Ciao a tutti.
Ho un NAS 214+ con due HD da 3TB in raid 1.
Ho impostato un backup di rete su un NAS configurato nella medesima maniera e posto in un altro edificio.
Il problema è che se mi becco un randsomware mi potrebbe intaccare tutti i dispositivi attaccati in rete in quel momento, quindi perderei i dati.
Allora ho collegato un HD ad una porta USB del NAS principale e programmato un script che esegue un backup settimanale tramite la pianificazione, montando e smontando l'HD di backup USB solo nel periodo necessario.
In tale maniera, male che vada, ho qualche possibilità di avere dati integri sul mio HD di backup USB.
Non sarebbe possibile, con un NAS a 4 scompartimenti, impostare i primi due HD in raid 1 per il sistema....e gli altri 2 HD utilizzarli nella maniera in cui sto utilizzando l'HD di backup USB? Cioè montarli tramite script pianificato esclusivamente nel periodo di tempo in cui mi servono e poi mandarli in sospensione?
Gli HD sospesi in teoria credo/spero risulterebbero immuni dal randsomware.
Grazie mille!
Maurizio
Backup Ridondante contro pericolo Randsomware
-
MauriFerrari
- Utente
- Messaggi: 19
- Iscritto il: giovedì 7 aprile 2016, 16:43
Backup Ridondante contro pericolo Randsomware
- UPS001: APC Back-UPS ES700G (su NAS001)
- UPS002: APC Back-UPS ES550G (su NAS002 dedicato al backup)
- GTW: Draytek Vigor 2830n (3.6.8.2) ISP: ADSL Alice (20M/1M) IP:Static
- SWC: Mikrotik RouterBOARD 1100 AHx2 + Mikrotik CRS125-24G-1S-RM(<-- NAS001 e 002 sono collegati a quest'ultimo)
- NAS001: RS214+ DSM 6.0(8754) 1GB; R1(2xWDRed3TB)LAN:LAG (1+2)
- NAS002: RS214+ DSM 6.0(8754) 1GB; R1(2xWDRed3TB)LAN:LAG 1,2
- CLI: Win7-64, Win8
- ALTRO:
- smartphone (Android,iOS)
- EXP: E4 - NET7 PC:W8,M4,L4
Re: Backup Ridondante contro pericolo Randsomware
in sospensione no. visto che su tutti i dischi ci gira sopra il dsm.
puoi usare i permessi. fai una cartella di backup che può scriverci sopra solo un utente. nella cartella dati invece è quella che avrà i dati.
la sera verrà copiato il dato da dati a backup.
puoi prendere il nas chehai nel secondo edificio solo al backup "offline" lo fai accendere dal 1 al 2 di ogni sera e poi lo fai spegnere in auto. non dai nessuna condivisione smb ma lo usi solo come rsync server. quindi nemmeno il ransomware ci arriva.
in più con i nuovi nas puoi fare le shadow copy quindi tornare indietro ad una snapshot precedente
se hai il principale con le snapshot
il secondo nas giornaliero che si accende solo per il backup
al secondo nas ci attacchi il disco usb che fa una copia mensile.
sarebbe meglio avere due dischi usb da invertire mese con mese in modo da avere un disco offline messo lontano dalla ditta (casa principale o cassetta in banca)
poi ci sarebbero un bel pò di accorgimenti lato client che ti fanno stare tranquillo da operare ma immagino che il tuo it adminisrator le abbia gia messe in pratica nella tua ditta
puoi usare i permessi. fai una cartella di backup che può scriverci sopra solo un utente. nella cartella dati invece è quella che avrà i dati.
la sera verrà copiato il dato da dati a backup.
puoi prendere il nas chehai nel secondo edificio solo al backup "offline" lo fai accendere dal 1 al 2 di ogni sera e poi lo fai spegnere in auto. non dai nessuna condivisione smb ma lo usi solo come rsync server. quindi nemmeno il ransomware ci arriva.
in più con i nuovi nas puoi fare le shadow copy quindi tornare indietro ad una snapshot precedente
se hai il principale con le snapshot
il secondo nas giornaliero che si accende solo per il backup
al secondo nas ci attacchi il disco usb che fa una copia mensile.
