Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

QNAP waarschuwt gebruikers voor brute-forceaanvallen gericht op nas-systemen

QNAP waarschuwt voor brute-forceaanvallen die gericht zijn op zijn nas-systemen. Het Taiwanese bedrijf adviseert zijn gebruikers om bijkomende beveiligingsmaatregelingen te nemen. Het is niet de eerste keer dat QNAP-apparaten aangevallen worden door hackers.

Volgens het bedrijf rapporteerden meerdere gebruikers van QNAP-apparaten diverse pogingen van hackers om door middel van brute-forceaanvallen in te breken in hun apparaten. “Als een zwak of voorspelbaar wachtwoord wordt gebruikt, is het voor de hackers zeer eenvoudig om toegang te krijgen tot het apparaat”, aldus QNAP.

Het Taiwanese bedrijf adviseert bijgevolg zijn klanten om onder andere een sterk wachtwoord in te stellen, het default access port number van het apparaat te wijzigen en het admin-account uit te schakelen. Dat laatste kan door via het instellingenmenu van het NAS-systeem eerst een nieuw gebruikersaccount aan te maken en vervolgens het standaard ingestelde admin-account uit te schakelen.

Ook in 2019 ontdekte het Anomali Threat Research Team dat er ransomwareaanvallen werden gepleegd op de nas-systemen van QNAP met de ransomware eCh0raix. Toen raadde QNAP eveneens aan om onder andere sterke wachtwoorden te gebruiken, maar ook om ssh en telnet uit te schakelen en poort 8080 en 443 niet als standaard te gebruiken.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Nieuwsposter

26-03-2021 • 15:45

146 Linkedin

Submitter: juliank

Reacties (146)

Wijzig sortering
Wie hangt er nu een nas direct en open aan internet?

Dat is wat mij betreft hetzelfde als een windows machine direct aan een extern IP.

En kom nu niet met, ja dat is handig want...,

De huidige situatie op het internet maakt port forwarding gewoon niet verstandig als je niet weet wat je doet.
Open zou ik hem zeker niet aansluiten, maar een HTTPS poort forwarden is niets mis mee als je je NAS deftig geconfigureerd hebt. Een niet-standaard admin account met een sterk (lang) willekeurig wachtwoord, 2FA en IP beperkingen (enkel inloggen van lokaal subnet), auto-block voor paar dagen bij 3 foute pogingen in een kwartier, IP-ranges blokkeren voor landen waar je toch nooit komt, en dan heb je hier helemaal geen last van. Als ik me goed herinner vroeg de laatste synology die ik installeerde reeds om een niet-standaard admin account te maken, automatische IP-bans weet ik niet of die standaard aan staan.
En dan komt er een zero day voorbij zoals eerder bij qnap en pats, alsnog stuk.
Stuk? Of data kwijt? Want voor dat laatste zijn er gewoon backups. Verder kan in je in zo'n geval natuurlijk een paar dagen de port-forward verwijderen om zeker te zijn, maar dat risico is zo klein dat ik t er wel bijneem. Poort is niet-standaard, uiteraard.

Het is ook gewoon de enige manier als je ergens op bezoek foto's van je NAS wilt casten naar de TV. Of ga je dan eerst op VPN een paar gigabyte downloaden naar je telefoon om dan met een app alles lokaal te casten?

Met die logica kan je ook best stoppen met browsen en sms'en, want dan komt er een zeroday voorbij die werkt in de browser of iMessage en pats, alsnog stuk.
Je telefoon standaard een VPN naar huis open laten houden? Dan komt het op de encryptie na op hetzelfde neer en net zo flexibel.

Alleen in het geval van bijvoorbeeld openvpn netjes afgedicht met certificaat ipv username en password.
Nope, want dan ga je een intern IP adres met die chromecast delen, wat die chromecast niet kan bereiken. Die zit immers niet op VPN. En een telefoon als VPN gateway laten fungeren brengt een pak meer risico's mee dan gewoon die HTTPS poort openzetten.
Wut... Jij snapt VPN niet, of ik jou niet.
Je telefoon opent een VPN naar je thuisserver. Dus die is dan steeds in jou netwerk. Jou chromexast gaat niet je netwerk uit via die verbinding ofzo.
Ik doe dit al jaren. Het is echt een aanrader. Nooit meer bang voor gekke wifi's en dingen. Zeker sinds wireguard, je merkt het niet eens. Kan waar ik ook ben overal thuis heen SSH'en. Heerlijk.
Wanneer ik een foto via een chromecast toon, krijgt de chromecast niet de foto, maar een link naar de foto. Stel dat ik via wireguard naar een thuisnetwerk verbind, met een NAS op 192.168.1.2, dan stuurt een app "https://192.168.1.2/photos/foto001.jpg" naar de chromecast. Echter, jij zit op een wireguard verbinding, waardoor 192.168.1.2 op je eigen thuisnetwerk uitkomt, maar als die chromecast de foto probeert op te halen zal hij op zijn eigen netwerk gaan zoeken. Als je toch VPN en chromecast wilt combineren zal je dus gekke dingen moeten gaan proberen.
Ik snap echt totaal niet wat je wilt zeggen. Echt niet. Wat ik wel snap is hoe IP werkt, en dat ik met die kennis midden op de heide een foto van mijn telefoon op de chromecast kan laten tonen thuis. En ook van mijn nextcloud en ook van mijn spreekwoordelijke NAS die ik niet heb.
ergens op bezoek foto's van je NAS wilt casten naar de TV.
midden op de heide een foto van mijn telefoon op de chromecast kan laten tonen thuis
Ja, op je chromecast thuis, maar als je op bezoek bent ergens anders, en je wilt een foto tonen op de chromecast daar, terwijl die foto op je nas thuis staat, zal dat niet werken wegens het probleem dat ik hierboven beschreven heb. Thuis gaat een VPN naar je eigen netwerk uiteraard geen probleem geven.
Hoe denk jij dat de bits van die foto de op je telefoon staan, op je chromecast komen?

