QNAP QSW-L3208-2C6T Switch Konsolen-Login Benutzername

Englisch Vernetzung
1

Ich habe einen QSW-L3208-2C6T Switch mit der neuesten Firmware-Version 2.1.0. QNAP klassifiziert ihn als „Managed Lite“-Switch. Er verfügt über eine Web-Oberfläche. In der Web-Oberfläche gibt es jedoch keine Einstellungen, um die Konsole zu aktivieren oder Konsolen-Zugangsdaten zu setzen. Ebenso gibt es keine Einstellungen, um SSH zu aktivieren oder SSH-Zugangsdaten zu setzen. Ein Verbindungsversuch per SSH auf Port 22 schlägt mit „Connection refused“ fehl.

Ich muss auf die Kommandozeile zugreifen.

Ich habe ein USB-zu-Seriell-Kabel mit dem Konsolenport des Switches verbunden. Die Baudrate ist auf 115200 eingestellt und beim Login werde ich nach einem Benutzernamen gefragt. Ich gebe „admin“ ein, das ist der Benutzername, den ich auch für das Web-GUI verwende. Die Konsole gibt sofort „Incorrect User Name!!“ aus. Ich habe es mit „enable“ versucht, ebenso mit meinem QNAP Cloud Key (als Benutzername). Es wird nie nach einem Passwort gefragt.

Ich habe ein Backup meiner Switch-Konfiguration gemacht und füge es unten ein. Auch dort finde ich keinen Hinweis.

Letztendlich möchte ich mich am Switch anmelden, um schwache SSL-Chiffren zu deaktivieren.

Wie lautet der Konsolen-Benutzername? Gibt es eine alternative Möglichkeit, schwache SSL-Chiffren zu deaktivieren?

Switch-Konfiguration:

SYSTEM CONFIG FILE ::= BEGIN
! System Description: QNAP GSW-L3208-2C6T Switch
! System Version: v2.1.0
! System Name: QSW-L3208-2C6T
! System Up Time: 0 days, 0 hours, 0 mins, 1 secs
! System Model Name: QSW-L3208-2C6T
lag load-balance src-dst-mac-ip
lacp system-priority 32768
jumbo-frame
jumbo-frame-size
system name “QSW-L3208-2C6T”
burnin “28800”
ip address 192.168.1.207 mask 255.255.255.0
ip default-gateway 192.168.1.xxx
no ip dhcp
ip dns lookup
ip dns 192.168.1.xxx
clock source sntp
sntp host pool.ntp.org port 123
clock timezone “” -6 minutes 0
clock web tzindex 9
username “admin” secret encrypted <snip_x>
enable secret “<snip_y>”
vlan default-vlan 1
vlan 2
!
!
loop-prevention
no ip igmp snooping
no ip igmp snooping report-suppression
ip igmp snooping forward-method dip
ip igmp snooping unknown-multicast action flood
ip igmp snooping version 2
ip igmp snooping vlan 1 robustness-variable 2
ip igmp snooping vlan 1 response-time 10
ip igmp snooping vlan 1 query-interval 125
ip igmp snooping vlan 1 last-member-query-interval 1
ip igmp snooping vlan 1 last-member-query-count 2
ip igmp snooping vlan 1
no ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 1 router learn pim-dvmrp
ip igmp snooping vlan 1 static-router-port 10gi1,10gi3-8
no ip http
ip https tls 2
ip https
ip http session-timeout 15
ip https session-timeout 15
!
qos
qos queue strict-priority-num 0
qos map cos-queue 0 to 1
qos map cos-queue 1 to 2
logging
!
no custom
custom fan mode “normal”
custom active devive 1
interface lag1
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface lag2
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface lag3
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface lag4
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi1
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 tagged
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi2
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi3
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi4
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi5
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi6
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi7
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
no shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi8
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
no shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
line console
history 128
password-thresh 0
line telnet
history 128
password-thresh 0
!
mac address-table aging-time 300

!

