Toon posts:

Optimaal beveiligen Q-NAP?

Pagina: 1
Acties:

Vraag

woensdag 15 september 2021 11:56

Acties:
  • 0Henk 'm!
  • Munki
  • Registratie: Juli 2008
  • Laatst online: 06:43

Munki

Topicstarter
Mijn vraag

Goedemiddag! Ik beschik thuis over een Q-NAP TS230 NAS. Top ding, werkt prima. Nu lees ik dat er heel af en toe wat security issues zijn omtrent Q-NAP en dat baat eerlijk gezegd wel mijn zorgen. Ik zou dan ook heel graag het e.e.a. willen optimaliseren omtrent de veiligheid van mijn NAS. Kunnen jullie mij hierin helpen? Ik denk dat het ook voor anderen handig kan zijn.

Relevante software en hardware die ik gebruik

Q-NAP TS230

Wat ik al gevonden of geprobeerd heb

Ik heb uiteraard zelf al het e.e.a. ingesteld t.b.v. de veiligheid. Zo heb ik geen default 'admin' account meer, hebben alle accounts 2FA aan staan, staat UPnP uit en heb ik de NAS uit de DHCP range gehaald. Toch heb ik het idee dat ik nog verder kan gaan en daar heb ik jullie hulp bij nodig. Ik zat bijvoorbeeld zelf nog te denken om het volledige internet toegang uit te zetten op de NAS, dat betekent o.a. dat ik updates handmatig moet uitvoeren (op een stick zetten en dat inladen o.i.d.?), maar dat geeft niet. Hoe ik dit precies moet doen, geen idee. Jullie?

Alvast bedankt.

Alle reacties

woensdag 15 september 2021 15:53

Acties:
  • 0Henk 'm!
  • Q
  • Registratie: November 1999
  • Laatst online: 11:33

Q

Au Contraire Mon Capitan!

Het gaat hier om een risico-analyse: wat is hier het grootste risico?

De aller belangrijkste maatregel die je kunt nemen is om je QNAP nooit en te nimmer bereikbaar te maken via het Internet (wat mensen soms doen via port-forwarding in een router).

Dat de NAS zelf internet toegang heeft vind ik geen significant risico, het is juist beter dat het ding automatisch periodiek updates naar binnen haalt en dat deze ook geïnstalleerd worden.

woensdag 15 september 2021 16:17

Acties:
  • 0Henk 'm!
  • dylan111111
  • Registratie: Oktober 2013
  • Laatst online: 12:02

dylan111111

Wat ik zo lees is dat je de basis stappen al hebt genomen. Je zou nog met een firewall in het netwerk verbindingen die vanaf buitenaf opgezet worden geweigerd naar de NAS toe. Ook verbindingen vanaf de nas naar buiten toe blokkeren en alleen het domain whitelisten om te laten updaten. Maar goed, hoe ver wil je gaan? Updates zou ik wel automatisch laten downloaden en installeren, anders introduceer je een menselijk punt van falen.

Het enige wat ik zo nog kan verzinnen is om je data op de nas te encrypten.

donderdag 16 september 2021 00:51

Acties:
  • +2Henk 'm!
  • peter-rm
  • Registratie: Juni 2015
  • Laatst online: 13:53

peter-rm

Q schreef op woensdag 15 september 2021 @ 15:53:


Dat de NAS zelf internet toegang heeft vind ik geen significant risico, het is juist beter dat het ding automatisch periodiek updates naar binnen haalt en dat deze ook geïnstalleerd worden.
dit kan wel degelijk een risico zijn zie een artikel in c't (april 2021 pag 78) NAS veilig gebruiken, waarbij een NAS een ransomeware besmetting opliep doordat de NAS zelf via UPnP een internet toegang bij de router had gecreeerd

donderdag 16 september 2021 01:04

Acties:
  • +1Henk 'm!
  • michielRB
  • Registratie: Juli 2019
  • Niet online

michielRB

Back 2 the Future

Ik zou zelf de qnap in een apart subnet zetten en dat subnet de toegang tot internet weigeren. Als je dan toch vanaf buiten bij je qnap wilt kunnen, dan VPN 'naar binnen' en voila....

dat aparte subnet komt eigenlijk weg uit mijn manier van afschermen van data: Ik heb een proxmox cluster waarbij de compute nodes 2 netwerkinterfaces hebben: 1 op het 'normale' LAN en 1 op een ander subnet. Op dat 2e subnet zit ook een NAS waar alle data + images op draaien. Alleen de comutenodes 'mogen' met hun 2e interface op het 2e subnet komen. Alle andere macadressen worden standaard geblocked op dat subnet.

