[Thread Ufficiale] SYNOLOGY Disk Station: New NAS Experience - News,Test,Faq,ecc.ecc.

[bonzoxxx]

Quote:

Originariamente inviato da ritpetit

E' molto comodo schedulare un backup, ma devi avere la CERTEZZA di non avere problemi sul nas: dopo che 3 anni fa un collega è stato attaccato da un ramsonware, e si è trovato anche il NAS incasinato, preferisco perdere un pò di tempo e lanciare il backup solo se sono sicuro che sia tutto a posto. Sarò eccessivo, ma se quelle sono le uniche due copie dei tuoi dati, preferisco un pò di precauzioni in più

Accendo a mano il disco
Ho scritto "si accende" ma non è corretto, l'alimentatore è staccato e lo attacco a mano.
Il task invece è automatico perchè cosi non devo loggarmi sul nas per avviarlo a mano.

Quote:

Originariamente inviato da bigwillystyle

Domanda banale ho fatto un aggiornamento al mio modem ed è abilitata la possibilità di creare una VPN con WireGuard la mia domanda è :

Differenze rispetto a OpenVPN che uso attualmente sul NAS a livello di sicurezza e velocità chi fa meglio ?

Grazie

Hai un fritzbox vero?
Ho letto da qualche parte che entrambe le VPN hanno pregi e difetti ma che entrambe, in termini di sicurezza, vanno bene entrambe.

[bigwillystyle]

Quote:

Originariamente inviato da bonzoxxx

Accendo a mano il disco
Ho scritto "si accende" ma non è corretto, l'alimentatore è staccato e lo attacco a mano.
Il task invece è automatico perchè cosi non devo loggarmi sul nas per avviarlo a mano.



Hai un fritzbox vero?
Ho letto da qualche parte che entrambe le VPN hanno pregi e difetti ma che entrambe, in termini di sicurezza, vanno bene entrambe.

Si esatto , anche io backup a mano ma il disco lo rimuovo e lo porto fisicamente a lavoro e ogni 9 giorni lo ricollego.

[bonzoxxx]

Quote:

Originariamente inviato da bigwillystyle

Si esatto , anche io backup a mano ma il disco lo rimuovo e lo porto fisicamente a lavoro e ogni 9 giorni lo ricollego.

Azz no no, preferisco lasciarlo li anche se sto considerando di mettere in piedi il backup in un altro luogo per finalmente mettere in atto al 100% la regola del 32110

[DIDAC]

Quote:

Originariamente inviato da ritpetit

E' molto comodo schedulare un backup, ma devi avere la CERTEZZA di non avere problemi sul nas: dopo che 3 anni fa un collega è stato attaccato da un ramsonware, e si è trovato anche il NAS incasinato, preferisco perdere un pò di tempo e lanciare il backup solo se sono sicuro che sia tutto a posto. Sarò eccessivo, ma se quelle sono le uniche due copie dei tuoi dati, preferisco un pò di precauzioni in più




Che si guastino spesso, se prendi dischi buoni...parliamone: vero che la fortuna è cieca e la sfiga ci vede benissimo, ma non è che ogni 3x2 saltano dischi (se si usano le precauzioni giuste, cominciando da un buon UPS)
Che non costino tanto...ho appena comprato due Ironwolf PRO da 10TB e ho speso 600 euro...non è che li regalano (e se cominci ad avere filmati in 4K sul Nas, lo spazio vola...)
Sul Raid5: vuole prendere un NAS a due baie, come fa a farlo che servono almeno 3 dischi? In ogni caso, sempre col concetto di possibili ramsonware, o di guasti elettrici al nas che possono friggere anche tutti i dischi, personalmente del Raid 5 non so che farmene.
Uso il Raid 1 col Nas in ufficio solo per la continuità dei dati

Condivido il tuo punto di vista.
Secondo me un raid5 lo si fa piu per "passione" che per necessità, quando rimaniamo nell'ambito domestico ovviamente. Poi la passione vince sempre sulla razionalità.
Ma allo stesso modo ti dico che io i filmati 4k li ho abbandonati per il "semplice" full hd.
Mi "accontento" perchè avere film in 4k è davvero un salasso in termini di spazio e condivido che i dischi non te li regalano, li hai pure pagati poco tu i pro da 10 TB.
I video del cellulare (non che ne faccia tantissimi) quando mi ricordo li giro in 4k/60 ma durano qualche minuto al massimo.
Devo invece vedere cosa ci stanno salvando i figli sul NAS dato che il backup sul NAS delle loro foto/video è automatico...

