Nama pengguna login konsol QNAP QSW-L3208-2C6T switch

Saya memiliki switch QSW-L3208-2C6T yang menjalankan firmware terbaru versi 2.1.0. Switch ini diklasifikasikan oleh QNAP sebagai switch “managed lite”. Switch ini memang memiliki antarmuka web. Tidak ada pengaturan di antarmuka web untuk mengaktifkan konsol atau mengatur kredensial konsol. Tidak ada juga pengaturan di antarmuka web untuk mengaktifkan SSH atau mengatur kredensial SSH. SSH ke port 22 gagal dengan pesan “Connection refused”.

Saya perlu mengakses command line.

Saya sudah menghubungkan kabel USB-to-serial ke port konsol di switch. Saya telah mengatur kecepatan 115200 baud dan saat saya login, saya diminta Username:. Saya memasukkan “admin” yang merupakan nama login yang saya gunakan untuk Web GUI. Konsol langsung menampilkan “Incorrect User Name!!”. Saya sudah mencoba menggunakan “enable”, saya sudah mencoba menggunakan QNAP Cloud Key (sebagai username). Tidak pernah meminta password.

Saya sudah melakukan backup konfigurasi switch saya, akan saya tempel di bawah. Tidak ada petunjuk juga di sana.

Tujuan akhirnya, saya ingin login ke switch untuk menonaktifkan cipher SSL yang lemah.

Apa nama user login konsolnya? Apakah ada cara alternatif untuk menonaktifkan cipher SSL yang lemah?

Konfigurasi switch:

SYSTEM CONFIG FILE ::= BEGIN
! System Description: QNAP GSW-L3208-2C6T Switch
! System Version: v2.1.0
! System Name: QSW-L3208-2C6T
! System Up Time: 0 days, 0 hours, 0 mins, 1 secs
! System Model Name: QSW-L3208-2C6T
lag load-balance src-dst-mac-ip
lacp system-priority 32768
jumbo-frame
jumbo-frame-size
system name “QSW-L3208-2C6T”
burnin “28800”
ip address 192.168.1.207 mask 255.255.255.0
ip default-gateway 192.168.1.xxx
no ip dhcp
ip dns lookup
ip dns 192.168.1.xxx
clock source sntp
sntp host pool.ntp.org port 123
clock timezone “” -6 minutes 0
clock web tzindex 9
username “admin” secret encrypted <snip_x>
enable secret “<snip_y>”
vlan default-vlan 1
vlan 2
!
!
loop-prevention
no ip igmp snooping
no ip igmp snooping report-suppression
ip igmp snooping forward-method dip
ip igmp snooping unknown-multicast action flood
ip igmp snooping version 2
ip igmp snooping vlan 1 robustness-variable 2
ip igmp snooping vlan 1 response-time 10
ip igmp snooping vlan 1 query-interval 125
ip igmp snooping vlan 1 last-member-query-interval 1
ip igmp snooping vlan 1 last-member-query-count 2
ip igmp snooping vlan 1
no ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 1 router learn pim-dvmrp
ip igmp snooping vlan 1 static-router-port 10gi1,10gi3-8
no ip http
ip https tls 2
ip https
ip http session-timeout 15
ip https session-timeout 15
!
qos
qos queue strict-priority-num 0
qos map cos-queue 0 to 1
qos map cos-queue 1 to 2
logging
!
no custom
custom fan mode “normal”
custom active devive 1
interface lag1
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface lag2
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface lag3
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface lag4
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi1
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 tagged
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi2
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi3
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi4
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi5
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi6
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi7
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
no shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi8
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
no shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
line console
history 128
password-thresh 0
line telnet
history 128
password-thresh 0
!
mac address-table aging-time 300

!

Saya belum pernah menggunakan port konsol pada switch QNAP saya jadi saya tidak bisa membantu soal itu. Saya sarankan Anda coba menghubungi helpdesk QNAP untuk melihat apakah mereka bisa memberikan info lebih lanjut. Anda juga bisa mencoba menggunakan alamat MAC perangkat sebagai password tanpa : atau -

Kadang mereka menggunakan MAC ID tersebut sebagai password. Anda juga bisa mencoba root sebagai user ID jika admin ID hanya digunakan untuk GUI.

Semoga berhasil, semoga dukungan teknis bisa membantu Anda.

Berdasarkan pengalaman saya, switch managed “Lite” biasanya hanya memiliki antarmuka web. Mungkin saja ada pintu belakang ke CLI, jadi sebaiknya ajukan tiket dan lihat apakah itu tersedia.

Ya, QNAP sudah membalas dan mengatakan bahwa Managed Lite berarti hanya antarmuka web saja. Saya sudah mengirimkan hasil pemindaian kerentanan saya kepada mereka dan mereka bilang akan melaporkannya ke tim keamanan. Jadi, sepertinya masuk ke lubang hitam saja.

Sejujurnya, jika Anda sangat khawatir tentang keamanan, saya sarankan untuk mengeluarkan uang dan membeli switch yang sepenuhnya dikelola (fully managed switch).

