Synology-Forum.nl
Overige software => FTP, NFS and Samba Server => Topic gestart door: stapper op 14 oktober 2021, 08:46:14
-
Hallo,
Ik heb NFS rechten gegeven op een share aan Kodi, waarvan ik er 2 heb draaien, 1 op mijn pc, en 1 op mijn tv.
Dat deed ik dmv het "joker teken *"
Nu gaf die security advisor aan, dat die dat niet zo slim vind.
De vragen:
Wat voor risico loop ik dan, want die kodi is extern niet bereikbaar.
Als ik dat wil oplossen, dan zet ik daar dus ipv dat joker teken de ip nummers neer van de beide kodi's?
En hoe geef ik dat aan? ( ipnummer/komma/spatie/ipnummer?)
bvd
-
Er is geen risico waar je van wakker moet liggen. Enkel op je eigen LAN wil dit zeggen dat alle toestellen een NFS-mount zouden kunnen maken naar die bepaalde plek, meer is het niet.
Normaal dat zo'n security-advisor dat even komt te zeggen,maar meer ook niet.
-
Met een joker teken heeft iedereen toegang. In principe ook van buiten je lan, als de router dat niet tegenhoud.
In principe is het altijd fout om universele toegang te geven. Geef het netwerk segment van je lan op, of beter, maar per apparaat een regel met alleen dat specifieke IP
En hoe geef ik dat aan?
?? dat staat toch in het dialoog zelf?
-
Er is geen risico waar je van wakker moet liggen. Enkel op je eigen LAN …
Ook de lan moet je beveiligen als je kunt. Denk maar aan de Ethernal Blue exploit (https://en.wikipedia.org/wiki/EternalBlue). Dat begon met een phishig mailje of hack om binnen de lan te komen. Eenmaal binnen werd alle apparaten in de hele lan van een bedrijf gecompromiteerd vanwege een kwetsbaarheid in SMB. En als locaties via vpn tot één groot lan omgevormd waren, waren dan ook meerdere locaties van een onderneming besmet.
NFS heeft niet eens een kwetsbaarheid nodig om binnen te komen omdat geen wachtwoorden gebruikt worden. Als je alle apparaten toegang geeft, is alles op die share direct toegankelijk voor b.v. ransomeware.
-
Je gaat hier wel wat kort door de bocht.
EthernalBlue = Microsoft exploit mbt SMB en dat heeft weer niks met NFS te maken.
NFS mounts is iets typisch voor Linux systemen en menig mediaplayers (=Linux machientjes)
Het zou gek zijn dat je op een Windows machine speciaal NFS-libraries gaat zetten om toch maar via NFS te gaan werken.
-
Hoezo te kort door de bocht. Als je mijn reactie echt gelezen had dan wist je dat beide juist wel met elkaar ke maken hadden.
Bij SMB kreeg men toegang vanwege een bug in SMB1. Als je NFS open zet voor de hele lan is er niet eens een bug nodig voor een vergelijkbare aanval. De kwetsbaarheid van de share is dan gelijk als bij de ongepatchte SMB1.
De kern van mijn statement is vooral dat malware op één device ook binnen een lan kan huishouden.
Ook al is de kans klein om misbruik, ik zou nooit risico nemen en alles onnodig open zetten op de lan.
-
NFS kom je eigenlijk niet tegen in (thuis) Microsoft omgevingen.
EthernalBlue IS exclusief een "SMB(v1)" gegeven.
Er bestaan zeer zeker "ransomwares" die op Linux kunnen uitgevoerd worden, maar toch een pak minder als dat je op M$ zal zien verschijnen.
Er "KAN" zoveel, natuurlijk kan een ransomware op 1 device binnnen een LAN lelijk huishouden, maar het is allemaal niet zo zwart wit.
Ik heb sommige NFS mounts in readonly, andere readwrite.
(ik gebruik al > 10 jaar zelf geen "Windows" meer op m'n thuisPC's)
Dus soit, voor de topicstarter, van mij mag je gerust IP'tjes in de NFS-acl zetten (vb enkel het IP van je mediaplayer) als je je daar veiliger zou bij voelen.
Je kan eindeloos blijven leuteren of dit soort dingen, iedereen moet gewoon doen wat hij denkt dat het beste voor hem is in de gegeven situatie.
-
Je kunt ook 2 of meer aparte ip adressen opgeven
-
Ik heb geen idee of die router dat tegen houd....
Nooit echt in verdiept...
Nieuwe syno router besteld, omdat het ding van ziggo niet bevalt wat betreft de opties, en omdat ik wil leren om daar meer controle over te krijgen..
Ik zat ff te zien, bij die NFS machtigingen...
Ik heb daar dus 1 regel staan waarvan ik dus die cliënt heb benoemd dmv het joker teken...
Komt er dus op neer dat ik dat joker teken vervang voor het ip nummer van 1 van die kodi's, en dan een nieuwe regel maak met hetzelfde verhaal, en dan daar dat ip van die andere kodi in?
Ik heb al even opgezocht hoe ik dat kan achterhalen....
Ik heb er verder niet veel kijk op in dit geval, maar dicht is dicht.
Zal morgen ff zien, of dat dan werkt.
thanks folks.
-
@stapper
Komt er dus op neer dat ik dat joker teken vervang voor het ip nummer van 1 van die kodi's, en dan een nieuwe regel maak met hetzelfde verhaal, en dan daar dat ip van die andere kodi in?
Correct
-
okidoki ;)
-
Done ;)
Kodi werkt op beide devices.. en security advisor is ook weer happy en groen :P
Better safe then sorry...
Thanks folks.