sarebbe meglio avere due dischi usb da invertire mese con mese in modo da avere un disco offline messo lontano dalla ditta (casa principale o cassetta in banca)
poi ci sarebbero un bel pò di accorgimenti lato client che ti fanno stare tranquillo da operare ma immagino che il tuo it adminisrator le abbia gia messe in pratica nella tua ditta
NUOVO CANALE DISCORD e telegram
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
https://t.me/Synology_IT
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
https://t.me/Synology_IT
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
- UPS: apc
- GTW: fritzbox ISP: ftth 2.5gb/1) IP:[pubblico]
- SWC: hp gigabit 8 porte with poe
- NAS: 923+ 720+ dmv dal 6.2 alla 7., all hd con wdred/ironwolf da 2/6tb
- CLI: win11 e ubuntu
[altro] - 3 smartphone android, lettore bd , firestik 4k raspberry p3
-
MauriFerrari
- Utente
- Messaggi: 19
- Iscritto il: giovedì 7 aprile 2016, 16:43
Re: Backup Ridondante contro pericolo Randsomware
Ok, chiaro.burghy86 ha scritto:in sospensione no. visto che su tutti i dischi ci gira sopra il dsm.
Non mi ricordavo che in effetti deve essere installato su ciascun disco del NAS... ho fatto una domanda stupida.
Stavo guardando con gola i NAS da armadio rack a 4 scomparti...ed ho usato troppa fantasia.
Questo per me è un problema, perchè ho la necessità di avere delle versioni ogni 2 ore dalle 8:00 alle 18:00 tutti i giorni lavorativi, in modo da recuperare eventuali disegni o documenti se li cancello o li comprometto per errore.puoi usare i permessi. fai una cartella di backup che può scriverci sopra solo un utente. nella cartella dati invece è quella che avrà i dati.
la sera verrà copiato il dato da dati a backup.
puoi prendere il nas che hai nel secondo edificio solo al backup "offline" lo fai accendere dal 1 al 2 di ogni sera e poi lo fai spegnere in auto. non dai nessuna condivisione smb ma lo usi solo come rsync server. quindi nemmeno il ransomware ci arriva.
in più con i nuovi nas puoi fare le shadow copy quindi tornare indietro ad una snapshot precedente
se hai il principale con le snapshot
il secondo nas giornaliero che si accende solo per il backup
al secondo nas ci attacchi il disco usb che fa una copia mensile.
Siccome il mio modello non supporta Snapshot Replicator, ho impostato Hyperbackup in maniera da salvarmi le versioni in questa maniera.
Quindi il NAS di backup è la mia macchina per il versioning in pratica.
Sarebbe davvero l'ideale avere un NAS001 in grado di supportare le snapshot ed utilizzare il NAS002 per il puro backup (da impostare come dicevi tu in un orario notturno con accensione e spegnimento automatico del NAS di backup).
Farò richiesta ai capi...sempre se c'è un po' di budget in questo periodo di magra.
Ottimo consiglio grazie, ho due HD da 2,5 ed un attacco USB. Sono molto pratici da scambiare...farò così sicuramente!sarebbe meglio avere due dischi usb da invertire mese con mese in modo da avere un disco offline messo lontano dalla ditta (casa principale o cassetta in banca)
Hehe, parli con un responsabile ufficio tecnico, responsabile qualità, coordinatore di saldatura, ecc..ecc..ecc... in pratica la mia ditta, come molte altre, è piccola ed a conduzione famigliare, quindi non ti so dire quante cose ci siano da studiare e da imparare ogni giorno....e non si riesce mai ad approfondire bene ogni campo. Mi piacerebbe.poi ci sarebbero un bel pò di accorgimenti lato client che ti fanno stare tranquillo da operare ma immagino che il tuo it adminisrator le abbia gia messe in pratica nella tua ditta
Sono quindi pure l'administrator con tutti i grossi limiti del caso.