[Reactie gewijzigd door D0phoofd op 26 maart 2021 22:07]

Telefoon verteld de chromecast het adress van de foto, het zend niet de bits van de foto zelf naar de chromecast. dat is hoe chrome cast werkt. ook bij video zoals netflix of andere apps. je kan je telefoon naar casten het uit zetten, dan werkt de stream nog steeds.
En dan komt er een zero day voorbij zoals eerder bij qnap en pats, alsnog stuk.
Stuk? Of data kwijt? Want voor dat laatste zijn er gewoon backups.
Een consument koopt juist zo'n apparaat voor back-ups. Deze apparaten worden juist verkocht met de intentie om storage aan je netwerk te hebben. Het heet ook niet voor niets een NAS. Dat de gebruiker zo'n apparaat toegankelijk maakt buiten de LAN, is de 2e stap. Inmiddels is dit meer de norm, dan de uitzondering. Want een NAS is tegenwoordig meer een 'Private Cloud' want dat klinkt cool.

Een backup van de backup is goed, maar dat is geen argument dat je een NAS niet naar internet open moet zetten.

Wel ben ik van mening, dat er nog te weinig word gedaan tegen zulke praktijken. Er zijn nog talloze NAS systemen op het internet te vinden, ook in NL waarbij er een default password op zit, exploit voor is, of iets anders waardoor het systeem aangetast kan worden. Dit is iets voor de fabrikant.

Ook ben ik van mening dat je niet een NAS in huis moet halen, en moet portforwarden als je geen verstand van zaken hebt. Het internet is een wild-westen.
Een consument koopt juist zo'n apparaat voor back-ups.
Sommige consumenten kopen juist zo'n apparaat voor back-ups, zoals jij misschien. Ik heb er een
met de intentie om storage aan je netwerk te hebben
zodat inhoud niet gebonden is aan een specifieke computer, maar zodat ik aan mijn foto's e.d. kan van eenders welk toestel, en met enige beperkingen ook van eenders waar. Mijn NAS regelt dan de backups wel, zowel naar andere schijven als naar andere locaties. Ook wil ik zonder gedoe 10GB aan foto's kunnen doorsturen naar iemand, en dan is een beveiligde link die een paar geldig is naar een map op de NAS wel handig.
De Functie van een NAS is Network Attached Storage.
De Applicatie, is anders. Backup is een applicatie. Net als dat jij foto's wilt delen via een link, is ook een applicatie.

Juist dat deel van het product is kwetsbaar, omdat het functioneel aan een netwerk hangt, is de applicatie ook makkelijk te verspreiden.

Dit 'Private Cloud' verkoopt goed. Maar is zo kwetsbaar als iets wanneer de fabrikant geen verantwoordelijkheid neemt. Dat doen ze ook niet (word afgevangen in een of andere EULA, en terecht).
Daarom moet je ook niet zomaar je NAS open gooien naar het internet, hoe 'handig' het ook is. Je kan [fabrikant] niet aanklagen voor verlies/aantasting/diefstal van data wegens nalatigheid van software updates of iets in die trend.
Stuk? Of data kwijt?
Nou dat zijn nog de minste van m'n zorgen.

Mijn nachtmerrie is dat er iemand binnenkomt en alle backups download.
Of je nas meeneemt.

Anyway gevoelige informatie behoud je niet raw op je nas. Daar gooi je nog encryptie overheen.
Hoe doen NAS achtige apparaten dit? Een tweede mount-stage waarbij na het booten via een webinterface een wachtwoord gevraagd wordt? Ik heb alleen maar vanilla Linux systemen, en los dat zelf op, maar na een reboot iedere keer een wachtwoord invoeren lijkt me vervelend. En heb je dan een VPN server die offline is als je op vakantie bent en thuis viel de stroom even uit?
Voor wachtwoorden heb je wachtwoord managers die je daarbij helpen.

Voor gevoelige informatie heb je simpele zip bestanden met een wachtwoord. Of je gebruikt een encryptie programma dat dit vanavond je werkplek regelt.

Er zijn zo veel ontelbare mogelijkheden.
Ah, ik las je verkeerd. Nou, mijn 'nas' heeft gewoon encryptie op filesystem niveau. Ik begrijp wat je bedoelt in de zin dat je dus de applicaties die gebruik maken van de opslag de encryptie laat doen.

Ja, in het geval van je eigen password manager (bitwarden_rs bijvoorbeeld) is dat logisch natuurlijk. Voor de rest van de data lijkt me dat onhandig, en ook niet zo veilig in vergelijking met full-disk encryptie.

Mijn nas boot in het OS, maar de data partitie is niet gemount totdat ik daarop ben ingelogd. Dat lijkt me beter en veiliger maar ik vroeg me af hoe die consumer nas dingen dat doen.

[Reactie gewijzigd door casberrypi op 27 maart 2021 20:55]

Dan moet je dus eerst al wat kennis bezig om te doen wat je schrijft. Neemt niet weg dat het niet echt verstandig is nas toegang van buitenaf te geven.
Hebben die dingen geen fail2ban ofzo ?
Jup, mooi in de GUI in te stellen, met in Synology's geval nog een onderscheid tussen "clients waarop je al eens succesvol ingelogd bent" en "nieuwe clients", zodat je voor nieuwe clients de limieten extra hard kan zetten. Bvb 3 foute pogingen -> 1 dag ban, terwijl je voor vertrouwde clients een beperktere ban van 1 uur kan zetten. Verder is er ook nog account protection, waarbij er extra limieten zijn per account in plaats van per IP adres dat verbind, zodat ook distributed attacks geblokkeerd worden.
Klopt, maar een aantal van die zaken zijn slecht te combineren in de FW van QNAP.

Ik gebruik op alle accounts die ik aangemaakt heb 2FA, sterke PWD's van tenminste 24 karakters en auto IP bans voor failed logins. Bovendien publiceer ik alleen 443 op tcp en udp naar de buitenwereld

De https admin webinterface op poort 443 handelt ook de connectie voor de synctool QSync (denk: Gdrive/Dropbox) en browser based file explorer Qfile af. Die 3 zaken kun je niet 'lostrekken' van elkaar. Dat zou ik liever wel doen, want die admin interface heb ik van buitenaf niet persé nodig. Maar het gebruik van standaard webpoorten is wel handig als je regelmatig buiten je eigen firewall werkt; niet standaard poorten worden nogal eens geblokkeerd. QVPN met Qbelt protocol gebruikt 443 udp btw.

