Help QNAP i ransomware

cr00x

Passing Basics
Beginner
Feb 22, 2017
13
5
3
41
QNAP
TS-x51+
Ethernet
1 GbE
Cześć,
jak proponujecie przechowywać dane na QNAPie aby były bezpieczne od ransomware?
Chodzi oczywiście o typową konfigurację w małym biurze rachunkowym. Gdzie robimy kopie zapasowe na QNAPa i po części przechowujemy na nim współdzielone dane.
Macie może jakieś swoje sprawdzone rozwiązania?
Mi na myśl przychodzi kilka pomysłów ale nie mam doświadczenia i wolałbym nie popełniać niepotrzebnych błędów.
 
Chyba nakręcasz sobie tylko licznik na postach - bo nie o taką odpowiedź mi chodziło.
Nie szukałem antywirusa tylko sposobu na przechowywanie danych do których RansomWare nie wejdzie. I wielkość firmy nie ma tutaj nic do rzeczy.

Moje pomysły to:
- kopie zapasowe przez aplikacje Xopero (+wersjonowanie)
- korzystanie z aktówki Xopero (+wersjonowanie)
- korzystanie z Qsync + Migawki
- FileSharing(SMB) + Migawki
Nie wiem tylko jak skonfigurować migawkę na ewentualność RansomWare

Macie może jakieś inne pomysły?
 
Wyjaśniam takie zagrożenia są przygotowywane pod konkretnego klienta by wyciągnąć kase zaczyna się od scareware i musisz zrobić klik ja proponuje zabezpieczyć się przed tym klik bo tu zaczynają się klopoty qnap nie kliknie tylko czlowiek pozdrawiam
 
rozmawiamy o trojanie i takiego usuwa antywirus ogólnie znane są te trojany i to jest podstawa schody zaczynają się gdy ktoś sobie Ciebie wezmie na cel a to jest malo prawdopodobne oceniam że masz takie same szanse jak wygrać w totka.
A kopie robimy zawsze to też podstawa nie widzę potrzeby by robić kolejne bo w sieci śmiga jakiś trojan :)
 
Nie chcę się z Tobą sprzeczać o możliwości zainfekowania. Ty wiesz swoje, ja wiem swoje.
Zadałem pytanie innego typu - i dość mocno schodzimy z tematu. Nie temu ma służyć te forum.

Powracając do sednum sprawy - jeżeli masz zasoby współdzielone na QNAPie (SMB), to one niestety też padają ofiarą RansomWare.
Dlatego pomysł jaki mam, to stosowanie Migawek.
 
wybacz chcialem byś podszedl to tego z innej strony tak jak ja to robie. pozdrawiam :)
 
Załóż sobie katalog backup, którego właścicielem będziesz tylko ty. Jak ransomware zaszyfruje folder chroniony, to przywracasz z backupa i tyle. Zauważyłem też, że włączenie sieciowego kosza też pozwala przywrócić zaszyfrowane pliki.
 
Ja robię tak, że mam udział sieciowy RO dla wszystkich, tylko admin QTS może zapisywać (archiwum) i RW dla wybranych (transfer). Wrzucam dane na transfer i z poziomu QTS przenoszę je do archiwum. Tam na pewno nic mi nie zaszyfruje. A dla sprawdzenia można dane otworzyć już z archiwum, czy nie zostały zaszyfrowane w locie.
 
Myślałem o rozwiązaniu, które można w pełni zautomatyzować. Opcja z zewnętrznym nośnikiem bardzo mi się podoba.
Co do Migawek i kosza - to pytanie jakie pojemności to powinno mieć aby chronić przez ransomware.
Z pozoru prosta sprawa - coraz bardziej się komplikuje.
 
Witam
Testuje dopiero migawki ale mogę się już podzielić następującą wiedzą.
Dyski w RAID5 7,26 TB, na dane zarezerwowane 5,58 TB (reszta zarezerwowana na system i migawki - QNAPy tak mają i nie wiedzieć dlaczego właśnie tyle i tyle :-( ), na migawki w tym zarezerwowane 1,45 TB (20%), a przy 8 migawkach zajmują już 850 GB (ok 11,45%). Zaznaczam, że obecnie dysk zapełniony jest danymi 2,75 TB, a 8 migawek to 850 GB.
Ustawiłem migawki na 30 dni co 6h i zobaczymy jak z pojemnością, czy przekroczy i czy zacznie kasować stare itd. Podzielę się jak już do tego dojdzie.

