To je nejakej Qnap PR clanek? Proc autor nespomene, ze se to tyka vsech?https://www.qnap.com/en/security-advisory/nas-...
Měl jste asi na mysli "Synology PR článek", když se v tom o QNAPu nepíše, že? 😀Každopádně souhlasím, redakce nějak opomněla situaci, že QNAP o tom informoval taky (mě to přišlo od nich do emailu).
Chyba v Synology. .. nechci vam do toho moc kecat, ale hlapci od synology nejsou tvujci OpenSSL 1.1.1l knihovny. Tohle je tak nejak obecna SSL knihovna ( https://www.openssl.org/news/openssl-1.1.1-notes.... ) co se pouziva, no ja nevim .... uplne vsude? Takze klidne v jakemkoliv Linuxu, Androidu, Iphonu, ... VPNce (na kterou se pripojujete z Windows), HTTPS (co bezi na Linuxovym Apache, Nginx, ...). Cili asi na 70% vsech zarizenich co jsou pripojeny na internet. Ale ne, titulek zni lip, kdyz se napise NASka od Synology. Chjo :(°Jinak s tema (CVE-2021-3711) a (CVE-2021-3712) to trochu prehanite. Tak hrozne to neni.Jestli chce prispe psat takovehle clanky, tak doporucuji napsat, ze treb Synology NASka je zavisla na elektrine od CEZu a sitovem kabelu z Alzy. Protoze doslova tohle tu pisete.
Na obhajobu Zive je treba rict, ze OpenSSL je za posledni roky znama svymi problemy. Nekterym operacnim systemum se ale vyhnuly, protoze mely OpenSSL s vlastnimi patchi nebo v nechutne zastarale verzi, a taky ze kvuli problemum OpenSSL vznikl projekt LibreSSL s cilem reimplementovat vsechno znovu a lepe. Nevim, jak na tom je.To, ze Synology pouzilo vadnou knihovnu, je jednoznacne chyba Synology. Ale stejne jako vy bych to nevidel az na takovy prusvih, treba Heartbleed byl daleko horsi problem s OpenSSL a tykal se skoro vseho, co s OpenSSL pracovalo.
LibreSSL existuje, ale narazili na znamy problem vsech vetsich implementaci - nahradit knihovnu / system pouzivane desitky let proste neni jednoduche a jen malokdy se to uspesne povede.
"Vadna knihovna" je trochu silne slovo nemyslite? Prave, ze se pouziva, tak se na ni lidi koukaji pod vetsim drobohledem a chteji ji rozbit. Opravy vydavaji docela pravidelne a casto ( https://www.openssl.org/news/openssl-1.1.1-notes.... ), to je pravda. Ale to je spis dobre nez spatne ne? (Takove CISCO ma taky derave routery, ale ted rekli, ze opravu nevydaji).Pravidelne updaty tu vydavaji vsechny velke znacky, Microsoft na Windows, Samsung na Andoid, .. atd atd. Jasne ze tam budou chyby, a jasne ze se budou opravovat.Kdyby LibreSSL bylo tak dobre (lepsi), tak proc neni vsude? Lidi by byli radi. Ale asi by se na nej pak vic zamerili a hledali chyby i v nem. Mozna blbost, lae mohu poprosit o OpenVPN zkompulovanou s knihovnou LibreSSL misto OpenSSL? Vice, neco "nederaveho"?Cili s dovolenim s tvrzenim "Synology pouzilo vadnou knihovnu, je jednoznacne chyba Synology". Knihovna vysla, Synology sosne a da do aktualizaci. Ty tak nejak i na predchozi verzi se v defaultu instalovali automaticky. Aspon tedy u me doma. Nemusel jsem delat vubec nic a mam opraveno. Pecka.
Trvám na tom, že odpovědnost leží na Synology. OpenSSL je knihovna bez záruky, nikdo za její kvalitu neručí, Synology ji použilo s tímto vědomím.Problém je v tom, že LibreSSL není hotová. OpenSSL je údajně hodně ošklivě napsaná, těžko auditovatelná. Jsou si toho vědomi třeba vývojáři FreeBSD, kteří používají jen to, čemu věří, a tak u OpenSSL zůstávají u pravěkých verzí. Proto se jich problémy s OpenSSL většinou vůbec nedotkly. Takže ano, jde to i bez toho, je to o přístupu.Tahat do toho proprietální enterprise Cisco, u kterého si za podporu musíte platit, mi přijde úplně zcestné. Máte samozřejmě pravdu, ale ten hardware je prodáván s úplně jinou filozofií, má jasně daný EOL s koncem podpory a s tím by se jeho nasazení mělo plánovat.
