Beiträge von user374815

ErwinH1 Hast du auch einen Eintrag in QuLog Center mit [Firmware Update] Disabled auto update for "Recommended version" (oder das Deutsche Äquivalent - bei mir ist alles auf Englisch eingestellt) wenn du nach Firmware Update filterst?

Bin mir nicht sicher, ob das OT ist, aber:

Ich hab mal in den Logs meiner verschiedenen NAS Systeme nachgeschaut, da sich alle bis auf eines meiner Systeme auf QTS 5.0.0.1891 aktualisiert haben.

Das eine System, welches sich bisher nicht aktualisiert hat, wurde am 19.10.2021 auf QTS 5.0.0.1808 Build 20211001 aktualisiert.

Außerdem habe ich folgende Logeinträge:

Information    2021-06-01    09:25:29    admin    192.168.1.10    Firmware Update    Firmware Update    [Firmware Update] Disabled auto update for "Recommended version".
Information    2021-06-01    09:09:04    admin    127.0.0.1    Firmware Update    Firmware Update    [Firmware Update] Updated system from version 4.5.2.1630(20210406) to 4.5.3.1670(20210515).

Alle Systeme, die automatisch am 27.01. aktualisiert wurden, hatten keinen Eintrag mit Disabled auto update in QuLog Center.

Vllt hilft die Info jmd.

Zitat von christian

https://www.qnap.com/en/how-to…f=create_ticket_recommend

Interessant. Die meisten IPs in dem Screenshot im FAQ von QNAP finde ich auch bei mir in der Blocklist 😄

Habe eben die Duplikate entfernt, so dass nur die IPs übrig bleiben:

103.250.52.162
103.251.200.114
109.108.86.119
112.186.218.47
113.60.245.99
114.162.164.160
115.165.218.4
115.21.78.155
115.66.70.188
115.78.129.123
115.79.44.44
118.163.217.9
118.219.54.63
118.223.160.90
119.201.221.231
121.135.186.73
121.148.68.176
122.116.124.132
122.226.241.82
123.132.239.86
123.201.108.145
123.222.181.185
124.128.80.77
125.63.87.6
125.68.185.28
126.237.227.180
14.136.79.216
14.199.224.97
140.116.40.42
147.46.183.217
171.217.92.105
175.136.231.230
180.175.30.65
180.175.30.68
180.177.105.108
182.58.137.155
183.230.146.203
183.88.216.175
185.163.193.147
185.220.100.255
185.27.62.215
190.120.10.219
2.136.126.17
2.136.203.35
202.98.38.188
203.186.122.78
209.248.98.150
211.222.69.167
211.243.152.107
211.252.167.142
212.187.60.177
212.237.99.89
213.81.132.249
217.128.92.131
217.92.121.230
218.255.186.62
219.147.26.110
219.89.117.237
220.134.168.169
221.206.228.142
222.103.57.243
222.114.26.126
222.117.12.192
222.245.76.146
223.100.60.77
24.23.162.166
37.24.5.223
39.164.73.120
42.200.198.144
45.179.181.31
5.154.79.179
50.252.9.153
58.215.0.254
58.23.150.26
59.126.80.10
59.149.124.94
60.120.171.27
60.137.160.218
60.190.70.110
61.177.54.242
61.79.109.53
62.38.250.213
62.6.217.114
63.248.147.60
66.214.69.189
67.148.101.82
68.147.76.50
68.169.171.97
71.251.26.120
73.118.210.135
73.124.100.138
73.164.18.217
73.216.242.134
77.68.168.133
78.134.82.52
78.139.32.74
78.246.152.178
78.83.141.109
80.115.86.125
81.225.40.138
82.64.129.57
82.79.140.115
83.174.209.26
83.48.53.79
84.105.250.83
85.216.251.22
85.54.137.249
86.101.88.7
87.26.32.163
87.78.131.226
88.12.4.49
89.145.206.105
89.157.108.102
89.79.208.252
90.145.122.30
91.236.40.54
92.154.124.31
92.52.198.109
94.230.157.180
95.165.146.14
95.67.55.192

--------------------

Edit:

Erster Versuch:
Warning    2021-03-23    02:00:05    admin    213.81.132.249    ---    HTTP/HTTPS    Administration    Failed to log in
:
:
Warning    2021-03-24    17:31:10    admin    73.216.242.134    ---    HTTP/HTTPS    Administration    Failed to log in

Ab hier wurde geblockt und ich hatte ab dann nur noch 2 Versuche von folgenden IPs:

Warning    2021-03-24    21:10:24    admin    185.220.100.255    ---    HTTP/HTTPS    Administration    Failed to log in
Warning    2021-03-25    05:56:58    admin    114.162.164.160    ---    HTTP/HTTPS    Administration    Failed to log in

Falls es für QNAP interessant ist das Timing der Versuche zu analysieren, habe ich noch den relevanten Teil des System Access Logs als TXT beigefügt.