Brakuje mi w schedulerze dodawania więcej zadań niż jedno per Volumen, np.
1. wykonuj migawki co 6h od poniedziałku do piątku trwałość 7 dni
2. wykonuj migawki w sobotę o 22:00, trwałość 14 dni
3. wykonuj migawki raz w miesiącu, trwałość 3 miesiące.
Teraz zostaje nam/adminom QNAPa tylko jeden harmonogram choć widzę, że w pliku snpshotSchedule.conf można dokonfigurować parę wpisów, pytanie czy będą działały (zobaczyć ich na WebGui się nie da), dopisałem i zobaczę. Myślę po wpisach w tym pliku, że QNAP będzie rozszerzał tą funkcjonalność.
Trywialne rozwiązanie, którego nie uświadczmy w QNAPie, a podobne ma konkurencja, to blokowanie przed kasowaniem wybranej migawki na stałe. Tutaj jeśli sami ją nie zrobimy z palca i nie zaznaczymy tej opcji, w menu już tego nie zrobimy. Na szczęście w plikach konfiguracyjnych możemy to zrobić ustawiając jeden parametr (dla zainteresowanych mogę podać). Przyda się to jak już zarazimy nasze dane ransomware i będziemy chcieli zablokować przed skasowaniem migawkę z nie zarażonymi plikami.

Z kosza rzadko korzystam i mam ustawiony na krótki okres. Dodatkowo co jakiś czas opróżniam wszystkie kosze. Poważnie się zastanawiam nad wyłączeniem dla większości udziałów. W firmie osoby korzystają z Samby, tak więc korzystać z niego mogą głównie admini - raczej nie korzystają :).

Zabezpieczanie przed ransomware:
- stworzyć katalog KOPIA (nikt nie ma prawa do niego oprócz Admina, a pozostali admini co najwyżej tylko do odczytu, wyłączona SMABA do tego folderu) - takie zabezpieczenie przed ransomware.
WAŻNE: nie używać konta admina gdyż jeśli sami zarazimy własny komputer możemy być przyczyną zarażenia udziałów (Admin ma dostęp do wszytskiego :-( )
- stworzyć udział dla kopii (można ukryć w sieci) z poszczególnych hostów np. Host1, Serwer1 (komputerów, serwerów) i kopiować z automatu do niego dane, a następnie z automatu (harmonogram Hybrid Backup lub coś podobnego) do folderu KOPIA
- automatycznie kopiować wspólne udziały na których są ważne dane do katalogu KOPIA (także przez narzędzie Hybrid Backup itp).
- robić migawki

Tak zabezpieczony katalog KOPIA co jakiś czas kopiować na zewnętrzny dysk celem archiwizacji.
Sądzę, że dane będą bezpieczne.
Jest później zabawy z przywracaniem plików po zaszyfrowaniu ich przez ransomware. Czasem jest tego trochę (ostatnio pracownik zaraził komputer w piątek ok 14:00, zamknął klapę laptopa i zaczął weekend - w poniedziałek 4600 plików zaszyfrowanych :) ) .

PS. jeśli osoba w firmie/domu nie potrzebuje mieć dostępu do jakiegoś udziału, odbieramy. Uświadamiać użytkowników o ransomware, informujemy ich aby nie zapisywali haseł (uwierzytelnianie do udziałów na komputerze), nie podmontowywujemy udziałów, lepiej tworzyć skrót gdyż niektóre ransoware mają już z tym problem.

Pozdrawiam
 
....zapisywali haseł (uwierzytelnianie do udziałów na komputerze), nie podmontowywujemy udziałów, lepiej tworzyć skrót gdyż niektóre ransoware mają już z tym problem....

Mrjurek. Co masz na myśli poprzez tworzenie skrótu do udziałów ?
 
Np. pod Windowsem przeciągnąć otwarty folder przez Sambę na pulpit i PPM "Utwórz skrót tutaj". :)
 
jak proponujecie przechowywać dane na QNAPie aby były bezpieczne od ransomware?
Nie da sie.
Jeśli Ransomware dostanie się po sieci do serwera to i tak zaszyfruje na nim pliki.
Ale serwery QNAP oferują coś takiego jak migawki. Czyli kopie jego zawartosci. Jesli ta ulegnie zmianie i zostanie zaszyfrowana to nadal bedzie mozna wrócic do migawki z czasu przed zaszyfrowaniem.
Jednak jak wiadomo, żeby migawki miały sens nalezy podwoic ilość pojemnosci od przechowywanych danych.