To neni zadna "nejaka obecna knihovna". OpenSSL je free knihovna, ktera implementuje beznou kryptografii a pouziva ji kde kdo. Kdyz se v ni objevi chyba, tak ji opravi bud komunita, nebo si ji muze opravit ten, kdo ji opravit chce. Synology nic nebrani si ji opravit a vydat update.
Ked pouzijem kniznicu tak si sledujem CVE, release notes a priebezne aktualizujem software v zariadeniach ktore vyrabam a predavam. Synology su totalni tragedi... na NAS do nich by som neulozil ani prazdny wordovy dokument, nie to este nieco dolezite
Dobře, že se o to píše. Má to výrazně větší prostor a motivaci k nápravě, než produkt, o kterém se nic neví. A Synology není z firem, která by to hodila za hlavu.
Nevim co resite. Proste se k tomu chovejte jako ke vsemu v domaci siti. Nechte za NATem bez verejne IP a kdyz se na to mermomoci chcete pripojovat z venku, tak si nainstalujte VPN
S VPN naprosto souhlas, problém trochu je, že právě ten VPN server lze napadnout - přinejmenším zablokovat (DoS).Synology ale aktualizace vydává poměrně rychle a zodpovědně, ve výchozím stavu se automaticky kontrolují a případně nainstalují 1x za týden. Ledaže by si to nějaký osel zakázal.
Názor byl 2× upraven, naposled 29. 8. 2021 13:26
VPN mam vedle na Raspberry
A bezi na najnovsej OpenSSL verzii?
samozrejme 😀
Otázka je, jak dlouho to bude ještě stačit? Třeba http://find.synology.com/ najde docela spolehlivě NAS Synology v lokální síti. Nezkoumal jsem, jak to funguje, ale tipuji to na nějaké udělátko v JavaScriptu. Co když si podobný script dá někdo na svojí stránku a obohatí ho i útok na tohle nezabezpečené SSL, nebo cokoliv jiného?
Funguje to podle všeho přímočaře, NASy prostě volají domů, takže Synology adresy zná. https://www.reddit.com/r/synology/comments/8ls0c...
To je extremne nepravdepodobne, bylo by to technicky velmi obtizne (napriklad rozliseni ruznych zakazniku v siti ISP). Funguje to tak, ze po pripojeni na find.synology.com se prohlizec pokusi pripojit na znama jmena registrovana v lokalni siti, treba "datastation.local". Pri standardnim nastaveni Windows se to obvykle nakonec povede, myslim ze pomoci NetBIOS (coz je stary protokol mj. na preklad lokalnich jmen v LAN na IP adresy).
Pokud neni na NASu potreba internet, tak je taky mozny odriznout NAS od internetu a povolit tam internet jen pro aktualizace. Staci jednoducha konfigurace firewallu na routeru 🙂Sam to tam mam pripraveny, ale nez to zase zapnu, tak musim rozbehat lokalni SMTP relay, aby mi fungovaly e-mailovy notifikace z NASu...
tohle je nejaka jejich sluzba, musi se to explicitne povolit. NAS se prihlasuje nekam do Synology cloudu a potom to funguje jako tunel prave na premosteni NATu. I kdyby to bylo deravy, tak je to TCP spojeni navazovane do Synology, smerem od NASu. Smerem do NASu se nikdo treti nedostane, ledaze uhodne heslo, ale to je uplne jinej stupen demence.
na ten NAS se nemuze nikdo dostat, kdyz nema verejnou IP, kdyz neni u tebe v siti. Ledaze by se NAS pripojoval smerem ven - coz uplne nedava smysl.Nech si NAS hezky v doma za domacim routerem - pochybuju, ze budes mit vic jak jednu verejnou IP (jestli vubec verejnou IP mas) a jediny co resis je snad jen silne heslo na WiFi.
Jenze kouzlo NASu je právě v tom pristupu zvenku. Proto si je lidi porizuji, aby nemusel platit za pofiderni cloudy tretich stran.