IP blocks is ook lastig; de built-in firewall heeft geen smart (geo) IP blocks, dus dan moet je bekende IP reeksen whitelisten. Dat is praktisch niet echt te doen in een roadwarrior scenario. De firewall addon die dat wel kan (QuFirewall) was tot februari in beta en voorkomt bv dat je disken in slaap mogen vallen. Maar mijn NAS doet 60% vd tijd niks, dus da's ook een beetje zonde. Bovendien is ook QuFirewall niet super flexibel te configureren.

Ik heb inmiddels het admin account disabled. Ik had woensdag 80-90 password failed login meldingen op dit account. Ondanks het sterke PWD en 2FA toch maar disabled. Dat kan overigens alleen maar als je ook Telnet en SSH toegang uitzet zegt de handleiding. Inloggen met nieuw admin account kan wel op SSH, al heb ik de rechten niet echt gecontroleerd. Ik heb zowel telnet als SSH niet dagelijks nodig en kan het in omgekeerde volgorde weer terug aanzetten allemaal. Maar vanuit disaster recovery ('NAS doet raar, help') is dat niet echt de situatie waar mn voorkeur naar uit gaat.

Lang verhaal kort; alles op 2FA , complexe PWD's en niet standaard accounts moeten het dus maar gaan doen voor mij. Enige alternatief is nog om alles via de proxy/broker service van QNAP te laten lopen (myqnapcloud link) maar daar heb je weer andere aparte accounts voor nodig. En het moet voor mijn vrouw en kinderen ook nog een beetje te behappen blijven.
Zelf zou ik nooit een apparaat met mijn foto’s , documenten aan een extern ip hangen. Kan je nog zulke mooie fail2ban of andere beveiliging ervoor hebben draaien. Ik zie steeds meer mensen die webhosting/apps draaien op NAS, omdat het kan. Op synology even met een quick connect en upnp firewall rule er doorheen, totaal niet aan te raden.
Let wel: de 2FA bij QNAP lijkt mij niet helemaal waterdicht.
Je kan nog steeds de link naar aparte apps openen (bvb photostation: https://myprivateurl:1234/photo/), waar je kan inloggen zonder 2FA.
Tenzij je dergelijke links ergens kan uitschakelen?
Als je al hoort hoe vaak het mis gaat in corporate-omgevingen (denk aan de Solarwinds hack), hoe vaak denk je dat een 'jong en dynamisch bedrijf' vervolgens de NAS aan het internet hangt want 'lekker makkelijk'? Het percentage mensen dat ook daadwerkelijk niet weet wat ze doen is aanzienlijk, dat zou eigenlijk geen verrassing moeten zijn.
Dus infiltratie van netwerk monitoring software via de leverancier is hetzelfde als je nas aan het internet knopen?

Veel kleine bedrijven gebruiken tegenwoordig gelukkig office 365. Kun je wel of geen fan van zijn maar dan heb je hier in ieder geval geen last van.
Mensen, ook IT minded afstammelingen!, hebben de gewoonte om privé en zakelijke inlogcodes (mailadres+wachtwoord) door elkaar te gebruiken als ze geen wachtwoordkluis gebruiken buiten de ingebouwde browser “oplossingen”. Als dan een site gehakt (..) wordt, komen deze “op straat”.
75% van de geslaagde digitale inbraken komen daar uitvoort...
Slechts 25% via het aloude ambacht van hacken op hardware niveau ( pin me niet hard op deze verhouding met cijfers achter de komma..)
Dat gezegd hebbende, weet je hoeveel ellende er is met O365 met al die door elkaar gebruikte inlog codes? En, weet je hoeveel bedrijven het nalaten om goede backups te maken van O365?
NAS, mits goed geconfigureerd, is een veul minder groot issue dan dat.
Nee, het gebruiken van een blabla123 wachtwoord is een soortgelijk voorbeeld van je nas aan het internet hangen: https://www.reddit.com/r/...assword_solarwinds123_on/
Solarwinds is niet echt vergelijkbaar. Daar is echt foute code toegevoegd via een zeer targeted hack. En vervolgens via updates bij klanten binnengevoerd.

De klanten die toen getroffen zijn hadden op zich hun zaken wel voor elkaar. Maar meer dan vertrouwen op je leverancier kan je meestal ook niet.

Dit is heel wat anders dan een NAS aan het internet hangen met admin/1234 als login :)
Niet iedereen die een NASje koopt heeft benul van systeembeheer, wat mij betreft is het aan de fabrikant om met standaard instellingen een redelijk veilig product af te leveren.

In C't van deze maand stond een verhaal van iemand wiens Synology automatisch UpnP had aangezet op de router. Hij liep ook wat achter met patches ...
Dat verhaal in de C'T was erger: Het was een samenloop van omstandigheden: De firmware van de nas was bijgewerkt en die had upnp aan gezet zodat ze door de firewall heen wilde (fout van de nas-firmware) EN de router/modem was terug naar de fabrieksinstellingen wegens een issue, waarbij de upnp mogelijkheid ook automatisch aan stond (fout van de router/modem firmware).

Detail: Ik zeg hier 'fout van...' maar 10 tot 20 jaar geleden was dit juist de standaard instelling omdat het daarmee gewoon werkt. De gedachte van beveiliging voor gemak is pas van de laatste paar jaar.

Bedenk overigens, de instellingen die ik hier als 'fout' beschrijf zit nog steeds als standaard in de gemiddelde (chineese) IoT, van camera tot schakelaars en deurbellen in het bijzonder. Gewoon omdat de software op de mobiel toch wel in 1 keer en op afstand het licht moet aan zetten en beeld moet zien...
Pardon;
De gedachte van beveiliging voor gemak is pas van de laatste paar jaar.
Daar kan ik me niet in vinden.
Voor consumenten lijkt het de afgelopen jaren geaccepteerd maar Tweakers weten toch wel al 5 jaar beter denk ik!
Foscam heeft inmiddels standaard upnp uit staat heb ik gemerkt. :+
Misschien kunnen de providers port forwarding eens gaan blocken behalve op aanvraag ofzo. Dan kan het ook niet onbedoeld fout gaan.
Alsjeblieft niet meer dan nu. Nu is het al "op aanvraag" want je moet toch echt zelf inloggen in je modem om iets open te zetten.


