Spring naar inhoud

Synology update -Shadowfax ICTEr is deze week ook een beveiligings-update uitgekomen voor DSM 4.2 waarin een aantal belangrijke zaken worden verholpen. De opgeloste problemen waren ook al opgelost voor DSM 5.1 in de afgelopen maanden.

Version : 4.2-3254

(2015/03/25)

Fixed Issues

  1. Enhanced SSL 3.0 handling mechanism for POODLE vulnerability.

  2. Upgraded OpenSSL to 1.0.1m to address multiple vulnerabilities (CVE-2014-3571, CVE-2015-0206, CVE-2014-3569, CVE-2014-3572, CVE-2015-0205, CVE-2014-8275, CVE-2014-3570, CVE-2015-0204, CVE-2015-0286, CVE-2015-0287, CVE-2015-0289, CVE-2015-0292, CVE-2015-0293, CVE-2015-0209, and CVE-2015-0288).

  3. Enhanced the stability when repairing degraded RAID.

  4. Fixed a security vulnerability related to SAMBA (CVE-2015-0240).

Synology heeft de bèta versie van DSM 5.2 vrijgegeven. Deze versie kun je nu downloaden vanaf hier. Het installeren van bèta software brengt altijd een risico met zich mee, omdat niet alles nog uitgebreid is getest en je niet meer terug kunt naar een vorige versie van DSM.

Ik ben op dit moment bezig met het installeren van DSM op mijn test DS115J en als ik het durf ook op mijn eigen productie DS1815+. Ik zal mijn eigen ervaringen delen in het blog.

Hier wat punten van de Beta pagina en Release Notes van DSM 5.2

Hoofdpunten:

  • Redesigned System TrayNote Station: met een plugin in Chrome om makkelijk tekst van website te kopiëren en aanmaken van taken.
  • Cloud Station en Cloud Sync: beter performance voor Cloud Station en beter back-up opties voor Cloud Sync.
  • Verbeteringen in Backup en Replicatie: Het is nu ook mogelijk om enkele bestanden terug te zetten.
    Geen bericht wat er met Time Backup gaat gebeuren.
  • DS Photo: Gaat Chromcast en DLNA ondersteunen.
  • Link Aggregation krijgt meer opties, ook voor simpeler switchen
  • Beveiliging: encryptie voor voor data verkeer met SMB3 en bescherming voor  malware in pakketten met AppArmor
  • Docker:  Voor het installeren van virtuele applicatie (niet beschibaar voor alle modellen).

Overige punten uit de Release Notes:

  • SSD Cache gebruikt minder geheugen
  • File Station:
    • Foto's in volledig scherm
    • Slepen van bestanden tussen browsers
    • Opgeven hoe vaak een gedeelde link geopend kan worden
    • meteen een link versturen via de ingebouwde mail
    • Meteen bestanden delen via Dropbox, Box Google Drive en OneDrive
    • Playlists voor de ingebouwde audio player
  • SSO: voor het makkelijk inloggen op meerder applicaties
  • SSH: opgeven welke algorithms gebruikt mogen worden.
  • Flexibele port forwarding regels. o.a. willekeurige poorten
  • Datalimieten opgeven aan een groep.
  • Delen via Facebook en Google+ is niet meer mogelijk met DSM 5.2

Van de volgende pakketten kun je binnenkort een update verwachten op je telefoon of tablet:

  • DS audio
  • DS File
  • DS Photo
  • DS Cloud
  • DS download
  • DS Note

Deze versie is ook beschikbaar voor de X10-modellen

Zoals altijd zal ik na de bèta periode,  DSM 5.2 installeren op de DiskSations die beheerd worden door Shadowfax ICT. Als je meer informatie wilt over DSM 5.2 kun je contact met me opnemen.

Synology update -Shadowfax ICTSynology heeft vandaag een belangrijke update uitgegeven voor DSM 5.1-5022 deze lost een beveiligingsprobleem op in de Windows-server in de DiskStation.

Voor de update de update hoeft de DiskStation niet herstart te worden. De verbonden PC's en laptops zullen even de verbinding verliezen.

Het is ook mogelijk om updates automatische te installeren, hierover maak ik binnenkort nog een blog.

De beheerder Synology DiskStations van Shadowfax ICT worden vannacht geüpdatet. Voor meer informatie con je contact met me opnemen

Release Note:

Version : 5.1-5022 Update 3(2015/03/02)

Fixed Issues

1. Fixed a security vulnerability related to SAMBA (CVE-2015-0240).

 

 

Deze blog gaat voornamelijk over Synology DiskStation NAS systemen omdat dat ik daar het meeste van weet. Maar als systeembeheerder gaat mijn interesse ook zeer uit naar beveiligingsproblemen en oplossingen. Vandaar dat ik ook blog over belangrijke problemen bij overige (voor al NAS) beveiligingsproblemen.

Gelukkig neemt Synology de beveiliging van hun producten de laatste tijd er serieus, sinds de problemen met de bitcoin-miners

Seagate NAS

Er is door OJ Reeves een probleem ontdekt in seagate_logo_3664de NAS-systemen van Seagate, het is hierdoor mogelijk om in te logen als rootgebruiker. Hierdoor is het mogelijk om het hele systeem over te nemen. Het is dan ook mogelijk om wachtwoorden van gebruikers te achterhalen die zijn aangemaakt op het systeem.

OJ Reeves heeft contact opgenomen met Seagate in oktober 2014, maar Seagate is erg laks met het probleem op te lossen, daarom heeft hij het het beveiligingsprobleem openbaar gemaakt. Voor meer informatie zie hier (engels)

Er is op dit moment nog geen patch voor het probleem.

Advies

Zorg er voor dat inlog-pagina (web) niet te bereiken is vanaf het internet. De ervaring is dat er binnen een paar dagen gebruikt gemaakt gaat worden van dit probleem.

Als er meer informatie is zal ik deze blog updaten

Voor meer informatie zie: Advisory: Seagate NAS Remote Code Execution Vulnerability

Update 10 maart 2015

Seagate heeft de lek als bestempeld als 'laag risico' en adviseert om de NAS niet bereikbaar te maken vanaf het Internet door UPnP Port Forwarding uit te schakelen of handmatig port fowarding van port 80 en 443 uit te schakelen. Er komt een paths in mei 2015.

Increase the Security on your Seagate Business Storage NAS

OJ Reeves is het niet eens met de analyse en vindt Seagate erg laks reageren. Zie zijn nieuwe blog voor meer informatie:

Opinion: Seagate's Analysis is Incorrect

2

Chrome_melding.pngZie ook het blog: Let’s Encrypt certificaat in DSM 6.0

Als je van af het internet inlogt op je Synology DiskStation is het verstandig om dit te doen met  beveiligde HTTPS-verbinding, het bekende slotje.

Dit is makkelijk geregeld op de DiskStation onder Configuratie scherm --> Netwerk --> DSM-instellingen. Hier kun je aanvinken Https-verbinding inschakelen. en zelfs HTTP-verbindingen automatische omleiden naar HTTPS, zodat alle verbindingen vanzelf worden omgeleid naar HTTPS.

Synology gebruikt hiervoor de standaardpoorten 5000 en 5001 voor respectievelijk HTTP en HTTPS. Dit is ook aan te passen als je dit wenselijk vindt.

Als je inlogt op je Diskstation via het aangemaakte Synology DDNS Hostnaam (in te stellen onder Externe toegang) of IP-adres krijg je een melding van je internet browers:

  • Internet Explorer: Er is een probleem met het beveiligingscertificaat van deze website
  • Google Chrome: Je verbinding is niet privé

Deze meldingen komen doordat je verbinding maakt met de Synology Diskstation met een zelfondertekende certificaat.  De data die heen en weer wordt verstuurt tussen je browser en de DiskStation is beveiligt en kan niet worden gelezen. De browser geeft de melding, omdat er niet gecontroleerd kan worden of de server (Synology DiskStation is dit geval) ook echt is wie hij beweert wie hij is.

Als je van deze melding af wilt moet je een paar dingen aanschaffen.

  • eigen domeinnaam: kosten voor .nl domeinnaam zit rond de €10,- per jaar.
  • een certificaat: kosten zitten tussen de €13 voor 1 jaar en €34 voor 3 jaar. (langer raad ik persoonlijk af i.v.m. beveiliging ontwikkelingen)

Als je een eigen domeinnaam hebt kun je een DNS verwijzing op een host-naam (b.v. nas.mijndomein.nl) maken naar je externe IP-adres van de router (als de poortverwijzingen zijn gemaakt in de router). Je kunt er ook voor kiezen om een CNAME aan te maken en deze te verwijzen naar de DDNS hostnaam (b.v. mijnnas.synology.me) van de Synology DDNS.

CSR.PNG

Het certificaat kun je aanvragen/aanmaken op de DiskStation onder Beveiliging --> Certificaat Hierin vul je de benodigde gegevens in, zoals de host-naam (nas.mijndomein.nl), land, woonplaats. De DiskStation zal dan een CSR (Certificate Signing Request) aanmaken en een persoonlijk sleutel. Bewaar de sleutel goed en veilig.

De CSR moet je uploaden naar de website waar je het certificaat koopt. Er wordt dan meestal een e-mail gestuurd naar het postmaster adres van de domein. (postmaster@mijndomein.nl) te validatie. Als dit allemaal goed is gegaan kun je het certificaat en een intermediair certificaat (CA) downloaden. De persoonlijke sleutel, certificaat en Intermediair certificaat  moet je uploaden via de knop Certificaat importeren onder Beveiliging.

Het zijn redelijk wat handelingen die je moet doen. Shadowfax ICT kan u daar altijd mee ondersteunen. Ik kan domeinnamen en certificaten aanvragen en voor u beheren. Neem vrijblijvend contact op via de e-mail.

