QNAP QSW-L3208-2C6Tスイッチのコンソールログインユーザー名

英語 ネットワーキング
1

QSW-L3208-2C6Tスイッチ(最新ファームウェアバージョン2.1.0)を使用しています。QNAPによると「マネージドライト」スイッチに分類されています。Webインターフェースはありますが、コンソールを有効化したり、コンソールの認証情報を設定する項目はWebインターフェース内にありません。SSHやSSH認証情報を有効化・設定する項目もありません。ポート22へのSSH接続は「Connection refused」となります。

コマンドラインにアクセスする必要があります。

USB-シリアルケーブルをスイッチのコンソールポートに接続し、115200ボーで設定しました。ログインすると「Username:」と表示されます。Web GUIで使用している「admin」を入力すると、すぐに「Incorrect User Name!!」と表示されます。「enable」やQNAP Cloud Key(ユーザー名として)も試しましたが、パスワードの入力は一度も求められません。

スイッチの設定をバックアップし、下に貼り付けますが、手がかりは見つかりませんでした。

最終的には、スイッチにログインして弱いSSL暗号を無効化したいです。

コンソールログインのユーザー名は何でしょうか?弱いSSL暗号を無効化する他の方法はありますか?

スイッチ設定:

SYSTEM CONFIG FILE ::= BEGIN
! System Description: QNAP GSW-L3208-2C6T Switch
! System Version: v2.1.0
! System Name: QSW-L3208-2C6T
! System Up Time: 0 days, 0 hours, 0 mins, 1 secs
! System Model Name: QSW-L3208-2C6T
lag load-balance src-dst-mac-ip
lacp system-priority 32768
jumbo-frame
jumbo-frame-size
system name “QSW-L3208-2C6T”
burnin “28800”
ip address 192.168.1.207 mask 255.255.255.0
ip default-gateway 192.168.1.xxx
no ip dhcp
ip dns lookup
ip dns 192.168.1.xxx
clock source sntp
sntp host pool.ntp.org port 123
clock timezone “” -6 minutes 0
clock web tzindex 9
username “admin” secret encrypted <snip_x>
enable secret “<snip_y>”
vlan default-vlan 1
vlan 2
!
!
loop-prevention
no ip igmp snooping
no ip igmp snooping report-suppression
ip igmp snooping forward-method dip
ip igmp snooping unknown-multicast action flood
ip igmp snooping version 2
ip igmp snooping vlan 1 robustness-variable 2
ip igmp snooping vlan 1 response-time 10
ip igmp snooping vlan 1 query-interval 125
ip igmp snooping vlan 1 last-member-query-interval 1
ip igmp snooping vlan 1 last-member-query-count 2
ip igmp snooping vlan 1
no ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 1 router learn pim-dvmrp
ip igmp snooping vlan 1 static-router-port 10gi1,10gi3-8
no ip http
ip https tls 2
ip https
ip http session-timeout 15
ip https session-timeout 15
!
qos
qos queue strict-priority-num 0
qos map cos-queue 0 to 1
qos map cos-queue 1 to 2
logging
!
no custom
custom fan mode “normal”
custom active devive 1
interface lag1
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface lag2
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface lag3
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface lag4
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi1
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 tagged
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi2
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi3
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi4
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi5
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi6
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 2
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
switchport hybrid allowed vlan add 2 untagged
switchport hybrid allowed vlan remove 1
no shutdown
flowcontrol on
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi7
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
no shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
interface 10gi8
lacp port-priority 1
lacp timeout long
no eee
switchport mode hybrid
switchport hybrid pvid 1
switchport hybrid ingress-filtering
switchport hybrid acceptable-frame-type all
no shutdown
flowcontrol off
back-pressure
no protected
qos cos 0
no qos trust
no qos remark cos
no qos remark dscp
no qos remark precedence
no custom
!
line console
history 128
password-thresh 0
line telnet
history 128
password-thresh 0
!
mac address-table aging-time 300

!

2

私はQNAPスイッチのコンソールポートを使ったことがないので、その点についてはお手伝いできません。QNAPのヘルプデスクに問い合わせて、もう少し情報をもらえるか確認することをおすすめします。また、デバイスのMACアドレスを「:」や「-」なしでパスワードとして試すこともできます。

時々、そのMAC IDがパスワードとして使われていることがあります。また、管理画面(GUI)用のadmin IDしか使えない場合は、ユーザーIDにrootを試してみてください。

うまくいくことを願っています。サポートが助けてくれるといいですね。

3

私の経験では、「Lite」マネージドスイッチにはウェブインターフェースしかありません。CLIへのバックドアが存在する場合もあるので、必ずサポートチケットを開いて利用可能か確認してください。

4

はい、QNAPはすでに返答してきて、「Managed Lite」はウェブインターフェースのみを意味すると言われました。脆弱性スキャンの結果を送ったところ、セキュリティチームに報告すると言われました。つまり、結局はブラックホールに消えるようなものですね。

5

正直なところ、そこまでセキュリティを気にするのであれば、お金をかけてフルマネージドスイッチ(fully managed switch)を導入することをおすすめします。

