Una strategia antivirus (ransomware ...) per il backup su un NAS?

12

Ho acquistato un NAS per condividere file e come soluzione di backup.

Recentemente il mio netbook è stato infettato da un ransomware. Tutti i file sul netbook e la maggior parte dei file sul NAS sono stati distrutti (il virus mescola i primi bit dei file). Fortunatamente il mio PC principale non è stato attaccato e da quando eseguo backup manuali su HDD portatile ho perso qualcosa.

Ma comunque, mi ha spaventato poiché penso che potrei perdere molti dati se comparissero sul mio PC principale. Infatti se un backup è in esecuzione quando i file vengono danneggiati, farei il backup dei dati danneggiati sul NAS!

Quindi la mia domanda: esiste una strategia di backup a prova di virus?

Grazie per l'aiuto.

Quindi dopo aver letto le tue risposte, ora capisco che ho bisogno di due soluzioni:

  1. Sincronizza i miei dati in una posizione che POSSONO essere accessibili dai clienti in modo da poter condividere i dati tra i computer (lo chiamerei la zona sincronizzato )
  2. Quindi eseguire il backup di questa area sincronizzata in una posizione a cui NON possono accedere i client

Finalmente le mie domande:

  1. Queste 2 affermazioni sono sopra abbastanza per essere sicure?
  2. Come configurare questa soluzione con computer su Windows e un Synology NAS?

Daniel Beck ha chiesto maggiori dettagli sul mio ambiente:

Ho 2 PC:

  1. Il PC desktop principale con cui eseguo la maggior parte delle cose (ordinamento di foto, contabilità, ecc.) Dispone di HDD abbastanza grandi da contenere tutti i dati di cui ho bisogno per condividere e fare il backup.
  2. Il secondo è un netbook. Ha un piccolo HDD, quindi non contiene tutti i dati (ad esempio nessuna foto). Ma viene spesso utilizzato per modificare alcuni documenti dall'area condivisa . A volte creerò nuovi dati che salverò manualmente nell'area condivisa .

Al momento, eseguo manualmente tutte le copie sul NAS (non ho software di backup).

Il mio NAS è Synology DS211j, ospita i dati condivisi.

Quindi vorrei:

  1. dare accesso al netbook a tutti i dati presenti sul PC desktop anche se è spento
  2. Ho una soluzione per proteggere i miei dati dai virus.
  3. Crea una soluzione automatizzata per tutto ciò.

Grazie all'ultimo commento di Liori, ecco cosa vorrei provare:

  1. Ripristina la configurazione del mio NAS da RAID con 2 HDD su 2 volumi separati .
  2. Imposta una sincronizzazione dei dati sul volume 1 che verrà visualizzata dall'utente .
  3. Utilizzare il software di backup temporale Synology NAS per eseguire il backup del volume condiviso 1 sul volume di backup 2 . Il volume 2 NON verrà visualizzato dagli utenti .

Se è sicuro, vedo molti vantaggi:

  • Anche se non è così buono, continuo ad accedere ai miei dati tramite Internet.
  • Il backup dei dati sarebbe programmato sul NAS, non è necessario che il computer sia acceso per i backup.
  • Vorrei i miei dati su 3 posizioni: PC desktop principale + volume condiviso + volume di backup (4 in effetti con il backup manuale su USB HDD). Quindi ho perso RAID inutili e ottengo backup sicuri su HDD dedicato.

Pensi che funzionerebbe?

Grazie ancora!

backup  virus  nas 
Plouff
fonte
1
Il backup è diverso dalla sincronizzazione. Spiega come i due sono correlati nel tuo caso.
Daniel Beck
Ok, è più complicato di quanto pensassi. Ho intenzione di aggiornare di nuovo la risposta.
Plouff,

Risposte:

14

La soluzione è mantenere una cronologia dei backup.

Puoi archiviare un backup giornaliero, diciamo per gli ultimi sette giorni. Quindi un backup alla settimana quattro volte al mese. In questo modo, se il backup di ieri era stato salvato in cattivo stato, si esegue il backup del giorno prima. Oppure puoi eseguire il backup della scorsa settimana.

Per risparmiare spazio, è possibile utilizzare un file system con supporto per la deduplicazione, utilizzare collegamenti reali o archiviare solo la differenza tra il backup. La soluzione migliore dipende dalle tue esigenze, dalla configurazione e dal software che esegui.

EDIT: hai aggiornato la tua domanda e aggiunto ulteriori informazioni.

Come già sapete, è necessario separare i dati dal backup. Un backup è sempre ridondante, se possibile anche più di una copia. Non conosco la tua soluzione NAS e il loro software di backup. Ma posso dirti come ho risolto questo.

