Une stratégie anti-virus (ransomware…) pour la sauvegarde sur un NAS?

12

J'ai acheté un NAS pour partager des fichiers et comme solution de sauvegarde.

Récemment, mon netbook a été infecté par un ransomware. Tous les fichiers sur le netbook et la plupart des fichiers sur le NAS ont été détruits (le virus mélange les premiers bits des fichiers). Heureusement, mon PC principal n'a pas été attaqué et comme je fais des sauvegardes manuelles sur un disque dur portable, j'ai tout perdu.

Mais quand même, cela m'a fait peur car je pense que je pourrais perdre beaucoup de données si elles apparaissaient sur mon PC principal. En effet, si une sauvegarde est en cours d'exécution lorsque les fichiers sont corrompus, je sauvegarderais les données corrompues sur le NAS!

Donc ma question: existe-t-il une stratégie de sauvegarde anti-virus?

Merci de votre aide.

Donc, après avoir lu vos réponses, je comprends maintenant que j'ai besoin de deux solutions:

  1. Sync mes données dans un emplacement CAN accessibles par les clients afin que je puisse partager des données entre les ordinateurs (je l'appellerais la zone synced )
  2. Sauvegardez ensuite cette zone synchronisée dans un emplacement auquel les clients NE PEUVENT PAS accéder

Enfin mes questions:

  1. Ces 2 affirmations ci-dessus sont-elles suffisantes pour être en sécurité?
  2. Comment configurer cette solution avec des ordinateurs sous Windows et un Synology NAS?

Daniel Beck a demandé plus de détails sur mon environnement:

J'ai 2 PC:

  1. Le PC de bureau principal avec lequel je fais la plupart des choses (tri des photos, comptabilité, etc.) Il a des disques durs assez grands pour contenir toutes les données dont j'ai besoin pour partager et sauvegarder.
  2. Le second est un netbook. Il a un petit disque dur, donc il ne contient pas toutes les données (par exemple pas de photos). Mais il est souvent utilisé pour modifier certains documents de la zone partagée . Parfois, je crée de nouvelles données que j'enregistre manuellement dans la zone partagée .

Pour le moment, je fais toutes les copies sur le NAS manuellement (je n'ai pas de logiciel de sauvegarde).

Mon NAS est le Synology DS211j, il héberge les données partagées.

Je voudrais donc:

  1. donner accès au netbook à toutes les données qui se trouvent sur le PC de bureau même s'il est éteint
  2. Avoir une solution pour protéger mes données contre les virus.
  3. Mettez en place une solution automatisée pour tout cela.

Grâce au dernier commentaire de Liori, voici ce que j'aimerais essayer:

  1. Réinitialiser ma configuration NAS à partir de RAID avec 2 disques durs sur 2 volumes séparés .
  2. Configurez une synchronisation des données sur le volume 1 qui sera vue par l'utilisateur .
  3. Utilisez le logiciel de sauvegarde de l'heure du Synology NAS pour sauvegarder le volume partagé 1 sur le volume de sauvegarde 2 . Le volume 2 ne sera PAS vu par les utilisateurs .

Si c'est sûr, je vois beaucoup d'avantages:

  • Même si ce n'est pas si bon, je garde l'accès à mes données via Internet.
  • La sauvegarde des données serait programmée sur le NAS, je n'ai pas besoin de laisser mon ordinateur allumé pour les sauvegardes.
  • J'aurais mes données sur 3 emplacements: PC de bureau principal + volume partagé + volume de sauvegarde (4 en fait avec la sauvegarde manuelle sur disque dur USB). J'ai donc perdu un RAID inutile et j'obtiens des sauvegardes sécurisées sur un disque dur dédié.

Pensez-vous que cela fonctionnerait?

Merci encore!

backup virus nas Plouff
la source
1
La sauvegarde est différente de la synchronisation. Veuillez expliquer comment les deux sont liés dans votre cas.
Daniel Beck
Ok, c'est plus compliqué que je ne le pensais. Je vais mettre à jour la réponse à nouveau.
Plouff

Réponses:

14

La solution est de conserver un historique des sauvegardes.

Vous pouvez stocker une sauvegarde quotidienne, disons pour les sept derniers jours. Ensuite, une sauvegarde par semaine quatre fois par mois. De cette façon, si la sauvegarde d'hier a été enregistrée dans un mauvais état, vous reprenez la sauvegarde de la veille. Ou vous pouvez prendre la sauvegarde de la semaine dernière.

Pour économiser de l'espace, vous pouvez utiliser un système de fichiers avec prise en charge de la déduplication, utiliser des liens durs ou stocker uniquement la différence entre la sauvegarde. La meilleure solution dépend de vos besoins, de la configuration et du logiciel que vous exécutez.

EDIT: Vous avez mis à jour votre question et ajouté des informations supplémentaires.

Comme vous le savez déjà, vous devez séparer les données de la sauvegarde. Une sauvegarde est toujours redondante, si possible même plus d'une copie. Je ne connais pas votre solution NAS et leur logiciel de sauvegarde. Mais je peux vous dire comment j'ai résolu cela.

J'utilise un ancien système à 300 MHz comme serveur de sauvegarde, qui est connecté au serveur de fichiers (ce serait votre NAS dans votre configuration). Une fois par jour, le serveur de sauvegarde se met en marche et extrait la sauvegarde du serveur de fichiers et écrit les données sur ses propres disques durs. En tant que logiciel de sauvegarde, j'utilise rsnapshot . Aucun ordinateur client n'a accès au serveur de sauvegarde de quelque façon que ce soit. Et il ne fonctionne que peu de temps par jour.