Zitat von Crazyhorse

Wirkliche Lücken, die den VPN Dienst und den Handshake angreifen sind mir jetzt in den letzten Jahren keine groß ins Gesicht geflogen.

Da stimm ich dir auch uneingeschränkt zu. Im Verhältnis gibt es da um Welten weniger kritische Exploits wie bei vielen tollen Apps von Qnap etc. Aber es gibt sie. Siehe Fortinet.

Ich hab mir eben mal ausführlich zur dauerhaften Nutzung eines VPNs zum NAS Gedanken gemacht:

+ schützt das NAS effektiv vor Zero-Day Angriffen in allen direkt installierten und über die weitergeleiteten Ports erreichbaren Programme (Apps)

- Teilen von Dateien über Links geht nicht mehr

- Einfacher Upload von extern über Links geht nicht mehr

- Kein Zugriff auf Daten wenn ich an einem fremden Gerät bin

- Einrichtung von VPN Clients bei 'technisch unbegabten Usern' (z.B. Eltern) und damit verbundene Probleme

- Webserver muss auch in ne VM / Docker, vorausgesetzt das entsprechende NAS gibt das her - sonst geht das auch nicht

Ein Teil der Probleme könnte über eine zusätzliche vom Internet erreichbare Nextcloud Instanz in Docker / VM gelöst werden. Man müsste es aber so konfigurieren, dass alle Userdaten in einem vom NAS aus eingebundenem Share liegen. Dies hat zwar mit Nextcloud mehr praktische Features, aber auch zusätzliche Nachteile:

- Erhöhter Wartungsaufwand

- Teilweise nicht möglich auf gewissen schwächeren NAS

- Keine einheitliche Suche über alle Dateien hinweg mehr möglich (Qsirch)

- Weiterhin über fremde Geräte kein Zugriff möglich auf Daten die nur auf dem NAS, aber nicht in Nextcloud sind

Vor dem Hintergrund, wenn grundlegende Sicherheitsvorkehrungen wie starke Passwörter (16 Stellen, Alphanumerisch mit Sonderzeichen), zeitnahe Updates, nur notwendige Portfreigaben und eine saubere Backupstrategie inkl. Snapshots vorhanden sind, finde ich die Einschränkungen, die ein reiner Zugang per VPN mit sich bringt, nicht hinnehmbar.

Anmerkung: Hier handelt es sich nicht um Daten und Nutzer in einem Unternehmen, wo ich andere Maßstäbe ansetzen würde.

Im Worst-Case gehen ohne VPN die Daten bis zum letzten Backup verloren. Das ist mit oder ohne VPN bei anderen Problemen wie z.B. Hardwaredefekten auch der Fall. Hier greift dann einfach wieder das Backup. 👈

Geheime Daten auf den Shares wie Passwörter sind sicher verschlüsselt (Keepass) und können wegen mir auch über Torrent verteilt werden 😉. Die sind schneller geändert als gecrackt.

Brute Force Attacken wie hier können einem bei starken Passwörtern am Arsch vorbei gehen. Hätte ich dadurch keine nervigen Mails, Benachrichtigungen oder bei nem potenziell großem Botnetz Einschränkungen im Service für mich, sollen die ruhig 10 Mrd. Passwörter / Sekunde testen 😄

Hier ist für die Sicherheit allein die Stärke des Passworts entscheidend (2FA würde selbst Test1234 noch retten können).

Daher finde ich es nicht sinnvoll gleich immer so stark auf VPN zu pochen. Aus der Frage von HoDam kann man ja auch auf den Kenntnisstand bzgl. Netzwerktechnik schließen. Auch ein VPN nutzt nichts, wenn ich Ports, IP-Adressen, NAT noch nicht gut verstehe oder z.B. UPnP am Router für die Portweiterleitung anlasse.

Ein Verweis auf das FAQ zur Netzwerksicherheit deckt die meisten Sicherheitsansprüche mMn. besser ab*, als ein perfekt konfiguriertes VPN. Was noch fehlt, wäre vllt. ein FAQ zu verschiedenen Backupstrategien. Oder gibts das schon?

Zitat von Crazyhorse

Daher hat Sicherheit auch viel mit Struktur und Organisation zu tun.

