that allows local users to access unauthorized files.
  • Upgraded OpenSSL to 1.0.1k to address multiple vulnerabilities (CVE-2014-3571, CVE-2015-0206, CVE-2014-3569, CVE-2014-3572, CVE-2015-0204, CVE-2015-0205, CVE-2014-8275, and CVE-2014-3570).
  • Upgraded PHP to 5.5.20 to address one vulnerability (CVE-2014-8142).

Synology Disk Station Manager 5.1 screenshot (620 pix)

Versienummer:5.1 build 5022 update 1
Releasestatus:Final
Website:Synology
Download:http://www.synology.com/nl-nl/support/download
Bestandsgrootte:155,00MB
Licentietype:Freeware
Moderatie-faq Wijzig weergave

Reacties (40)

Het aantal security fixes schiet omhoog bij Synology. Dat is aan de ene kant een goede zaak (elk gepatched lek is een vooruitgang) maar aan de andere kant zet het mij wel te denken hoe kwetsbaar DSM af en toe is, mogelijk mede doordat ze bekende zaken als OpenSSL en PHP gebruiken die beide niet vrij zijn van security lekken. Nu steeds meer mensen hun NAS aan het internet hangen (en Synology hiervoor ook alle mogelijkheden biedt) zal dit risico alleen maar toenemen. Het is elke keer ook weer een aardig forse update. Is het niet mogelijk om alleen de getroffen functionaliteit te patchen?
Wat is volgens jouw een veiliger alternatief voor OpenSSL dan?
Lijkt me dat een eigen implementatie minder veilig is.

Vind wel dat ze meer moeten waarschuwen dat het blootstellen van de NAS aan internet risico's met zich meebrengt.
Heb zelf de NAS niet rechtstreeks extern bereikbaar, enkel via VPN.
Niets is 'vrij' van security lekken.
Nee maar wanneer de secuity fixes zich in een hoog tempo opvolgen (zoals de laatste tijd) begin je je wel achter de oren te krabben. Natuurlijk zijn fixes een zeer goede zaak maar het zet wel te denken over de integrale veiligheid van het systeem. Door meer en meer functies aan een NAS toe te voegen zorg je er indirect ook voor dat de kans op security gaten toeneemt natuurlijk. Misschien moet men gaan overwegen on over te stappen op eventuele meer secure onderdelen en applicaties.
Je noemt punten waar zeker is van te zeggen is, maar ik denk ook dat security hoger op de agenda van Synology is komen te staan. Dit komt mede door de Synolocker.
Synolocker heeft daar zeker aan bij gedragen. Dit was een behoorlijke wake up call voor Synology (en zijn users) vermoed ik. Aan de andere kant; het was van verre aan te zien komen dat dergelijk misbruik er aan zat te komen. De focus op security had er dus al veel eerder moeten zijn. Helemaal omdat het hier om een internet enabled device gaat met zeer veel functionaliteit die ook nog eens redelijk populair is.
Hackers willen graag in de belangstelling staan. Ze willen iets hacken wat veel gebruikers kan treffen. Aan de andere kant, zullen zij het ook wel interessant vinden om bijv. Nasa te hacken. Dan heb je wel veel aandacht, maar het treft niet direct veel gebruikers.

Ik denk niet dat Synology minder veilig is geworden, ik denk dat hackers hen als een interessante prooi bestempelen.

Ik moet het zelf nog met een DS209+ doen, dus ondanks dat deze versie ook voor de *10 versies beschikbaar is, loop ik nog wel met een verouderd systeem rond. Tja dat is ook het nadeel van Synology. De systemen + WD Green schijven, blijven al ruim 6 jaar zonder problemen doorlopen. Gelukkig brengen ze nog wel de belangrijke Hotfixes uit zoals de heartbleed bug.
Ik vind het instellen van rights op je synology niet altijd even gebruikervriendelijk. Als het te moeilijk is om je security in te stellen gaan velen net zoveel security droppen totdat ze kunnen wat ze willen en dan staat de tent open.
Er is sinds DSM 5.1 een Security Advisor. Die helpt je in elk geval om een aantal standaard instellingen te controleren en geeft adviezen over wachtwoordsterkte, firewall instellingen, poorten, etc.