Uso un vecchio sistema a 300 MHz come server di backup, che è collegato al file server (che sarebbe il tuo NAS nella tua configurazione). Una volta al giorno il server di backup si accende ed estrae il backup dal file server e scrive i dati sui propri dischi rigidi. Come software di backup utilizzo rsnapshot . Nessun computer client ha accesso al server di backup in alcun modo. E funziona solo per poco tempo al giorno.

Questa è solo una delle possibili soluzioni su molti. I punti chiave di una buona soluzione sono:

  • Mantieni una cronologia dei backup
  • Un backup è sempre ridondante
  • Un backup viene archiviato su hardware diverso (ad es. Una seconda unità, non una seconda partizione sulla stessa unità)
  • I computer client non devono avere accesso al backup
  • Il backup dovrebbe essere il più semplice possibile, nella migliore delle ipotesi completamente automatico
  • A seconda della frequenza prevista per i ripristini, non dovrebbe essere un onere eccessivo per ripristinare i dati
Marco
fonte
Comprendo la necessità della cronologia dei backup ma, sfortunatamente, non credo che avrebbe impedito al ransomware di distruggere i dati. Forse non ero abbastanza preciso. Ma il ransomware ha avuto accesso al NAS tramite il netbook. E ha distrutto i file sul NAS!
Plouff,
3
Fallo al contrario. I client (probabilmente infetti) non dovrebbero avere accesso in scrittura all'arbitro sul NAS. Il server di backup (potrebbe anche funzionare sul NAS) dovrebbe estrarre i dati dai client e salvarli sul NAS.
Marco,
Va bene! Ora capisco! È possibile fare cose del genere con un NAS Synology?
Plouff,
1
Temo che la tua risposta manchi di un punto chiave di tale strategia: se vuoi fornire protezione contro l'alterazione del backup da parte di software dannoso, devi utilizzare supporti fisici diversi per i vecchi backup. Se l'utente, come in questo caso, non può garantire l'integrità del software sul proprio computer, perché le autorizzazioni di scrittura sul NAS devono essere attendibili? Il malware potrebbe semplicemente rubare le credenziali di accesso dall'archivio password di un browser o simili.
jstarek,
Sono d'accordo con te. Mi ci è voluto un po 'di tempo per capire che dovevo separare i dati condivisi dai backup. Potresti dirmi cosa ne pensi dell'ultimo aggiornamento della domanda? Grazie!
Plouff,
7

L'unico modo per avere backup privi di virus è avere una sorta di cronologia: è necessario archiviare i backup per diversi giorni / settimane / mesi.

Questo non garantisce che sia privo di virus, ma garantisce che è possibile recuperare i file prima di scoprire un'infezione recente.

Una cosa molto importante riguardo ai backup: il computer "client" non deve avere accesso ai backup.
Ciò significa che questo è il computer "server" che si collega al client ed effettua il backup. La maggior parte dei programmi di backup non è progettata in questo modo.
Un altro metodo è rimuovere i backup dalla vista del client una volta fatto. Ma questo viene spesso fatto in modo negativo, senza aumentare la sicurezza.

Gregory MOUSSAT
fonte
Dopo essere stato colpito dal ransomware, ho provato a rimuovere i backup dalla vista del client rimuovendo il NAS come unità di rete su tutti i computer Windows. Quindi al momento accedo al mio NAS tramite la barra degli indirizzi di Windows e non salvo la password. Ma non so se un ransomware è in grado di scansionare la rete per trovare un'altra posizione. Se è in grado di farlo, quindi poiché Windows salva la password durante la sessione attiva (anche se si chiede di non salvare la password per sempre), il ransomware potrebbe accedere al NAS. C'è un modo semplice per applicare ciò che hai detto su Windows?
Plouff,
4

Quello che dici sembra essere più problemi separati. Uno è più facile da superare (eliminazioni accidentali o backup di dati non validi) rispetto all'altro (malware mirato).

In ordine crescente di gravità / impegno per salvare i dati:

  1. Corruzione (inosservata) dei dati di uno dei tuoi sistemi rendendoli sull'unità di backup, eliminando tutti i dati validi o sostituendoli con merda. Altri risponditori menzionati in precedenza, mantengono più generazioni. Questo ti salva anche da problemi molto più banali, come software che scrivono male (conosco persone il cui software per ufficio ha creato file rotti e irrecuperabili) senza che te ne accorga.

  2. Malware che rompe tutti i file su tutte le unità connesse. Questo è più difficile, perché il malware può semplicemente eliminare o rendere inutilizzabili tutte le generazioni di backup, dato l'accesso programmatico ad esse. Mantenere più unità di backup e passare regolarmente da una all'altra. Non collegarli mai contemporaneamente.