Upnp zou dan zeker wel standaard uit moeten staan, dat dan weer wel.
Als je modem only hebt is het je eigen router waarin je dan poorten wel of niet open moet zetten.
als je een modem/router van je provider hebt moet je daar idd inloggen.
Jawel, ik heb mijn QNAP bereikbaar vanaf internet, en dat is inderdaad heel handig omdat mijn nas veel meer doet dan alleen schijfopslag voor een lokale pc. Hij functioneert als volwaardige server.
In de logs zie ik al jaren lang allerlei bots die proberen in te breken en/of wachtwoorden proberen te raden.
Die pogingen worden ook steeds slimmer.
Vroeger brute force binnen enkele minuten vele varianten uitproberen.
De standaard beveiliging van QNAP (automatische IP bans) blokt dat simpel, dus nu vanuit steeds wisselende IP-adressen nooit meer dan 2 pogingen en met een wachttijd ertussen om de standaard mechanismen te omzeilen.
Een andere non-standard port instellen klinkt leuk maar helpt een dag, want dan is de nieuwe port gevonden, naar de admin port wordt ook constant gescanned.
Nu extern beheer maar uitgezet, doe dat nu via VPN.
Alle pogingen die ik tot zover zag waren allemaal voor de "admin"-account en die heeft bij mij geen rechten, maar dat weten die bots nog niet want ze blijven het proberen.
Dank zij mijn andere maatregelen nooit een geslaagde inbraak gehad in 15 jaar, maar ik laat de nas voor alle pogingen wel alerts mailen en dat geeft dan soms in een paar uur toch gauw een paar honderd alerts waardoor andere mails ondersneeuwen - dat wil je ook eigenlijk niet.
Zit er niet gewoon een simpel fail2ban mechanisme op dit soort apparaten?
Jawel, na 5 foutieve pogingen wordt een account geblokkeerd. Dit aantal is instelbaar. Dit moet je helaas wel zelf aanzetten, is niet default volgens mij. Ik heb het zelf direct aangezet.
Het is mij nog steeds een raadsel waarom een fabrikant die miljoenen consumenten zou beschermen om hun waardevolle gegevens niet verloren te laten gaan vervolgens de meest basismogelijkheden die beschermen niet standaard aanbieden maar vervolgens wel standaard iedereen vanuit welke plek dan ook laat kunnen inloggen. Dan lijken de prioriteiten toch echt niet te liggen bij het beschermen maar meer bij gemak en kosten/winstmarge.
Standaard staat zo'n apparaat niet met de buitenwereld verbonden
Daar zitten best een paar stappen tussen.

Maar het kan inderdaad beter standaard 'aan' staan, alleen krijg je dan weer de opmerking "ik kan niet in mijn NAS komen ..."
Alleen doen fabrikanten er wel veel aan om het online gebruiken zo makkelijk mogelijk voor elkaar te krijgen, terwijl ze daarbij de klanten nauwelijks tot niet informeren over het gebrek aan beveiliging en de risico's bij dat gemak. Als jij wil weten hoe je je QNAP via webdav of een myQNAPcloud Link voor iedereen bereikbaar online kan krijgen dan maken ze dat heel makkelijk. WIl je weten wat de risico's zijn, welke beveiliging je hebt (en vooral welke beveiliging je niet hebt) dan zoek je het zelf maar uit.
Dat er stappen tussen zitten is dus niet genoeg om te zorgen dat het veilig is. En dan ben ik van mening dat als QNAP vooral kijkt naar het gemak en niet het beschermen ze kennelijk niet zo veel interesse hebben in de klanten werkelijk beschermen.
Klopt, net als Synology, je bent eerder bereikbaar, dan dat het systeem geconfigureerd is
Vind ik wat kort door de bocht. QNAP is hiet niet beter of slechter dan andere fabrikanten van netwerk devices. Beveiliging van je eigen netwerk en devices is in eerste plaats nog altijd je eigen verantwoordelijkheid. En daarvoor bieden alle fabrikanten vandaag allemaal ongeveer dezelfde basismogelijkheden.

Ik kan je verzekeren dat een QNAP out of the box niet standaard vanop internet bereikbaar is.

Het is nooit een goed ideen om toestellen op je interne netwerk rechtstreeks bereikbaar te maken vanop internet. Maar zelfs met een simpele router is dat standaard ook niet het geval, want je moet zelf iets van port forwarding configureren.
Ik denk niet dat het redelijk is om te stellen dat als de rest het ook niet doet je dus goede bescherming levert of krijgt. Daarbij heeft QNAP nu de pech dat hun klanten er last van hebben en ze dit als bedrijf zelf ook een probleem vinden, dan mag ook wel wat beter gekeken worden wat QNAP zelf had mogen doen om hun klanten werkelijk te beschermen. Het is echt te makkelijk om je klanten minimale bescherming te bieden, om vervolgens dan te waarschuwen dat ze slachtoffer worden. Dan mag je als klanten en bedrijf toch wel wat meer verantwoordelijkheid nemen voor het ontstaan en blijven bestaan van dit probleem in plaats van het vooral een probleem van de klanten te maken. Want dat is de andere kant van dat al vanaf de vorige eeuw kunnen weten dat er meer nodig is, het steeds maar zo min mogelijk bescherming bieden alsof dat genoeg is.
Goede beveiliging enerzijds en gemakkelijke (legitieme) toegang tot het systeem anderzijds... dat is altijd moeilijk te combineren.
QNAP biedt net veel mogelijkheden (bijv. tot en met integratie in een AD of aanmelding via hun cloud met MFA), maar als de gebruiker ze niet wil gebruiken, dan kan je dat QNAP niet verwijten.
Je smart TV is 10x minder veilig, maar zit evengoed in je intern netwerk en je gaat er evengoed mee online...
Als de gebruiker nauwelijks van QNAP te lezen krijgt hoe de beveiliging toegepast kan worden, terwijl QNAP het wel zo makkelijk mogelijk maakt om zonder beveiliging hun services online voor iedereen bereikbaar te maken, en QNAP ook al jaren weet dat het optioneel houden van wachtwoordbeleid en beperken van inlogpogingen slechte beveiliging is, en al jaren weet dat gebruikers mede hierdoor extra risico lopen (QNAP waarschuwt er zelf voor), dan kan je toch echt niet blijven volhouden dat het afschuiven op de klant prima is.
Daarbij kan je ook moeilijk beweren dat al die miljoenen consumenten die in het dagelijks leven geen systeembeheerders of tweakers zijn zouden snappen hoe beveiliging werkt, terwijl ze een QNAP kopen die hun gegevens moet beschermen. Er zit een verschil tussen menen dat klanten maar verantwoordelijkheid hebben en dat ze die ook met je produkt en kennis kunnen nemen terwijl ze er nauwelijks in geholpen worden maar het wel makkelijk een risico vormt.

