NAS - ochrona przed ransomware

0

Obecnie wybieram sobie nas`a i pojawił się problem, tzn nas ma być do backupu na wypadek awarii dysku jak i potencjalnego ataku ransomware - trochę tych plików od klientów się dostaje nigdy nie wiadomo co w nich siedzi. Problem jest taki, że z tego co czytam to taka apka może zaszyfrować też lokalizacje sieciowe więc w takim razie i mój backup, a tym samym cała ochrona na nic. Ktoś korzysta z takich rozwiązań i wie jak do tego podejść? Jeśli to ma znaczenie to na razie mój wybór padł na ten moment na QNAP TS-231P i dyski iron wolf 2x 4TB a pracuje na win 10.

1

Ja (nie wiem czy poprawnie, bo to mój pomysł ;) ) mam zrobione tak, że serwer bazy danych (MSSQL) robi backup, wrzuca go na udział sieciowy (na QNAPie) a następnie (zadanie ustawione w CRONie) NAS kopiuje sobie te dane do folderu niewidocznego w sieci.

4

QNAP posiadają zaimplementowany mechanizm migawek (think: lvm snapshot / zfs snapshot) - sam wykorzystuję i sobie cenię, w sam raz na ataki ransomware.

1

@Patryk27: no właśnie oni piszą o tym systemie migawek ale nie do końca rozumiem na czym to polega. Mógłbyś coś więcej napisać? To działa na zasadzie takiego wewnętrznego backupu?

1

Bawiłem się tymi migawkami, ale na mój gust to nie jest backup QNAPa.

Generalna zasada jest taka: tam, gdzie Ty masz ze swojego systemu dostęp, ten sam dostęp będzie miał ew. malware. QNAP ma dostęp m.in. przez SSH, sprawdzałeś to, wyłączałeś? Więc załóż dla bezpieczeństwa, że to co możesz zrobić Ty, może zrobić też Twój (ewentualny) malware.

Rozwiązania są następujące:

  1. Dla Windows - możesz mieć ważniejszy backup na wolumenie po NFS, ZTCP na Windows 10 nie da się tego montować bez stawania na uszach, trzeba custom softy ściągać. Potencjalny malware musiałby mieć jakąś własną interpretację klienta NFS, by to "obejść"

  2. Dla Windows - zamontowany masz zasób A, a pod innym userem i hasłem (tymi z QNAP po sambie) jest zasób B. Tutaj Windows nie pozwala łatwo montować drugi zasób (chyba, że czegoś nie wiem), jeśli pierwszy jest zamontowany. Znowu - przy domyślnych ustawieniach QNAP, co sprytny malware może odpytać o zasoby i umieć odmontowywać już "obrobione" i próbować montować nowe. Więc małe, ale ryzyko jest.

  3. Rozwiązanie, które rozwiązuje problem całkowicie i które ja stosuje: mam dyski zewnętrzne (3 - rotuje nimi) dopinane do QNAP. Raz w miesiącu robię jednym z takich dysków kopię 1:1 wszystkich wolumenów. Po miesiącu robię na następny i po 3 miesiącach cykl się powtarza (od pierwszego dysku). W tej sytuacji infliltracja qnapa, nawet w trakcie takiego backupu nie jest groźna, bo zawsze jest kopia danych, które są bezpieczne.

2

Co do migawek - sam chciałem o tym napisać, ale @Patryk27 był szybszy <foch> ;)

Zasada jest taka (w dużym uproszczeniu), że tworzysz sobie (nie pamiętam teraz tych fachowych nazw) jakiś storage, na którym tworzysz woluminy. Jeśli woluminy nie zajmują całego miejsca na tym storage, to podczas zapisu/modyfikacji danych, tak naprawdę nie zmieniasz pliku, ale tworzysz nowy w obszarze woluminu, a stary plik jest przenoszony do "wolnej" przestrzeni - w datastore, ale poza woluminami.

I co jest ważne - dostęp do tych danych jest jedynie z poziomu samego QNAPA, więc nawet jeśli ktoś wbije na NAS'a to i tak nie ma możliwości dostania się do tych danych, nie są one widoczne w żadnym udziale sieciowym. Jedynie można je "przywrócić" w postaci odtworzenia snapshota, czyli przekopiować z "czarnej dziury" do wolumenu, który jest udostępniony użytkownikom/systemom.