[Reactie gewijzigd door captain007 op 22 januari 2015 13:26]

Maar ik heb het niet over adviezen om de boel dicht te timmeren. Waar het mij om gaat is om de boel wel veilig te maken maar wel gewoon te doen wat je wil.
Voorbeeld: ik gebruik mijn nas als ftp server. Iedere geregistreerde gebruiker heeft een map in de homes map. Ik wil zelf vanuit mijn pc bestanden hierin kunnen veranderen. Aangezien ik uit veilgheid niet standaard als admin maar als user op mijn nas zit kan dat niet ondanks dat ik de user read/write ok heb gegeven op de homes folder: ik heb alleen lezen privileges. Blijkt dat er nog ergens een verborgen instelling dit regelt.

Ik vind overigens de warboel van rechten regeling niet alleen van toepassing voor synology maar ook voor windows. Bedrijven moeten snappen dat als ze security maar ingewikkeld genoeg maken, hackers meer met jouw systeem kunnen dan jijzelf, ook omdat gebruikers dan de boel maar openzetten als het niet werkt.

[Reactie gewijzigd door HanslH op 22 januari 2015 15:49]

Ik zie het een beetje als 'bedrijfsrisico'. Nassen zijn en worden steeds slimmer met meer mogelijkheden. Gewoon gebruiken die functionaliteit met uiteraard een beetje gezond 'boerenverstand' om e.e.a. veilig te doen.

Een auto heb je ook om te gebruiken. Als je die in de garage laat staan dan weet je zeker dat je nooit ongelukken maakt, maar heb je er ook geen plezier van.
Een van de zaken die verbetert zou kunnen worden is de default instelling van DSM. Zo krijg je diverse applicaties standaard ge´nstalleerd en en protocollen ge-enabled. Waarom niet gewoon een setup wizard die punt voor punt de functionaliteit bij langs gaat en pas aanzet wanneer de gebruiker aangeeft dat hij / zij deze wil gaan gebruiken? Of bijvoorbeeld de gebruiker de vraag stellen of hij / zij een bepaalde functie niet liever wil uitzetten wanneer deze bv een bepaalde periode niet is gebruikt.
Op zich doet Synology dat al vanaf DMS 5.0 d.m.v. het Package Center 'apps' aan te bieden die je kunt installeren om extra functionaliteit te bieden.

Ik geef je gelijk dat ze dat nog verder kunnen doorvoeren door meer protocollen/applicaties standaard niet te activeren.
Ik kreeg vannacht inderdaad een mailtje dat de update binnen 10 minuten ge´nstalleerd zou worden. Leve de auto-updater! Wel maak ik me zorgen om de security. Synology (en andere NAS systemen) worden steeds populairder wat hackers ook niet zal ontgaan.

Zelf heb ik eigenlijk geen enkele poort open gezet op mijn router, alleen de VPN poort. Als ik persÚ op mijn NAS moet zijn doe ik dat via VPN. Wel wil ik nog eens mijn gedeelde mappen encrypten maar daar heb ik nog geen tijd voor gehad. Wie dat ook wilt, hier een tutorial:
https://www.synology.com/nl-nl/knowledgebase/tutorials/455
Ook een VPN levert lang niet altijd een veilige situatie op. Zou waren er al eerder problemen met de VPN implementatie op Synology platformen:

https://www.kb.cert.org/vuls/id/534284
Overview

Synology DiskStation Manager VPN module contains a hard-coded password which cannot be changed.
Original Release date: 27 Feb 2014 -> nog niet zo heel erg lang geleden dus.
Op mijn NAS kan ik met dat root password in ieder geval niet inloggen op VPN.
Die bug is een tijdje terug verholpen (vandaar dat er ook "waren" staat). Het dient ter illustratie van het beveiligingprobleem.
Maar reden genoeg voor mij om het te controleren. :)
Ze worden niet alleen steeds populairder maar ook steeds krachtiger waardoor ze interessant worden om remote of gedistribueerd taken af te laten handelen. Zo kun je een mooi zombienetwerk opbouwen voor bv een DDOS, bitcoins laten minen of andere taken laten uitvoeren. Nassen worden steeds interessanter als doelwit.
Absoluut. Hoe meer je met de Synology doet of naar buiten opensteld, hoe meer risico. Het risico komt niet per definitie door Synology maar alles wat erop draait. Dat zal steeds 'erger' worden, maar daarom goed dat er snel en veel gepatched wordt.