Bohužel o to jde, mít to přístupné z venku. A proto mě celkem zajímá Reverse proxy, jenž má být v QTS 5: https://ibb.co/xsvqvwbOvšem, je to z druhého tábora (QNAP), ale to jejich železo je jednoduše lepší no, nemůžu si pomoct B-]
Železo nevím, ale QTS oproti DSM je slušnej propadák, nenapadá mě jediná služba / aplikace, která by dokázala konkurovat řešení na DSM.Jinak DSM už nějaký rok reverzní proxy má a funguje naprosto bez problémů B-]B-]
"ale QTS oproti DSM je slušnej propadák, nenapadá mě jediná služba / aplikace, která by dokázala konkurovat řešení na DSM" - těch je spousta. Už jen že u Synology nemůžu použít tiering je na nic, v QTS je Qtier, kde si vesele nastavím tiering i na 2bay QNAP NASce s PCIe. A vytvořit SSD datové pole na M.2 modulech? tak to těžko - jen jako cache (u QNAPu není problém a můžu tam čarovat i s RAID5/6). Snapshoty u synology nejsou na blokové úrovni tak jako v QTS, takže taky celkem fail. V QTS běžně nastavuji šifrování celých disků/svazků a u DSM bylo myslím možnost šifrovat jen složky. VM s GPU výkonem taky u DSM nemám atd. Je toho celkem dost a QTS mi jako uživateli dává mnohem více vlastností pro nastavování. QTS bych propadákem rozhodně nenazýval 😉Nad čím přemýšlím je, že asi pořídím další NAS od QNAPU, kde tiká QuTS hero, protože ZFS by se hodilo 😐
Názor byl 1× upraven, naposled 30. 8. 2021 12:39
Tohle uplne nechapu. Reverse proxy mam asociovanou s HTTP protokolem. Muzes si doma pusit proxy na heslo a otevrit si tak domaci sit pro sebe smerem z venku. Proc se ale omezovat na HTTP, kdyz to same dokaze VPN naprosto transparentne pro vsechny protokoly?
Naprosta vetsina lidi nema verejnou IP a tedy jdou pres cloud Synology (QuickConnect), ktery jim spojeni protuneluje a nejakym zpusobem se postara o bezpecnost a tady si dolovuji trvrdit, ze derave SSL na NASu nevadi.Jestli se chces pripojovat primo (bez QuickConnect) a das NAS primo na verejnou IP, tak to je vylozene hazard. Za mne je nejlepsi, nainstalovat is oddelenou VPN na nejake uplne jine zarizeni (Raspbery je idealni) a pouzit k tomu nejakou duverihodnou linuxovou distribuci, ktera ma aktualni updaty - treba debian. Tuto VPN si dat do domaci site a na domacim routeru nastavit port forwarding na VPN, takze z venku bude videt pouze port te VPN.Z venku si pak oscanuj porty svoji verejne IP, aby ses ujistil, ze je otevrena opravdu jen ta VPN. U VPN vyhybam prihlasovani heslem a pouzivam pouze certifikat - coz Synology VPN neumi (resp. umi, ale musi se to ladit pres terminal).
A idealne VPN, ktera nebude postavena na OpenSSL, ve ktere je ta dira tykajici se i DSM, ze.
Přesně tak, VPN je nutnost a takový WireGuard je rychlý a běží na všem, včetně mobilu.
Nie je náhodou Synology DSM len prezlečený Linux?
a co jineho by tan melo byt? Windows? 😂
Takže odpoveď je áno. Potom by titulok mohol znieť aj “Linux od Synology je deravý”. A nebol by ďaleko od pravdy.
ne. ten titulek by byl spatne.
Deravy neni Linux ale OpenSSL. Ta s Linuxem nijak nesouvisi.
Áno, to je vcelku známa vec, že žiadna chyba vyskytujúca sa na zariadení postavenom na Linuxe nesúvisí s Linuxom. 🙂
tvoja logika je na urovni mentalne retardovaneho jedinca. Kryptokniznic je viac ako tucet. Ked sa vyvojar aplikacie rozhodol pouzivat OpenSSL tak to nema nic spolocne s operacnym systemom. OpenSSL je portovane rovnako aj na Windows a plno windowsovych aplikacii (napriklad Total Commander) OpenSSL pouziva. Takze co z toho plynie podla tvojej logiky? Windows je deravy (a nie ze by to nebola pravda)
Windows based OS NAS – WSS NAShttps://nascompares.com/windows-based-os-nas-wss-...
Neni na tom nic prevleceneho. Jako kernel toho firmware je pouzity Linux.I ten nejlepe pancerovany tank bude snadno napadnutelny, kdyz v nem budete pozadovat oteviratelne panoramaticke okno.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.