Scanner - Zugriff SMB1 und NTLMv1 - Trotz Suche Unklarheiten und Sicherheitsfragen

[hatrue]

Hallo

Ich weiss, dass es zu diesem Thema schon diverse Einträge gibt. Ich habe jedoch entweder Verständnis Probleme oder die beschriebenen Szenarien sind nicht die selben wie bei mir.
Ich musste mit einen neuen Drucker (Canon Maxify) zulegen und muss sehr oft Scan vornehmen. Daher kommt ein USB Scan eigentlich nicht in Frage.
Vorweg: Ich habe keine speziellen Ports offen. Es ist nur via VPN (Fritzbox; Wireguard) ein Zugriff auf die Synology möglich.
2 Handy synchronisieren Daten (nur per VPN) mit Synology Drive und die beiden Handy können via App ebenfalls auf den Drucker zugreifen. Weiter verwende ich 2 VM's. Sonst ist die Synology nur als Datenserver in Betrieb.

Das Einrichten hat soweit auch geklappt aber ich musste das Scheuen Tor weit öffnen. Heisst, dass SMB1 und auch NTLMv1 aktiviert werden mussten.
Fur das Scannen habe ich mir einen neuen User eingerichtet welcher nur auf einen neuen root Folder Zugriff hat. Jedoch müssen die Personen welche die Scans aus diesem Folder entnehmen müssen ebenfalls darauf Berechtigt sein.
Nebenbei - Ich habe einen PiHole und der Drucker "telefoniert" seit längerem nicht nach Hause was ja positiv ist. Bei der Ersteinrichtung hat er ein paar Abfragen gemacht.

Meine Frage nun, ist es nötig, dass ich weitere Einstellungen vornehmen muss? Kann der Zugriff auf SMB1 und NTLMv1 nicht auf Benutzerebene erlaubt werden? Gibt es ev. Einstellungen an der Fritzbox die vorgenommen werden sollten?
Wäre nett wenn jemand mir ein paar Tipps geben könnte da ich nicht wirklich der Profi im Netzwerk bin.

Danke im voraus

 

[ctrlaltdelete]

Ich hätte mit dem Setup keinerlei Probleme.
Man könnte es mit einer Freigabe auf dem Raspberry lösen, um die Problematik von der DS wegzubekommen.

 

[maxblank]

Solange dein internes Netzwerk und die zugehörigen Clients „sauber“ sind, ist es ok.
Wenn das allerdings nicht mehr der Fall sein sollte, manchmal durchaus nicht direkt feststellbar, ist eine bekannte Schwachstelle geöffnet und es kann eklig werden.

 

[patrickn]

Sind maxify nicht relativ neue Drucker, die sollten doch wohl mal zumindest V2 beherrschen?

 

[Synchrotron]

Was ist denn das für ein „neuer“ Drucker, der nur SMB1 kann ?

Aus meiner Sicht wäre das ein Produktmangel, der die Rückgabe möglich macht

Rein technisch gibt es eine Möglichkeit, auf dem Raspi eine Brücke aufzubauen, mit der ein SMB2/3 Share als SMB1 verfügbar gemacht wird.

https://stan-miller.livejournal.com/357.html

 

[hatrue]

Der PiHole ist auf einer der VM installiert. Der Drucker ist für mich neu weil neu gekauft. Der Drucker ist ein Modell 2019. Canon tut sich schwer mit Firmware update und sobald ich V1 deaktiviere ist nix mehr mit Scannen.
Ein Raspi habe ich schon noch rumliegen aber die genannte Brücke übersteigt dann wahrscheinlich mein Wissen massiv. Da müsste ich beinahe eine 1:1 Anleitung haben. Und dafür einen Raspi ins Netz hängen der doch auch das selbe Scheunentor auf macht oder sehe ic hdas falsch?

 

[Benares]

Mach dir mal keinen Kopf. Solange das rein intern ist und keine Portfreigaben nach außen existieren, halte ich auch SMB1/NTLMv1 für relativ ungefährlich.
Bist du dir sicher, dass der Drucker nur SMB1 kann?
Edit: Sehe schon, der kann nur SMB1. Schwaches Bild von Canon.

 

[hatrue]

Ja ganz sicher. Weil eben SMB1 deaktiviert und ich kann nicht mehr scannen. Ein Firmware Update gibt es auch keines (Wenn das überhaupt dadurch zu beheben wäre).

 

[Synchrotron]

Ein Raspi habe ich schon noch rumliegen aber die genannte Brücke übersteigt dann wahrscheinlich mein Wissen massiv. Da müsste ich beinahe eine 1:1 Anleitung haben.

Guckst du in den Link, hast du Anleitung.

Es geht darum, dass niemand über das unsichere SMB1 deinen Hauptserver angreifen kann. Der Raspi ist eher egal, auf dem lässt sich nicht viel verschlüsseln oder löschen.

SMB1 ist seit 2010 geknackt und wurde 2017 in Windows (2019 von MacOS) deaktiviert. Heute noch „aktuelle“ Geräte damit anzubieten ist eine Frechheit.

 

[St08]

Hallo @hatrue ,

anscheinend hast Du ja den Scan von Maxify auf Diskstation hinbekommen. Gibt es da noch einen besonderen Trick?

Ich versuche das auch die ganze Zeit und habe eigentlich alles wie hier im Forum diskutiert eingestellt - auch SMB1 und NTLMv1, aber er kriegt keine Verbindung.

Hier habe ich alles beschrieben: https://www.synology-forum.de/threads/scan-von-canon-auf-ds220.117520/#post-1195191

Habe ich irgendwas übersehen?

 

[Ronny1978]

Heisst, dass SMB1 und auch NTLMv1 aktiviert werden mussten

Bitte noch einmal schauen. Auf der Homepage von Canon steht SMB3.0 Siehe hier.



Wobei ich natürlich das genaue Modell nicht kenne.

 

[hatrue]

Mein Canon benötigt leider noch SMB1 :-(

Ich habe noch was in https://www.synology-forum.de/threads/scan-von-canon-auf-ds220.117520/#post-1195191 geschrieben

 

[patrickn]

Ehrlich gesagt fällt es mir schwer, das zu glauben. Das ist doch ein aktueller Drucker, und smbv1 gilt seit über 10 Jahren als unsicher und veraltet.

Ich würd's als erstes Mal versuchen ohne Leerzeichen in der Freigabe, also einen Freigabeordner erstellen und direkt darauf scannen, Passwort ebenfalls ohne sonderzeichen, und dann das Protokoll der DS checken, ob dort was ankommt.

 

[Ronny1978]

Ich habe noch was in https://www.synology-forum.de/threads/scan-von-canon-auf-ds220.117520/#post-1195191 geschrieben

Sorry, aber ICH kontrolliere nicht alle Posts wo Nutzer irgendwo, irgendwas schon einmal gepostet haben. Informationen sollten in einem Thread vorliegen oder es sollte ein Hinweis geben! Ich weiß, dass hier andere Nutzer fitter sind und das kontrollieren. ICH nicht. Sorry

 

[hatrue]

Das kommt daher, da gestern und heute morgen ein Doppel-Posting vorgenommen wurde. Die klare und direkte Frage steht in dem Link von oben welcher ich geantwortet habe und du ebenfalls geantwortet hast