[bigwillystyle]

Quote:

Originariamente inviato da bonzoxxx

Azz no no, preferisco lasciarlo li anche se sto considerando di mettere in piedi il backup in un altro luogo per finalmente mettere in atto al 100% la regola del 32110

Motivo per cui lo faccio tanto non mi pesa ogni 9 giorni e fa tutto in auto collego il disco la mattina e la sera lo scollego.

[\_Davide_/]

Quote:

Originariamente inviato da ritpetit

E' molto comodo schedulare un backup, ma devi avere la CERTEZZA di non avere problemi sul nas: dopo che 3 anni fa un collega è stato attaccato da un ramsonware, e si è trovato anche il NAS incasinato, preferisco perdere un pò di tempo e lanciare il backup solo se sono sicuro che sia tutto a posto. Sarò eccessivo, ma se quelle sono le uniche due copie dei tuoi dati, preferisco un pò di precauzioni in più

Non è che lanciandolo a mano il ransomware non passa, e non è detto che ti accorgi di averlo perchè prima si diffonde, poi cripta.
Il modo corretto è fare in modo che non possa avere i permessi per arrivare ai backup, poi può anche girare da solo...

Quote:

Originariamente inviato da ritpetit

Che si guastino spesso, se prendi dischi buoni...parliamone: vero che la fortuna è cieca e la sfiga ci vede benissimo, ma non è che ogni 3x2 saltano dischi (se si usano le precauzioni giuste, cominciando da un buon UPS)
Che non costino tanto...ho appena comprato due Ironwolf PRO da 10TB e ho speso 600 euro...non è che li regalano (e se cominci ad avere filmati in 4K sul Nas, lo spazio vola...)

Io ho un UPS da 6 kVA on-line (vero) che mi tiene su anche tutta la domotica, e nonostante ciò in 10 anni circa ho già sostituito due dischi: un Ironwolf Pro con 1 anno di vita ed un WD Red Pro con 3 anni circa. Altri girano da 10 senza problemi.

Ho un sito di backup da un cliente in sala costantemente a 18°C e con UPS (2) da 15 kVA online e gruppo elettrogeno che tiene su anche la climatizzazione ed anche qui ho cambiato un IronWolf da 2TB ed un Toshiba da 16 nell'ultimo anno che mi ricordi

Quote:

Originariamente inviato da ritpetit

Sul Raid5: vuole prendere un NAS a due baie, come fa a farlo che servono almeno 3 dischi? In ogni caso, sempre col concetto di possibili ramsonware, o di guasti elettrici al nas che possono friggere anche tutti i dischi, personalmente del Raid 5 non so che farmene.
Uso il Raid 1 col Nas in ufficio solo per la continuità dei dati

Infatti, avevo consigliato un NAS a 4 baie.
I ransomware si combattono in altro modo, di guasti elettrici che friggono tutti i dischi, nella mia breve carriera in cui ho visto migliaia di sistemi, non me ne sono mai capitati, a differenza di allagamenti ed incendi (o una volta anche un guasto ad un sistema di estinzione che ha innaffiato di acido un cluster).

[bonzoxxx]

Quote:

Originariamente inviato da bigwillystyle

Motivo per cui lo faccio tanto non mi pesa ogni 9 giorni e fa tutto in auto collego il disco la mattina e la sera lo scollego.

è un disco esterno da 3.5?

[bonzoxxx]

Quote:

Originariamente inviato da \_Davide_/

I ransomware si combattono in altro modo

Anche se è leggermente off topic, che metodi consigli?

[\_Davide_/]

Quote:

Originariamente inviato da bonzoxxx

Anche se è leggermente off topic, che metodi consigli?

Sui NAS (per restare on topic) nella quasi totalità dei casi è sufficiente che gli utenti delle condivisioni (SMB es.) non abbiano accesso al sistema operativo del NAS (DSM), e che ovviamente la destinazione dei backup del NAS non sia visibile a tali utenti.

In questo modo se un ransomware entra infetta tutte le cartelle, ma non il sistema operativo del nas e le destinazioni di backup, rendendoti possibile ripristinare un punto nel passato e tornare rapidamente operativo.

Quindi, ripetendo: l'utente che accede al DSM deve fare solo quello ed essere blindatissimo, senza accesso SMB (per evitare di usarlo anche provvisoriamente) e con 2FA.