Ya, saya tahu itu selalu menjadi opsi. Saya tidak ingin kebisingan atau harga dari switch 10GbE fully managed, itulah sebabnya saya membeli yang ini. Saya keliru berasumsi mereka sudah memperbaiki kerentanan berusia 10 tahun hanya dengan memperbarui cipher SSL agar tidak menggunakan DES dan 3DES seperti semua produk QNAP lainnya. Saya punya 2 NAS QNAP dan keduanya tidak rentan terhadap SWEET32. Dari semua perangkat IoT lama yang saya miliki di rumah, tidak ada satupun yang rentan terhadap SWEET32 juga. Ini hal dasar banget.

sudah mencoba alamat MAC (tanpa karakter khusus), mencoba QNAP Cloud ID, root, admin, enable, user, RTK (ini berbasis pada papan switch realtek 9300). saya reboot dengan kabel serial terhubung dan melihat semua pesan booting bergulir, ini memang berbasis Realtek 9300. beberapa switch memiliki fitur “tekan N dalam 3 detik berikutnya…” saat boot untuk mengonfigurasi beberapa hal tingkat rendah, tapi yang ini tidak ada. Saya sudah mengelola banyak switch layer 3 di lingkungan enterprise jadi saya tahu apa yang saya lakukan. Bagaimanapun, QNAP mengatakan itu tidak mungkin, bahkan agen dukungan mereka tidak tahu caranya, ini hanya untuk debug tingkat pengembang. Mereka mengirimkan kekhawatiran saya ke tim keamanan mereka, dan saya meminta solusi untuk menonaktifkan cipher SSL lemah dengan cara tertentu, mungkin dengan mencadangkan file konfigurasi, mengeditnya (ini cleartext - mirip dengan Cisco lama), dan “restore”.

Hanya ingin menambahkan sedikit informasi lagi tentang alasan saya ingin menonaktifkan cipher SSL yang lemah—karena switch ini rentan terhadap SWEET32.

Saya telah menjalankan pemindaian keamanan terhadapnya dan menemukan bahwa perangkat ini menggunakan suite cipher TLS/SSL yang lemah pada HTTPS. Ini adalah masalah SWEET32, yang diklasifikasikan sebagai “Tinggi” - CVSS 7.5.

Suite cipher ‘rentan’ yang terdeteksi oleh layanan ini melalui protokol TLSv1.2:

TLS_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)

TLS_RSA_WITH_DES_CBC_SHA (SWEET32)

Oleh karena itu, saya ingin menonaktifkan suite cipher yang lemah ini untuk melindungi dari kerentanan tersebut. Tidak ada layar di Web UI untuk melakukan itu. Dan tidak ada cara untuk masuk ke konsol.

Jadi, apakah switch ini ada di LAN Anda? Bukankah router Anda sudah diperkuat untuk melindungi dari hal-hal seperti itu? Apakah Anda memiliki lingkungan yang sangat berbahaya di LAN Anda?

Ini hanya hobi. Sama seperti banyak orang lainnya. Saya tidak sebodoh itu sampai tidak mengerti apa yang terjadi di jaringan saya. Dan ya, saya punya router berbasis OPNsense yang saya buat sendiri dari mini PC. Router itu punya firewall yang saya atur secara khusus. Sama seperti PiHole saya di raspberry pi dan OpenVAS untuk pemindaian keamanan di rPi lain. Saya tahu apa yang saya lakukan. Terima kasih.

Apakah saya menganggap lingkungan saya berbahaya? Yah, saya punya banyak perangkat IoT, kamera, lampu, saklar, dan lain-lain, yang buatan luar negeri dan memang memiliki kerentanan keamanan. Bisa saja ada reverse-SSH di port ephemeral bernomor tinggi atau entah celah keamanan siber canggih lainnya di perangkat-perangkat kecil ini. Saya menikmatinya dan lebih memilih untuk berhati-hati. Saya memindai semua perangkat baru saya dan jika ditemukan kerentanan, dan vendor tidak bisa menyelesaikannya, saya kembalikan barangnya. Sesederhana itu. Saya baru saja membeli saklar ini.

Saya tertarik pada saran untuk mencapai apa yang saya jelaskan. Bukan untuk mempertanyakan diri saya. Saya cukup terdidik, berpengetahuan, dan tegas. Terima kasih.

Wow. Aku tidak bermaksud menyinggungmu, tapi aku mengerti apa yang sedang kamu coba lakukan. Tidak perlu terlalu sensitif soal ini. Lakukan saja apa yang menurutmu benar.

produk merek QNAP tidak dirancang untuk keamanan, hanya untuk orang-orang yang tenang

Saya tidak yakin Anda memiliki pengetahuan atau keterampilan yang diperlukan untuk memberikan komentar yang berinformasi tentang topik ini.

Saya memiliki 2 QNAP NAS yang tidak rentan terhadap SWEET32. Faktanya, mereka hanya memiliki kerentanan dengan skor CVSS 2.5 (Rendah) dan lebih rendah. QNAP memang merilis pembaruan untuk mengatasi masalah keamanan. QNAP juga memiliki fitur bawaan di NAS untuk keamanan seperti QuFirewall, QVPN, service port binding, dan lainnya.

Saya berharap switch mereka memang memiliki fitur yang lebih sedikit, tetapi tetap tidak memiliki kerentanan berusia 10 tahun yang tidak dimiliki perangkat lain.

Komentar Anda benar-benar tidak berguna dan tidak menginspirasi. Saya tidak tahu mengapa Anda bahkan meninggalkannya.

Hai @k00s02
Terima kasih banyak atas masukan berharga Anda dan telah meluangkan waktu untuk membagikan hasil pemindaian keamanan kepada kami.

Kami menghargai penjelasan detail Anda mengenai kerentanan SWEET32 dan suite sandi lemah yang saat ini diaktifkan. Berdasarkan masukan Anda, kami akan menghapus suite sandi TLS/SSL yang “rentan” tersebut pada rilis firmware mendatang untuk meningkatkan keamanan secara keseluruhan.

Sekali lagi terima kasih atas saran yang sangat membantu. Masukan Anda sangat kami hargai.

hebat, terima kasih!