2

Ich habe den Konsolenport an meinen QNAP-Switches noch nie benutzt, daher kann ich dir dabei leider nicht helfen. Ich würde dir empfehlen, den QNAP-Helpdesk zu kontaktieren, um zu sehen, ob sie dir weitere Informationen geben können. Du kannst auch versuchen, die MAC-Adresse des Geräts als Passwort zu verwenden, ohne : oder -.

Manchmal wird diese MAC-ID als Passwort verwendet. Du kannst auch versuchen, root als Benutzer-ID zu verwenden, falls die admin-ID nur für das GUI genutzt wird.

Viel Glück, hoffentlich kann der Support dir weiterhelfen.

3

Meiner Erfahrung nach verfügen „Lite“-Managed Switches nur über eine Weboberfläche. Es kann Hintertüren zu einer CLI geben, daher sollten Sie auf jeden Fall ein Ticket eröffnen und prüfen, ob sie verfügbar ist.

4

Ja, QNAP hat bereits geantwortet und gesagt, dass Managed Lite nur die Weboberfläche bedeutet. Ich habe ihnen meine Ergebnisse des Schwachstellenscans geschickt und sie sagten, sie würden es an das Sicherheitsteam weiterleiten. Also verschwindet es wohl im Nirgendwo.

5

Ehrlich gesagt, wenn dir Sicherheit so wichtig ist, würde ich das Geld investieren und einen vollständig verwalteten Switch kaufen.

6

Ja, ich weiß, das ist immer eine Option. Ich möchte aber weder den Lärm noch den Preis eines voll gemanagten 10GbE-Switches, deshalb habe ich diesen hier gekauft. Ich bin fälschlicherweise davon ausgegangen, dass sie eine zehn Jahre alte Schwachstelle mit einem einfachen Update der SSL-Chiffren behoben hätten, sodass kein DES und 3DES mehr verwendet wird, wie bei jedem anderen QNAP-Produkt. Ich habe zwei QNAP NAS und keines davon ist anfällig für SWEET32. Von all den alten IoT-Geräten, die ich zu Hause habe, ist auch keines für SWEET32 anfällig. Das ist Anfängerzeug.

7

habe die MAC-Adresse (ohne Sonderzeichen) ausprobiert, QNAP Cloud ID, root, admin, enable, user, RTK (es basiert auf einem Realtek 9300 Switch-Board) versucht. Ich habe mit angeschlossenem seriellen Kabel neu gestartet und alle Boot-Meldungen mitverfolgt, es ist definitiv Realtek 9300-basiert. Manche Switches haben beim Booten eine „Drücken Sie N in den nächsten 3 Sekunden…“-Funktion, um einige Low-Level-Einstellungen zu konfigurieren, aber dieser hier nicht. Ich habe viele Layer-3-Switches in einer Enterprise-Umgebung verwaltet, ich weiß also, was ich tue. Jedenfalls sagte QNAP, dass es nicht möglich sei, selbst deren Support-Mitarbeiter wissen nicht, wie das geht, das ist nur für Entwickler-Debugging gedacht. Sie haben mein Anliegen an ihr Sicherheitsteam weitergeleitet und ich habe nach einem Workaround gefragt, um schwache SSL-Chiffren irgendwie zu deaktivieren, eventuell indem man die Konfigurationsdatei sichert, sie bearbeitet (sie ist Klartext – ähnlich wie bei alten Cisco-Geräten) und dann „wiederherstellt“.

8

Ich möchte noch einige Informationen hinzufügen, warum ich schwache SSL-Chiffren deaktivieren möchte – der Grund ist, dass dieser Switch für SWEET32 anfällig ist.

Ich habe einen Sicherheitsscan durchgeführt und festgestellt, dass schwache TLS/SSL-Chiffren mit HTTPS verwendet werden. Dies ist das SWEET32-Problem, eingestuft als „Hoch“ – CVSS 7.5.