Dat je een ander apparaat noemt wat mogelijk nog minder beveiliging heeft is een zwaktebod. Als je zo simpel gaat redeneren om maar niets te hoeven veranderen dan ben je meer bezig met andere zaken als geld verdienen over andermans rug dan risico willen beperken.

[Reactie gewijzigd door kodak op 27 maart 2021 12:09]

Als je de basisinstellingen van QNAP gebruikt dan is de beveiliging vergelijkbaar met die van bijv. AVM voor de FritzBox. Extern beheer doe je dan niet direct naar de NAS maar via een tussenstation. Website van QNAP.
Wil je dat niet en de boel zelf regelen dan kan dat, maar dan moet je als gebruiker ook zelf snappen waar je mee bezig bent en de juiste maatregelen nemen.
In die zin kun je niet alle verantwoordelijkheid bij QNAP neerleggen.
De boel zit out-of-the-box behoorlijk dicht, je moet het zelf open zetten.
De gebruiker die gaat klooien heeft ook een verantwoordelijkheid.
Behalve dan dat qnap met zijn firmware updates in het verleden de ingeschakelde fail2ban weer uitschakelde. Waardoor brute forcen weer makkelijker werd.

En wat betreft die garantie dat qnap niet out of the box open aan het internet hangt is ook niet altijd zo geweest.
Mijn NAS stamt alweer uit 2016 en zelf schrok ik toen van wat er standaard allemaal open stond en draaide aan services. Als je dat systeem hedendaags zou inpluggen op het internet is die gegarandeerd binnen enkele minuten besmet.
Natuurlijk staan er services open: hoe wil je anders op je NAS inloggen, files browsen, backups nemen...
Maar dat wil toch niet zeggen dat al die services via internet te bereiken zijn. Inkomende NAT (port forwarding) staat op je router default nooit aan.
Dat je het open kan zetten is toch wat anders dan dat het standaard open staat 8)7 Waarom zou je niet beginnen met alleen HTTP en HTTPS (waarbij de HTTP een 302 naar https:// doet) en laat je de gebruiker handmatig extra zaken inschakelen wanneer gewenst?
Door eerst alleen de noodzakelijk services ingeschakeld te hebben, zodat een gebruiker kan inloggen, passwords instellen en dan pas services aanzet die nodig zijn.
Waarom moet er out of te box een ftp server draaien, plus tal van andere zwak ingestelde services die direct aan staan. Of aan stonden, qnap heeft gelukkig flinke stappen gemaakt met hun QTS omgeving.
Maar vooral een minder bedreven gebruiker zou kunnen denken na het inpluggen, zo ik kan mijn bestanden benaderen op mijn LAN, mijn NAS werkt, nu ff vlug googlen hoe ik dit bereikbaar maak voor onderweg..


Dat default router configuratie niet forward, ook niet met upnp. Gaat niet altijd op, volgens mij staat er ergens in dit draadje een pijnlijk voorbeeld waar forwarding wél werd ingeschakeld in default. En ook niet iedereen heeft zijn router zodanig geconfigureerd. Een niet ongebruiklijke situatie is dat een wat minder bedreven persoon met wat hulp iets open zet, zodat er wat gedeeld kan worden met de familie, vrienden en of club en het daarna geen enkele aandacht meer geeft.
Als je een zero trust in de consumenten markt, hell zelfs klein/middel bedrijf neerzet, ga je asap failliet als apparaten bouwer, ongeacht nas, camera, router, etc.
Deze optie moet je inderdaad zelf instellen. Maar let op! Na sommige firmware updates wordt deze instelling weer uitgeschakeld. |:( 8)7 Waar ikzelf tot mijn schrik achterkwam na grasduinen in mijn logs, tigtallen attempts achtereen vanaf zelfde ip adressen uit de bekende regionen...
Welk merk/type was dat dan?
Ehm merk.. :+ Apple
Type
TS-451+
Ah ok. QNAP. Zijn ook Syno mensen die meepraten. Vandaar mn vraag.
Zeker en werkt ook erg goed. Wanneer je SSH openzet (staat bij mij normaal achter een VPN) dan heb je binnen no time je log vol met inlog pogingen.
Ik moet bekennen dat op poort 8085 (standaard https poort voor toegang tot nas) ik nog nooit ellende heb gezien. Dus ik heb nog geen reden om dit ook achter de VPN te gaan zetten. Verder maak ik gebruik van 2FA.
Waarom open zetten ? Mijn NAS staat volledig intern, en ALs k er bij wil connect ik naar mijn VPN ( OpenVPN ) en ik kan alles. One point of failure , en dat is de VPN server en die vertrouw ik, al het anderen wat niet.
Waarom open zetten ? Mijn NAS staat volledig intern, en ALs k er bij wil connect ik naar mijn VPN ( OpenVPN ) en ik kan alles. One point of failure , en dat is de VPN server en die vertrouw ik, al het anderen wat niet.
Sommige mensen draaien juist de VPN server op de NAS, of web services, en dan moet ie van buitenaf wel bereikbaar zijn.
Daarvoor maak je vaak ook een virtuele nic aan, met een eigen mac.
Dus een oplossing is in je router op mac niveau je nas te blokkeren en de virtuele nic wel toegang te geven.
Daarvoor maak je vaak ook een virtuele nic aan, met een eigen mac.
Dus een oplossing is in je router op mac niveau je nas te blokkeren en de virtuele nic wel toegang te geven.
Verkeer op poort 80 of 443 komt alsnog aan op je NAS ... wat is je punt?
Geen bashing, gewoon nieuwsgierig.
Mijn punt is dat die poort dan op een virtual machine uitkomt op die nas. Dan poogt men in te breken in een virtualisatie welke geen toegang heeft tot het beheerders gedeelte van de NAS.
Waarom dan niet fresh tomato op je router en de VPN server aanzetten. Ik vertrouw FResh tomato veel meer dan de Software van QNAP en Synology ( en dan hoeft het niet direct aan de software te liggen maar aan de velen mogelijkheden in de software ) , die dingen hebben gewoon veel te veel functionaliteiten die misbruikt kunnen worden
Mijn punt is dat die poort dan op een virtual machine uitkomt op die nas. Dan poogt men in te breken in een virtualisatie welke geen toegang heeft tot het beheerders gedeelte van de NAS.
Hoe kom ik dan uit op de VPN server of de Webserver die op de NAS draaien?
Heb het vermoeden dat u niet zo bekend bent met virtuele machines en netwerken. Ikzelf ben hierin zeer zeker ook geen expert. Maar services als een VPN of webservices kan je op je NAS in een virtuele machine starten, ook wel containers genoemd. Op je NAS draait dan een pc in een pc met zijn eigen O.S. en eigen gesimuleerde hardware. Die gesimuleerde hardware heeft een eigen unieke ID's zoals je netwerk MAC. Zodoende kan je dát MAC whitelisten in je router en de rest blokkeren. Zodoende komt dat verkeer alleen uit op de pc in de pc. En heeft het niet direct toegang tot de NAS zijn O.S.
Het is natuurlijk niet 100% foolproof, maar biedt wel een extra laag van bescherming.
Heb het vermoeden dat u niet zo bekend bent met virtuele machines en netwerken.
Proest!
Dat ben ik wel, maar ik wist niet dat je dat bedoelde :-)
Enfin, thanks.
Mooie opstelling, kijk ook eens naar wireguard! Veiliger en sneller.
Als je beetje deftige credentials gebruikt, i.c.m. iets als Fail2Ban of een key file of iets van 2 factor dan is er m.i. in de basis weinig echt mis met SSH aan internet.
Als je een andere poort pakt valt het ook wel mee met de vervuiling van je logging.