Wiem, że może jest to mało fachowo wyjaśnione, ale niedawno załatwiałem takie urządzenia do firmy i trochę gadałem z ludźmi, którzy mocno w tym siedzą. To, co napisałem powyżej to tak "po ludzku" jest napisane to, co oni mi wyjaśniali. Sam kupiłem taki model - https://www.senetic.pl/product/TS-1273U-8G, ale snapshoty są częścią softu a nie urządzenia, więc nawet w prostszych modelach jest dostępna taka funkcjonalność. Fajną rzeczą jest też możliwość postawienia dwóch urządzeń i takie ich skonfigurowanie, żeby jedno było mirrorem drugiego. Poza tym jest też kwestia uprawnień do folderów - jeśli stworzysz folder, do którego można pliki wrzucać, ale nie ma prawa kasowania/modyfikacji już istniejących, to ransomware i tak nie będzie w stanie niczego podmienić z wcześniejszych kopii.

To, co napisał @hipekk też jest mądre - żeby backupu nie wysyłać gdzieś, ale jedynie wystawić do pobrania. Jak serwer wysyła dane do jakiejś lokalizacji, to po wbiciu przez radzieckich hackerów na serwer, maja oni dostęp do wszystkich miejsc, które są znane serwerowi. A w przypadku odwrócenia sposobu pobierania - serwer wystawia backup w określonej lokalizacji, i potem coś z tego miejsca zasysa kopię. Ale ponieważ dzieje się to poza świadomością serwera, który nie ma wiedzy o tym, kto i gdzie pobiera te dane, więc nie ma ryzyka, że włamywacz dostanie się do miejsca trzymania kopii.

0

@cerrato czyli tym samym nawet jak mi coś pozmienia to sobie odtworze wszystko bez problemu, dzięki za wyjaśnienie, teraz tylko nie wiem czy w takim przypadku te 4TB na dysk to nie za mało :D

0

Ja wziąłem 5x10TB spięte w RAID6, ale to tak na początek, za chwilę jeszcze dołożę kilka sztuk. Tylko u mnie ten QNAP będzie spełniał kilka funkcji: dysk sieciowy w LAN, storage dla NextCloud a także backup. I ten backup będzie robiony dwutorowo - jako backup samej bazy, a także jako backup całych maszyn wirtualnych (VMware backupowane przez Veeam). W każdym razie - co do rozmiaru, to sam wiesz najlepiej, ile danych i jak często będziesz tam wrzucać.

0

Sam używam mechanizmu migawek, które robią się co 6 godzin. Musisz tylko przeczytać czy model który wybierzesz je wspiera.

To minimalizuje straty, w razie szyfrowania udziału cofniesz się bezproblemowo do ostatniej migawki. I nie jest to fizyczna kopia plików więc nie zajmują wiele miejsca

0

@cerrato: nie no u mnie to system z podstawowymi apkami + serwery + projekty + jakieś dokumenty + archiwa projektów, których nie chce usuwać to jakieś 500GB a dalej to już kopia różnicowa bedzie i raz w tygodniu przyrostowa. W moim przypadku wystarczy ze 2 tygodnie wstecz utrzymać więc takich wielkości nie potrzebuje :)

0

@Panczo - czy pisząc o migawkach chodziło Ci o to, co oferuje QNAP?

Pytam, bo jak pisałem parę postów wyżej - sam wdrażałem całkiem niedawno takie NASy QNAPa w firmie i "fachowcy" od tych urządzeń mi zupełnie inaczej wyjaśnili, jak te snapshoty działają. Z tego co mówili, to nie jest to tak, jak w przypadku "typowych" backupów, ze kopie się wykonują co określony czas, ale jedynie podczas zapisu danego pliku jego poprzednia wersja zostaje zachowana. Tworzy się początkowego snapshota, a potem jedynie się go aktualizuje podczas zapisu. Jakikolwiek atak ransomwre także jest takim zapisem, więc wtedy, gdy jakieś cholerstwo zacznie nam szyfrować dane, to wersja zdrowa trafi do snapshota.

dalej to już kopia różnicowa bedzie i raz w tygodniu przyrostowa

Nie wiem, czy Twój system/program do backupowania pozwala na takie coś, ale jeśli masz możliwość, to polecam skorzystać z reversed incremental backup - https://www.veeam.com/kb1933 albo https://en.wikipedia.org/wiki/Incremental_backup#Reverse_incremental. Sam się o tym dowiedziałem całkiem niedawno, gdy robiłem opisane w poprzednich postach akcje.