Durch diesen Dienst wurden über das TLSv1.2-Protokoll als ‘verwundbar’ erkannte Chiffren:

TLS_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)

TLS_RSA_WITH_DES_CBC_SHA (SWEET32)

Daher möchte ich diese schwachen Chiffren deaktivieren, um diese Schwachstelle zu vermeiden. Es gibt jedoch keinen Bildschirm in der Web-Oberfläche, um dies zu tun. Und es gibt keine Möglichkeit, sich in die Konsole einzuloggen.

9

Ist dieser Switch also in deinem LAN? Wäre dein Router nicht gehärtet, um gegen so etwas zu schützen? Hast du eine besonders gefährliche Umgebung in deinem LAN?

10

Das ist ein Hobby. So wie bei vielen anderen auch. Ich bin nicht so begriffsstutzig, dass ich nicht verstehe, was in meinem Netzwerk vor sich geht. Und ja, ich habe einen OPNsense-basierten Router, den ich selbst aus einem Mini-PC gebaut habe. Darauf läuft eine Firewall, die ich individuell angepasst habe. Genau wie mein PiHole auf dem Raspberry Pi und OpenVAS-Sicherheitsscans auf einem anderen rPi. Ich weiß, was ich tue. Danke.

Halte ich meine Umgebung für gefährlich? Nun, ich habe eine Menge IoT-Geräte, Kameras, Lichter, Schalter usw., die aus dem Ausland stammen und bekannte Sicherheitslücken aufweisen. Es könnte alle möglichen Reverse-SSH-Verbindungen auf einem hohen, flüchtigen Port geben oder sonstige ausgeklügelte Cybersecurity-Schwachstellen auf diesen kleinen Geräten. Es macht mir Spaß und ich bin lieber vorsichtig. Ich scanne alle meine neuen Geräte und wenn sie Schwachstellen aufweisen und der Hersteller diese nicht beheben kann, gebe ich sie zurück. So einfach ist das. Ich habe gerade diesen Switch gekauft.

Ich bin an Vorschlägen interessiert, wie ich das von mir Beschriebene umsetzen kann. Nicht daran, mich selbst infrage zu stellen. Ich bin gut ausgebildet, gut informiert und entschlossen. Danke.

11

Wow. Ich wollte dich nicht beleidigen, sondern nur verstehen, was du versuchst zu tun. Du musst deswegen nicht empfindlich sein. Mach einfach dein Ding.

12

QNAP Markenprodukte sind nicht für die Sicherheit konzipiert, beruhigen aber die Menschen :innocent:

13

Ich bin nicht überzeugt, dass du über das nötige Wissen oder die erforderlichen Fähigkeiten verfügst, um zu diesem Thema eine fundierte Aussage zu treffen.

Ich habe zwei QNAP NAS, die nicht für SWEET32 anfällig sind. Tatsächlich haben sie nur Schwachstellen mit einem CVSS-Score von 2,5 (Niedrig) und darunter. QNAP veröffentlicht tatsächlich Updates, um Sicherheitsprobleme zu beheben. QNAP bietet tatsächlich integrierte Sicherheitsfunktionen auf den NAS wie QuFirewall, QVPN, Service-Port-Bindung und mehr.

Ich würde erwarten, dass ihre Switches weniger funktionsreich sind, aber dennoch keine zehn Jahre alten Schwachstellen aufweisen, die kein anderes Gerät hat.

Dein Kommentar ist völlig nutzlos und uninspiriert. Ich weiß nicht, warum du ihn überhaupt geschrieben hast.

15

Hallo @k00s02
Vielen Dank für Ihr wertvolles Feedback und dafür, dass Sie sich die Zeit genommen haben, uns die Ergebnisse des Sicherheitsscans mitzuteilen.

Wir schätzen Ihre ausführliche Erklärung bezüglich der SWEET32-Sicherheitslücke und der derzeit aktivierten schwachen Cipher Suites sehr. Basierend auf Ihrem Input werden wir diese „verwundbaren“ TLS/SSL Cipher Suites in einer zukünftigen Firmware-Version entfernen, um die allgemeine Sicherheit zu erhöhen.

Nochmals vielen Dank für Ihre hilfreichen Vorschläge. Ihr Feedback wird sehr geschätzt.

16

Super, danke!