Uiteraard heeft iets van een VPN mechanisme een voorkeur omdat dat er omheen ontwikkeld maar ook dat moet je wel goed inrichten niet bijvoorbeeld alleen met UN en PW want dan is dat net zo goed te brute forcen door iemand die echt binnen wil komen bij je en dan voer je jezelf qua (toegenomen) beveiliging meer een placebo.

[Reactie gewijzigd door Polderviking op 26 maart 2021 16:52]

Mijn werkgever blokkeert VPN en ik wil nog weleens op mijn nas kunnen op het werk. Dat krijg je wanneer privé en werk volledig door elkaar heen loopt ;-)
Mijn werkgever ook maar niet de mijnen, zet je VPN maar eens op port 80 of 443
Om dit te blokkeren moeten ze deeppacket inspection doen.

[Reactie gewijzigd door amigob2 op 26 maart 2021 16:21]

Precies, dat doen ze dus!
De meeste bedrijven hebben helemaal niet de proccing power om voor port 80 en 443 deeppacket inspection te doen. Daarom kies ik altijd 1 van die twee, werkte tot een jaar geleden ook in China.
Erg groot ICT bedrijf, over poort 443 lukt het domweg niet. Ik ga uit van deep packet inspection.
Maar wat voor VPN gebruik je ?
Een eigen gehoste, of een commerciële partij.

Want dan wordt het een ander verhaal.

( los van de toestemming om DPI toe te passen op al het verkeer )
Eerst openvpn nu wireguard, draait in een docker op de qnap.

[Reactie gewijzigd door glatuin op 26 maart 2021 18:15]

Eerst openvpn nu wireguard
Dat zegt nog steeds niets over de locatie, commerciële bieden ook beide aan.

Mijn 'werk' verbinding is ook zwaar geblokkeerd, maar 443, 80 en zelfs 53 waren tot nog toe altijd te gebruiken naar mijn privé vpn ( vps bij Contabo )
Maar als ik de app van Windscribe opstart, of die van AIRvpn en probeer via 443 te verbinden is het hit or miss bij sommige endpoints.
VPN van een VPN hoster lost het probleem niet op dat je allerlei apparaten aan het internet moet hangen.
Eigen openVPN server op dus mijn eigen IP, en die zit in geen enkele bloklist, van geen enkel bedrijf en dan kun je alleen nog maar zien of het een VPN is, met deeppacket inspection.
Dit laatste is natuurlijk weer te voor komen door vpn obfuscation te gebruiken, heb alleen nog geen image gevonden van Tomato/DD-WRT die dit standard kan
Ik ga uit van url filtering gebaseerd op de SNI inspectie ;) iets
Wat wij ook doen en helemaal niet zoveel processing power vereist
url filtering op mijn VPN server thuis ?
Yup ik heb ook één SSH poort naar buiten open staan (geen NAS overigens) en die wordt ook helemaal overspoeld met inlogpogingen.
Je zou haast port knocking gaan overwegen. :P

Maar goed Fail2Ban doet z'n werk goed.
Heb de ban termijn ook op 3 jaar gezet, omdat het kan zeg maar.

Even voor de beeldvorming, deze draait nu.. 3 maanden denk ik?
sudo fail2ban-client status sshd | grep "Total" ; date
| |- Total failed: 46523
|- Total banned: 2602
Fri 26 Mar 16:49:56 CET 2021

[Reactie gewijzigd door proditaki op 26 maart 2021 16:52]

Ik weet niet of het op een QNAP kan, maar op mijn Synology kan ik selecteren welke landen ( IP-adressen) mogen proberen in te loggen. Heb het zo ingesteld dat ik alleen IP-adressen toe sta uit NL, kan natuurlijk ook via een VPN provider die een NL server heeft. Aantal pogingen tot inbraak is 5 per jaar gemiddeld.
3 foute inlogpogingen binnen een uur en je hebt en perm ban bij mijn NAS.
Dat kost je toch alleen maar nodeloze Cycles, gooi hem op een ander poortje en 't gros van die botjes blijven wel buiten.
Hij staat op en ander poortje. Maar misschien was 8022 geen goed idee :)
Ik gebruik altijd een random poort in de range die er voor bedoeld is arbitrair te gebruiken. (49152–65535)

Als je voorin gaat zitten blijf je een beetje in de lijst gestandaardiseerde poorten hangen en daar zitten ongetwijfeld al die bots op te scannen.

