QTS 5.01 - meine ersten Erfahrungen

    Hallo erst einmal an alle Forenmitglieder und Admins! :)

    Dieses ist mein erster Beitrag hier im Forum. Ich komme von einer uralten Synology DS412+, die zwar noch gut läuft, aber jetzt doch etwas zu wenig Speicher bietet. Also habe ich mir Anfang 2023 ein TS-464 mit 3x WD-Red Plus 12TB gekauft und als RAID-5 + SSD-Cache eingerichtet. Dabei sind mir mehrere Fehler und Unzulänglichkeiten aufgefallen.

    1.) Ich möchte nicht die QNAP-Cloud benutzen. Ich habe einen Hostname bei spdyn registriert, den ich so leider nicht fehlerfrei nutzen kann. Ich habe zwar unter "Netzwerk- und virtueller Switch" den DDNS-Service zum Laufen bekommen, aber mit einem Problem: Der DDNS Client von QNAP sendet seine IP-Adressen an den Server, ohne dass sich die IP geändert hat. Somit wird beim Hoster jedesmal ein "Warning" erzeugt, da der Traffic dadurch unnötig hoch wird und man deshalb gesperrt werden könnte. Dafür hab ich bei QNAP ein Ticket aufgemacht, auch mit dem Hinweis, dass hier IPv6 fehlt. Man will sich der Sache dort annehmen. Mal sehen, was draus wird. :/

    2.) Dadurch, dass ich diesen DDNS-Client so nicht nutzen möchte, ist mir eine weitere Unzulänglichkeit aufgefallen: Wenn ich in FileStation eine Datei teilen möchte, gibt es keine Möglichkeit, irgendwie händisch den DDNS Namen meiner Fritzbox in FileStation->->Teilen/Domänenname/IP einzutragen. Auch dafür gibt es ein Ticket.


    Ist für mich irgendwie ein unfertiges Betriebssystem. X( Alles ist für den Einsatz der QNAP-Cloud gemacht - keiner denkt an die User, die ihre eigene Domain wollen.

    Vielleicht kann jemand von euch etwas zu diesen Problemen sagen?


    PS: Ich weiß, die meisten von euch mögen keine Portfreigaben. Last uns bitte nicht darüber diskutieren. ;)

    Ich gebe Ports auch nur temporär frei.

    Moin und willkommen!


    Wenn du eine myfritz Adresse, also einen dyndns der aufm Router angesiedelt ist, nutzt, wozu willst du dann noch einen separaten dyndns auf dem QNAP laufen lassen?

    Ich nutze auch mehrere eigene DDNS, alle auf dem Router angesiedelt, myqnapcloud DDNS und alles was QNAP seitig mit DDNS zu tun hat sehe ich nicht und stört auch nichts...


    Die Teilen-Funktion nutze ich lediglich über VPN, die Teilen-Adresse (interne IP) habe ich direkt bei der Domain hinterlegt. Du solltest die Teilen-Funktion auf jeden Fall nicht ohne VPN verwenden! (sehe erst nachträglich, dass Du das bereits angesprochen hast... Trotzdem. ;) )

    Zitat von q.tip

    Ich gebe Ports auch nur temporär frei.

    Hab ich in den Malware Threads oft gelesen .. *heul* aber die Ports waren doch nur temporär frei .. allleee meiiineee Dateiiieeen sind weg *heul heul*


    Manche Menschen lernen es nie .. so Hacker wollen halt auch leben (und mit dem Millionen die die mit Deadbolt verdient haben lebt es sich bestimmt nicht schlecht)

    Also diskutieren wir doch über Portfreigaben? Schade! ;)


    tiermutter

    Ich habe keine myfritz Adresse, sondern meinen Hostnamen "xxxx.spdns.de"! Und diesen Namen wollte ich irgendwie der QNAP beibringen.


    Edit: Ist auch großer Mist, dass die Teilen-Adresse über Port 8080 läuft, der gleiche Port ist das Webinterface des NAS. Sehr übel!

    könnte man das irgendwie ändern?

    Einmal editiert, zuletzt von q.tip ()

    Ist ja egal ob myfritz oder ein anderer Dienst, bin einfach blauäugig von myfritz ausgegangen als ich Fritte gelesen habe...


    Mit "beibringen" meinst du einfach nur, dass diese DDNS bei der Teilen-Funktion berücksichtigt werden kann?

    Ja echt schade, vor allem da es bei x86 NAS viel sichere Alternativen gibt (z.B. nextcloud in nem Container oder VM)

    Zitat von q.tip

    Ist auch großer Mist, dass die Teilen-Adresse über Port 8080 läuft, der gleiche Port ist das Webinterface des NAS. Sehr übel!

    Deswegen ist diese Art von Freigaben ja so böse. Ist ja ein Link zur Filestation, die bekanntlich über GUI, default 8080 läuft :S

    tiermutter


    Genau, das meine ich. Die IPv4 des Routers ist ja auch die IPv4 des NAS eben über die Portweiterleitung.

    Zitat von tiermutter

    Deswegen ist diese Art von Freigaben ja so böse. Ist ja ein Link zur Filestation, die bekanntlich über GUI, default 8080 läuft :S

    Da muss ich mir was anderes überlegen. Noch habe ich nichts geteilt.

    2 Mal editiert, zuletzt von q.tip () aus folgendem Grund: Ein Beitrag von q.tip mit diesem Beitrag zusammengefügt.

    Zitat von q.tip

    Da muss ich mir was anderes überlegen. Noch habe ich nichts geteilt.

    Ja solltest du.

