Toon posts:

Optimaal beveiligen Q-NAP?

Pagina: 1
Acties:

Vraag


  • Munki
  • Registratie: juli 2008
  • Laatst online: 20:19
Mijn vraag

Goedemiddag! Ik beschik thuis over een Q-NAP TS230 NAS. Top ding, werkt prima. Nu lees ik dat er heel af en toe wat security issues zijn omtrent Q-NAP en dat baat eerlijk gezegd wel mijn zorgen. Ik zou dan ook heel graag het e.e.a. willen optimaliseren omtrent de veiligheid van mijn NAS. Kunnen jullie mij hierin helpen? Ik denk dat het ook voor anderen handig kan zijn.

Relevante software en hardware die ik gebruik

Q-NAP TS230

Wat ik al gevonden of geprobeerd heb

Ik heb uiteraard zelf al het e.e.a. ingesteld t.b.v. de veiligheid. Zo heb ik geen default 'admin' account meer, hebben alle accounts 2FA aan staan, staat UPnP uit en heb ik de NAS uit de DHCP range gehaald. Toch heb ik het idee dat ik nog verder kan gaan en daar heb ik jullie hulp bij nodig. Ik zat bijvoorbeeld zelf nog te denken om het volledige internet toegang uit te zetten op de NAS, dat betekent o.a. dat ik updates handmatig moet uitvoeren (op een stick zetten en dat inladen o.i.d.?), maar dat geeft niet. Hoe ik dit precies moet doen, geen idee. Jullie?

Alvast bedankt.

Alle reacties


  • Q
  • Registratie: november 1999
  • Laatst online: 20-09 23:41

Q

Inactief

Het gaat hier om een risico-analyse: wat is hier het grootste risico?

De aller belangrijkste maatregel die je kunt nemen is om je QNAP nooit en te nimmer bereikbaar te maken via het Internet (wat mensen soms doen via port-forwarding in een router).

Dat de NAS zelf internet toegang heeft vind ik geen significant risico, het is juist beter dat het ding automatisch periodiek updates naar binnen haalt en dat deze ook geïnstalleerd worden.

  • dylan111111
  • Registratie: oktober 2013
  • Laatst online: 00:22
Wat ik zo lees is dat je de basis stappen al hebt genomen. Je zou nog met een firewall in het netwerk verbindingen die vanaf buitenaf opgezet worden geweigerd naar de NAS toe. Ook verbindingen vanaf de nas naar buiten toe blokkeren en alleen het domain whitelisten om te laten updaten. Maar goed, hoe ver wil je gaan? Updates zou ik wel automatisch laten downloaden en installeren, anders introduceer je een menselijk punt van falen.

Het enige wat ik zo nog kan verzinnen is om je data op de nas te encrypten.

  • peter-rm
  • Registratie: juni 2015
  • Laatst online: 23:56
Q schreef op woensdag 15 september 2021 @ 15:53:


Dat de NAS zelf internet toegang heeft vind ik geen significant risico, het is juist beter dat het ding automatisch periodiek updates naar binnen haalt en dat deze ook geïnstalleerd worden.
dit kan wel degelijk een risico zijn zie een artikel in c't (april 2021 pag 78) NAS veilig gebruiken, waarbij een NAS een ransomeware besmetting opliep doordat de NAS zelf via UPnP een internet toegang bij de router had gecreeerd

  • michielRB
  • Registratie: juli 2019
  • Niet online

michielRB

SciHub: vrije wetenschap

Ik zou zelf de qnap in een apart subnet zetten en dat subnet de toegang tot internet weigeren. Als je dan toch vanaf buiten bij je qnap wilt kunnen, dan VPN 'naar binnen' en voila....

dat aparte subnet komt eigenlijk weg uit mijn manier van afschermen van data: Ik heb een proxmox cluster waarbij de compute nodes 2 netwerkinterfaces hebben: 1 op het 'normale' LAN en 1 op een ander subnet. Op dat 2e subnet zit ook een NAS waar alle data + images op draaien. Alleen de comutenodes 'mogen' met hun 2e interface op het 2e subnet komen. Alle andere macadressen worden standaard geblocked op dat subnet.

