Pomoc Zabezpieczenie przed Malware

Sanderusek

Nowy użytkownik
Noobie
4 Grudzień 2017
5
0
1
28
QNAP
TS-x51
Ethernet
1 GbE
Witajcie,
Jeśli mogę to zadam tutaj pytanko, jeśli nie to proszę o odpowiedź i założę odpowiedni temat ;)
Aczkolwiek chodzi o backup danych. Nasik będzie używany w małej firmie do robienia dziennego backupu danych z 3 komputerów. Waga plików ok. 300MB dziennie. Pytanko takie. Czy jeśli będę to robił poprzez Qsync, to jeśli kiedyś mi się dostanie Malware na któryś z tych komputerków to czy mi nie poleci to też po NASie ?

Pozdrawiam
Sanderusek

Model serwera: QNAP TS-251
 
To będzie wyglądało w taki sposób, że program który jest na tych komputerach codziennie robi nowy plik z kopią zapasową do folderu "Backup". Ten pliczek zawsze ma nowy numerek kopii. Chciałbym ten pliczek zgrywać do NASa poprzez jakiś automat ustawiony według harmonogramu. Czy w tym wypadku można użyć QSync czy coś innego ? Oraz jak takie coś ustawić ?
jeśli dane zostaną zainfekowane to na Q też będą zainfekowane

polecam włączenie wersjonowania na udziale.

Pigers da radę z tobą poprzez prywatną wiadomość porozmawiać?
 
Jeśli obawiasz się malware, to ważne żeby NAS nie był bezpośrednio wystawiony na świat. QTS bywa dziurawy jak ser szwajcarski, i wobec tego na nic się zdają mocne hasła userów i 2FA.
 
Jeśli obawiasz się malware, to ważne żeby NAS nie był bezpośrednio wystawiony na świat. QTS bywa dziurawy jak ser szwajcarski, i wobec tego na nic się zdają mocne hasła userów i 2FA.
Napisz coś więcej, bo to ciekawe.
Zarządzam czterema Qnapami wystawionymi na świat od 7 lat i jakoś tego nie zauważyłem...
 
@Artjablo
Mój NAS (wystawiony na świat) padł kilka miesięcy temu ofiarą ataku. Wszystko aktualizowane na bieżąco, długie i trudne hasła, włączone 2FA. Ale to wszystko na nic, bo jak się okazało od kilku miesięcy była dziura (chyba w PhotoStation lub innym station), która pozwalała na zdalne wykonanie kodu z prawami admina. Ktoś na moim NAS zainstalował malware (minera do krypto walut). Sam na to wpadłem, że jest coś nie tak z NASem. Później samemu usuwałem ten malware, bo support nie bardzo był mi w stanie pomóc. Tutaj kilka moich postów na ten temat Udzielamy pomocy - MalwareRemover
Denerwuje mnie, że główny zakres działań supportu w takich sytuacjach to głównie propozycja sesji remote. Nie - to jest mój NAS, moje dane, nie chcę żadnych sesji remote, chcę dobry i bezpieczny soft.
Najbardziej jednak zabolało mnie to, że po swojej stronie można zrobić wszystko co możliwe (poza zamykaniem NASa za VPN itp) a przez dziurawy soft wszystko zda się na nic.
Ciekawostka: pomimo włączonego 2FA na koncie admina, logowanie do qcenter lub SSH nie wymaga przepisania kodu z google auth :)
Druga ciekawostka: brak możliwości usunięcia domyślnego konta admina oraz domyślnych udziałów to też głupota.

Natomiast jeśli chodzi ogólnie to poziom softu QNAP, to najlepszym przykładem niech będzie to, że z kilku ostatnich spraw zgłoszonych do supportu, jako poradę kazali mi zainstalować starsze wersje. Czy u nich ktoś testuje soft przed releasem? Ale nie przez downgrade, tylko odinstalować bieżące i zainstalować starsze wersje - wiązało się to z utratą wszystkich configów tych aplikacji.

Podsumowując - nadal mam QNAPy, ale zastanawiam się nad migracją nad inne rozwiązanie.
 
która pozwalała na zdalne wykonanie kodu z prawami admina
tia - bo prawie kazda aplikacja QNAP dziala jako admin ...

Druga ciekawostka: brak możliwości usunięcia domyślnego konta admina oraz domyślnych udziałów to też głupota.
Mnie to też od dawna irytuje..