Quindi se hai qualche riferimento o link, o mi puoi dare qualche altro consiglio ti ringrazio tantissimo!
Buona serata!
Maurizio
- UPS001: APC Back-UPS ES700G (su NAS001)
- UPS002: APC Back-UPS ES550G (su NAS002 dedicato al backup)
- GTW: Draytek Vigor 2830n (3.6.8.2) ISP: ADSL Alice (20M/1M) IP:Static
- SWC: Mikrotik RouterBOARD 1100 AHx2 + Mikrotik CRS125-24G-1S-RM(<-- NAS001 e 002 sono collegati a quest'ultimo)
- NAS001: RS214+ DSM 6.0(8754) 1GB; R1(2xWDRed3TB)LAN:LAG (1+2)
- NAS002: RS214+ DSM 6.0(8754) 1GB; R1(2xWDRed3TB)LAN:LAG 1,2
- CLI: Win7-64, Win8
- ALTRO:
- smartphone (Android,iOS)
- EXP: E4 - NET7 PC:W8,M4,L4
-
MauriFerrari
- Utente
- Messaggi: 19
- Iscritto il: giovedì 7 aprile 2016, 16:43
Re: Backup Ridondante contro pericolo Randsomware
Non ho capito una cosa e ti volevo chiedere se potevi spiegarmela:
Hai scritto: "non dai nessuna condivisione smb ma lo usi solo come rsync server. quindi nemmeno il ransomware ci arriva."
Cosa intendi per "non dai nessuna condivisione SMB"?
Che vantaggi ci sono nell'impostare un backup rsync rispetto ad un backup su NAS Synology Remoto? Da maggior sicurezza nei confronti dei randsomware?
Grazie ancora
Mauri
Hai scritto: "non dai nessuna condivisione smb ma lo usi solo come rsync server. quindi nemmeno il ransomware ci arriva."
Cosa intendi per "non dai nessuna condivisione SMB"?
Che vantaggi ci sono nell'impostare un backup rsync rispetto ad un backup su NAS Synology Remoto? Da maggior sicurezza nei confronti dei randsomware?
Grazie ancora
Mauri
- UPS001: APC Back-UPS ES700G (su NAS001)
- UPS002: APC Back-UPS ES550G (su NAS002 dedicato al backup)
- GTW: Draytek Vigor 2830n (3.6.8.2) ISP: ADSL Alice (20M/1M) IP:Static
- SWC: Mikrotik RouterBOARD 1100 AHx2 + Mikrotik CRS125-24G-1S-RM(<-- NAS001 e 002 sono collegati a quest'ultimo)
- NAS001: RS214+ DSM 6.0(8754) 1GB; R1(2xWDRed3TB)LAN:LAG (1+2)
- NAS002: RS214+ DSM 6.0(8754) 1GB; R1(2xWDRed3TB)LAN:LAG 1,2
- CLI: Win7-64, Win8
- ALTRO:
- smartphone (Android,iOS)
- EXP: E4 - NET7 PC:W8,M4,L4
-
fullspeed
- Utente
- Messaggi: 1045
- Iscritto il: lunedì 21 settembre 2015, 16:18
- Località: Ad Sextum Lapidem
Re: Backup Ridondante contro pericolo Randsomware
Intende dire che la cartella del nas non viene condivisa in rete e quindi non viene né montata né vista dal client che quindi in caso di infezione non te la può criptare.
(inviato con tapatalk)
(inviato con tapatalk)
"If two people always agree, one of them is useless. If they always disagree, both are useless." (Mark Twain)
- UPS: APC Back-UPS 700VA (BX700UI)
- ISP: Pianeta Fibra FTTH (1000M/1000M); IP: Public
- Switch/Router PPPoE: Asus RT-AX53U (OpenWrt 23.05.5)
- NAS: DS220+ (DSM 7.2.2-72806 Update 3); 6GB; R1(2x Toshiba N300 4TB); 2x 1Gb/s
- NAS: DS416 (DSM 7.2.2-72806 Update 3); 1GB; SHR(3x WD Purple 3TB); 2x 1Gb/s
- NAS: DS215j (DSM 7.1.1-42962 Update 7); 512MB; R1(2x HGST DeskStar NAS 3TB); 1x 1Gb/s
- CLI: Ubuntu Linux 24.04 LTS & 22.04 LTS; Apple Macbook Air (macOS Catalina); Microsoft Windows 11
Altro: WETEK Hub (LibreElec 9.2.8, Kodi 18.9 Leia), Amazon Fire TV Stick, Yamaha RX-V481, WiiM Ultra - EXP: E5 - NET8 PC:W4,M4,L8
Re: Backup Ridondante contro pericolo Randsomware
Per le eliminazioni accidentali puoi abilitare il cestino di rete.
