Hallo!
Bei einigen Tests in meinem Netzwerk ist mir aufgefallen, dass QNAP eine riesige Sicherheitslücke im QFinder hat. Dies kann insbesondere in Firmennetzwerken zum Tragen kommen, wenn dort die NAS über den QFinder gemanaged und insbesondere upgedatet werden. Dabei sendet der QFinder bei jeder Aktion, welche eine Anmeldung erfordert, das Administrationskennwort im Klartext an die Broadcastadresse 255.255.255.255 (siehe Anhang). Gerade bei einem FW-Update wird so das Kennwort mehrere Minuten lang im Zehntelsekundentakt ins Netzwerk gespammt, sodass jeder mit einem simplen Tool (zb. Wireshark) an jedem x-beliebigen Rechner im Sub-Netz das Administrations-Login herausbekommen kann.
Richtig ungemütlich wird es, wenn im Subnetz ein Wireless-Gerät hängt. Dann kann so ziemlich jeder in Reichweite diese Daten erhalten.
Ich würde daher empfehlen, den QFinder nichtmehr für Administrative Zwecke zu verwenden und statt dessen die QNAP's nur noch über eine SSL-Verbindung per Weboberfläche zu managen.
Ich wünsche trotzdem Allen frohe Ostern.