Denerwuje mnie, że główny zakres działań supportu w takich sytuacjach to głównie propozycja sesji remote. Nie - to jest mój NAS, moje dane, nie chcę żadnych sesji remote, chcę dobry i bezpieczny soft.
Oj - co 5 minut słyszę że QNAP jest drogi, jest oprogramowanie be ale support odpisuje - ciekawe co bys zrobil gdyby to byl problem z S ? Patrzac na to co sie dzieje na ich forum, to wiele odpowiedzi nie będzie.
Bezpieczny soft ? Od 5 lat skacze między dystrybucjami Linuxa i nie znalazłem takiej która jest bezpieczna i jednocześnie przyjazna w konfiguracji i za darmo ?

Najbardziej jednak zabolało mnie to, że po swojej stronie można zrobić wszystko co możliwe (poza zamykaniem NASa za VPN itp) a przez dziurawy soft wszystko zda się na nic.
Z tego co mi wiadomo QNAP wie o tych dziurach i załatał je - psując jednocześnie coś innego. Jak widać "generyczność" rozwiązania jest coraz większym problemem.

Natomiast jeśli chodzi ogólnie to poziom softu QNAP, to najlepszym przykładem niech będzie to, że z kilku ostatnich spraw zgłoszonych do supportu, jako poradę kazali mi zainstalować starsze wersje.
Wgrywasz od razu najnowszą wersję fw na produkcję ? Świetny pomysł na strzał w kolano!
Ja czekam około miesiąca czasu przed zmianą oprogramowania - fyi: nie przeszedłem jeszcze na 4.3.4 bo moim zdaniem robi za dużo zamieszania.

Czy u nich ktoś testuje soft przed releasem?
Jasne ! Produkcja - czyli cały świat!

zastanawiam się nad migracją nad inne rozwiązanie.
O super - poczekam na info na co się przeniosłeś ! BO ja na razie myślę nad Debianem 9
 
Oj - co 5 minut słyszę że QNAP jest drogi, jest oprogramowanie be ale support odpisuje - ciekawe co bys zrobil gdyby to byl problem z S ? Patrzac na to co sie dzieje na ich forum, to wiele odpowiedzi nie będzie.
Bezpieczny soft ? Od 5 lat skacze między dystrybucjami Linuxa i nie znalazłem takiej która jest bezpieczna i jednocześnie przyjazna w konfiguracji i za darmo ?
QNAP wybrałem ze względu na Celerona - z tego co pamiętam, około rok temu S było na ARM w podobnych pieniądzach.

Z tego co mi wiadomo QNAP wie o tych dziurach i załatał je - psując jednocześnie coś innego. Jak widać "generyczność" rozwiązania jest coraz większym problemem.
Wgrywasz od razu najnowszą wersję fw na produkcję ? Świetny pomysł na strzał w kolano!
Ja czekam około miesiąca czasu przed zmianą oprogramowania - fyi: nie przeszedłem jeszcze na 4.3.4 bo moim zdaniem robi za dużo zamieszania.

Tak, wgrywam od razu na live - o ile nowe fw zawiera poprawki bezpieczeństwa. Chociaż jak widać na moim przykładzie, nawet aktualny firmware nie chroni przed złapaniem malware. No i nadal jestem zdania, że nie powinni wypuszczać softu, który nie jest dobrze przetestowany.
Z jednej strony będzie problem jak nieaktualny firmware ktoś mi się znowu włamie, z drugiej strony sam sobie robię problemy aktualizując soft, który bywa (delikatnie mówiąc) średnio stabilny i średnio sprawny. Przykładowo: HD station które pożera 100% CPU lub CloudLink który co kilka sekund dodaje wpis loga (zamiast raz na reboot).
I jak znaleźć tutaj złoty środek? :)

O super - poczekam na info na co się przeniosłeś ! BO ja na razie myślę nad Debianem 9
Tak, właśnie o tym myślę. Rozwojowa płyta główna, energooszczędny CPU (w moich zastosowaniach wystarcza), prosta obudowa, kilka dysków i Debian.
Mam tylko problem, jak tym wszystkim zarządzać: klient torrent/http/ftp, konta userów, proste udostępnianie plików, wirtualizacja. Nie mam doświadczenia z Nas4Free lub FreeNas - wolałem zapłacić trochę więcej za QNAP z QTS żeby problemy wyboru narzędzi mieć z głowy.
Bo na dzień dzisiejszy z jednej strony obawiam się QTSa wystawionego na świat (paranoja po ostatnim malware), ale z drugiej strony łatwo się tym zarządza, mogę prosto udostępniać pliki, do tego nawet znośne GUI (poza photo i video station, które są tragiczne).
Mógłbym postawić NAS za VPN, wtedy malware będzie trudniej się przedostać, ale znacznie utrudni mi to chociażby proste udostępnianie plików poporzez linki. Trochę kłóci się to z ideą, dla której mam NASy.
 