[Voor 53% gewijzigd door michielRB op 16-09-2021 01:07]

donderdag 16 september 2021 10:22

Acties:
  • 0Henk 'm!
  • Q
  • Registratie: November 1999
  • Laatst online: 11:33

Q

Au Contraire Mon Capitan!

peter-rm schreef op donderdag 16 september 2021 @ 00:51:
[...]


dit kan wel degelijk een risico zijn zie een artikel in c't (april 2021 pag 78) NAS veilig gebruiken, waarbij een NAS een ransomeware besmetting opliep doordat de NAS zelf via UPnP een internet toegang bij de router had gecreeerd
Misschien is dat iets om gewoon even te controleren dan.

Trouwens: citaat uit de TS:
staat UPnP uit
Je NAS handmatig updaten gaat gewoon niet gebeuren, laten we eerlijk zijn.

Je kunt er ook voor kiezen om gewoon inderdaad het ding het internet niet op te laten, maar ook gewoon niet te patchen. Twee vliegen in één klap. Wel rot als er een patch komt voor een data corruptie dingetje, maar tja.

Keuzes.

Filteren op macadres vind ik zelf een non-maatregel, dat was het 20 jaar geleden al. De vraag is vooral wat is hier het doel.

Echter, we hebben niets meer van @Munki vernomen, ik vind dat die nu even aan zet is. Je krijgt anders weer zo'n hit-and-run topic waarbij er hele discussies ontstaan en de TS komt nooit meer opdagen.

[Voor 20% gewijzigd door Q op 16-09-2021 10:25]

donderdag 16 september 2021 10:44

Acties:
  • 0Henk 'm!
  • peter-rm
  • Registratie: Juni 2015
  • Laatst online: 13:53

peter-rm

@Q wat mijn gebruikelijke update routine is:
- ik haal de qnap firmware op mijn laptop, en update dan lokaal binnen mijn eigen netwerk

donderdag 16 september 2021 12:19

Acties:
  • 0Henk 'm!
  • Munki
  • Registratie: Juli 2008
  • Laatst online: 06:43

Munki

Topicstarter
Thanks voor de reacties mensen!

Ik heb inderdaad de basis stappen al genomen, vroeg me alleen af of dat genoeg is..

Eigenlijk heeft het dus niet heel veel nut om de NAS de toegang tot het internet te ontzeggen, begrijp ik zo? Het wordt in ieder geval een drempel om de updates handmatig uit te voeren, maar updates lijken me niet per sé heel nodig dan, los van de security patches?

Ervoor zorgen dat de NAS niet bereikbaar is via het internet, lijkt me wel een goede. Maar hoe doe ik dat? @Q Je hebt het over port forwarding in mijn router. Heb je wat meer uitleg?

donderdag 16 september 2021 17:19

Acties:
  • 0Henk 'm!
  • Q
  • Registratie: November 1999
  • Laatst online: 11:33

Q

Au Contraire Mon Capitan!

peter-rm schreef op donderdag 16 september 2021 @ 10:44:
@Q wat mijn gebruikelijke update routine is:
- ik haal de qnap firmware op mijn laptop, en update dan lokaal binnen mijn eigen netwerk
De vraag is eigenlijk waarom je dat doet in deze context, want de security updates maken niet veel uit, tenzij je onvertrouwde mensen op je netwerk hebt.

donderdag 16 september 2021 17:23

Acties:
  • 0Henk 'm!
  • Q
  • Registratie: November 1999
  • Laatst online: 11:33

Q

Au Contraire Mon Capitan!

Munki schreef op donderdag 16 september 2021 @ 12:19:
Thanks voor de reacties mensen!

