DIGIT ISIO STC+ und Synology NAS mit DSM 7.0

Anzeige

doch, gib Dein NAS und den Router nicht für den Zugriff aus dem Internet frei. Problem gelöst.

 

Lustiger Vorschlag, kann aber wohl nicht ernst gemeint sein.
Ich soll also den externen Zugriff auf mein NAS mit aktueller HW und SW sperren, damit ein Technisat Receiver mit veraltetem, unsicherem SMB1 Protokoll intern auf das NAS aufzeichnen kann?

 

Was für eine Gefahr soll denn konkret von einem Technisat-Receiver ausgehen? Du kannst nichts installieren - auch niemand von außen kann das. Schadsoftware auf einem Technisat-Receiver ist praktisch ausgeschlossen. Auch die eigene Internet-Aktivität kann man nicht mit der auf einem Smartphone oder PC vergleichen, auch wegen der alten Browser-Version. Da kann man kaum von ,unsicher' sprechen.

 

Einen Tod musst Du sterben. Entweder abriegeln oder nicht auf dem NAS aufzeichnen.

 

Die Gefahr besteht für das Gesamtsystem (Router, PC, NAS), wenn das SMB1/CIFS Protokoll für die Kommunikation im Heimnetz aktiviert werden muss, um das NAS als DVR nutzen zu können.

Welche Gefahren das sind, ist seit vielen Jahren bekannt und unumstritten, hier dazu einige Veröffentlichungen:

PC Welt:
SMB1: Veraltetes Protokoll
Wannacry verschlüsselt Benutzerdateien unter Windows und fordert anschließend Lösegeld.

SMB steht für Server Message Block. Es handelt sich in der Version 1 um ein rund 30 Jahre altes Netzwerkprotokoll, das den Kern von Microsofts LAN-Manager ausmacht und für Datei- und Druckerfreigaben zuständig ist. Allerdings gilt SMB1 als veraltet und unsicher. Im Jahr 2017 konnte sich der Schädling Wannacry über eine Sicherheitslücke in SMB1 fast ungehindert in vielen Netzwerken verbreiten und die Daten von befallenen PCs verschlüsseln. Anschließend forderte Wannacry ein hohes Lösegeld. Die Sicherheitslücke hatte Microsoft mit dem Update MS17-010 bereits im März 2017 geschlossen. Dennoch stand SMB1 nach diesem Vorfall auf der Streichliste von Microsoft. Windows war schon seit Jahren nicht mehr auf SMB1 angewiesen, da es mit Windows Vista auf SMB2 und mit Windows 8 auf SMB3 setzt. Mit der Version Windows 10 1709 hat Microsoft dann SMB1 bei einer Windows Neuinstallation deaktiviert.

Microsoft:
SMB1 isn’t safe

When you use SMB1, you lose key protections offered by later SMB protocol versions:

Pre-authentication Integrity (SMB 3.1.1+). Protects against security downgrade attacks.
Secure Dialect Negotiation (SMB 3.0, 3.02). Protects against security downgrade attacks.
Encryption (SMB 3.0+). Prevents inspection of data on the wire, MiTM attacks. In SMB 3.1.1 encryption performance is even better than signing!
Insecure guest auth blocking (SMB 3.0+ on Windows 10+) . Protects against MiTM attacks.
Better message signing (SMB 2.02+). HMAC SHA-256 replaces MD5 as the hashing algorithm in SMB 2.02, SMB 2.1 and AES-CMAC replaces that in SMB 3.0+. Signing performance increases in SMB2 and 3.


US-CERT:
SMB Security Best Practices
Original release date: January 16, 2017 | Last revised: March 16, 2017

In response to public reporting of a potential Server Message Block (SMB) vulnerability, US-CERT is providing known best practices related to SMB. This service is universally available for Windows systems, and legacy versions of SMB protocols could allow a remote attacker to obtain sensitive information from affected systems.

US-CERT recommends that users and administrators consider:

disabling SMBv1 and
blocking all versions of SMB at the network boundary by blocking TCP port 445 with related protocols on UDP ports 137-138 and TCP port 139, for all boundary devices.

Wikipedia:
Sicherheit
Die auch in aktuellen Versionen von Windows noch enthaltene Implementierung des SMB-Protokolls in Version 1.0 ist anfällig für kritische Sicherheitslücken. Diese Protokollversion wird auch inhaltlich aufgrund ihrer 30 Jahre alten Architektur als Risikofaktor eingestuft.
Beispielsweise basierte der Cyber-Angriff mit der Ransomware WannaCry im Mai 2017 auf einer solchen Sicherheitslücke.

Auch Apple deaktivierte SMB 1.0 standardmäßig mit der Einführung von macOS Catalina im Oktober 2019.

Zusammenfassung:
Das Technisat diese seit Jahren bestehende und von niemandem bestrittene Sicherheits Schwachstelle ignoriert und nicht auf ein aktuelles SMB-Protokoll wie SMB2 oder SMB3 umstellt, ist mir unbegreiflich. Wir sprechen hier doch nicht von einem Fernost Billigheimer, sondern von einer gestandenen deutschen Firma mit gewissen Ansprüchen.

Wenn Technisat es nicht hinbekommt, den vorhandenen Internet Anschluss ohne Sicherheitsrisiken für ein NAS als DVR nutzen zu können, dann sollten sie die betroffenen Geräte vom Markt nehmen, weil sie nicht mehr Stand der Technik sind.

 

Wieviel Käufer eines Technisat betreiben den Receiver an einem NAS!

 

Gibt es eigentlich eine Testmöglichkeit wie man herausbekommen kann ob die eigene Technik angreifbar ist?

Ich habe hier etliche WD NAS die ich als Backup nutze.
Ich will jetzt mal einen Rasperry Pi nutzen um die SMB1 Laufwerke auf SMB2/3 am Rechner zu betreiben. Ob das überhaupt funktioniert würde ich gern auch testen können.

 

Diverse Tests:
Penetrationstest: So hacken Sie sich selbst

 

Das mit der Sicherheit bezieht sich doch auf Microsoft und dessen immer Hacker anfälliges Windows von Linux ist z.b. nicht die Rede .

Wenn du Richtig gelesen hättest ?
Weiter oben schreibe ich,
das es mit SMB2 beim Zugriff auf eine Ext. NAS keine Probleme gibt das Problem tritt nur auf, wenn man die NAS HDD als PVR LW nutzt fliegt die PVR Freigabe wieder raus !

Oder man versucht das ganze mit einem USB Lan Adapter,
der SMB 2 unterstützen sollte , muss man den Hersteller fragen.
Das wird im Technisat ja dann als USB behandelt.

 

Naja so anfällig ist Windows nun auch nicht mehr.

Nein, als LAN.
Timeshift wird damit aber garantiert nicht Fehlerfrei laufen.