Udzielamy pomocy QNAP i ransomware

Dyskusja w 'Udostępnianie plików, folderów i drukarek' rozpoczęta przez użytkownika cr00x, 2 Marzec 2017.

Ładowanie...
  1. cr00x
    Offline

    cr00x Passing Basics Beginner

    Dołączył:
    22 Luty 2017
    Wiadomości:
    11
    Local Time:
    22:01
    Oceny:
    +5 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x51+
    Ethernet:
    1 GbE
    TS-x51+ 1 GbE
    Cześć,
    jak proponujecie przechowywać dane na QNAPie aby były bezpieczne od ransomware?
    Chodzi oczywiście o typową konfigurację w małym biurze rachunkowym. Gdzie robimy kopie zapasowe na QNAPa i po części przechowujemy na nim współdzielone dane.
    Macie może jakieś swoje sprawdzone rozwiązania?
    Mi na myśl przychodzi kilka pomysłów ale nie mam doświadczenia i wolałbym nie popełniać niepotrzebnych błędów.
     
  2. TAPICER
    Offline

    TAPICER Entry Technician Q Associate

    Dołączył:
    11 Luty 2016
    Wiadomości:
    88
    Miejscowość:
    wyszków
    Local Time:
    22:01
    Oceny:
    +9 / 0 / -2
    Followers:
    1
    QNAP:
    TVS-x71
    Ethernet:
    802.11ac
    TVS-x71 802.11ac
  3. cr00x
    Offline

    cr00x Passing Basics Beginner

    Dołączył:
    22 Luty 2017
    Wiadomości:
    11
    Local Time:
    22:01
    Oceny:
    +5 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x51+
    Ethernet:
    1 GbE
    TS-x51+ 1 GbE
    Chyba nakręcasz sobie tylko licznik na postach - bo nie o taką odpowiedź mi chodziło.
    Nie szukałem antywirusa tylko sposobu na przechowywanie danych do których RansomWare nie wejdzie. I wielkość firmy nie ma tutaj nic do rzeczy.

    Moje pomysły to:
    - kopie zapasowe przez aplikacje Xopero (+wersjonowanie)
    - korzystanie z aktówki Xopero (+wersjonowanie)
    - korzystanie z Qsync + Migawki
    - FileSharing(SMB) + Migawki
    Nie wiem tylko jak skonfigurować migawkę na ewentualność RansomWare

    Macie może jakieś inne pomysły?
     
  4. TAPICER
    Offline

    TAPICER Entry Technician Q Associate

    Dołączył:
    11 Luty 2016
    Wiadomości:
    88
    Miejscowość:
    wyszków
    Local Time:
    22:01
    Oceny:
    +9 / 0 / -2
    Followers:
    1
    QNAP:
    TVS-x71
    Ethernet:
    802.11ac
    TVS-x71 802.11ac
    Wyjaśniam takie zagrożenia są przygotowywane pod konkretnego klienta by wyciągnąć kase zaczyna się od scareware i musisz zrobić klik ja proponuje zabezpieczyć się przed tym klik bo tu zaczynają się klopoty qnap nie kliknie tylko czlowiek pozdrawiam
     
  5. cr00x
    Offline

    cr00x Passing Basics Beginner

    Dołączył:
    22 Luty 2017
    Wiadomości:
    11
    Local Time:
    22:01
    Oceny:
    +5 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x51+
    Ethernet:
    1 GbE
    TS-x51+ 1 GbE
    Niestety nie masz racji.
    Maile z RansomWare wysyłane są masowo do zwykłych ludzi. Choćby od podszytych "kurierów DHL" czy "FV z Orange"
     
    • Zgadzam się! Zgadzam się! x 2
    • Lizak Lizak x 1
  6. TAPICER
    Offline

    TAPICER Entry Technician Q Associate

    Dołączył:
    11 Luty 2016
    Wiadomości:
    88
    Miejscowość:
    wyszków
    Local Time:
    22:01
    Oceny:
    +9 / 0 / -2
    Followers:
    1
    QNAP:
    TVS-x71
    Ethernet:
    802.11ac
    TVS-x71 802.11ac
    rozmawiamy o trojanie i takiego usuwa antywirus ogólnie znane są te trojany i to jest podstawa schody zaczynają się gdy ktoś sobie Ciebie wezmie na cel a to jest malo prawdopodobne oceniam że masz takie same szanse jak wygrać w totka.
    --- Połączono posty, 3 Marzec 2017, Data oryginalnego postu: 3 Marzec 2017 ---
    A kopie robimy zawsze to też podstawa nie widzę potrzeby by robić kolejne bo w sieci śmiga jakiś trojan :)
     
  7. cr00x
    Offline

    cr00x Passing Basics Beginner

    Dołączył:
    22 Luty 2017
    Wiadomości:
    11
    Local Time:
    22:01
    Oceny:
    +5 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x51+
    Ethernet:
    1 GbE
    TS-x51+ 1 GbE
    Nie chcę się z Tobą sprzeczać o możliwości zainfekowania. Ty wiesz swoje, ja wiem swoje.
    Zadałem pytanie innego typu - i dość mocno schodzimy z tematu. Nie temu ma służyć te forum.

