Multimediastation Ungeschützte Bilderanzeige möglich

    Ich denke, dass die Firmware so gesehen die gleiche ist.


    Meine Bilder liegen in meiner Homepage, die bei einem guten Provider liegt, da ist das für mich kein Problem. Webspace mit Homepages gibt es schon für wenig Geld...

    Ich hab mich mit dem Thema mal ein wenig beschäftigt:


    1. Auf dem NAS laufen 2 verschiedene Webserver


    - thttpd - Ein kleiner, sehr performanter Webserver, der für die Administration, Multimedia und Download verwendet wird (Standard ist auf Port 8080)


    Es gibt keine Konfigurationsdatei, da alle Parameter direkt im Skript (/etc/init.d/thttpd.sh) angegeben werden. Der Server wird über das Skript S60thttpd im Verzeichnis /etc/rcS.d beim Starten des NAS automatisch gestartet und liest seinen Port aus /sbin/getcfg System "Web Access Port".


    Das Root-Verzeichnis dieses Servers liegt in /home/httpd


    Beim Aufruf des NAS mit Port 8080 wird aus diesem Verzeichnis die Datei index.html gelesen, die den Browser sofort auf redirect.html weiterleitet, was wiederum die NAS-Admin-Anmeldeseite /cgi-bin/index.cgi aufruft (Firmware 3.x).



    - apache - Der bekannte Apache-Webserver, der für den Qweb und ebenfalls für Multimedia verwendet wird (Standard ist auf Port 80)


    Über das Start/Stop-Skript /etc/init.d/Qhttpd.sh wird die Konfiguration aus der Datei /etc/conf/apache/apache.conf gelesen. Der Server wird über das Skript S61Qhttpd im Verzeichnis /etc/rcS.d beim Starten des NAS automatisch NACH dem thttpd gestartet.


    Das Root-Verzeichnis dieses Servers liegt in /share/Qweb


    Beim Aufruf des NAS mit Port 80 (oder ohne Portangabe) wird aus diesem Verzeichnis die Datei index.html aufgerufen, die wir als Begrüßungsseite kennen.


    2. SSL (Port 443)


    Ich habe etwas länger gebraucht, hier das Handling zu verstehen. Aber, naja, jetzt wird vieles klarer.


    Qnap setzt hier auf eine zentrale Lösung stunnel (http://www.stunnel.org) für die Verschlüsselung der Verbindung. So reicht ein Zertifikat aus um sowohl https, als auch alle anderen verschlüsselten Transfer-Protokolle zu verwalten (pop3s, imaps, ssmtp), die auf SSL aufsetzen. SSH und Konsorten (sftp, scp) nutzen hier einen anderen Schlüssel. Der Name sagt es schon, es wird ein gesicherter Tunnel vom Client(Browser) zum stunnel-Programm aufgebaut, wobei stunnel die Ver- und Entschlüsselung der Daten vornimmt. Über eine Konfigurationsdatei wird gesteuert, über welchen Port die verschlüsselten Daten bereitgestellt werden und von welchem unverschlüsselten Port die Daten entgegengenommen werden. Damit ist stunnel gegenüber dem Programm, das die unverschlüsselten Daten erzeugt, komplett transparent.


    Über das Start/Stop-Skript /etc/init.d/stunnel.sh wird die Konfiguration aus der Datei /etc/config/stunnel/stunnel.conf gelesen. Der SSL-Port wird über das Skript S75stunnel beim Starten des NAS automatisch geöffnet.


    In der Konfigurationsdatei stunnel.conf ist der folgende Eintrag für das Verständnis wichtig:


    Code
    [https]accept  = 443connect = 127.0.0.1:8080


    Hier wird der Port 443(https) auf den lokalen Port 8080 (thttpd, siehe oben) umgeleitet und damit bleibt die Apache SSL-Konfiguration für z.B. Qweb aussen vor! Der thttpd unterstützt nämlich eigentlich kein https von Hause aus. Mit dem stunnel kann er es dann aber doch.


    3. Möglich Ansätze für SSL-verschlüsseltes Qweb


    Sehr einfach ist die Anpassung der /etc/config/stunnel/stunnel.conf


    Hier wird am Ende der Datei der Abschnitt


    Code
    [https]accept  = 443connect = 127.0.0.1:8080


    in


    Code
    [https]
accept  = 443
connect = 127.0.0.1:80


    geändert, und danach mit /etc/init.d/stunnel.sh restart der SSL-Tunnel neu gestartet.


    Ab jetzt wird https://MEINNAS auf die Qweb-Startseite index.html zeigen.


    Damit geht natürlich die SSL-Verschlüsselung für den Admin-Bereich flöten, was aber im lokalen, privaten LAN eventuell kein Problem ist.


    Alternative Ansätze wären (aber da bin ich noch am Testen):


    - Kompletter Verzicht auf stunnel und aktivieren des Apache-SSL-Moduls
    - Zusammen mit dem Rewrite- und Proxy-Modul wäre es möglich, sowohl Qweb, als auch den Admin-Bereich per SSL über Port 443 zu verschlüsseln


    Jan

    Hi,


    was würde passieren, wenn man den Systemport des NAS von 8080 auf 80 geändert hat? Wie würde sich dein Vorschlag zur Anpassung dann auswirken?

    Naja, bei meiner Firmware (3.1.x) geht das nicht...


    Ich kann über die Administration den Port 80 nicht als Admin-Port eintragen.


    Jan

    Gelöscht vom Autor.


    Nach kurzeitigem Einschalten der MM-Station, Aufruf ihrer Benutzerverwaltung und anschliessendem Deaktivieren der MM-Station kann ich nun nicht mehr auf irgendwelche Dateien unter Qmultimedia zugreifen. Mal sehen, obs nach dem nächsten Neustart des NAS immer noch so ist.


    Edit: Zu früh gefreut, nach dem Neustart ist der Zugriff wieder möglich :x .

    christian
    Weisst du, ob das Problem bei QNAP schon bekannt ist und evtl. dafuer schon ein Fix geplant ist?


    Ich wuerde das als hochgeradig gefaehrlich einstufen, denn damit ist die Benutzerverwaltung der Multimedia-Station sinnlos. Viele User werden (so wie ich auch) ihre Fotos dort liegen haben und diese per MM-Station teilweise im WAN bzw. per Twonky im LAN freigeben wollen. Wenn Qmultimedia nicht sicher ist, wuerde das eine doppelte Datenhaltung in getrennten Freigaben erfordern, was sicher niemand will.


    Ich habs bei mir erstmal per .htaccess gesichert. Allerdings habe ich keine Lust, auf Dauer neben der Benutzerverwaltung fuer die MM-Station noch eine zweite manuell per ssh zu pflegen. In einem ersten Fix koennte doch die MM-Station ihre Nutzer per htpasswd verwalten und Verzeichnisse per .htaccess-Datei freigeben, die sie selber erzeugt bzw. aktualisiert.


    Die Loesung per .htaccess ist allerdings nicht gerade performancefoerdernd, da der Server in jedem Verzeichnis zusaetzlich nach einer .htaccess-Datei suchen muss, und zwar bei jedem Zugriff. Deshalb wird dieser Mechanismus lt. Apache-Doku auch nicht empfohlen. Vielleicht faellt den QNAP-Entwicklern ja da noch was besseres ein.

    @ warpcam


    Ich hatte mich am selben Tag noch mit James & Andy von Qnap über das Thema unterhalten. Ob und was bisher dagegen unternommen wurde kann ich nicht sagen.
    Was jedoch erwähnt werden sollte: Jemand der diese nennen wir es mal Sicherheitslücke nutzen will, muss den Pfadnamen wissen ohne das geht so oder so nichts.


    Christian

    @ christian
    das stimmt schon und ist bei vielen fotos mehr oder wenig recht aufwändig.


    meine hauptsorge gilt mittlerweile aber auch mehr der multimediastation-benutzerverwaltung, welche ja über den allgemeinen admin erfolgt.


    anders wie bei der serververwaltung, welche bei verwendung von http den port 8080 (soweit ich mich richtig entsinne) benötigt, wird für die station diese massgabe nicht benötigt.


    sprich ohne port 8080 (oder anders gewählter systemporteinstellung) erhalte ich keine http serverzugangsmöglicht, sehr wohl lässt http://meinname/cgi-bin/Qmultimedia/index.cgi aber einen unverschlüsselten zugriff zu.


    daher wäre es wünschenswert, wenn diese einschränkung auch für multimedia gelten würde.


    ich für meinen teil möchte ausser vielleicht fürs web bei der qmultimedia nicht mit htaccess anfangen müssen, wenn ssl geht


    ich hoffe, ich konnte es so halbwegs verständlich rüber bringen :-/


    gruß
    andy

    Hallo andy,


    ich habe verstanden, Verständnis und hoffe auch auf Überprüfung und Nachbesserung! Mehr als abwarten auf die nächste Firmware wird uns allen nicht bleiben.