Il backup su synology remoto è un bkp rsync.
Non abiliti il nas smb quindi facendo \\ipdelnas non vedi nulla
La password di questo nas deve essere diversa. Gli utenti usano quella del proprio utente (non admin) cosi se il tecnico prende il virus non cripta la cartella commerciale.
Su tutti i client installa cryptoprevent
I client lavorano con utenti limitati non amministratori
Internet bloccato a pc che non devono usarlo.
Devono leggere la posta gli abiliti solo la porta pop o imap per quel mail server.
Formazione agli utenti (se l'agenzia delle entrate ha una cartella non la manda via mail normale e nemmeno a [email protected])
Controllare controllare e controllare e quindi limitare.
Il backup su synology remoto è un bkp rsync.
Non abiliti il nas smb quindi facendo \\ipdelnas non vedi nulla
La password di questo nas deve essere diversa. Gli utenti usano quella del proprio utente (non admin) cosi se il tecnico prende il virus non cripta la cartella commerciale.
Su tutti i client installa cryptoprevent
I client lavorano con utenti limitati non amministratori
Internet bloccato a pc che non devono usarlo.
Devono leggere la posta gli abiliti solo la porta pop o imap per quel mail server.
Formazione agli utenti (se l'agenzia delle entrate ha una cartella non la manda via mail normale e nemmeno a [email protected])
Controllare controllare e controllare e quindi limitare.
NUOVO CANALE DISCORD e telegram
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
https://t.me/Synology_IT
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
https://t.me/Synology_IT
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
- UPS: apc
- GTW: fritzbox ISP: ftth 2.5gb/1) IP:[pubblico]
- SWC: hp gigabit 8 porte with poe
- NAS: 923+ 720+ dmv dal 6.2 alla 7., all hd con wdred/ironwolf da 2/6tb
- CLI: win11 e ubuntu
[altro] - 3 smartphone android, lettore bd , firestik 4k raspberry p3
-
MauriFerrari
- Utente
- Messaggi: 19
- Iscritto il: giovedì 7 aprile 2016, 16:43
Re: Backup Ridondante contro pericolo Randsomware
Innanzitutto grazie ad entrambi.
Ho impostato tutto come segue, evidenzio in grassetto i punti critici:
Impostazione NAS001:
1) Solo l’admin è “amministratore” gli altri sono “user”
2) SMB è abilitato per WIN e MAC
3) Hyper Backup è impostato per fare copie di backup ogni 2 ore dalle 8:00 alle 20:00, però ha come destinazione “NAS Synology remoto” (che non utilizza il servizio rsync) e non “server rsync remoto”… devo impostarlo secondo quest’ultima opzione?
4) Un paio di giorni alla settimana eseguo backup tramite Hyper Backup anche su un disco collegato tramite USB, che scambio con un secondo disco che porto fisicamente a casa in un luogo sicuro.
Impostazione NAS002:
1) Solo l’admin è “amministratore”, gli altri sono “user”
2) l’admin ha password diversa rispetto ad admin di NAS001
3) SMB è disabilitato sia per quanto riguarda WIN che MAC.
4) In RETE>Impostazioni DSM ho disabilitato “Abilita Scoperta rete Windows” e “Abilitare il rilevamento servizio Bonjour”.
Per quanto riguarda i Client:
1) Per ogni PC ho creato un “admin” che utilizzo io per la manutenzione mentre l’utente del PC è “user”.