L'unico scenario che non viene protetto da una configurazione del genere è una falla sul sistema operativo, quindi anche tenerlo aggiornato non è una brutta idea

[bonzoxxx]

Quote:

Originariamente inviato da \_Davide_/

Sui NAS (per restare on topic) nella quasi totalità dei casi è sufficiente che gli utenti delle condivisioni (SMB es.) non abbiano accesso al sistema operativo del NAS (DSM), e che ovviamente la destinazione dei backup del NAS non sia visibile a tali utenti.

In questo modo se un ransomware entra infetta tutte le cartelle, ma non il sistema operativo del nas e le destinazioni di backup, rendendoti possibile ripristinare un punto nel passato e tornare rapidamente operativo.

Quindi, ripetendo: l'utente che accede al DSM deve fare solo quello ed essere blindatissimo, senza accesso SMB (per evitare di usarlo anche provvisoriamente) e con 2FA.

L'unico scenario che non viene protetto da una configurazione del genere è una falla sul sistema operativo, quindi anche tenerlo aggiornato non è una brutta idea

Giusto, condivido, infatti ho fatto come hai descritto.
Anche disabilitare il default admin è una buona idea, cosi come cambiare le porte di default.

[burghy]

limitare l'accesso web al dsm solo da un ip della rete
se accedono anche da android con dsfile/web/ con drive/ ecc gli si crea la porta ad hoc per il servizio

e naturalmente backup backup e naturalmente backup

[\_Davide_/]

Quote:

Originariamente inviato da bonzoxxx

Giusto, condivido, infatti ho fatto come hai descritto.
Anche disabilitare il default admin è una buona idea, cosi come cambiare le porte di default.

Ah già che Synology continua ad averlo obbligatorio! Sì, assolutamente, si toglie un'altra variabile

Quote:

Originariamente inviato da burghy

limitare l'accesso web al dsm solo da un ip della rete
se accedono anche da android con dsfile/web/ con drive/ ecc gli si crea la porta ad hoc per il servizio

e naturalmente backup backup e naturalmente backup

Ah sì, io nel dubbio accedo solo tramite VPN, preferisco aprire il meno possibile sul web ma ovviamente se si usano i servizi DS Foto etc. si rende necessario

[bonzoxxx]

Quote:

Originariamente inviato da burghy

limitare l'accesso web al dsm solo da un ip della rete
se accedono anche da android con dsfile/web/ con drive/ ecc gli si crea la porta ad hoc per il servizio

e naturalmente backup backup e naturalmente backup

interessante, si può fare?

[burghy]

Quote:

Originariamente inviato da bonzoxxx

interessante, si può fare?

con il firewall del nas si

[DIDAC]

Con il firewall del Nas puoi permettere l'accesso al dsm solo da un ip della rete, ma non so se burghy intendesse questo.
Mi sembra eccessivo. Una volta che sono nella mia lan, con l'utenza amministratore e 2FA, accedo al dsm con qualsiasi terminale.
Certo potrebbero bucarmi il wifi, però poi dovrebbero avere username, password e pure il 2 FA. Abbastanza tosta.

Devo comunque ordinare le mie utenze. Magari crearne una ad hoc anche per la connessione alla VPN e solo per quella e una volta dentro uso altro, già lo faccio ma VPN è attraverso uno degli utenti "locali".

[DIDAC]

Ah ecco si intendevi proprio quello

[bigwillystyle]

Quote:

Originariamente inviato da bonzoxxx

è un disco esterno da 3.5?

Si è se te/me lo stai chiedendo ho anche un altra copia che ruoto mensilmente è una copia su cloud per rispettare il più possibile la regola 321

[burghy]

Quote:

Originariamente inviato da DIDAC

Ah ecco si intendevi proprio quello

si. naturalmente stiamo parlando di proteggere l'accesso dsm da parte della lan in un ambiente multi utente, come piccoli uffici o business.

[DIDAC]

Quote:

Originariamente inviato da burghy

si. naturalmente stiamo parlando di proteggere l'accesso dsm da parte della lan in un ambiente multi utente, come piccoli uffici o business.

Ok ok già mi stavo allertando
È un po' che non scrivo di là, ma passo ogni tanto a leggere

[\_Davide_/]

L'importante sono i permessi degli utenti, lo stesso utente per VPN e file va bene, tanto vengono usati insieme.

Su piccoli uffici è comunque meglio lavorare su un firewall al di fuori del NAS, e gestire le esigenze con quello. Io di solito creo agli utenti una VPN "blindata" sul loro PC personale, entrano su quello in RDP e da lì lavorano come se fossero in ufficio. Fare usare il pc personale è un grandissimo rischio.