    VPN, nextcloud...

    Das ist bei Syno aber auch nicht unbedingt anders, QNAP wird nur lieber ins Visier genommen.

    Wie könnte ein Angreifer diesen Freigabelink für eine Angriff nutzen. Ich meine, der Link ist schon etwas komplex aufgebaut und ich schicke ihn ja nur an eine Person?

    Es wird ein Portscan nach offenen Ports gemacht. Und gegen die Exploits helfen weder starke Passwörter, 2FA noch "ungewöhnliche" Ports.


    Gruss


    P.S. Ganz aktuell: ich habe mehrere Fritzboxen in meiner Obhut, alle erreiche ich über myFritz.

    Alle haben keine offenen Ports, und bei allen sehe ich seit ca. 8 Wochen (vergebliche) Anmeldeversuche von IPs aus dem südost-europäischen Raum.

    Mein erster Gedanke war ein Hack des myFritz Kontos, aber den kann ich ausschliessen, die dort registrierten Anmeldungen sind ausschließlich meine.

    AVM hat es auch untersucht, myFritz selbst wurde laut ihrer Aussage auch nicht gehackt. Es seien "normale" Angriffe. :(

    Den link braucht niemand. IPs werden gescannt und man sieht sofort was da läuft. Jeder (vornehmlich automatisch durch Bots) der es auf QNAP NAS abgesehen hat beginnt dann direkt mit der Arbeit... Link egal, Passwortstärke egal...

    Naja letztens noch ne Info gelesen, Syno VPN Server von CVEx betroffen, sofort updaten, Score nur ne glatte 10.


    spdyn ist ja nicht so gängig, musste den auch als Custom in meiner pfSense hinterlegen.

    Leider fehlte diese Option sicherlich bei QTS.


    Gibts du einen Port frei, dauert das nicht lange und du bist in einer der üblichen Datenbanken hinterlegt, sogar was da läuft ist mit aufgeführt.


    Jetzt brauchst du nur noch nach QNAP filtern, die Liste ziehen und deinen Bot damit füttern, der kümmert sich dann um die Kundschaft deiner Webseite im Darknet wo die User dann fleißig Bitcoins einwerfen um wieder an ihre Daten zu kommen.

    Zitat von tiermutter

    Den link braucht niemand. IPs werden gescannt und man sieht sofort was da läuft.

    Aber wie sieht es bei QTS 5.01 aus. Ist da schon ein Hackerangriff erfolgreich gewesen? Ich meine durch Schadsoftware. Vielleicht kriegt QNAP das ja mal in den Griff.

    Stell Dein NAS doch wie gewünscht ins Internet und berichte dann. :P


    Gruss


    P.S. Bei QNAP würde ich mich definitiv nicht darauf verlassen.

    Seit Jahren liegt dort immer was im Argen!

    Sogar QVPN(!) war mal betroffen, also eine App, die eigentlich zur Sicherheit beitragen soll, war kompromittiert.

    2023 ist ja noch jung


    Aber hier nochmal die QNAP spezifischen Malware Wellen der letzten paar Jahre aufgelistet .. (wer glaubt ab jetzt kommen Keine mehr .. der glaubt vieles)


    Beitrag
    RE: SSL Zertifikat
    […]

    Ja leider

    deadbolt (2022)
    qlocker (2021)
    echroix (2021)
    muhstick (2019)
    dolbyman
    Zitat von Crazyhorse

    spdyn ist ja nicht so gängig, musste den auch als Custom in meiner pfSense hinterlegen.

    Leider fehlte diese Option sicherlich bei QTS.

    Den spdyn auf dem NAS hab ich am Laufen - allerdings nur IPv4 und fehlerhaft im Updateverhalten: Es wird jedesmal die IP gesendet, auch wenn sich diese nicht geändert hat.

    Zitat von FSC830

    Sogar QVPN(!) war mal betroffen, also eine App, die eigentlich zur Sicherheit beitragen soll, war kompromittiert.

    Wäre mal interessant, wieviel davon die QNAP-Cloud genutzt haben.

    Einmal editiert, zuletzt von q.tip () aus folgendem Grund: Ein Beitrag von q.tip mit diesem Beitrag zusammengefügt.

    Viele! Das sieht man auch im US-Forum.

    Immerhin rät QNAP mittlerweile selbst davon ab und verweist auf myQNAPcloudlink.


    Und ein Bestandteil des Setup-Assistenten für myqnapcloud waren selbständige Portfreu(frei)gaben und UPnP Aktivierung.


    Gruss

    Einmal editiert, zuletzt von FSC830 () aus folgendem Grund: :)

    Zitat von Crazyhorse

    Gibts du einen Port frei, dauert das nicht lange und du bist in einer der üblichen Datenbanken hinterlegt, sogar was da läuft ist mit aufgeführt.

    Welche Art Datenbanken meinst du? Meine IPv4 und mein IPv6 Präfix ändern sich jeden Tag! Und Ports, wie 8080 habe ich längst geändert.

    Zitat von FSC830

    Portfreugaben

    Fraglich ob das in dem Kontext ein Rechtschreibfehler oder Absicht ist :D


    Ein DDNS der auf myqnapcloud.com endet macht es sicherlich noch einfacher die Geräte zu finden, ist aber nicht erforderlich.


    Abweichung vom Standardport hilft nix. Tägliche Änderungen der IP ist allenfalls eine Last für den Betreiber, aber kein Hindernis für die Bösen. Hast du schonmal beobachtet wie oft du täglich gescannt wirst? Lass es lieber, solche Anblicke machen Angst ;)