2) Sto provando ad installare Cryptoprevent ma mi da un errore dicendomi che “le protezioni non sono applicate”, vedrò se trovo qualche info online per ovviare al problema.
3) Internet non posso bloccarlo perché ogni PC ha necessità di accesso online.
4) Per quanto riguarda la posta, uso Foxmail installato su una cartella condivisa sul NAS001, della quale faccio il backup. Purtroppo è una necessità perché ho un numero infinito di mail e relativi allegati che dovrei convertire…ecc..
5) Mail Server lo utilizzo per la posta PEC
6) Fatto formazione relativamente alle e-mail fasulle. Un paio mi sono arrivate nei giorni scorsi, subito individuate ed eliminate… ma la minaccia è sempre presente.
Il punto fondamentale del mio sistema, secondo me, è cercare di avere i backup su NAS002 il più blindati possibili.
Dite che sono vicino a quest'obbiettivo?
Grazie ancora dei preziosissimi consigli!
Maurizio
Ho impostato tutto come segue, evidenzio in grassetto i punti critici:
Impostazione NAS001:
1) Solo l’admin è “amministratore” gli altri sono “user”
2) SMB è abilitato per WIN e MAC
3) Hyper Backup è impostato per fare copie di backup ogni 2 ore dalle 8:00 alle 20:00, però ha come destinazione “NAS Synology remoto” (che non utilizza il servizio rsync) e non “server rsync remoto”… devo impostarlo secondo quest’ultima opzione?
4) Un paio di giorni alla settimana eseguo backup tramite Hyper Backup anche su un disco collegato tramite USB, che scambio con un secondo disco che porto fisicamente a casa in un luogo sicuro.
Impostazione NAS002:
1) Solo l’admin è “amministratore”, gli altri sono “user”
2) l’admin ha password diversa rispetto ad admin di NAS001
3) SMB è disabilitato sia per quanto riguarda WIN che MAC.
4) In RETE>Impostazioni DSM ho disabilitato “Abilita Scoperta rete Windows” e “Abilitare il rilevamento servizio Bonjour”.
Per quanto riguarda i Client:
1) Per ogni PC ho creato un “admin” che utilizzo io per la manutenzione mentre l’utente del PC è “user”.
2) Sto provando ad installare Cryptoprevent ma mi da un errore dicendomi che “le protezioni non sono applicate”, vedrò se trovo qualche info online per ovviare al problema.
3) Internet non posso bloccarlo perché ogni PC ha necessità di accesso online.
4) Per quanto riguarda la posta, uso Foxmail installato su una cartella condivisa sul NAS001, della quale faccio il backup. Purtroppo è una necessità perché ho un numero infinito di mail e relativi allegati che dovrei convertire…ecc..
5) Mail Server lo utilizzo per la posta PEC
6) Fatto formazione relativamente alle e-mail fasulle. Un paio mi sono arrivate nei giorni scorsi, subito individuate ed eliminate… ma la minaccia è sempre presente.
Il punto fondamentale del mio sistema, secondo me, è cercare di avere i backup su NAS002 il più blindati possibili.
Dite che sono vicino a quest'obbiettivo?
Grazie ancora dei preziosissimi consigli!
Maurizio
- UPS001: APC Back-UPS ES700G (su NAS001)
- UPS002: APC Back-UPS ES550G (su NAS002 dedicato al backup)
- GTW: Draytek Vigor 2830n (3.6.8.2) ISP: ADSL Alice (20M/1M) IP:Static
- SWC: Mikrotik RouterBOARD 1100 AHx2 + Mikrotik CRS125-24G-1S-RM(<-- NAS001 e 002 sono collegati a quest'ultimo)
- NAS001: RS214+ DSM 6.0(8754) 1GB; R1(2xWDRed3TB)LAN:LAG (1+2)
- NAS002: RS214+ DSM 6.0(8754) 1GB; R1(2xWDRed3TB)LAN:LAG 1,2
- CLI: Win7-64, Win8
- ALTRO:
- smartphone (Android,iOS)
- EXP: E4 - NET7 PC:W8,M4,L4