Ik heb inderdaad de basis stappen al genomen, vroeg me alleen af of dat genoeg is..

Eigenlijk heeft het dus niet heel veel nut om de NAS de toegang tot het internet te ontzeggen, begrijp ik zo?
Ik vind het risico aanvaardbaar, laat het ding maar gewoon updates ophalen en installeren. Scheelt je werk wat je mogelijk toch niet gaat doen. ;)
Het wordt in ieder geval een drempel om de updates handmatig uit te voeren, maar updates lijken me niet per sé heel nodig dan, los van de security patches?
Juist de security patches zijn dan niet meer zo nodig, maar bugfixes, zeker voor bugs die problemen voor je data kunnen veroorzaken, misschien wel fijn.
Ervoor zorgen dat de NAS niet bereikbaar is via het internet, lijkt me wel een goede. Maar hoe doe ik dat? @Q Je hebt het over port forwarding in mijn router. Heb je wat meer uitleg?
Als je op je router UPNP uit hebt staan en je hebt zelf - zo te lezen - nooit portforwarding ingeschakeld op de router, dan zit je goed.

Portforwarding is een onderwerp wat te complex is om hier toe te lichten, google is hier handiger.
https://stevessmarthomegu...standing-port-forwarding/

donderdag 30 december 2021 15:01

Acties:
  • +1Henk 'm!
  • Dutchredgaming
  • Registratie: September 2014
  • Laatst online: 04-06 21:44

Dutchredgaming

ICT Beheerder

@Munki
Er is een nieuwe hack poging aan de gang.
Zou QuFirewall en Security Counselor updaten of installeren in je NAS als je het nog niet hebt.

https://www.qnap.com/nl-n...5-10-68-89-185-198-57-185

Review QNAP TS-230 NAS

vrijdag 7 januari 2022 18:37

Acties:
  • +1Henk 'm!
  • dschaap
  • Registratie: Juli 2013
  • Laatst online: 02-06 07:56

dschaap

https://qnap.bmetrack.com...T8xErqg%3D&relid=D804EE25

maandag 14 februari 2022 12:52

Acties:
  • 0Henk 'm!
  • phubert
  • Registratie: November 2003
  • Laatst online: 17-05 13:38

phubert

michielRB schreef op donderdag 16 september 2021 @ 01:04:
Ik zou zelf de qnap in een apart subnet zetten en dat subnet de toegang tot internet weigeren. Als je dan toch vanaf buiten bij je qnap wilt kunnen, dan VPN 'naar binnen' en voila....

dat aparte subnet komt eigenlijk weg uit mijn manier van afschermen van data: Ik heb een proxmox cluster waarbij de compute nodes 2 netwerkinterfaces hebben: 1 op het 'normale' LAN en 1 op een ander subnet. Op dat 2e subnet zit ook een NAS waar alle data + images op draaien. Alleen de comutenodes 'mogen' met hun 2e interface op het 2e subnet komen. Alle andere macadressen worden standaard geblocked op dat subnet.
Prima idee, echter de uitwerking is nog dramatischer. Qnap legt minimaal 1x per 24 uur contact met de Qnap-server of er updates zijn en overige dingen. Op het moment dat je de Qnap isoleert (done that, failed) gaat je hele Qnap in paniek; geen internet dus ook geen andere services. 2FA, e-mailmeldingen, NTP etc werkt niet meer; ook niet als je hiervoor in externe firewall poorten beschikbaar maakt.

maandag 14 februari 2022 12:55

Acties:
  • 0Henk 'm!
  • phubert
  • Registratie: November 2003
  • Laatst online: 17-05 13:38

phubert

Dutchredgaming schreef op donderdag 30 december 2021 @ 15:01:
@Munki
Er is een nieuwe hack poging aan de gang.
Zou QuFirewall en Security Counselor updaten of installeren in je NAS als je het nog niet hebt.