[Voor 53% gewijzigd door michielRB op 16-09-2021 01:07]

⛔Tracken of betalen⛔ Scihub voor vrij toegankelijke wetenschappelijke documentatie


  • Q
  • Registratie: november 1999
  • Laatst online: 20-09 23:41

Q

Inactief

peter-rm schreef op donderdag 16 september 2021 @ 00:51:
[...]


dit kan wel degelijk een risico zijn zie een artikel in c't (april 2021 pag 78) NAS veilig gebruiken, waarbij een NAS een ransomeware besmetting opliep doordat de NAS zelf via UPnP een internet toegang bij de router had gecreeerd
Misschien is dat iets om gewoon even te controleren dan.

Trouwens: citaat uit de TS:
staat UPnP uit
Je NAS handmatig updaten gaat gewoon niet gebeuren, laten we eerlijk zijn.

Je kunt er ook voor kiezen om gewoon inderdaad het ding het internet niet op te laten, maar ook gewoon niet te patchen. Twee vliegen in één klap. Wel rot als er een patch komt voor een data corruptie dingetje, maar tja.

Keuzes.

Filteren op macadres vind ik zelf een non-maatregel, dat was het 20 jaar geleden al. De vraag is vooral wat is hier het doel.

Echter, we hebben niets meer van @Munki vernomen, ik vind dat die nu even aan zet is. Je krijgt anders weer zo'n hit-and-run topic waarbij er hele discussies ontstaan en de TS komt nooit meer opdagen.

[Voor 20% gewijzigd door Q op 16-09-2021 10:25]


  • peter-rm
  • Registratie: juni 2015
  • Laatst online: 23:56
@Q wat mijn gebruikelijke update routine is:
- ik haal de qnap firmware op mijn laptop, en update dan lokaal binnen mijn eigen netwerk

  • Munki
  • Registratie: juli 2008
  • Laatst online: 20:19
Thanks voor de reacties mensen!

Ik heb inderdaad de basis stappen al genomen, vroeg me alleen af of dat genoeg is..

Eigenlijk heeft het dus niet heel veel nut om de NAS de toegang tot het internet te ontzeggen, begrijp ik zo? Het wordt in ieder geval een drempel om de updates handmatig uit te voeren, maar updates lijken me niet per sé heel nodig dan, los van de security patches?

Ervoor zorgen dat de NAS niet bereikbaar is via het internet, lijkt me wel een goede. Maar hoe doe ik dat? @Q Je hebt het over port forwarding in mijn router. Heb je wat meer uitleg?

  • Q
  • Registratie: november 1999
  • Laatst online: 20-09 23:41

Q

Inactief

peter-rm schreef op donderdag 16 september 2021 @ 10:44:
@Q wat mijn gebruikelijke update routine is:
- ik haal de qnap firmware op mijn laptop, en update dan lokaal binnen mijn eigen netwerk
De vraag is eigenlijk waarom je dat doet in deze context, want de security updates maken niet veel uit, tenzij je onvertrouwde mensen op je netwerk hebt.

  • Q
  • Registratie: november 1999
  • Laatst online: 20-09 23:41

Q

Inactief

Munki schreef op donderdag 16 september 2021 @ 12:19:
Thanks voor de reacties mensen!

Ik heb inderdaad de basis stappen al genomen, vroeg me alleen af of dat genoeg is..

Eigenlijk heeft het dus niet heel veel nut om de NAS de toegang tot het internet te ontzeggen, begrijp ik zo?
Ik vind het risico aanvaardbaar, laat het ding maar gewoon updates ophalen en installeren. Scheelt je werk wat je mogelijk toch niet gaat doen. ;)
Het wordt in ieder geval een drempel om de updates handmatig uit te voeren, maar updates lijken me niet per sé heel nodig dan, los van de security patches?
Juist de security patches zijn dan niet meer zo nodig, maar bugfixes, zeker voor bugs die problemen voor je data kunnen veroorzaken, misschien wel fijn.
Ervoor zorgen dat de NAS niet bereikbaar is via het internet, lijkt me wel een goede. Maar hoe doe ik dat? @Q Je hebt het over port forwarding in mijn router. Heb je wat meer uitleg?
Als je op je router UPNP uit hebt staan en je hebt zelf - zo te lezen - nooit portforwarding ingeschakeld op de router, dan zit je goed.

Portforwarding is een onderwerp wat te complex is om hier toe te lichten, google is hier handiger.
https://stevessmarthomegu...standing-port-forwarding/
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee