viele offene Ports auf 169.254.100.100 - Sicherheits-Problem ???

    Ich habe festgestellt das der NAS eine ganze Menge offener Ports auf o.g. Adresse hat! 8|


    NAS: TS-231 / 2x feste IP ( völlig anderer IP-Bereich )

    Firmware: 4.3.5.0760 (2018/11/14)

    Das NAS wird nur als Datenspeicher benutzt, es sind keine weiteren APPS außer

    "Hybrid Backup sync" installiert.


    Einen offenen Port auf einer feste IP für den Service, ja . Aber das ????????

    Diese Adresse scheint ja fest von QNAP vorgegeben zu sein. Ich kann sie

    jedenfalls nicht Administrieren !!!

    Gibt es dazu irgendwelche Informationen ? So was ist nicht schön !!!


    ports.png

    Das ist eine APIPA Adresse, also eine Netzwerkschnittstelle, die auf DHCP eingestellt ist, aber keinen DHCP Server findet.

    Das ist erst einmal nicht tragisch weil die Adresse auf fehlende Konnektivität hindeutet.

    Sobald aber Konnektivität vorhanden ist, solltest Du das prüfen.

    Allerdings gibt es wohl bei einer (einigen?) QTS Versionen Probleme mit dem vSwitch. Da werden solche "Geisteradressen" angelegt.


    Gruss

    Da die APIPA-Adresse sowieso nicht ins WAN geroutet wird, soweit unkritisch.

    Sprich Du hast die Adresse nur innerhalb des LANs gescannt. Sofern keine Ports im Router offen sind, nicht so wild. Trotzdem kann man den ein oder anderen Dienst welchen man nicht benutzt deaktivieren.

    Wie oben beschrieben, meine IP-Adressen sind fest eingestellt (kein DHCP), das NAS läuft im Netz.. Ich kann auch wunderbar alles in meiner Config administrieren.

    Es gibt keinen Anhaltspunkt für eine zusätzliche dritte IP-Adresse. :handbuch:

    Kein Logging, keine Meldungen, etc.


    Alle Geräte im Netzwerk benutzen eine feste IP, das ist das erste, was ich einstelle.

    Für Gäste gibt es ein DHCP.


    Das NAS ist ca. 1 Jahr alt. Nach dem Einschalten, wurde ein Werksreset durchgeführt, und als erstes feste IP-Adressen

    vergeben. Firmware-Updates wurden nie früher als ein Monat nach dem Erscheinen ausgeführt.


    Wie es zu dieser zusätzliche Adresse gekommen ist ? Schon sehr merkwürdig, wenn ich noch mal so drüber nachdenke. :?:

    Ich hab dies nur durch Zufall mittbekommen. :(


    Falls Offizielle von QNAP mitlesen, wie bekomme ich dieses Sicherheits-Problem gefixt ???:qnap::?::?:

    Noch mal zur Sicherheit:

    Sind Fremde im Haus-Netzwerk, ist es ein Leichtes solche STANDART-IP zu scannen und bei Bedarf anzugreifen. Vor allem, da ich nicht mal Log-Informationen zu dieser zusätzlichen IP bekomme. =O

    Einmal editiert, zuletzt von ReneeM ()

    Zitat von ReneeM

    Sind Fremde im Haus-Netzwerk, ist es ein Leichtes solche STANDART-IP zu scannen und bei Bedarf anzugreifen.

    Solche "Gäste" würde ich hochkant der Wohnung verweisen. :)



    Zitat von ReneeM

    Wie es zu dieser zusätzliche Adresse gekommen ist ? Schon sehr merkwürdig, wenn ich noch mal so drüber nachdenke.

    Jetzt mach Doch doch nicht wegen der Adresse naß.

    Die wird in der Regel nur vergeben, wenn kein DHCP eine IP offeriert, oder das NAS keinen DHCP erreicht. Vorausgesetzt es existieren keine statischen IPs und die Schnittstellen sind auf DHCP.

    Und das Gastnetzwerk hat ein eigenes VLAN mit eigener Routinginstanz und ist über eine Firewall mit entsprechendem Regelwerk für das eigene Netz gesperrt.


    Feste IPs im gleichen Netz ist keine Sicherheit.


    Ansonsten dauert es maximal 5 Minuten und man weiß welche IPs du noch verwendest, ist man im gleichen VLAN.

    Um das mal ein wenig aufzulösen:

    In den aktuellen 4.3.5er Versionen gibt es (noch) einen Bug der dazu führt, dass der virtuelle Switch eben diese "Geisteradresse" anlegt - übrigens ständig unter einer neuen MAC-Adresse. Um das zu fixen hast Du aktuell folgende Möglichkeiten:


    1. Downgrade auf eine 4.3.4er Version

    2. Download einer 4.3.6er Version mittels "Deep-Link" (Die Versionen sind noch auf dem FTP-Server, nur nicht mehr auf der Website verfügbar, schau einfach mal in den Firmware-Thread zur 4.3.6) In der 4.3.6 ist das von Dir beschriebene Problem behoben...

    3. Du lebst mit dem Problem und wartest bis die 4.3.6 wieder offziell verfügbar ist


    Dass die Virtual-Switch diese "Geisteradressen" vergibt, wurde übrigens ebenfalls in mehreren Threads bereits durchgekaut und ist aktuell wohl mit das erste was seitens der Foristen hier bei erscheinen einer neuen Version getestet/geprüft wird ;)


    Lieben Gruß,


    Lauri