[Reactie gewijzigd door Polderviking op 26 maart 2021 17:04]

ja dat zit er wel op
Dat klopt. Je moet het wel instellen en heeft (of had?) een maximaal aantal van iets van 2000 entries. Nog beter is om te kijken of je de poorten (voor beheer) echt wel open wil hebben naar buiten.
Je bedoeld inlogbeperking (login throttling) zoals 3 snelle pogingen en daarna login blokkeren voor x aantal minuten? Dat zou idd kunnen met fail2ban (mits de log snel genoeg wordt uitgelezen en je niet alsnog heel veel kunt proberen). Helaas werkt fail2ban niet goed met NAT-verkeer, maar je kunt natuurlijk de hele poort voor iedereen blokkeren.

[Reactie gewijzigd door darkfader op 26 maart 2021 16:04]

Het probleem met fail2ban oplossingen is dat veel van die autoscripting aanvallers tegenwoordig een botnet gebruiken, dus elke keer een ander IP. En als je per account blockt (dus niet per IP) dan kan je er zelf ook niet meer in (denial of service als resultaat).

Ik zie ze wel eens met SSH.. Zodra er een IP geblockt wordt, gaat het riedeltje vanaf een andere gewoon verder.

Stomme is dat ze dan wel weer zo dom zijn met verschillende usernames te proberen (admin, root, user enz). Terwijl ze bij de eerste poging al kunnen zien dat ik alleen maar public keys accepteer en dat ze met hun standaard wachtwoord lijstje dus toch geen kans maken.

[Reactie gewijzigd door GekkePrutser op 26 maart 2021 16:16]

Het waren steeds andere ip adressen, dus moet een of ander distributed attack zijn.
Waarom fail2ban en MFA?
Bij ons thuis zijn we toen eens getroffen en hebben ze toen de NAS helemaal stuk gemaakt. Hopelijk zal de schade beperkt blijven want kan zeggen dat kinderfoto's/video's kwijtraken geen pretje was.

Gelukkig via een lab alles nog terug kunnen halen en nu maar gebruik gemaakt van Icloud, maar was wel even schrikken.
Altijd een backup maken van de NAS!

Hoor erg vaak mensen die dat niet doen 8)7
als de NAS de backup is, dan hoeft dat ook niet
Nadeeltje is dat als je een crypto locker binnekrijgt (of een ander virus), ze niet alleen jouw bestanden pakken, maar ook de bestanden op je NAS. Het is daarom goed om ook een off-site of offline backup te hebben
geen enkel systeem is foolproof. backupsoftware kan ook getarget worden en dan heb je alsnog een waardeloze tape in je kluis liggen. Je kan het zo veilig niet verzinnen of er is iemand die er iets tegen gevonden heeft. Uiteindelijk moet je maar 1 zwakke schakel hebben
als de NAS de backup is, dan hoeft dat ook niet
Als stelregel houden, als het benaderbaar is, is het niet dé backup.

Mijn NAS en VPS hebben veel van mijn data, net zoals Onedrive en Dropbox.
Allemaal online alternatieven, maar mijn 'echte' backups staan op een tweetal HDD's die alleen aangekoppeld worden als ze noodzakelijk zijn ( write to ) om en om de week

Gaat er iets kapot, in het ergste geval ben ik dan 7 dagen kwijt, wat vaak te overzien is, omdat het ook in icloud/google photo's staat, of ergens in de cache/opslag lokaal
De nas zou nooit DE backup moeten zijn, het is EEN backup.
Mijn qnap is er voor de centrale backup vanaf de pc-s, telefoons en laptops. En apart voor de foto-collectie en (calibre) e-boeken.

Van die sets wordt een paar keer per jaar een selective backup gemaakt naar een externe harddisk. Daarvan ligt er 1 normaal aan de andere kant van het huis en 1 bij familie in een andere stad. Zo af en toe maak ik een nieuwe backup op de externe-disk thuis, die ik vervolgens verwissel met die bij de familie, waarna ik bij thuiskomst ook de andere externe harddisk bijwerk.

OP de qnap staat van veel ook meerdere versies/varianten en zo. Op de externe disks alleen een kopie van de laatste (goede) backup.

Toevoeging: Voor gegevens die ik buiten de deur wil gebruiken of wil delen met anderen, had ik een gratis stack-storage van trans-ip. Helaas nu niet meer gratis...

[Reactie gewijzigd door beerse op 26 maart 2021 17:38]

Tja, hoop niet dat je ooit door schade en schande wijs wordt |:(
we spreken over qnap wat vooral gericht is op kleinere bedrijven en thuisgebruikers en dan nog enkel als er zwakke wachtwoorden worden gebruikt. Geen idee hoe jij je NAS aansluit en instelt, maar ik zorg ervoor dat ze niet extern bereikbaar zijn, verander de default accounts/poorten, gebruik AD-authentication (indien er een domein is) of LDAP en alerts worden gestuurd vanaf er x aantal mislukte pogingen zijn in een bepaalde periode. allemaal dingen die enkel wat tijd kosten om te configureren.

Je kan dingen voorstellen naar klanten en als zij geen cold storage (remote) backup willen, dan is het beste dat je kan doen wijzen op de mogelijke gevolgen en daar de aansprakelijkheid van bij de klant leggen of de klant weigeren.
Ik heb 2 backups, eentje thuis op een 2e NAS die de data van de 1e NAS trekt. De 2e NAS is niet van buiten het huis bereikbaar. En is uiteraard beveiligd alsof deze wel rechtstreeks van internet te bereiken is. De andere backup staat in de cloud, encrypted, bij Backblaze.
wij trekken die uit als we hem niet nodig hebben
De 2e NAS maakt iedere nacht een backup. Daarbuiten schakelt deze NAS zichzelf uit. Je kunt de stekker eruit trekken dus automatiseren. ;)
Wat een drama inderdaad, jeetje.

