Synology Italia - Forum

Ciao a tutti.

Ho un NAS 214+ con due HD da 3TB in raid 1.
Ho impostato un backup di rete su un NAS configurato nella medesima maniera e posto in un altro edificio.

Il problema è che se mi becco un randsomware mi potrebbe intaccare tutti i dispositivi attaccati in rete in quel momento, quindi perderei i dati.

Allora ho collegato un HD ad una porta USB del NAS principale e programmato un script che esegue un backup settimanale tramite la pianificazione, montando e smontando l'HD di backup USB solo nel periodo necessario.
In tale maniera, male che vada, ho qualche possibilità di avere dati integri sul mio HD di backup USB.

Non sarebbe possibile, con un NAS a 4 scompartimenti, impostare i primi due HD in raid 1 per il sistema....e gli altri 2 HD utilizzarli nella maniera in cui sto utilizzando l'HD di backup USB? Cioè montarli tramite script pianificato esclusivamente nel periodo di tempo in cui mi servono e poi mandarli in sospensione?

Gli HD sospesi in teoria credo/spero risulterebbero immuni dal randsomware.

Grazie mille!
Maurizio

in sospensione no. visto che su tutti i dischi ci gira sopra il dsm.
puoi usare i permessi. fai una cartella di backup che può scriverci sopra solo un utente. nella cartella dati invece è quella che avrà i dati.
la sera verrà copiato il dato da dati a backup.
puoi prendere il nas chehai nel secondo edificio solo al backup "offline" lo fai accendere dal 1 al 2 di ogni sera e poi lo fai spegnere in auto. non dai nessuna condivisione smb ma lo usi solo come rsync server. quindi nemmeno il ransomware ci arriva.
in più con i nuovi nas puoi fare le shadow copy quindi tornare indietro ad una snapshot precedente

se hai il principale con le snapshot
il secondo nas giornaliero che si accende solo per il backup
al secondo nas ci attacchi il disco usb che fa una copia mensile.

sarebbe meglio avere due dischi usb da invertire mese con mese in modo da avere un disco offline messo lontano dalla ditta (casa principale o cassetta in banca)

poi ci sarebbero un bel pò di accorgimenti lato client che ti fanno stare tranquillo da operare ma immagino che il tuo it adminisrator le abbia gia messe in pratica nella tua ditta

burghy86 ha scritto:in sospensione no. visto che su tutti i dischi ci gira sopra il dsm.

Ok, chiaro.
Non mi ricordavo che in effetti deve essere installato su ciascun disco del NAS... ho fatto una domanda stupida.
Stavo guardando con gola i NAS da armadio rack a 4 scomparti...ed ho usato troppa fantasia.

puoi usare i permessi. fai una cartella di backup che può scriverci sopra solo un utente. nella cartella dati invece è quella che avrà i dati.
la sera verrà copiato il dato da dati a backup.
puoi prendere il nas che hai nel secondo edificio solo al backup "offline" lo fai accendere dal 1 al 2 di ogni sera e poi lo fai spegnere in auto. non dai nessuna condivisione smb ma lo usi solo come rsync server. quindi nemmeno il ransomware ci arriva.
in più con i nuovi nas puoi fare le shadow copy quindi tornare indietro ad una snapshot precedente

se hai il principale con le snapshot
il secondo nas giornaliero che si accende solo per il backup
al secondo nas ci attacchi il disco usb che fa una copia mensile.

Questo per me è un problema, perchè ho la necessità di avere delle versioni ogni 2 ore dalle 8:00 alle 18:00 tutti i giorni lavorativi, in modo da recuperare eventuali disegni o documenti se li cancello o li comprometto per errore.

Siccome il mio modello non supporta Snapshot Replicator, ho impostato Hyperbackup in maniera da salvarmi le versioni in questa maniera.
Quindi il NAS di backup è la mia macchina per il versioning in pratica.

Sarebbe davvero l'ideale avere un NAS001 in grado di supportare le snapshot ed utilizzare il NAS002 per il puro backup (da impostare come dicevi tu in un orario notturno con accensione e spegnimento automatico del NAS di backup).
Farò richiesta ai capi...sempre se c'è un po' di budget in questo periodo di magra.

sarebbe meglio avere due dischi usb da invertire mese con mese in modo da avere un disco offline messo lontano dalla ditta (casa principale o cassetta in banca)

Ottimo consiglio grazie, ho due HD da 2,5 ed un attacco USB. Sono molto pratici da scambiare...farò così sicuramente!

poi ci sarebbero un bel pò di accorgimenti lato client che ti fanno stare tranquillo da operare ma immagino che il tuo it adminisrator le abbia gia messe in pratica nella tua ditta

Hehe, parli con un responsabile ufficio tecnico, responsabile qualità, coordinatore di saldatura, ecc..ecc..ecc... in pratica la mia ditta, come molte altre, è piccola ed a conduzione famigliare, quindi non ti so dire quante cose ci siano da studiare e da imparare ogni giorno....e non si riesce mai ad approfondire bene ogni campo. Mi piacerebbe.
Sono quindi pure l'administrator con tutti i grossi limiti del caso.

Quindi se hai qualche riferimento o link, o mi puoi dare qualche altro consiglio ti ringrazio tantissimo!

Buona serata!
Maurizio

Non ho capito una cosa e ti volevo chiedere se potevi spiegarmela:

Hai scritto: "non dai nessuna condivisione smb ma lo usi solo come rsync server. quindi nemmeno il ransomware ci arriva."

Cosa intendi per "non dai nessuna condivisione SMB"?
Che vantaggi ci sono nell'impostare un backup rsync rispetto ad un backup su NAS Synology Remoto? Da maggior sicurezza nei confronti dei randsomware?

Grazie ancora
Mauri

Intende dire che la cartella del nas non viene condivisa in rete e quindi non viene né montata né vista dal client che quindi in caso di infezione non te la può criptare.

(inviato con tapatalk)

Per le eliminazioni accidentali puoi abilitare il cestino di rete.
Il backup su synology remoto è un bkp rsync.
Non abiliti il nas smb quindi facendo \\ipdelnas non vedi nulla
La password di questo nas deve essere diversa. Gli utenti usano quella del proprio utente (non admin) cosi se il tecnico prende il virus non cripta la cartella commerciale.

Su tutti i client installa cryptoprevent
I client lavorano con utenti limitati non amministratori
Internet bloccato a pc che non devono usarlo.
Devono leggere la posta gli abiliti solo la porta pop o imap per quel mail server.
Formazione agli utenti (se l'agenzia delle entrate ha una cartella non la manda via mail normale e nemmeno a [email protected])
Controllare controllare e controllare e quindi limitare.

Innanzitutto grazie ad entrambi.

Ho impostato tutto come segue, evidenzio in grassetto i punti critici:

Impostazione NAS001:
1) Solo l’admin è “amministratore” gli altri sono “user”
2) SMB è abilitato per WIN e MAC
3) Hyper Backup è impostato per fare copie di backup ogni 2 ore dalle 8:00 alle 20:00, però ha come destinazione “NAS Synology remoto” (che non utilizza il servizio rsync) e non “server rsync remoto”… devo impostarlo secondo quest’ultima opzione?
4) Un paio di giorni alla settimana eseguo backup tramite Hyper Backup anche su un disco collegato tramite USB, che scambio con un secondo disco che porto fisicamente a casa in un luogo sicuro.

Impostazione NAS002:
1) Solo l’admin è “amministratore”, gli altri sono “user”
2) l’admin ha password diversa rispetto ad admin di NAS001
3) SMB è disabilitato sia per quanto riguarda WIN che MAC.
4) In RETE>Impostazioni DSM ho disabilitato “Abilita Scoperta rete Windows” e “Abilitare il rilevamento servizio Bonjour”.

Per quanto riguarda i Client:
1) Per ogni PC ho creato un “admin” che utilizzo io per la manutenzione mentre l’utente del PC è “user”.
2) Sto provando ad installare Cryptoprevent ma mi da un errore dicendomi che “le protezioni non sono applicate”, vedrò se trovo qualche info online per ovviare al problema.
3) Internet non posso bloccarlo perché ogni PC ha necessità di accesso online.
4) Per quanto riguarda la posta, uso Foxmail installato su una cartella condivisa sul NAS001, della quale faccio il backup. Purtroppo è una necessità perché ho un numero infinito di mail e relativi allegati che dovrei convertire…ecc..
5) Mail Server lo utilizzo per la posta PEC
6) Fatto formazione relativamente alle e-mail fasulle. Un paio mi sono arrivate nei giorni scorsi, subito individuate ed eliminate… ma la minaccia è sempre presente.

Il punto fondamentale del mio sistema, secondo me, è cercare di avere i backup su NAS002 il più blindati possibili.
Dite che sono vicino a quest'obbiettivo?

Grazie ancora dei preziosissimi consigli!
Maurizio