Da bin ich auch ganz bei dir 👍 - würde aber vermutlich hier mehr den Fokus drauf setzen. 😊

Zitat von Crazyhorse

Wenn aber das ganze, halb oder auch nur wenige % des Internets mit dir spielen darf, dann bekommst halt auch jeden scheiß von außen eingeschüttet.

Je nach Nutzungsverhalten kann es eben für viele auch sinnvoll sein, die meisten Verbindungen erstmal nicht einzuschränken. Aber generell ist es auf jeden Fall sinnvoll die Angriffsfläche zu reduzieren indem man nicht genutzte Dienste deinstalliert, deaktiviert und nur die Dienste in Richtung Internet weiterleitet, die dort auch benötigt werden.

Wer Sicherheit auf Enterprise Niveau für viele Nutzer mit den Features von QTS inkl. Apps will, ist bei QNAP eigentlich falsch. Da muss man schon wesentlich mehr Zeit und Geld investieren.

*Und eben sehe ich, dass UPnP da nichtmal erwähnt wird 😅

Ich vermute ja, dass das bei kohuwabohu das Problem ist. --> Bitte mal prüfen, ob automatische Portweiterleitung oder UPnP im Router aktiv ist, und ggf. deaktivieren.

Bzgl. Crypto mining / Torrent / Verschlüsselung etc.: Wenn ich Schadsoftware auf dem NAS hab, ist mir relativ egal, was die macht (und auch wie viel Strom das NAS dann frisst^^).

Das muss bereinigt, alle Passwörter erneuert und im Optimalfall nachvollzogen werden, wie es dazu kam.

Für Exploits, Verschlüsselungstrojaner und defekte HDDs etc. gibts ja Backups und Snapshots.

Es gibt Dienste die nur im LAN gebraucht werden, und die sollten auch nur im LAN erreichbar sein, keine Frage.

Davon mal unabhängig: Meine Freunde und ich nutzen seit 2011 ~5 NAS von QNAP, die auch über die entsprechenden Ports (80, 443, 8080, 8081) übers Internet mit ner *.myqnapcloud.com erreichbar sind. (Backupsysteme sind da nicht dabei) Firmware Updates werden ~2 Wochen nach Release durchgeführt und dann die Apps aktualisiert. Genutzte Features sind: Qsirch, Qsync, VirtualisationStation, Container und Webserver. Nirgends ist Photo-, Video-, Download-, oder Surveillance Station installiert.

IPs, die Passwörter und User durchprobieren sehe ich immer mal wieder und werden nach 5 Versuchen nen Tag geblockt. 💁‍♂️ Alle Nutzer haben sehr sichere Passwörter, da jeder nen PW Manager nutzt.

Wie viele Exploits hätten euer Meinung nach die NAS in den letzten 10 Jahren betroffen?

(Die meisten Probleme kommen eher von schwachen Passwörtern, veralteter Firmware, automatischer Portweiterleitung oder gleich das NAS in ner DMZ)

Bisher war das Schlimmste, was mit den NAS passiert ist, zwei bestimmte Firmwareupdates von Qnap 😐

Und ja, selbst wenn ein NAS sich mal nen Virus einfängt, wärs nicht tragisch. Firmware neu installiert und Backup einspielen - fertig. So kann ich ohne Bedenken auch die oben genannten Apps nutzen. Oder? 😉

-----------------------------

Edit:

Zitat von Crazyhorse

Spätestens seit dem 250.000 übernommenem Exchange Server sollte jedem klar sein, das man angegriffen wird, bevor es Patche gibt!

0 Days sind in Internet nix neues mehr.

Patching on demand hilft da nicht mehr, bis der raus ist, gibts schon einen neuen Admin.

Wäre es denn sinnvoll Exchange Server hinter ein VPN setzen? Ich denke mal nicht. (Kenn mich speziell mit Exchange aber nur bedingt aus)
Man nimmt bestimmte Risiken in Kauf, wenn man ein Feature nutzt. VPN Endpoints haben genauso Zero-Days.

Solange man abschätzen kann, welche Auswirkungen das hat und wie man im Fall der Fälle vorgeht, ist man doch gut vorbereitet.

Zitat von Crazyhorse

Dann hast du das flasche VPN.

Schalte ich dann ein, läuft das bis ich es abschallte oder der Akku leer ist.

Sauberes Rekeying, Mobike und schon bist du immer verbunden, auch wenn zu zwischen WLAN und 4G hin und her wechselst.