  3. Incendi, furti con scasso, fulmini o un altro importante a cui piace lanciarti (preferibilmente costoso). Mantenere più unità fisiche. Tienine uno fuori dal sito in ogni momento. Passa regolarmente da uno all'altro per assicurarti che entrambi siano ragionevolmente aggiornati. Facoltativamente, aggiungi una soluzione di backup online di cui ti fidi al mix.

Naturalmente, puoi tentare di prevenire alcuni problemi, ad esempio mantenendo più generazioni di backup e rimuovendo tutte le autorizzazioni di scrittura per i file una volta che sono stati scritti, quindi il malware non può semplicemente sovrascriverli. Non farei affidamento su questo, soprattutto se hai già problemi di malware.

Daniel Beck
fonte
Penso che tu abbia sicuramente identificato e separato i problemi. Quindi aggiornerò la mia domanda sopra.
Plouff,
3

Vorrei suggerire un'altra soluzione.

Utilizzare un'installazione di sistema diversa solo per i backup, preferibilmente una che è in realtà un sistema operativo diverso. Ad esempio, potresti creare un'unità USB (o effettivamente installare il sistema operativo secondario sull'unità di backup) con un po 'di Linux e usarlo per eseguire il backup del tuo sistema operativo principale, che immagino sia Windows.

Connetti l'archivio di backup solo quando è caricato quel SO secondario.

In questo modo un malware potrebbe distruggere i tuoi backup solo se fosse pronto a funzionare con due diversi sistemi operativi e questo livello di sofisticazione è molto raro (si pensi alla sofisticazione di livello Stuxnet ).

Liori
fonte
Se si implementa una soluzione eccessivamente complicata, come quella proposta, non è improbabile che non si esegua il backup tutte le volte che si dovrebbe. Un backup dovrebbe essere il più semplice possibile, nel migliore dei casi completamente automatico. Una soluzione più semplice sarebbe quella di esportare il disco rigido e consentire al server di backup semplicemente di acquisire i dati tramite LAN. In questo modo il client (e il suo malware) non deve avere accesso in scrittura sul server di backup.
Marco,
L'ho fatto una volta e non lo ritengo complicato. Nel mio caso ho appena preparato il sistema operativo di backup sul disco rigido esterno. Uno degli script di avvio ha avviato il backup stesso e, al termine del backup, ha spento il computer. Quindi tutto quello che dovevo fare era collegare il disco rigido, riavviare il mio computer e andare a dormire. Nel mio caso le partizioni su quel disco rigido sono state preparate in modo che non si montassero automaticamente sul sistema operativo principale, quindi potevo effettivamente collegare l'unità di backup senza preoccuparmi molto della sicurezza dei backup. Era la soluzione più sicura che potevo realizzare a buon mercato con un solo disco rigido e senza PC esterno
liori
Non ho detto che sto parlando di una soluzione di backup a casa. Inoltre, non sono così fluente in IT. La tua soluzione sembra eccezionale, ma difficile da configurare. Non sono sicuro di aver capito tutto però.
Plouff,
1
@Plouff: potrebbe essere abbastanza buono. Se questa cosa: synology.com/dsm/home_backup_desktop_backup.php?lang=enu funziona anche se il NAS non è montato direttamente sul tuo PC (e invece utilizza tutto ciò che è condiviso dal PC), allora avrai uno spazio di backup che è non direttamente accessibile dal PC. Ah, a proposito, hai scritto che volevi usare il NAS anche per "condividere file" —Mi sconsiglioi di farlo per sicurezza, ma se vuoi ancora farlo, crea un volume distinto all'interno del NAS per condividere dati, come nello screenshot qui: synology.com/dsm/home_easy_setup_home_storage.php?lang=enu
Liori
1
@Plouff: suona bene. Una cosa: sembra che non devi smettere di usare RAID. Secondo questa documentazione: ukdl.synology.com/ftp/ds/userguide/x11-Series/… , capitolo 4. - È possibile impostare un "Gruppo disco" che esegue il RAID, quindi creare più volumi al suo interno.
liori,
-1

L'unica vera difesa è clonare il NAS su base regolare e conservare almeno 2 copie offline dei dati nel caso in cui il NAS venga attaccato o fallito durante la clonazione. Considerando quanto è economico ottenere unità da più terabyte, questo è in realtà molto più fattibile rispetto al passato, specialmente se si utilizza un alloggiamento hot swap con unità nude invece di esterni premade

Mike Loeven
fonte
Questo sembra essere più un commento che una risposta effettiva.
Ramhound,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.