Zasadniczo to zasada "typowego" incrementala jest taka, że masz backup pełny, a potem jedynie nanosisz zmiany. Minusy są dwa: po pierwsze, czasami taka analiza i wygenerowanie kopii różnicowej może trwać dłużej, niż zrzucenie całości, a po drugie - jeśli po kilku dniach od full backupu chcesz coś odtworzyć, to musisz po kolei odtworzyć kopię pełną oraz wszystkie następujące po niej przyrostowe.

W przypadku reverse incremental sytuacja jest taka, że zawsze tworzysz pełną kopię. A następnie ta kopia jest porównywana z poprzednią i na podstawie tego porównania powstaje kopia różnicowa, a kopia pełnia z poprzedniego dnia jest kasowana. Plusy są dwa: zawsze masz dostępną "od ręki" ostatnią kopię - jest ona wersją full, nie trzeba nakładać żadnych różnicowych. A po drugie - jak pisałem, czasami wykonanie kopii różnicowej może być długotrwałe i obciążające. W takim przypadku zrobienie kopii pełnej może być szybsze, a potem już mając kopię wykonana, ze spokojem obie są analizowane i powstaje kopia różnicowa.

1

Piszę o tym https://www.qnap.com/solution/ransomware/pl-pl/

Oczywiście jak dane zostaną zaszyfrowane to w końcu trafia do migawki, ale po to się przechowuje kilka migawek do tyłu aby było do czego wracać...

Raz mi to klienta uratowało w końcu zaszyfrowanie całego udziału zostanie szybko zauważone.

I można wejść do folderu migawek by przywrócić pojedynczy plik.

0

@cerrato: w sumie na tym filmie jest też o tym, że to automatem nie leci, ale mi to nie robi, raz dziennie ustawie i będzie grało.

0

no czyli funkcja jak backupy

No jednak nie do końca.
Backup ma za zadanie w dowolnym momencie przywrócić zawartość dysku. Możesz przywrócić cały dysk, albo wybrane katalogi. Ale zasada jest taka, że backup zapewnia Ci możliwość odtworzenia wszystkich backupowanych danych. Czy jest to robione w postaci kopii pełnej, czy przyrostowej to nie ma tutaj znaczenia.

Natomiast snapshoty/migawki na QNAPie działają inaczej. One nie są backupem, bo nie przechowują kopii wszystkich plików. Nie można ich traktować jako narzędzia do backupowania, bo człowiek może się mocno zdziwić. Migawki mają sens w połączeniu z danymi, które "oficjalnie" trzyma na sobie NAS.

Ponieważ migawki zapisują plik w chwili jego zmiany (jak pisałem - jest to rodzaj wersjonowania), więc wyobraź sobie taki scenariusz: masz jakiś plik, który ostatnio był ruszany pół roku temu. Poza tym masz pliki, z których korzystasz codziennie. Każda operacja zapisu na takich plikach powoduje (o czym pisałem kilka postów wcześniej) wrzucenie ich poprzedniej wersji do "zbiornika" z migawkami. Jak takich operacji będzie dużo, to te używane na codzień pliki zajmą całą przestrzeń przewidzianą na migawki, więc pojawi się konieczność kasowania plików starych. I w końcu poleci kopia (jeśli w ogóle tam kiedykolwiek była) pliku sprzed pół roku.

I teraz - traktując snapshoty jako backup - to mamy problem, bo pliku nie mamy w kopii zapasowej, a jedynie istnieje on na NASie. Ale z drugiej strony - plik jest cały czas dostępny właśnie jako plik na NAS. Jeśli teraz ktoś go przypadkowo skasuje, albo jakieś świństwo będzie chciało go zaszyfrować - nie ma problemu, bo wersja pliku sprzed zmian trafi do składowiska migawek. Czyli - plik jest chroniony, niemniej nie było go wcześniej w snapshotach, więc de facto te snapshoty backupem nie były.