Door: Wilko van Faassen

2

2014-04-12-heartbleed.pngAfgelopen week was is bekend geworden dat er een probleem zit in de software van OpenSSL. Dit is een stuk software wat op veel website voor de SSL (HTTPS) beveiliging verzorgd. Bij de meeste mensen beter bekend als het slotje in je browser.

De media heeft hier (terecht) veel aandacht aan besteed.

Diefstal wachtwoorden mogelijk door beveiligingslek in OpenSSL

Beveiligde website met slotje blijkt niet zo veilig

 OpenSSL in Synology software

Synology maakt ook gebruik van OpenSSL in DSM en is hierdoor ook kwetsbaar. Er is ondertussen een update voor DSM 5.0 uit gebracht. Het dringende advies is ook om deze z.s.m. te installeren.

Advies van Synology:

  • Update naar DSM 5.0-4458 Update 2
    Configuratie scherm - Bijwerken en herstellen
  • Vervang de certificaten
    Configuratie scherm - Beveiliging - Certificaat en maak een nieuw certificaat aan of vraag een nieuwe aan bij uw certificaat leverancier en installeer deze.
  • Als voorzorgsmaatregel, verander je wachtwoorden.
    Er zijn geen aanwijzigen dat de dat deze bug gebruikt is om data te benaderen.

De DiskStations beheerd door Shadowfax ICT zijn voorzien van de laatste updates en een nieuw certificaat is aangevraagd.

Voor ondersteuning kunt u contact opnemen met Shadowfax ICT

Door: Wilko van faassen

 

2014-02-14-19788479_s.jpgSynology heeft vandaag een nieuwe update uitgegeven voor DSM 4.3. Hierin zit o.a. een oplossing voor het probleem met de Bitcoin-miner die sommige Synology DiskStations hebben overgenomen. Zie voor meer informatie de blog van 11 februari. Als je last hebt van de Bitcoin miner wordt het door Synology aangeraden om DSM opnieuw te installeren. Zie hiervoor de instructie op de site van Synology. Mocht je ondersteuning nodig hebben kunt u altijd contact opnemen met Shadowfax ICT.

Verder zit er ook een belangrijke wijziging voor QuickConnect en Push-berichten (waarschuwingen op de mobiel).

Het word dus sterk aangeraden om deze update z.s.m. te installeren.Voor update instructies zie de blog van 11 februari.

Overige verbeteringen:

  • Betere ondersteuning voor SMB (netwerkverbindingen) en MAC OS X 10.9 (Mavericks)
  • Beter geheugen gebruik als je SFTP gebruikt.

Door: Wilko van faassen

Update 20:05 i.v.m. persbericht Synology 

 

2

2014-02-11-Bitcoin.svg.pngEr gaan de laatste dagen een aantal verhalen rond over Synology DiskStations die erg traag worden. Dit blijkt te komen om dat ze 'besmet' zijn met een bitcoin-miner. De NAS wordt dan gebruikt om bitcoins aan te maken voor de 'hackers'. Via Broncontrole is niet te zien dat de processor wordt misbruikt. Synology is bezig om dit te onderzoeken.

Het lijkt alleen voor te komen bij niet (op tijd) geüpdate machines.

De Systemen van Shadowfax ICT waren allemaal up-to-date. Ze zijn vandaag ook allemaal bekeken en ze zijn niet besmet.

 

Hieronder een volgt een uitleg over het updaten van uw eigen Synology DiskStation en checken op een besmetting. u kunt altijd contact opnemen met Shadowfax ICT voor hulp.

Updaten

Log in op de webpagina van uw Synology en ga naar Configuratiescherm > DSM bijwerken. Er wordt nu automatisch gekeken naar de laatste versie van DSM (aleen bij de laatste versies DSM). U kunt hier ook de update uitvoeren. U kunt ook de de laatst updates downloaden via het Downloadcenter van Synology. Het is altijd verstandig om voor de update een backup te maken.

2014-02-11-4.3-3810 update 4.PNG

 

De laatste updates zijn voor:

4.3          4.3-3810 Update 4 4.3-3827 Is uit op 14 februari

4.2          4.2-3243

4.0          4.0-2259

3.1          3.1-1638

Als u al besmet bent zal een update dit niet oplossen.  Synology heeft een update uitgegeven die de besmetting opschoont

Check besmetting

Bekijken of uw Synology is besmet met een Bitcoin-miner in wat technischer, ik zal dit dan summier beschrijven.

  • Set SSH aan in Terminal in het Configuratiescherm
  • Maak connectie via SSH (b.v. Putty voor Windows of Terminal voor MAC.)
  • Login me de user Root en het Admin wachtwoord.
  • Voer het commando TOP uit
  • kijk of er processen veel CPU gebruiken, die heten PWNEDm
  • Kijk of er een map PWNED is aangemaakt op de root.

Zie de volgende links voor meer informatie en over het opschonen:

http://forum.synology.com/enu/viewtopic.php?f=19&t=80857

http://thesbsguy.com/?p=244

 Door: Wilko van Faassen