Strategia virusproof (ransomware…) do tworzenia kopii zapasowych na NAS?

12

Kupiłem NAS do udostępniania plików i jako rozwiązanie do tworzenia kopii zapasowych.

Ostatnio mój netbook został zainfekowany ransomware. Wszystkie pliki na netbooku i większość plików na NAS zostały zniszczone (wirus tasuje pierwsze bity plików). Na szczęście mój główny komputer nie został zaatakowany, a ponieważ wykonuję ręczne kopie zapasowe na przenośnym dysku twardym, straciłem wszystko.

Mimo to przestraszyło mnie, ponieważ myślę, że straciłbym dużo danych, gdyby pojawił się na moim głównym komputerze. Rzeczywiście, jeśli kopia zapasowa jest uruchomiona, gdy pliki są uszkodzone, zrobiłbym kopię zapasową uszkodzonych danych na NAS!

Więc moje pytanie: czy istnieje strategia tworzenia kopii zapasowych bez wirusów?

Dziękuję za pomoc

Po przeczytaniu twoich odpowiedzi rozumiem, że potrzebuję dwóch rozwiązań:

  1. Sync moich danych w miejscu, które MOGĄ być dostępne dla klientów tak, że można udostępniać dane między komputerami (ja go nazwać synchronizowane kierunkowy )
  2. Następnie wykonaj kopię zapasową tego zsynchronizowanego obszaru w lokalizacji, do której klienci NIE MOGĄ uzyskać dostępu

Wreszcie moje pytania:

  1. Czy te 2 twierdzenia powyżej są wystarczająco bezpieczne?
  2. Jak skonfigurować to rozwiązanie z komputerami z systemem Windows i serwerem Synology NAS?

Daniel Beck poprosił o więcej szczegółów na temat mojego środowiska:

Mam 2 komputery:

  1. Główny komputer stacjonarny, na którym robię większość rzeczy (sortowanie zdjęć, księgowanie itp.) Ma dyski twarde wystarczająco duże, aby pomieścić wszystkie dane, które muszę udostępnić i wykonać kopię zapasową.
  2. Drugi to netbook. Ma mały dysk twardy, więc nie zawiera wszystkich danych (na przykład żadnych zdjęć). Ale często służy do edycji niektórych dokumentów ze wspólnego obszaru . Czasami utworzę nowe dane, które ręcznie zapiszę we wspólnym obszarze .

W tej chwili wszystkie kopie wykonuję na serwerze NAS ręcznie (nie mam oprogramowania do tworzenia kopii zapasowych).

Mój NAS to Synology DS211j, hostuje udostępnione dane.

Więc chciałbym:

  1. dać dostęp do netbooka do wszystkich danych znajdujących się na komputerze stacjonarnym, nawet jeśli jest zamknięty
  2. Mam rozwiązanie chroniące moje dane przed wirusami.
  3. Skonfiguruj zautomatyzowane rozwiązanie tego wszystkiego.

Dzięki najnowszemu komentarzowi Liori chciałbym spróbować:

  1. Zresetuj moją konfigurację NAS z RAID z 2 dyskami twardymi do 2 oddzielnych woluminów .
  2. Ustaw synchronizację danych w woluminie 1, które będą widoczne dla użytkownika .
  3. Użyj oprogramowania do tworzenia kopii zapasowej czasu Synology NAS , aby wykonać kopię zapasową udostępnionego woluminu 1 na kopii zapasowej woluminu 2 . Tom 2 NIE będzie widoczny dla użytkowników .

Jeśli jest bezpieczny, widzę wiele zalet:

  • Nawet jeśli nie jest tak dobrze, mam dostęp do moich danych przez Internet.
  • Kopia zapasowa danych byłaby zaplanowana na serwerze NAS, nie muszę włączać komputera do tworzenia kopii zapasowych.
  • Miałem swoje dane w 3 lokalizacjach: główny komputer stacjonarny + wspólny wolumin + wolumin kopii zapasowej (w rzeczywistości 4 z ręczną kopią zapasową na dysku twardym USB). Straciłem więc bezużyteczną macierz RAID i otrzymuję bezpieczne kopie zapasowe na dedykowanym dysku twardym.

Myślisz, że to zadziała?

Dzięki jeszcze raz!

backup virus nas Plouff
źródło
1
Kopia zapasowa różni się od synchronizacji. Wyjaśnij, w jaki sposób oba są ze sobą powiązane w twoim przypadku.
Daniel Beck
Ok, to jest bardziej skomplikowane niż myślałem. Mam zamiar zaktualizować odpowiedź ponownie.
Plouff,

Odpowiedzi:

14

Rozwiązaniem jest przechowywanie historii kopii zapasowych.

Możesz przechowywać jedną kopię zapasową dziennie, powiedzmy przez ostatnie siedem dni. Następnie jedna kopia zapasowa na tydzień cztery razy w miesiącu. W ten sposób, jeśli kopia zapasowa z wczoraj została zapisana w złym stanie, należy wykonać kopię zapasową z dnia poprzedniego. Lub możesz wziąć kopię zapasową z ostatniego tygodnia.

Aby zaoszczędzić miejsce, możesz użyć systemu plików z obsługą deduplikacji, użyć twardych łączy lub zapisać różnicę między kopią zapasową. To, które rozwiązanie jest najlepsze, zależy od potrzeb, konfiguracji i uruchomionego oprogramowania.

EDYCJA: Zaktualizowałeś swoje pytanie i dodałeś dodatkowe informacje.

Jak już wiesz, musisz oddzielić dane od kopii zapasowej. Kopia zapasowa jest zawsze nadmiarowa, w miarę możliwości nawet więcej niż jedna kopia. Nie znam twojego rozwiązania NAS i ich oprogramowania do tworzenia kopii zapasowych. Ale mogę ci powiedzieć, jak to rozwiązałem.

Używam starego systemu 300 MHz jako serwera kopii zapasowej, który jest podłączony do serwera plików (w konfiguracji byłby to Twój NAS). Raz dziennie serwer kopii zapasowej włącza się i pobiera kopię zapasową z serwera plików i zapisuje dane na własnych dyskach twardych. Jako oprogramowanie do tworzenia kopii zapasowych używam rsnapshot . Żaden komputer kliencki nie ma dostępu do serwera kopii zapasowej w żaden sposób. I działa tylko przez krótki czas dziennie.

To tylko jedno z wielu możliwych rozwiązań. Kluczowe punkty dobrego rozwiązania to:

  • Przechowuj historię kopii zapasowych
  • Kopia zapasowa jest zawsze nadmiarowa
  • Kopia zapasowa jest przechowywana na innym sprzęcie (np. Drugi dysk, a nie druga partycja na tym samym dysku)
  • Komputery klienckie nie mogą mieć dostępu do kopii zapasowej
  • Tworzenie kopii zapasowej powinno być tak proste, jak to możliwe, w najlepszym razie w pełni automatyczne
  • W zależności od tego, jak często oczekuje się przywracania, przywracanie danych nie powinno być zbyt dużym obciążeniem
Marco
źródło
Rozumiem potrzebę historii tworzenia kopii zapasowych, ale niestety nie sądzę, że zapobiegałoby to zniszczeniu danych przez oprogramowanie ransomware. Być może nie byłem wystarczająco dokładny. Ale oprogramowanie ransomware miało dostęp do NAS poprzez netbook. I zniszczył pliki na NAS!
Plouff,
3
Zrób to na odwrót. (Prawdopodobnie zainfekowani) klienci nie powinni mieć dostępu do zapisu arbitrażowego na serwerze NAS. Serwer zapasowy (może również działać na NAS) powinien pobrać dane od klientów i zapisać je na NAS.
Marco,
W porządku! Teraz rozumiem! Czy można robić takie rzeczy za pomocą Synology NAS?
Plouff,
1
Obawiam się, że twoja odpowiedź nie uwzględnia jednego kluczowego punktu tej strategii: jeśli chcesz zapewnić ochronę przed zmianą kopii zapasowej przez złośliwe oprogramowanie, musisz używać różnych nośników fizycznych dla starych kopii zapasowych. Jeśli użytkownik, podobnie jak w tym przypadku, nie może zagwarantować integralności oprogramowania na swoim komputerze, dlaczego należy ufać uprawnieniom do zapisu na serwerze NAS? Złośliwe oprogramowanie może po prostu ukraść dane logowania z magazynu haseł przeglądarki lub podobnego.
jstarek
Zgadzam się z Tobą. Trochę czasu zajęło mi zrozumienie, że muszę oddzielić udostępnione dane od kopii zapasowych. Czy możesz mi powiedzieć, co myślisz o ostatniej aktualizacji pytania? Dziękuję Ci!
Plouff,
7

Jedynym sposobem na tworzenie kopii zapasowych bez wirusów jest posiadanie historii: musisz przechowywać kopie zapasowe przez kilka dni / tygodni / miesięcy.