Wenn du mir was empfehlen kannst, dass auch auf Android und iPhone läuft und ich am Besten gleichzeitig mit der VPN Lösung der Uni nutzen kann, nur her damit

Beim NAS die Ports 80, 443, 8080, 8081 ins Internet weiterzuleiten ist mMn. absolut ok, wenn man:

• sichere Passwörter nutzt (ggf. noch mit 2FA)
• zeitnah Firmware- und Appupdates durchführt
• Sicherheitslücken irgendwie zeitnah mitbekommt
• benachrichtigt wird, wenn das NAS Fehler produziert
• Ne sinnvolle Backupstrategie hat (Snapshots und regelmäßige Offsite-Backups sind auch unabhängig davon natürlich sehr zu empfehlen)

Das NAS nur über VPN zu nutzen ist definitiv sicherer, halte ich aber für überzogen, wenn man Features wie QSync, QFile oder Qsirch von unterwegs nutzt.

Da es einigen evtl. aber hilft, die IPs der Bots zu sperren, hier ne kurze Anleitung:

1. Mit irgendeinem admin user anmelden
2. [Systemsteuerung] > [System] > [Sicherheit] > [Erlauben/Verweigern Liste] > Verbindungen aus der Liste verweigern auswählen
3. QuLog Center aufrufen
4. Einträge Filtern:
   001.png
5. Maximale Anzahl an Einträgen anzeigen, nach IP sortieren und sicherstellen, dass sich keine IPs aus dem Heimnetz (z.B. 192.168.x.x, 172.16.x.x, 10.x.x.x) darin finden:
   002.png
6. Alle Einträge auswählen und unbedingt evtl. gefundene private IP Adressen aus dem Heimnetz abwählen
7. Die IPs der ausgewählten Einträge für mind. 1 Tag der Sperrliste hinzufügen:
   003.png
8. Wenn bereits genug Login Versuche da waren, habt ihr vermutlich direkt Ruhe und eine gut gefüllte Sperrliste
   004.png

Der Key ist bei mir auch gespeichert. Und geht trotzdem ned. 😅

Oder hast du vllt. 'nur' einen verschlüsselten shared folder?

(Dieses Feature habe ich bisher noch nicht genutzt, daher weiß ich nicht, ob man hier den key abspeichern kann)

Firmware 4.5.1.1540

QuLog Center 1.1.491

Gibts hier noch jemanden, der ein verschlüsseltes Volume als Ziel setzen kann?

Wie hast du es hinbekommen unter Destination ein verschlüsseltes Volume auszuwählen?

QuLog Center:

QLOG_ERROR_2.png

Storage Space:

QLOG_ERROR_3.png

Liebe Community,

ich darf wegen QuLog Center ein neues unverschlüsseltes Volume in meinem Speicherpool erstellen.

Hierfür muss ich mein main Volume (thick) verkleinern, da es aktuell noch die maximale Größe hat.

Meine unkomprimierten (archivierten) Logs der letzen 3 Jahre haben ~400MB.

Denkt ihr, 5GB reichen damit QuLog Center ordentlich funktioniert?

Oder denkt ihr, dass das nicht ausreicht?

Ich habe leider selbst keine Infos gefunden, was QuLog Center für Anforderungen hat - oder wo die aktuell genutzte DB liegt, um die Größe selbst einschätzen zu können.

Die Antworten des Qnap Supports waren bisher absolut nicht hilfreich.

Zitat von Qnap Support

Antwort der Entwicklung: "The volume that is encrypted or has less than 10% of free space cannot be selected"

Die Entwicklung wird an dieser Spezifikation auch nichts ändern.

Schonmal Danke.

Mein Gott, ich bin so blind...

Danke

Hallo erstmal

Ich war gerade dabei mein neues TVS-671 einzurichten und wollte das "QNAP Media Streaming add-on" nutzen.
Leider schlägt die Installation fehl und gibt folgende Fehlermeldung im Log aus:

Warning 2017/07/16 21:30:18 System 127.0.0.1 localhost [Media Streaming Add-on] The multimedia function must be enabled in "Control Panel" > "General Setting" before you can install this package.

Der Hinweistext ist zwar nett, jedoch finde ich keine Möglichkeit die "Multimedia function" zu aktivieren. Auch die Dokumentation nimmt darauf bezug, jedoch sieht man auch dort im Screenshot keine entsprechende Checkbox (http://docs.qnap.com/nas/4.2/S…html?general_settings.htm)

Habe das ganze noch bei meinem TVS-EC880 versucht, mit dem gleichen Fehler und Logeintrag.

Hat jmd damit schon Erfahrungen gemacht oder weiß, wie man das lösen kann?

Firmware ist 4.3.3.0238 Build 20170703. Die Installation der Virtualisation Station etc. lief ohne Probleme.

Beste Grüße