Dit probleem heb je met elk systeem wat aan het internet/netwerk hangt. Wil je risico verkleinen dan zal je alles zoveel mogelijk uit moeten zetten.
Heb zelf de Webdav poort ook open staan maar de rest dicht.

Heb wel de SSH poort van mijn router naar het internet open staan zodat ik vanaf de router een WOL commando kan sturen. Maar ik twijfel nog over de veiligheid ervan. De router gebruikt wel pubkey authenicatie en sudo maar heeft geen fail2ban oid.
ik twijfel nog over de veiligheid ervan. De router gebruikt wel pubkey authenicatie en sudo maar heeft geen fail2ban oid.
Fail2ban heeft ook niets met veiligheid te maken, maar houd alleen je logfiles een beetje schoon. Een beetje hacker gebruikt een botnet, en die kun je niet bannen.
Je moet gewoon een sterk wachtwoord hebben, of een key, zoals jij.
Net de update uitgevoerd en probeer al meer dan 15min in te loggen op de NAS.
Melding is "Het systeem is bijna klaar. Meld u later aan"

Mogelijk is mn RAID set weer om zeep geholpen dus wordt weer hard uit en aan zetten.
Soms moet je meer geduld hebben. Ik zou hem niet direct hard uitzetten maar even de tijd geven.
Hangt ook af hoe snel je NAS is. Bij de 214+ en 212 ging het redelijk snel maar gebruik geen RAID.
Ik heb hem maar uit en aangezet hierna was die weer snel bereikbaar.
Alleen melding dat de systeempartitie corrupt was maar deze heb ik herstelt.
Ik heb overigens een DS211
Een DS211 moet dit redelijk snel kunnen inderdaad. Waarschijnlijk toch iets blijven hangen.

En bedacht bij net het volgende voor de volgende keer als het gebeurt. Pprobeer of je met Putty nog kunt inloggen. Dan geeft je het commando Reboot om de nas te herstarten.

Vaak lukt het nog wel om met Putty in te loggen als de GUI niet meer werkt.
Vreemd, na update waren mijn widgets weg op een DS212J, eerste keer dat dit voor komt.
Bij mij waren al mijn geinstalleerde packages verdwenen, erg typisch. Ik heb een DS213+
Zojuist een DS415, DS214 en een DS212+ geupdate. De laatste had ook community repo software draaien (sickbeard). Geen problemen tegengekomen.
1.01k is eentje nieuwer dan de nieuwste die op de openssl website staat, daarmee is synology dus waarschijnlijk een van de eerste die deze versie gaat draaien
Hm? Ik zie toch echt 1.01l staan. En die is al een week oud. Synology loopt achter.
Wel goed al die updates, maar is dit niet een beetje te?

Als ik nu kon updaten zonder te restarten zou ik dit minder erg vinden,
Gewoon de auto-update aanzetten die snachts zijn werk doet, kan voor vrijwel niemand kwaad toch? Ook al heb je 3 a 4 cloudback-ups lopen kun je daar nog om heen werken, aangezien je de tijden van back-ups en auto-update per minuut kan instellen.

@pgm5700: van de autoupdate functie merk je niets. Misschien een e-mail/sms melding, maar ook dat is te configureren.

[Reactie gewijzigd door Malarky op 22 januari 2015 17:43]

We gaan het eens testen
Beter zou zijn als je van die updates niets merkt in je dagelijks gebruik, dus dat dit op de achtergrond gebeurt, en liefst zonder reboots.

Zou het kunnen.
Veel van deze software kan zonder reboot geupdate worden maar je moet natuurlijk een eenvoudige manier hebben om universeel updates te kunnen installeren. Een reboot na de tijd is vaak de simpelste manier om zeker te weten dat alles correct is ge´nstalleerd. Ieder normaal bedrijf heeft tegenwoordig ook een maintenance window waar je kunt herstarten en laten we eerlijk zijn voor consumenten is het helemaal geen probleem.
Goed bezig synology.
Vooral blij met de Security fixes :*)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True