https://www.qnap.com/nl-n...5-10-68-89-185-198-57-185
QuFirewall is momenteel het meest incomplete wat Qnap bezit. Bezit nog niet de helft van wat je daadwerkelijk zou verwachten in een firewall nog maar te zwijgen over het instellen. Voor wie zijn NAS op internet koppelt en op QuFirewall gaat vertrouwen: ;w

woensdag 16 februari 2022 20:23

Acties:
  • 0Henk 'm!
  • michielRB
  • Registratie: Juli 2019
  • Niet online

michielRB

Back 2 the Future

phubert schreef op maandag 14 februari 2022 @ 12:52:
[...]
Prima idee, echter de uitwerking is nog dramatischer. Qnap legt minimaal 1x per 24 uur contact met de Qnap-server of er updates zijn en overige dingen. Op het moment dat je de Qnap isoleert (done that, failed) gaat je hele Qnap in paniek; geen internet dus ook geen andere services. 2FA, e-mailmeldingen, NTP etc werkt niet meer; ook niet als je hiervoor in externe firewall poorten beschikbaar maakt.
Ouch... prima moment om QTS te dumpen.
https://forum.qnap.com/viewtopic.php?t=157883
https://www.truenas.com/c...as-on-qnap-devices.91484/

woensdag 16 februari 2022 20:33

Acties:
  • 0Henk 'm!
  • peter-rm
  • Registratie: Juni 2015
  • Laatst online: 13:53

peter-rm

phubert schreef op maandag 14 februari 2022 @ 12:52:
[...]


Prima idee, echter de uitwerking is nog dramatischer. Qnap legt minimaal 1x per 24 uur contact met de Qnap-server of er updates zijn en overige dingen. Op het moment dat je de Qnap isoleert (done that, failed) gaat je hele Qnap in paniek;
als je de automatische updates uitzet is er niets aan de hand.

in jouw geval staan (waarschijnlijk) de auto-updates aan en verslikt de qnap zich in het netwerk, zoeken naar de gateway/internet

woensdag 16 februari 2022 20:40

Acties:
  • 0Henk 'm!
  • DVX73
  • Registratie: November 2012
  • Laatst online: 04-06 21:11

DVX73

Meest belangrijke is een backup van de data op de NAS voor het geval het toch verkeerd gaat.

Je kan alles nog zo goed beveiligen, maar het kan nog steeds fout gaan.
Een compleet calamiteitenplan is misschien overkill. Maar een goede back-up strategie zou iedereen moeten hebben.

Van de data op mijn NAS maak ik enkel een backup van mijn foto's.
Dagelijks naar een cloud provider welke ook weer 5 dagen backups heeft.
Ieder kwartaal maak ik ook nog een backup naar een externe harde schijf welke bij mijn schoonouders ligt.

donderdag 17 februari 2022 16:08

Acties:
  • 0Henk 'm!
  • phubert
  • Registratie: November 2003
  • Laatst online: 17-05 13:38

phubert

peter-rm schreef op woensdag 16 februari 2022 @ 20:33:
[...]


als je de automatische updates uitzet is er niets aan de hand.

in jouw geval staan (waarschijnlijk) de auto-updates aan en verslikt de qnap zich in het netwerk, zoeken naar de gateway/internet
Alle automatische updates staan altijd uit, echter na iedere update zet QNAP zelf bepaalde weer aangevinkt. Ongekend irritant.

donderdag 17 februari 2022 16:09

Acties:
  • 0Henk 'm!
  • phubert
  • Registratie: November 2003
  • Laatst online: 17-05 13:38

phubert

DVX73 schreef op woensdag 16 februari 2022 @ 20:40:
Meest belangrijke is een backup van de data op de NAS voor het geval het toch verkeerd gaat.

Je kan alles nog zo goed beveiligen, maar het kan nog steeds fout gaan.
Een compleet calamiteitenplan is misschien overkill. Maar een goede back-up strategie zou iedereen moeten hebben.

Van de data op mijn NAS maak ik enkel een backup van mijn foto's.
Dagelijks naar een cloud provider welke ook weer 5 dagen backups heeft.
Ieder kwartaal maak ik ook nog een backup naar een externe harde schijf welke bij mijn schoonouders ligt.
Ik vertrouw niet volledig op NAS, altijd backup van de NAS.
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee