Synology SMB1 uitschakelen?

SMB is niet het enige filesharing protocol. D'r is nfs, webdav, (s)ftp
D'r zal toch wel ééntje veilig geïmplementeerd zijn op Android?

mmm zelf ook even gekeken op mijn synology. en ook bij mij stond SMB1 aan. ook maar uitgezet. Op mijn win10 machines had ik het al uitgezet ivm WannaCry en (Not)Petaya.

Al hoewel ik zeker niet een kenner zit het veiligheidsrisico in de SMB1 implementatie van Microsoft/Windows en niet van Linux (en familie), Dus daarom zou de Synology al geen risico moeten lopen om zelf besmet te raken.. Wat niet betekend dat als je gedeelde mappen van je Synology koppelt help aan de driveletter in windows dat die dan niet meer mee gaan. Correct me if i am wrong. Die gaan gewoon mij als HDD van de PC zelf.

Ook even verder gekeken naar de SMB config van mijn Synology. SMB staat standaard alleen aan voor LAN en niet voor internet.

om terug te komen op je vraag. Ik denk zeker dat het geen kwaad kan om SMB1 uit te zetten. SMB2 zit volgens mij al in winVista. en zou verwachten dat het in alle moderne OSen ook gewoon inzit. Maar voor de zekerheid staat het gewoon aan zodat het ook nooit een probleem zou moeten geven. Denk dat Synology zijn zaakjes wat mij betreft SMB prima op orde zijn.

Op mijn win10 en iOS10 dan ook geen problemen nu. Zelf gebruik ik geen android, maar kan me bijna niet voorstellen dat die geen SMB2 out-of-de-box ondersteuning op zit.

ewoutw schreef op zondag 2 juli 2017 @ 03:40:
Al hoewel ik zeker niet een kenner zit het veiligheidsrisico in de SMB1 implementatie van Microsoft/Windows en niet van Linux (en familie), Dus daarom zou de Synology al geen risico moeten lopen om zelf besmet te raken.. Wat niet betekend dat als je gedeelde mappen van je Synology koppelt help aan de driveletter in windows dat die dan niet meer mee gaan. Correct me if i am wrong. Die gaan gewoon mij als HDD van de PC zelf.

Verkeerde aanname, op Linux is het bijna het zelfde issue....

https://www.tecmint.com/f...y-cve-2017-7494-in-linux/
https://blog.qualys.com/s...lnerability-cve-2017-7494
https://www.synology.com/...lnerability_CVE_2017_7494

....
....
Zoek maar op cve-2017-7494 of SambaCry of EternalRed

En Synologie heeft er last van. Wel even updaten naar laatste DSM!!!!!!!!!!!!!

[ Voor 19% gewijzigd door Wim-Bart op 02-07-2017 04:49 ]

Ook Synology heeft dit al een hele tijd geleden gefixed net als windows (zelfs windows XP).
Alleen mensen die hun systemen niet updaten kunnen er last van hebben.
overigens is updaten naar de laatste DSM versie niet nodig, ook op lagere versies zoals DSM 4 en DSM 5 zijn deze fixes uitgerold.


Als je echter SMB 1 uitzet kom je erachter dat o.a. windows nog een stukje van de smb 1 functionaliteit gebruikt, namelijk NetBIOS network discovery.
Het effect van het uitzetten van smb1 zal zijn dat je de Nas niet meer ziet staan in je explorer en je alles direct moet adresseren (ipadres of netwerknaam).

Kan je niet DS File gebruiken?
Wel stom dat Windows het nog wel gebruikt..

Waarom stom? Is gewoon aanwezige functionaliteit.
Smb 2 en 3 zijn gewoon uitbreidingen van lagere versies.
Als je het niet wilt gebruiken moet je een domain opzetten en een lokale DNS server.

Het is gewoon stom om smb 1 uit te zetten en zeker na aanleiding van een hack die allang gefixed is.
Gooi het kind dus niet met het badwater weg maar update je omgeving gewoon op tijd.

AdB schreef op zondag 2 juli 2017 @ 15:19:
OK dank. Ik begrijp van Ben(V) dat Synology gewoon gepatched is en aangezien ik standaard de laatste DSM versie draai dus redelijk veilig zou moeten zijn.
...
Dank voor de reacties, ik laat voorlopig SMB1 maar aanstaan vanwege de functionaliteit het veiligheidsrisico lijkt beperkt.

Je mag het wel iets stelliger zeggen hoor.
De bekende onveiligheid in SMB1 is in jouw release gefixt.
Op jouw patchlevel is dus SMB1 net zo onveilig als SMB2 was (en is).

In andere woorden, je bent veilig; de patch is toegepast dus je hoeft de workaround niet meer toe te passen.

quote: https://www.synology.com/en-us/releaseNote/DS214play

(2017/05/25)
Version: 6.1.1-15101-4
Fixed Issues
1. Fixed a security vulnerability regarding samba service (CVE-2017-7494).

quote: https://access.redhat.com/security/cve/cve-2017-7494

CVE-2017-7494 samba: Loading shared modules from any path in the system leading to RCE (SambaCry)

Blijven patchen mensen.

[ Voor 8% gewijzigd door jeroen3 op 02-07-2017 22:05 ]

bigfoot1942 schreef op zondag 2 juli 2017 @ 21:47:
[...]

Je mag het wel iets stelliger zeggen hoor.
De bekende onveiligheid in SMB1 is in jouw release gefixt.
Op jouw patchlevel is dus SMB1 net zo onveilig als SMB2 was (en is).

In andere woorden, je bent veilig; de patch is toegepast dus je hoeft de workaround niet meer toe te passen.

Goed, ik ben ff door de security officer gecorrigeerd en wou dit toch even met jullie delen:
https://blogs.technet.mic...nts-with-ad-group-policy/
SMB1 is gevoelig voor MITM attacks, dus moet als inherent onveilig beschouwd worden.

Ben(V) schreef op zondag 2 juli 2017 @ 11:06:
Smb 2 en 3 zijn gewoon uitbreidingen van lagere versies.
Als je het niet wilt gebruiken moet je een domain opzetten en een lokale DNS server.

Nee, dat zijn ze niet. SMB2 is nogal anders dan SMB1, SMB3 daarentegen is ruwweg SMB2+RDMA.
Verder heeft een 'domain opzetten' en 'een lokale DNS server' niks met SMB te maken.

Een DNS server zorgt voor name resolution dat is dus een alternatief voor NetBIOS browsing.
Dat stuk zit bij windows in het smb 1 gedeelte.
Als je dus smb 1 uitzet kun je het netwerk niet meer browsen en als resultaat dat je geen netwerk devices niet meer ziet.

Dat is het verband tussen DNS en smb 1, maar dat wist je vast wel.

En een woordspelletje of smb 2 iets anders is als een doorontwikkeling/uitbreiding van smb 1 lijk met vrij zinloos.

[ Voor 15% gewijzigd door Ben(V) op 19-07-2017 06:06 ]