Hallo.
Ich habe kürzlich ein Qnap NAS bekommen.
Um auf die Test-Website zuzugreifen, muss ich die komplette URL angeben.
So wie hier:
https://„my-site.no“:8081
Wenn ich nur „my-site.no“ eingebe, gelange ich zur Login-Seite des NAS, https://„my-site.no“/cgi-bin/
Ich habe mein SSL-Zertifikat importiert, sodass alles funktioniert, wenn ich die vollständige Adresse angebe.
Ich möchte die einfache Lösung… Wie kann ich es einfach machen?
Hat jemand die Antwort? 
Viele Grüße,
Roald, Norwegen.
Ist „mysite.no“ in Ihrem lokalen DNS eingerichtet? (Es ist nur innerhalb Ihres LANs verfügbar, richtig? Niemals, wirklich niemals, irgendwelche QNAP-Dienste ins WAN exponieren!)
Warum sagst du das? Warum kann man seinen HTTPS-Port nicht im WAN freigeben, um Dateien direkt zu teilen? Der SmartShare-Dienst ist zugegebenermaßen sicherer, aber er läuft nur über die QNAP-Server in Taiwan und ist ziemlich langsam.
Es scheint doch, dass es mit einem starken Passwort in Ordnung sein sollte, den HTTPS-Port freizugeben, besonders wenn man eine ungewöhnliche Portnummer verwendet (also nicht 443 oder ähnlich)…
Also läuft das QNAP mit seinem Benutzer-Login auf Port 8081. Wenn du einfach versuchst, my-site.no zu verwenden, versucht dein Browser, auf Port 80 zuzugreifen. Es gibt keine Möglichkeit, mit Browsern und DNS einen anderen Port als 80 auf den direkten Domainnamen (also my-site.no) zuzuordnen.
Die herkömmliche Empfehlung lautet, Ihr NAS nicht dem Internet auszusetzen. Ich mache das jedoch seit Jahren mit mittlerweile sieben NAS-Geräten und hatte nie ein Problem. Es ist schneller und weniger kompliziert. Beachten Sie: 1. Deaktivieren Sie das Admin-Konto. 2. Erzwingen Sie lange, komplexe Passwörter (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen, mindestens 12 Zeichen lang). 3. Verwenden Sie ungewöhnliche Ports. Außerdem bietet 2FA (Zwei-Faktor-Authentifizierung) zusätzliche Sicherheit. Es werden Versuche unternommen, einzubrechen (ein Angreifer hat es an einem Tag über 3000-mal versucht, aber er hat nicht einmal einen richtigen Benutzernamen erraten, geschweige denn das Passwort). Im letzten Jahr gab es kaum noch Versuche, seit die alten Schwachstellen behoben wurden. Hacker haben erkannt, dass QNAP NAS-Geräte kein lohnendes Ziel mehr sind. Ich habe folgende Nachricht auf meinem Login-Bildschirm: Wenn Sie versuchen, mich zu hacken, verschwenden Sie Ihre Zeit! Admin-Konto deaktiviert. Sie müssen Benutzer + Passwort erraten + 2FA überwinden.
Du „reizt den Bären“. Jemand wird das als Herausforderung sehen. 
Es ist nicht in Ordnung. Die Authentifizierung des QNAP-Dienstes wurde traditionell komplett umgangen (Hacker bringen den Authentifizierungsdienst mit fehlerhaften Anfragen zum Absturz und erhalten dann Zugriff auf alles, was sie wollen).
HTTPS verhindert keine Hacking-Versuche. Das ist nicht seine Aufgabe.
Die Änderung der Portnummer ist irrelevant. Hacker können problemlos alle Ports scannen.
Warum wurde das noch nicht behoben? Was ist so grundsätzlich schlecht am Authentifizierungsdienst auf QNAP im Vergleich zu anderen Linux-Systemen?
QNAP hat sich entschieden, eigene Software zu schreiben, um etwas zu tun, das bereits mit bewährter Software möglich war.
Ihre Erfolgsbilanz in Sachen Sicherheit war bislang nicht gut. Vielleicht hat sie sich seit dem letzten Ransomware-Ausbruch verbessert, aber diejenigen, die von Hacks betroffen waren und diejenigen von uns, die bei der Bewältigung der Folgen geholfen haben, sind jetzt zögerlich, dem zu vertrauen.
Lies ein paar Seiten dieses Schmuckstücks hier… und du wirst deine Entscheidungen überdenken (und das ist nicht die einzige Malware, mit der wir zu tun hatten)
Wow! Was für ein Durcheinander. Ich wusste, dass es in der Vergangenheit Sicherheitsprobleme im Zusammenhang mit QNAP-Geräten gab, aber ich dachte, viele davon seien bereits behoben worden. Hoffentlich haben sie inzwischen viele dieser Lücken geschlossen. Gab es seit dem letzten Vorfall weitere Zwischenfälle? Jetzt kann ich den Rat sehen und verstehen!
Ich habe nicht alle 174 Seiten der Beiträge gelesen (nur etwa 10 oder 11). Was wurde letztendlich als Angriffsvektor festgestellt?
Mehrere Vektoren in mehreren Wellen
Sicherheitsupdates beheben nur die Lücken, von denen sie wissen. Das heißt: zu spät.
„Gab es seit dem letzten Vorfall weitere Zwischenfälle?“
Es gab zuvor viele und wie bei jedem anderen System wird es wahrscheinlich auch in Zukunft weitere geben.
Die jüngsten Fälle sind entweder nicht bedeutend oder betreffen nicht QTS. Diejenigen, die Probleme verursacht haben, wurden bereits vor langer Zeit behoben. Außerdem achtet QNAP mittlerweile sehr darauf, solche Probleme zu vermeiden. Security Advisories | QNAP (US)