Dit is niet om je te narren ofzo, maar wat voor beveiliging had je erop zitten dan?
Had je dat ding aan internet verbonden? Dit zou ik sowieso al met een paranoide manier behandelen.
Als het apparaat nieuw uit de doos komt, kun je toch verplicht stellen om een nieuw beheerdersaccount aan te maken + sterk wachtwoord, waarna het admin-account uitgezet wordt?
En waarom SSH en Telnet standaard aan? Het is niet dat je 100 van die dingen gaat deployen met scripts? Of wel?
Telnet staat standaard uit. SSH staat aan.
Als mensen niet hun NAS rechtstreeks aan internet zouden knopen dan zou dat geen probleem zijn.
Een fabrikant bepaalt voor hun producten de standaardbeveiliging. Sommige beveiliging is gelukkig volgens wereldwijde aanbevelingen standaard, zoals services die niet zomaar aan staan. Anderen zijn duidelijk zelfs na jaren nog niet standaard. En dat zonder dat de fabrikant ooit maar uitleg geeft waarom ze dat weigeren standaard te maken of aantonen waarom ze zelf die verantwoordelijkheid niet hoeven te nemen.
Je voorbeeld van een sterk wachtwoord lijkt daar prima bij te passen, net als wat anderen al noemen over standaard weigeren van te veel inlogpogingen. En als het dan mis gaat dan hoor je de fabrikant eigenlijk keer op keer vooral naar de klant wijzen, terwijl die aanbevelingen er niet voor niets al jaren zijn en de fabrikanten dus prima weten dat hun optionele beveiliging dus gewoon niet genoeg is. Dan kun je je als fabrikant echt niet meer achter verschuilen om er geen verantwoording voor af te leggen en alleen maar te waarschuwen dat je klanten in de problemen raken.
Ik heb al een andere poort ingesteld, maak gebruik van 2FA en heb een limiet gesteld op het aantal inlog pogingen. Tevens krijg ik bij iedere foutieve inlog poging direct een email. Deze maatregelen beschermen me al behoorlijk. Het admin account moet ik nog disablen.
kan nergens vinden waar je max aantal inlogpogingen kunt instellen, maar ik heb dan ook een oude NAS TS210 met QTS426
Control Panel > Security > IP Access Protection en Account Access Protection
In de qnap TS-419P+ heb ik firmware 4.3.3.1432 (dat is iets nieuwer) Daar zit het helaas ook niet in. NIET GOED GEKEKEN: Het zit voor de NL instelling (bij firmware 4.3.3):

Configuratie -> Systeem -> Veiligheid -> NetwerkToegangBeveiliging.
Eerlijk is eerlijk, mijn nas staat intern en geen verbinding van buiten naar binnen. Ik heb deze beveiliging nog uit staan.

Hopelijk heb je wel de nieuwste build voor jou TS 210 https://www.qnap.com/en/d...=ts-210&category=firmware. Versie 4.2.6 met veiligheids patches tot augustus/september vorig jaar. De versie nummers lopen niet meer op (geen nieuwe functies) maar de builds nog wel zo af en toe.

[Reactie gewijzigd door beerse op 26 maart 2021 18:04]

Aanvallen op basis van brute-force zijn de meest simpele aanvallen waar je al in de vorige eeuw maar beter mee rekening kon houden zodra je authenticatie op basis van gebruiker/wachtwoord doet. Die aanvallen zijn niet speciaal omdat er nu ransomware bij zit, want feitelijk mag je verwachten dat een crimineel die te veel rechten heeft gewoon alles met je rechten kan doen wat niet in jou voordeel is.

Het is daarbij al bijna net zo oud gegeven dat je niet zomaar voor iedereen je belangrijke accounts bereikbaar moet maken en zeker niet als je dan ook nog eens zwak wachtwoordbeleid toepast en die toegang en gegevens heel waardevol voor je zijn.

Eigenlijk lees ik in dit nieuw weinig meer dan het niveau van denken alsof dit soort beveiliging niet zo relevant is. Dat het belangrijker lijkt dat je vooral op basis van actuele voorbeelden aan een beetje meer beveiliging zou moeten doen of mag verwachten. De lat mag in 2021 en bijna 30 jaar aan gebruik van Internet toch wel een stuk hoger liggen bij fabrikanten en gebruikers als het ze echt om veilig stellen van belangrijke gegevens te doen is.

[Reactie gewijzigd door kodak op 26 maart 2021 16:09]

Ook in 2019 ontdekte het Anomali Treat Research Team ....
Dat is die befaamde instelling die onderzoek doet naar traktaties?
Tevens kan je in het security gedeelte ook gewoon instellen dat de NAS alleen voor bepaalde IP(reeksen) bereikbaar is. Zo heb ik alleen de IP adressen erin staan van de servers die een backup maken naar me NAS, de interne reeks en het IP van me werk erin staan. Of gewoon helemaal niet open zetten naar buiten en met VPN werken..

Dit is overigens niet nieuw, ik zag jaren geleden al 100den inlogpogingen per uur voorbij komen.

[Reactie gewijzigd door Poenzkie op 26 maart 2021 15:58]

Ik heb wel een ander account aangemaakt, maar kan admin niet disablen
Even inloggen met het andere account en dan kun je admin disablen
Je moet wel lokaal zijn ingelogd, anders blijft de mogelijkheid grijs.
Heb je dan wel een ander admin account? Bij mij staat gewoon het vinkje 'Disable this account' gewoon aan bij admin.
ach je kunt gewoon 2fa op je account zetten. probleem is echter dat veel mensen het ding aan het internet koppellen. leuk om afstand bij je foto's en files te kunnen. hiervoor heeft QNAP een soort van cloud manager die als een soort man in de middle verbinding opzet naar jou NAS welke direct met die cloud communiceert. dit werkt op zich prima, maar heb je inderdaad een strek wachtwoord nodig. sommige mensen hebben ook nog upnp openstaan wat niet helpt. je https pagina op een andere poort gaat niet veel helpen, want die kan gewoon gevonden worden.

mijn QNAPje werkt prima zonder de dienst en VPN client naar mijn lan doe ik op een firewall. een andere prima optie is om openvpn op de qnap te draaien en vanaf je router daarnaartoe te forwarden voor alleen die poort. maar ja dat is alweer redelijk lastig allemaal als niet IT techneut.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True