Nie gwarantuje to, że jest wolny od wirusów, ale gwarantuje, że możesz odzyskać pliki przed wykryciem ostatniej infekcji.

Jedną bardzo ważną rzeczą dotyczącą kopii zapasowych: komputer „kliencki” nie może mieć dostępu do kopii zapasowych.
Oznacza to, że jest to komputer „serwerowy”, który łączy się z klientem i tworzy kopię zapasową. Większość programów do tworzenia kopii zapasowych nie jest zaprojektowana w ten sposób.
Inną metodą jest usunięcie kopii zapasowych z widoku klienta po zakończeniu. Ale często robi się to źle, co nie prowadzi do zwiększenia bezpieczeństwa.

Gregory MOUSSAT
źródło
Po tym, jak zostałem dotknięty przez oprogramowanie ransomware, próbowałem usunąć kopie zapasowe z widoku klienta, usuwając NAS jako dysk sieciowy na wszystkich komputerach z systemem Windows. W tej chwili uzyskuję dostęp do mojego serwera NAS przez pasek adresu Windows i nie zapisuję hasła. Ale nie wiem, czy oprogramowanie ransomware jest w stanie przeskanować sieć w celu znalezienia innej lokalizacji. Jeśli jest w stanie to zrobić, ponieważ system Windows zapisuje hasło podczas aktywnej sesji (nawet jeśli poprosisz o nie zapisywanie hasła na zawsze), oprogramowanie ransomware może uzyskać dostęp do NAS. Czy istnieje prosty sposób na zastosowanie tego, co powiedziałeś w systemie Windows?
Plouff,
4

To, co wspominasz, wydaje się być wieloma oddzielnymi problemami. Jedno jest łatwiejsze do pokonania (przypadkowe usunięcie lub tworzenie kopii zapasowych złych danych) niż drugie (ukierunkowane złośliwe oprogramowanie).

W kolejności rosnącej ważności / wysiłku w celu zapisania danych:

  1. (Niezauważone) uszkodzenie danych jednego z twoich systemów, które trafiają na dysk kopii zapasowej, usuwają wszystkie dobre dane lub zastępują je badziewiem. Inni wspomniani wcześniej odpowiedzieli na wiele pokoleń. To oszczędza również przed bardziej przyziemnymi problemami, takimi jak złe pisanie przez oprogramowanie (znam ludzi, których oprogramowanie biurowe tworzyło uszkodzone, nieodwracalne pliki) bez zauważenia.

  2. Złośliwe oprogramowanie, które psuje wszystkie pliki na wszystkich podłączonych dyskach. Jest to trudniejsze, ponieważ złośliwe oprogramowanie może po prostu usunąć wszystkie generacje kopii zapasowych lub sprawić, że nie będą nadawać się do użytku, pod warunkiem zautomatyzowanego dostępu do nich. Przechowuj wiele dysków kopii zapasowych i regularnie przełączaj się między nimi. Nigdy nie podłączaj ich w tym samym czasie.

  3. Pożary, włamania, uderzenia pioruna lub znacząca osoba, która lubi rzucać w ciebie (najlepiej drogimi) rzeczami. Zarządzaj wieloma dyskami fizycznymi. Trzymaj jedną z nich poza witryną przez cały czas. Regularnie przełączaj się między nimi, aby upewnić się, że oba są w miarę aktualne. Opcjonalnie dodaj do mieszanki zaufane rozwiązanie do tworzenia kopii zapasowych online.

Oczywiście możesz próbować zapobiec niektórym problemom, np. Utrzymując wiele generacji kopii zapasowych i usuwając wszystkie uprawnienia do zapisu plików po ich zapisaniu, aby złośliwe oprogramowanie nie mogło ich po prostu zastąpić. Nie polegałbym na tym, zwłaszcza jeśli masz już problemy ze złośliwym oprogramowaniem.

Daniel Beck
źródło
Myślę, że zdecydowanie zidentyfikowałeś i oddzieliłeś problemy. Dlatego zamierzam zaktualizować moje pytanie powyżej.
Plouff,
3

Chciałbym zaproponować inne rozwiązanie.