    Christian

    Zitat von "andydeluxe"

    das stimmt schon und ist bei vielen fotos mehr oder wenig recht aufwändig


    Ich kanns zwar jetzt nicht mehr testen (muesste alle Sicherheitssperren wieder aufheben), aber ein Zugriff ueber einen Ordner koennte in einem Verzeichnislisting enden, da wahrscheinlich dort keine index.html existiert (also sowas wie http://nasip/Qmultimedia/Qmultimedia/Bilder). Das ist zumindest das normale Verhalten eines Webservers in so einem Fall.


    Zitat von "christian"

    Ich hatte mich am selben Tag noch mit James & Andy von Qnap über das Thema unterhalten. Ob und was bisher dagegen unternommen wurde kann ich nicht sagen.


    OK, dann warten wirs mal ab.

    Hallo ich klinke mich hier auch mal mit ein.


    Auch in der aktuellen Firmware für die TS 209 ist das noch nicht behoben.
    Eine lustige Google-Suche förderte zahlreiche QMultimedia-Ordner zu Tage,
    die alle einsehbar waren.


    Ich hoffe da kann man noch was dran drehen?! .htaccess-Dateien werden bei mir sofort
    nach dem FTP-Upload wieder gelöscht :shock:


    Zumindest die htaccess nutzen zu können würde mir erstmal für QMultimedia und den
    phgpMyAdmin-Ordner ja reichen.


    So langsam bekomme ich ein ungutes Gefühl und werde wohl erstmal die persönlicheren
    Daten wieder auf den PC verlagern...

    Zitat von "Rootdial"

    Eine lustige Google-Suche förderte zahlreiche QMultimedia-Ordner zu Tage,
    die alle einsehbar waren.


    Wow, da ist der Google-Bot aber gründlich gewesen :D


    Zitat von "Rootdial"

    .htaccess-Dateien werden bei mir sofort nach dem FTP-Upload wieder gelöscht :shock:


    Du kannst .htaccess nicht per Netzwerkverbindung anlegen, zumindest ging das bei mir auch nicht. Vermutlich ist das ein Schutz vor unberechtigtem Überschreiben durch "Einbrecher".


    Log dich per ssh oder telnet ein und lege .htaccess per vi-Editor an, dann gehts. Du musst dich ja sowieso einloggen, da du das Passwort erzeugen musst.


    Zitat von "Rootdial"

    So langsam bekomme ich ein ungutes Gefühl und werde wohl erstmal die persönlicheren
    Daten wieder auf den PC verlagern...


    Wer sein NAS mit persönlichen Daten ohne Firewall oder mit geöffneten Server-Ports ans Internet hängt, ist selber Schuld. Sowas sollte man nur mit einem dedizierten NAS ohne kritische Daten machen und auch dann nur mit im Router konfigurierter expliziter Route und Freigabe von Ports nur für dieses NAS.

    Zitat

    Wer sein NAS mit persönlichen Daten ohne Firewall oder mit geöffneten Server-Ports ans Internet hängt, ist selber Schuld. Sowas sollte man nur mit einem dedizierten NAS ohne kritische Daten machen und auch dann nur mit im Router konfigurierter expliziter Route und Freigabe von Ports nur für dieses NAS.


    Wer sich eine solche NAS für den SOHO Bereich anschafft hat, der hat im normalfall auch vor diese von aussen zugänglich zu machen. Wenn dort iTAN-Listen abgelegt werden ist das selbstverständlich nicht verzeihlich :roll:

    Zitat von "Marco69"

    der hat im normalfall auch vor diese von aussen zugänglich zu machen.

    Dieser Aussage wiederspreche ich vehement, es sei denn man zieht VPN in Betracht! Nicht jeder hängt seine Daten ans WWW !


    Christian

    "Jeder" sage ich doch garnicht.


    Ich behaupte, daß jemand der eine NAS mit Webserver und tollen Foto-Feature kauft diese auch ans WWW hängen möchte. Von sich auf andere schließen ist oft nicht richtig, aber ich dachte das wäre hier plausibel. Ist es nicht so?

    Hallo Marco,


    also für mich ist es ein reiner Datenspeicher im LAN also ein Network attached Storage und dann aber eins was noch eine Menge mehr kann. Ich sage aber nicht das es nicht dafür gemacht sei (wie du sagst!).


    Grüße
    Christian

    Mittlerweile sind ja etliche neue FW-Versionen erschienen. Deshalb wollte ich mal nachfragen, ob das Problem da schon gefixt ist.
    Ich hoffe, dass die wahrscheinlich letzte FW für die 10Xer Serie den Fix ebenfalls enthalten wird.