    Powracając do sednum sprawy - jeżeli masz zasoby współdzielone na QNAPie (SMB), to one niestety też padają ofiarą RansomWare.
    Dlatego pomysł jaki mam, to stosowanie Migawek.
     
    • Zgadzam się! Zgadzam się! x 1
    • Lizak Lizak x 1
  8. TAPICER
    Offline

    TAPICER Entry Technician Q Associate

    Dołączył:
    11 Luty 2016
    Wiadomości:
    88
    Miejscowość:
    wyszków
    Local Time:
    22:01
    Oceny:
    +9 / 0 / -2
    Followers:
    1
    QNAP:
    TVS-x71
    Ethernet:
    802.11ac
    TVS-x71 802.11ac
    wybacz chcialem byś podszedl to tego z innej strony tak jak ja to robie. pozdrawiam :)
     
  9. grzenio
    Offline

    grzenio Moderator Contributor

    Dołączył:
    6 Wrzesień 2012
    Wiadomości:
    743
    Miejscowość:
    Borkowo
    Local Time:
    20:01
    Oceny:
    +47 / 0 / -0
    Followers:
    4
    QNAP:
    TVS-x82
    Ethernet:
    802.11ac
    TVS-x82 802.11ac
  10. zgoneq
    Offline

    zgoneq System Engineer Q Specialist

    Dołączył:
    16 Sierpień 2015
    Wiadomości:
    108
    Local Time:
    22:01
    Oceny:
    +19 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x53A
    Ethernet:
    1 GbE
    TS-x53A 1 GbE
    Załóż sobie katalog backup, którego właścicielem będziesz tylko ty. Jak ransomware zaszyfruje folder chroniony, to przywracasz z backupa i tyle. Zauważyłem też, że włączenie sieciowego kosza też pozwala przywrócić zaszyfrowane pliki.
     
  11. badziewiak
    Offline

    badziewiak Enterprise Admin... Q's Architect

    Dołączył:
    3 Marzec 2015
    Wiadomości:
    692
    Miejscowość:
    Gliwice
    Local Time:
    22:01
    Oceny:
    +155 / 9 / -1
    Followers:
    1
    QNAP:
    TVS-871
    Synology:
    nędza
    Ethernet:
    1 GbE
    TVS-871 1 GbE
    Ja robię tak, że mam udział sieciowy RO dla wszystkich, tylko admin QTS może zapisywać (archiwum) i RW dla wybranych (transfer). Wrzucam dane na transfer i z poziomu QTS przenoszę je do archiwum. Tam na pewno nic mi nie zaszyfruje. A dla sprawdzenia można dane otworzyć już z archiwum, czy nie zostały zaszyfrowane w locie.
     
  12. cr00x
    Offline

    cr00x Passing Basics Beginner

    Dołączył:
    22 Luty 2017
    Wiadomości:
    11
    Local Time:
    22:01
    Oceny:
    +5 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x51+
    Ethernet:
    1 GbE
    TS-x51+ 1 GbE
    Myślałem o rozwiązaniu, które można w pełni zautomatyzować. Opcja z zewnętrznym nośnikiem bardzo mi się podoba.
    Co do Migawek i kosza - to pytanie jakie pojemności to powinno mieć aby chronić przez ransomware.
    Z pozoru prosta sprawa - coraz bardziej się komplikuje.
     
  13. mrjurek
    Offline

    mrjurek Passing Basics Beginner

    Dołączył:
    2 Czerwiec 2015
    Wiadomości:
    23
    Miejscowość:
    Mielec
    Local Time:
    22:01
    Oceny:
    +5 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x53
    Synology:
    DS214+
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    Witam
    Testuje dopiero migawki ale mogę się już podzielić następującą wiedzą.
    Dyski w RAID5 7,26 TB, na dane zarezerwowane 5,58 TB (reszta zarezerwowana na system i migawki - QNAPy tak mają i nie wiedzieć dlaczego właśnie tyle i tyle :-( ), na migawki w tym zarezerwowane 1,45 TB (20%), a przy 8 migawkach zajmują już 850 GB (ok 11,45%). Zaznaczam, że obecnie dysk zapełniony jest danymi 2,75 TB, a 8 migawek to 850 GB.
    Ustawiłem migawki na 30 dni co 6h i zobaczymy jak z pojemnością, czy przekroczy i czy zacznie kasować stare itd. Podzielę się jak już do tego dojdzie.