Współczuję problemów, ale trzeba stosować BHP.
Kilka moich podstawowych zasad bezpieczeństwa na Qnapie:
1. Włączone są tyko te usługi, które są konieczne w danym momencie. Usługi nie używane zawsze wyłączone. Wyłączone usługi Telnet, SSH, FTP.
2. Włączone wymuszanie połączenia przez HTTPS i zainstalowany certyfikat SSL.
3. Konto admina z silnym 24 znakowym hasłem i nie używane. Założone inne konto, które pełni role administracyjne.
4. Siła haseł użytkowników: wszystkie opcje w konfiguracji zaznaczone. Zmiana co 90 dni.
5. Włączona ochrona dostępu do sieci - wszystkie opcje - jeżeli w ciągu 30 min. nastąpi nieudana próba połączenia to blokuje adres iP na zawsze.
6. Kopia konfiguracji Qnapa zapisywana po każdej zmianie ustawień.
7. Ponieważ mam wystawiony Qnapcloud i Cloudlink, to włączona kontrola dostępu i SSL.
8. Włączony antywirus z harmonogramem automatycznego skanowania co tydzień + Malware Remower.
9. Wyłączona Java. Jeżeli aplikacja lub usługa wymaga Javy, a jest konieczna, to szukam rozwiązań alternatywnych tak aby jej nie używać.
10. Powiadomienia o zdarzeniach i alarmach przychodzą mi na telefon. Praktycznie co drugi dzień analizuję zdarzenia, alarmy i błedy. Gdy Rosjanie, Hindusi, Chińczycy czy Koreańczycy sprawdzają mi porty, lub następuje próba logowania się na konto admin, to wycinam całą klasę adresów iP a nie pojedynczy adres. Mam już tego kilkadziesiąt pozycji.
11. Dane są zabezpieczone poprzez RAID 50 + migawki i kopie zapasowe na oddzielnych urządzeniach z polityką kopii codziennych przyrostowych na jednym urządzeniu oraz kopii tygodniowych na drugim.
12. Z aktualizacjami się wstrzymuję i czekam co piszą oraz na co narzekają na forach. Jak jest cisza, to najpierw testuję je na jednym urządzeniu przez kilka dni a dopiero później instaluję na Qnapach produkcyjnych.
Na razie mi się to sprawdza i odpukać nie miałem incydentów.
 
1. Włączone są tyko te usługi, które są konieczne w danym momencie. Usługi nie używane zawsze wyłączone. Wyłączone usługi Telnet, SSH, FTP.
SSH dostępne tylko w VLAN który nie ma wyjścia na świat. Wyłączenie SSH jest dla mnie niemożliwe.
2. Włączone wymuszanie połączenia przez HTTPS i zainstalowany certyfikat SSL.
Co Ci to daje? Poza kłódką w adresie? Nijak się to ma to dziur w QTS.
3. Konto admina z silnym 24 znakowym hasłem i nie używane. Założone inne konto, które pełni role administracyjne.
Ja miałem dodatkowo 2FA na tym koncie i nie pomogło. Bezradne wobec dziur QTS.
5. Włączona ochrona dostępu do sieci - wszystkie opcje - jeżeli w ciągu 30 min. nastąpi nieudana próba połączenia to blokuje adres iP na zawsze.
Wykorzystanie dziur nie generuje błędnych logowań. Poza tym, minimalne ratio to 5 błędów logowań na minutę - jeśli ktoś faktycznie chce łamać hasło bruteforce zrobi to wolniej.
7. Ponieważ mam wystawiony Qnapcloud i Cloudlink, to włączona kontrola dostępu i SSL.
Logowanie poprzez klucz prywatny czy kłódka w adresie? Bo jeśli tylko kłódka w adresie to uległeś propagandzie banków, które od dawna krzyczą na lewo i prawo o sprawdzaniu S w HTTPS, ale dopiero od niedawna uczą userów aby sprawdzali nr konta po wklejeniu.
12. Z aktualizacjami się wstrzymuję i czekam co piszą oraz na co narzekają na forach. Jak jest cisza, to najpierw testuję je na jednym urządzeniu przez kilka dni a dopiero później instaluję na Qnapach produkcyjnych.
Jeśli są poprawki bezpieczeństwa instaluję od razu. Gorsze jest to, że to pewnie i tak za późno ;)

Natomiast punkty, których nie komentowałem to te, z którymi się zgadzam :)