{"id":215918,"date":"2019-03-22T00:49:00","date_gmt":"2019-03-21T23:49:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=215918"},"modified":"2019-03-22T18:44:14","modified_gmt":"2019-03-22T17:44:14","slug":"synology-nas-freigabe-ohne-zugangsdaten-erreichbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/22\/synology-nas-freigabe-ohne-zugangsdaten-erreichbar\/","title":{"rendered":"Synology NAS: Freigabe ohne Zugangsdaten erreichbar?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Noch eine Beobachtung, die mir Blog-Leser Michael T. per Mail zukommen lie\u00df. Es geht um ein NAS-System der Firma Synology. Michael ist aufgefallen, dass die Freigaben ohne Zugangsdaten (er benutzt das K\u00fcrzel ZGD im Text) erreichbar sind.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/86013ddf90a6423f9d629fc3ed60b8e2\" alt=\"\" width=\"1\" height=\"1\" \/>Michael schrieb in seiner Mail: Mir ist gestern durch Zufall etwas aufgefallen. Ich nutze ein NAS der Firma Synology (gepatched auf aktuellen Stand).<\/p>\n<blockquote><p>Dort habe ich eine Freigabe erstellt die nur von einem Benutzer aufgerufen werden darf und gesehen werden kann. Wenn ich \u00fcber meine Windows Maschine die Freigabe in Explorer aufrufe erscheint wie gewollt die Abfrage nach den Zugangsdaten. Das klappt auch ohne Probleme!<\/p>\n<p>Nun hatte das Ding als Zwischenspeicher genutzt um ein Zertifikat auf meine Clients zu verteilen. \u00dcber die MMC wollte ich das gew\u00fcnschte Zertifikat einf\u00fcgen und habe auf durchsuchen geklickt, um den Pfad einzugeben.<\/p><\/blockquote>\n<blockquote><p>Dort wurde mir direkt mal die Freigabe angezeigt! Eigentlich habe ich dem User \"Jeder\" die Rechte genommen und lesen \/schreiben\/\u00e4ndern auf forbidden gesetzt. Ergo fragt jeder Client im Explorer wie erw\u00e4hnt nach den Zugangsdaten (ZGD), bevor \u00fcberhaupt der Name der Freigabe angezeigt wird.<\/p>\n<p>Kurios wurde es aber dann als ich die Freigabe ge\u00f6ffnet hatte und alle darauf gespeicherten Daten einsehen konnte!<\/p>\n<p>Somit habe ich die M\u00f6glichkeit aus der passwort-gesch\u00fctzten Freigabe meine Daten mit dem \"mini\" Explorer (wei\u00df gerade nicht wie ich es besser beschreiben kann) auf meinen Client lokal zu kopieren ohne die ZGD einzugeben.<\/p><\/blockquote>\n<p>Erst dachte Michael, dass diese Daten noch gecached sind, weil er vom Client eventuell mal die Freigabe aufgerufen hatte. Aber das kann man laut seiner Aussage nun verwerfen! Dazu schreibt Michael:<\/p>\n<blockquote><p>Ich habe einen neuen Client virtualisiert und dort ging es ebenfalls.\u00a0 Nat\u00fcrlich hat der User mit Rechten auf dem NAS ein anderes Kennwort \/Anmeldename als der User auf dem Client. Also ist es nicht m\u00f6glich das der User \"zuf\u00e4llig\" die Freigabe \u00f6ffnen konnte.<\/p><\/blockquote>\n<p>Michael fragt: Ist dieser Fehler bereits bekannt und ich habe es nur \u00fcberlesen? Mir selbst ist da nichts bekannt \u2013 ich habe aber auch kein Synology-NAS. Kann jemand von Euch etwas mit der Beobachtung anfangen und das best\u00e4tigen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch eine Beobachtung, die mir Blog-Leser Michael T. per Mail zukommen lie\u00df. Es geht um ein NAS-System der Firma Synology. Michael ist aufgefallen, dass die Freigaben ohne Zugangsdaten (er benutzt das K\u00fcrzel ZGD im Text) erreichbar sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[930,4328],"class_list":["post-215918","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-nas","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=215918"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215918\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=215918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=215918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=215918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}