Używaj innej instalacji systemu tylko do tworzenia kopii zapasowych - najlepiej takiej, która jest naprawdę innym systemem operacyjnym. Na przykład możesz utworzyć dysk USB (lub faktycznie zainstalować dodatkowy system operacyjny na dysku kopii zapasowej) za pomocą Linuksa i użyć go do wykonania kopii zapasowej podstawowego systemu operacyjnego, który, jak sądzę, to Windows.

Przechowuj kopię zapasową tylko wtedy, gdy ten dodatkowy system operacyjny jest załadowany.

W ten sposób złośliwe oprogramowanie może zniszczyć kopie zapasowe tylko wtedy, gdy jest przygotowane do działania w dwóch różnych systemach operacyjnych, a ten poziom zaawansowania jest bardzo rzadki (pomyśl o poziomie zaawansowania Stuxnet ).

liori
źródło
Jeśli wdrożysz zbyt skomplikowane rozwiązanie, tak jak proponowane, nie jest prawdopodobne, że nie będziesz wykonywać kopii zapasowej tak często, jak powinieneś. Tworzenie kopii zapasowej powinno być tak proste, jak to możliwe, w najlepszym przypadku w pełni automatyczne. Prostszym rozwiązaniem byłoby wyeksportowanie dysku twardego i pozwolenie serwerowi kopii zapasowej na przechwycenie danych przez sieć LAN. W ten sposób klient (i jego złośliwe oprogramowanie) nie musi mieć dostępu do zapisu na serwerze kopii zapasowej.
Marco,
Zrobiłem to raz i nie uważam tego za skomplikowane. W moim przypadku właśnie przygotowałem zapasowy system operacyjny na zewnętrznym dysku twardym. Jeden ze skryptów startowych sam rozpoczął tworzenie kopii zapasowej, a po jej zakończeniu komputer wyłączył się. Więc wszystko, co musiałem zrobić, to podłączyć dysk twardy, ponownie uruchomić komputer i iść spać. W moim przypadku partycje na tym dysku twardym zostały przygotowane, aby nie instalowały się automatycznie w głównym systemie operacyjnym, więc mogłem podłączyć dysk kopii zapasowej bez martwienia się o bezpieczeństwo kopii zapasowych. To był najbezpieczniejszym rozwiązaniem mogłem zrealizować tanio tylko z dysku twardego, a nie zewnętrzny PC
liori
Nie wspomniałem, że mówię o rozwiązaniu do tworzenia kopii zapasowych w domu. Co więcej, nie jestem tak biegły w IT. Twoje rozwiązanie wydaje się świetne, ale trudne do skonfigurowania. Nie jestem jednak pewien, czy wszystko zrozumiałem.
Plouff,
1
@Plouff: może być wystarczająco dobry. Jeśli ta rzecz: synology.com/dsm/home_backup_desktop_backup.php?lang=enu działa, nawet jeśli serwer NAS nie jest zamontowany bezpośrednio na komputerze (i zamiast tego korzysta z tego, co jest udostępniane z komputera), oznacza to, że masz miejsce na kopię zapasową, która jest niedostępne bezpośrednio na komputerze. Ach, przy okazji, napisałeś, że chcesz używać NAS również do „udostępniania plików” - odradzam to ze względów bezpieczeństwa, ale jeśli nadal chcesz to zrobić, zrób w NAS odrębny wolumin do udostępniania danych, na przykład na zrzucie ekranu tutaj: synology.com/dsm/home_easy_setup_home_storage.php?lang=enu
liori
1
@Plouff: Brzmi nieźle. Jedno: wydaje się, że nie musisz przestać używać RAID. Zgodnie z tą dokumentacją: ukdl.synology.com/ftp/ds/userguide/x11-Series/… , rozdział 4. - możesz skonfigurować „Grupę dysków”, która obsługuje RAID, a następnie utworzyć w nim wiele woluminów.
liori
-1

Jedyną prawdziwą obroną jest regularne klonowanie NAS i przechowywanie co najmniej 2 kopii offline danych na wypadek, gdyby NAS został zaatakowany lub ulegnie awarii podczas klonowania. Biorąc pod uwagę, jak tanio można uzyskać dyski o pojemności wielu terabajtów, jest to o wiele bardziej wykonalne niż kiedyś, zwłaszcza jeśli używasz wnęki typu hot-swap z nagimi dyskami zamiast wstępnie przygotowanych zewnętrznych elementów

Mike Loeven
źródło
To wydaje się być raczej komentarzem niż faktyczną odpowiedzią.
Ramhound,