    Brakuje mi w schedulerze dodawania więcej zadań niż jedno per Volumen, np.
    1. wykonuj migawki co 6h od poniedziałku do piątku trwałość 7 dni
    2. wykonuj migawki w sobotę o 22:00, trwałość 14 dni
    3. wykonuj migawki raz w miesiącu, trwałość 3 miesiące.
    Teraz zostaje nam/adminom QNAPa tylko jeden harmonogram choć widzę, że w pliku snpshotSchedule.conf można dokonfigurować parę wpisów, pytanie czy będą działały (zobaczyć ich na WebGui się nie da), dopisałem i zobaczę. Myślę po wpisach w tym pliku, że QNAP będzie rozszerzał tą funkcjonalność.
    Trywialne rozwiązanie, którego nie uświadczmy w QNAPie, a podobne ma konkurencja, to blokowanie przed kasowaniem wybranej migawki na stałe. Tutaj jeśli sami ją nie zrobimy z palca i nie zaznaczymy tej opcji, w menu już tego nie zrobimy. Na szczęście w plikach konfiguracyjnych możemy to zrobić ustawiając jeden parametr (dla zainteresowanych mogę podać). Przyda się to jak już zarazimy nasze dane ransomware i będziemy chcieli zablokować przed skasowaniem migawkę z nie zarażonymi plikami.

    Z kosza rzadko korzystam i mam ustawiony na krótki okres. Dodatkowo co jakiś czas opróżniam wszystkie kosze. Poważnie się zastanawiam nad wyłączeniem dla większości udziałów. W firmie osoby korzystają z Samby, tak więc korzystać z niego mogą głównie admini - raczej nie korzystają :).

    Zabezpieczanie przed ransomware:
    - stworzyć katalog KOPIA (nikt nie ma prawa do niego oprócz Admina, a pozostali admini co najwyżej tylko do odczytu, wyłączona SMABA do tego folderu) - takie zabezpieczenie przed ransomware.
    WAŻNE: nie używać konta admina gdyż jeśli sami zarazimy własny komputer możemy być przyczyną zarażenia udziałów (Admin ma dostęp do wszytskiego :-( )
    - stworzyć udział dla kopii (można ukryć w sieci) z poszczególnych hostów np. Host1, Serwer1 (komputerów, serwerów) i kopiować z automatu do niego dane, a następnie z automatu (harmonogram Hybrid Backup lub coś podobnego) do folderu KOPIA
    - automatycznie kopiować wspólne udziały na których są ważne dane do katalogu KOPIA (także przez narzędzie Hybrid Backup itp).
    - robić migawki

    Tak zabezpieczony katalog KOPIA co jakiś czas kopiować na zewnętrzny dysk celem archiwizacji.
    Sądzę, że dane będą bezpieczne.
    Jest później zabawy z przywracaniem plików po zaszyfrowaniu ich przez ransomware. Czasem jest tego trochę (ostatnio pracownik zaraził komputer w piątek ok 14:00, zamknął klapę laptopa i zaczął weekend - w poniedziałek 4600 plików zaszyfrowanych :) ) .

    PS. jeśli osoba w firmie/domu nie potrzebuje mieć dostępu do jakiegoś udziału, odbieramy. Uświadamiać użytkowników o ransomware, informujemy ich aby nie zapisywali haseł (uwierzytelnianie do udziałów na komputerze), nie podmontowywujemy udziałów, lepiej tworzyć skrót gdyż niektóre ransoware mają już z tym problem.

    Pozdrawiam
     
  14. Sanderusek
    Offline

    Sanderusek Nowy użytkownik Noobie

    Dołączył:
    4 Grudzień 2017
    Wiadomości:
    4
    Local Time:
    22:01
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x51
    Ethernet:
    1 GbE
    TS-x51 1 GbE
    Mrjurek. Co masz na myśli poprzez tworzenie skrótu do udziałów ?
     
  15. mrjurek
    Offline

    mrjurek Passing Basics Beginner

    Dołączył:
    2 Czerwiec 2015
    Wiadomości:
    23
    Miejscowość:
    Mielec
    Local Time:
    22:01
    Oceny:
    +5 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x53
    Synology:
    DS214+
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    Np. pod Windowsem przeciągnąć otwarty folder przez Sambę na pulpit i PPM "Utwórz skrót tutaj". :)
     
  16. Silas Mariusz
    Offline

    Silas Mariusz SysOp Administrator

    Dołączył:
    5 Kwiecień 2008
    Wiadomości:
    6 559
    Miejscowość:
    Nowy Sącz
    Local Time:
    22:01
    Oceny:
    +1 464 / 30 / -6
    Followers:
    25
    QNAP:
    TVS-x71
    Ethernet:
    1 GbE
    TVS-x71 1 GbE
    Nie da sie.
    Jeśli Ransomware dostanie się po sieci do serwera to i tak zaszyfruje na nim pliki.
    Ale serwery QNAP oferują coś takiego jak migawki. Czyli kopie jego zawartosci. Jesli ta ulegnie zmianie i zostanie zaszyfrowana to nadal bedzie mozna wrócic do migawki z czasu przed zaszyfrowaniem.
    Jednak jak wiadomo, żeby migawki miały sens nalezy podwoic ilość pojemnosci od przechowywanych danych.