0

@cerrato:

https://www.qnap.com/pl-pl/how-to/tutorial/article/u%C5%BCywanie-migawek-w-systemie-qts-4-3-4/

Migawki to rozwiązanie ochrony danych na poziomie sektorów pozwalające wykonywać lokalne kopie zapasowe danych.

:D

0

@cerrato: coś mylisz, migawka nie działa automatycznie podczas zapisu pliku, tylko wg. Harmonogramu zdefiniowanego przez użytkownika. Zmiana pliku nie powoduje stworzenia jego kopi, jeżeli zmienimy plik pomiędzy tworzeniem migawek, to w niej będzie jego wersja z momentu migawki. Twój opis bardziej pasuje do shadow copy, ale to zupełnie inny mechanizm...

0

A może np. sandboxować za pomocą jaili: https://www.freebsd.org/doc/handbook/jails.html

0

@cerrato: myślę, że to zabezpieczenie bliskie 100%, bo dane offline są zawsze, poza tym, dysku z danymi offline nie muszę podpinać akurat do QNAPa, dystrybucje linuksa rozumieją to jego szyfrowanie (zajebiste ograniczenie hasła do 16 znaków, no elo) i same proponują unlock po zapięciu takiego dysku. To jest metoda, którą stosuje, ona gwarantuje ochronę przed wyjątkowo złośliwym malware, które np. ogarnia panel admina qnap.

Skąd to podejście mi się wzięło: kiedyś coś potrzebowałem zbierać z qnapa dane i zrobiłem prosty crawler, który się logował do interfejsu www i coś zbierał. Poszło gładko, do tego stopnia, że z ciekawości nawet doprogramowałem zabawę apką File Station (samymi requestami HTTP) - było to banalne, np. wylistowanie plików i pobierz/delete wszystkie pliki pięknie łatwo dostepne. Oczywiście trzeba się zalogować na usera z dostępem lub admina.
Pytanie jest: co może zrobić ktoś, kto chce stargetować malware pod qnapy/synology (chyba u domowych obie firmy mają niemały udział w rynku) - podejrzewam, że sporo więcej, zwłaszcza jak będzie miał w kabzie jakiegoś 0 daya. Więc radzę Wasze nasy traktować jako dodatkowe komputery, które same wymagają backupu offline, żebyście się kiedyś nie zdziwili.

@Panczo: Jak rozumiem, jesteś w jakiś sposób związany z QNAP?

// edit: jako potwierdzenie, lista CVE QTSa: https://www.cvedetails.com/vulnerability-list/vendor_id-10080/Qnap.html - sporo 10tek i 9tek ja widzę, co prawda czasem w dodatkowych apkach, ale QNAP, w sensie firma, ma bardzo brzydką praktykę security: po aktualizacji QTSa wracają często wywalane przeze mnie softy do jakichś pomocy technicznych, serwów licencji i innych dupereli, których nie chcę, nie używam. W skrócie mówiąc: QNAP ma w czterech literach, że nie potrzebujesz jakichś "ekstrasów" od nich do QTSa, po aktualizacji firmware często te ekstrasy lubią sobie wrócić bez Twojej wiedzy.

0

@TurkucPodjadek: jestem zwiazany przez użytkowanie, posiadam 2. To moje jedyne zwiazki z QNAP-em

1

Panowie @mr_jaro, @Panczo i @TurkucPodjadek - gadałem niedawno z kolesiem od QNAP'ów i okazało się, że gdy rozmawiałem z nim za pierwszym razem to się nie do końca zrozumieliśmy. On opowiadał o kilku osobnych sprawach, które mi się zmiksowały w jedno hasło o nazwie "snapshoty". Dlatego przepraszam za zamieszanie i próby (nieświadomego) wprowadzenia w błąd, jest tak, jak pisaliście - snapshoty nie wersjonują i trzeba je odpalać ręcznie/cyklicznie.

P.S. dzięki @Tomek Pycia za przypomnienie o tej sprawie. Wątek był z miesiąc temu i zupełnie o nim zapomniałem.

1 użytkowników online, w tym zalogowanych: 0, gości: 1