6

そうですね、それが常に選択肢であることは分かっています。私はフルマネージドの10GbEスイッチの騒音や価格が嫌だったので、これを買いました。単純にSSL暗号スイートをDESや3DESを使わないようにアップデートするだけで、10年前の脆弱性が解決されていると思い込んでいました。他のQNAP製品と同じように。私はQNAPのNASを2台持っていますが、どちらもSWEET32の脆弱性はありません。家にある古いIoT機器も、SWEET32に脆弱なものはありません。これは初心者レベルの話です。

7

MACアドレス(特殊文字なし)、QNAP Cloud ID、root、admin、enable、user、RTK(これはRealtek 9300スイッチボードがベースです)を試しました。シリアルケーブルを接続したまま再起動し、すべてのブートメッセージを確認しましたが、間違いなくRealtek 9300ベースです。一部のスイッチには、起動時に「3秒以内にNキーを押して…」のような低レベル設定用の機能がありますが、これはありません。エンタープライズ環境で多くのレイヤー3スイッチを管理してきたので、自分のやっていることは分かっています。とにかく、QNAPは「不可能」と言っており、サポート担当者も方法を知りません。これは開発者レベルのデバッグ用だけとのことです。私の懸念はセキュリティチームに送られ、弱いSSL暗号を何らかの方法で無効化するワークアラウンドを依頼しました。たとえば、設定ファイルをバックアップして編集(プレーンテキストで、昔のCiscoに似ています)、そして「リストア」する方法などです。

8

なぜ弱いSSL暗号を無効にしたいかについて、もう少し情報を追加します。このスイッチはSWEET32にさらされているためです。

セキュリティスキャンを実行したところ、HTTPSで弱いTLS/SSL暗号スイートが使用されていることが判明しました。これは「SWEET32問題」として知られ、重大(CVSS 7.5)に分類されています。

このサービスでTLSv1.2プロトコルを通じて検出された「脆弱な」暗号スイート:

TLS_RSA_WITH_3DES_EDE_CBC_SHA(SWEET32)

TLS_RSA_WITH_DES_CBC_SHA(SWEET32)

したがって、この脆弱性から保護するために、これらの弱い暗号スイートを無効にしたいと考えています。Web UIにはその設定画面がなく、コンソールにログインする方法もありません。

9

このスイッチはあなたのLAN上にあるのですか? そのようなことから守るために、ルーターは堅牢化されていませんか? LAN上に特に危険な環境があるのでしょうか?

10

これは趣味です。多くの人と同じように。自分のネットワークで何が起きているか理解できないほど鈍感ではありません。そして、はい。私は自作のミニPCでOPNsenseベースのルーターを作りました。それにはカスタム設定したファイアウォールが搭載されています。Raspberry Pi上のPiHoleや、別のラズパイで動かしているOpenVASセキュリティスキャンも同様です。自分が何をしているかは分かっています。ありがとうございます。

自分の環境を危険だと考えているか?まあ、IoT機器、カメラ、ライト、スイッチなど、外国製でセキュリティ脆弱性があるものがたくさんあります。これらの小さな機器には、高番ポートでのリバースSSHや、他にもどんな巧妙なサイバーセキュリティ脆弱性が潜んでいるかわかりません。私はそれを楽しんでいますし、慎重であることを好みます。新しい機器はすべてスキャンし、脆弱性が見つかり、ベンダーが解決できない場合は返品します。それだけです。今回もこのスイッチを購入しました。

私が述べたことを達成するための提案に興味があります。私自身を疑問視することではありません。私は十分な教育を受け、情報も持ち、信念もあります。ありがとうございます。

11

わあ。あなたを傷つけるつもりはなかったけど、あなたが何をしようとしているのかは理解しています。そんなに気にしなくて大丈夫ですよ。あなたはあなたらしくいてください。

12

qnapブランド製品はセキュリティを重視して設計されていないため、安心しきった人々向けです :innocent:

13

あなたがこのトピックについて十分な知識やスキルを持って、適切なコメントができるとは思えません。

私は2台のQNAP NASを所有していますが、SWEET32の脆弱性はありません。実際、CVSSスコアが2.5(低)以下の脆弱性しかありません。QNAPは確かにセキュリティ問題に対応するアップデートを提供していますし、NASにはQuFirewall、QVPN、サービスポートバインディングなど、セキュリティのための機能が組み込まれています。

スイッチについては機能が少ないとは思いますが、それでも他のデバイスにはない10年前の脆弱性があるとは考えられません。

あなたのコメントはまったく役に立たず、独創性もありません。なぜそのコメントを残したのか理解できません。

15

こんにちは @k00s02

貴重なご意見と、セキュリティスキャンの結果を共有していただき、誠にありがとうございます。

SWEET32脆弱性および現在有効になっている弱い暗号スイートについての詳細なご説明、感謝いたします。ご指摘いただいた内容をもとに、今後のファームウェアリリースにてこれらの「脆弱な」TLS/SSL暗号スイートを削除し、全体的なセキュリティを強化いたします。

改めまして、役立つご提案をありがとうございました。ご意見に心より感謝申し上げます。

16

素晴らしいです、ありがとうございます!