|
|
|
|
Strumenti |
11-07-2019, 09:43 | #1 |
Junior Member
Iscritto dal: Jan 2006
Messaggi: 13
|
Infrastruttura per ransomware
Ciao a tutti,
ho ereditato un cliente da un concorrente che ha preso un ransomware su un server windows ed ovviamente ha perso vari dati perchè dal server è riuscito ad infettare 3 nas con i backup perchè le cartelle erano esposte con samba. Per evitare un attacco futuro vi descrivo la loro struttura IT e quello che vorrei fare. - PC client tutti windows 7, 8, 10 - 1 server VMWARE con all'interno una macchina virtuale Unix dove gira l'ERP - 1 server Windows Server 2012 che ha il compito di fare il backup della macchina virtuale Unix, raccogliere i backup dei client (in ogni client, allo shutdown, parte una sincronizzazione verso il server Windows), eseguire i backup delle varie cartelle sui NAS. Non con sicurezza certa, ma il server VMWARE e VM Unix non sono attaccabili, o meglio, VMWare forse si essendo Linux (se non erro!!). Il server Windows, beh, è Windows...quindi decisamente attaccabile. Quello che pensavo di fare è questo: - Windows continua ad eseguire il backup di Unix, raccogliere i backup dei client ed eseguire le copie sui nas non più passando dalla rete (disabiliterò samba sui nas) ma tramite ftp come connessione ai nas. Aggiungerò un RDX per effettuare le stesse copie anche su supporto removibile, che saranno 5 cassette per ogni giorno della settimana (fortunatamente non arriviamo ad 1TB di dati in totale). Come software di sincronizzazione (sia sui client verso srv windows, sia da srv windows verso i nas) viene utilizzato SynckBackPRO impostato con copia speculare dell'origine sulla destinazione ma non è possibile gestire backup "per giorni" perchè è sempre una copia 1 a 1 (come se fosse Google Drive), in merito avete qualche suggerimento? Un alternativa a tutto, sarebbe quella di installare VMWARE anche sul server dove c'è installato windows così da poter creare una macchina virtuale Windows 2012 per fare quello che fa adesso, più una macchina virtuale Linux nella quale mettere l'immagine del sistema operativo Windows utilizzando, ad esempio Acronis TrueImage. So che sono stato sicuramente molto prolisso, ma visto che questa azienda ha cambiato fornitore proprio per un ransomware (arrivato da una pec) non vorrei fare la stessa fine... grazie a tutti!!! |
11-07-2019, 13:11 | #2 |
Moderatore
Iscritto dal: Nov 2006
Messaggi: 20825
|
Secondo me parti da un presupposto sbagliato, non esistono sistemi operativi attaccabili (perchè windows) o inattaccabili (perchè *nix) un ransomware è indipendente dalla tipologia di server che usi perchè un client infetto modifica i file sul server in cartelle dove ha l'accesso e per il server è un'operazione lecita
secondo me stai tirando su un architettura inutilmente complicata, imho ti basta una soluzione molto più semplice dove non si usa smb per i backup ma altri protocolli (ftp ad esempio) e in cui le credenziali di accesso siano salvate nel sw di backup quindi sui nas di backup disabiliti tutti i protocolli tranne ftp e procedi da li ps per i backup farei una soluzione con bakup completo + n incrementali o differenziali e per le unità rimuovibili puoi sempre usare la tecnica nonno padre figlio
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX) Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000 |
11-07-2019, 13:54 | #3 | ||
Junior Member
Iscritto dal: Jan 2006
Messaggi: 13
|
Quote:
Quote:
Avendo a disposizione 2 nas ed una mole di dati relativamente piccola (non arrivo a 1 TB) pensavo di eseguire su un nas tramite SynckBack la sincronizzazione dei dati "in chiaro", mentre su un altro nas eseguire il backup della macchina virtuale Unix e l'immagine del server windows (ad esempio con Acronis True Image)...potrebbe essere una struttura valida? Grazie mille |
||
11-07-2019, 14:27 | #4 | |
Senior Member
Iscritto dal: Apr 2005
Messaggi: 4626
|
Quote:
per il discorso ransomware la migliore soluzione è il buonsenso e avere so e antivirus sempre aggiornati, per il resto non esiste la soluzione infallibile |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:16.