Ce n'est qu'une solution possible parmi tant d'autres. Les points clés d'une bonne solution sont:

  • Gardez un historique des sauvegardes
  • Une sauvegarde est toujours redondante
  • Une sauvegarde est stockée sur un matériel différent (par exemple, un deuxième lecteur, pas une deuxième partition sur le même lecteur)
  • Les ordinateurs clients ne doivent pas avoir accès à la sauvegarde
  • La sauvegarde doit être aussi simple que possible, au mieux entièrement automatique
  • Selon la fréquence à laquelle les restaurations sont attendues, la restauration des données ne devrait pas être trop lourde.
Marco
la source
Je comprends la nécessité de l'historique des sauvegardes mais malheureusement, je ne pense pas que cela aurait empêché le ransomware de détruire les données. Je n'étais peut-être pas assez précis. Mais le ransomware avait accès au NAS via le netbook. Et cela a détruit les fichiers du NAS!
Plouff
3
Faites-le dans l'autre sens. Les clients (éventuellement infectés) ne doivent pas avoir un accès en écriture arbitraire sur le NAS. Le serveur de sauvegarde (peut également fonctionner sur le NAS) doit extraire les données des clients et les enregistrer sur le NAS.
Marco
D'accord! Je comprends maintenant! Est-il possible de faire des choses comme ça avec un Synology NAS?
Plouff
1
Je crains que votre réponse ne manque un point clé de cette stratégie: si vous souhaitez fournir une protection contre l'altération de la sauvegarde par un logiciel malveillant, vous devez utiliser différents supports physiques pour les anciennes sauvegardes. Si l'utilisateur, comme dans ce cas, ne peut pas garantir l'intégrité du logiciel sur son ordinateur, pourquoi les autorisations d'écriture sur le NAS devraient-elles être approuvées? Les logiciels malveillants peuvent simplement voler les informations de connexion du magasin de mots de passe d'un navigateur ou similaire.
jstarek
Je suis d'accord avec toi. Il m'a fallu un peu de temps pour comprendre que je dois séparer les données partagées des sauvegardes. Pourriez-vous me dire ce que vous pensez de la dernière mise à jour de la question? Je vous remercie!
Plouff
7

La seule façon d'avoir des sauvegardes sans virus est d'avoir une sorte d'historique: vous devez stocker vos sauvegardes pendant plusieurs jours / semaines / mois.

Cela ne garantit pas l'absence de virus, mais cette garantie vous permet de récupérer des fichiers avant de découvrir une infection récente.

Une chose très importante à propos des sauvegardes: l'ordinateur "client" ne doit pas avoir accès aux sauvegardes.
Cela signifie que c'est l'ordinateur "serveur" qui se connecte au client et effectue la sauvegarde. La plupart des programmes de sauvegarde ne sont pas conçus de cette façon.
Une autre méthode consiste à supprimer les sauvegardes de la vue du client une fois cela fait. Mais cela est souvent mal fait, n'entraînant aucune augmentation de la sécurité.

Gregory MOUSSAT
la source
Après avoir été touché par le ransomware, j'ai essayé de supprimer les sauvegardes de la vue du client en supprimant le NAS en tant que lecteur réseau sur toutes les machines Windows. Donc, pour le moment, j'accède à mon NAS via la barre d'adresse Windows et je n'enregistre pas le mot de passe. Mais je ne sais pas si un ransomware est capable de scanner le réseau pour trouver un autre emplacement. S'il est capable de le faire, puis puisque Windows enregistre le mot de passe pendant la session active (même si vous demandez de ne pas enregistrer le mot de passe pour toujours), le ransomware pourrait accéder au NAS. Existe-t-il un moyen simple d'appliquer ce que vous avez dit sur Windows?
Plouff
4

Ce que vous mentionnez semble être de multiples problèmes distincts. L'un est plus facile à surmonter (suppressions accidentelles ou sauvegarde de mauvaises données) que l'autre (malware ciblé).

Par ordre croissant de gravité / effort pour sauvegarder vos données:

  1. (Inaperçu) corruption des données de l'un de vos systèmes qui parviennent au lecteur de sauvegarde, supprimant toutes les bonnes données ou les remplaçant par de la merde. Les autres répondeurs mentionnés précédemment conservent plusieurs générations. Cela vous évite également des problèmes beaucoup plus banals, comme les logiciels qui font de mauvaises écritures (je connais des gens dont le logiciel de bureau a créé des fichiers cassés et irrécupérables) sans que vous ne le remarquiez.

  2. Malware qui casse tous les fichiers sur tous les disques connectés. Celui-ci est plus difficile, car les logiciels malveillants peuvent simplement supprimer ou rendre inutilisables toutes les générations de sauvegarde, en leur donnant un accès programmatique. Conservez plusieurs disques de sauvegarde et basculez régulièrement entre eux. Ne les connectez jamais en même temps.

  3. Incendies, cambriolage, coups de foudre ou un autre significatif qui aime vous lancer des choses (de préférence chères). Maintenez plusieurs disques physiques. Gardez l'un d'eux hors du site à tout moment. Basculez régulièrement entre eux pour vous assurer que les deux sont raisonnablement à jour. En option, ajoutez une solution de sauvegarde en ligne en laquelle vous avez confiance au mix.

Bien sûr, vous pouvez essayer d'éviter certains problèmes en conservant par exemple plusieurs générations de sauvegarde et en supprimant toutes les autorisations d'écriture sur les fichiers une fois qu'ils ont été écrits, de sorte que les logiciels malveillants ne peuvent pas simplement les écraser. Je ne m'y fierais pas, surtout si vous avez déjà des problèmes de malware.

Daniel Beck
la source
Je pense que vous avez clairement identifié et séparé les problèmes. Je vais donc mettre à jour ma question ci-dessus.
Plouff
3

Je voudrais suggérer une autre solution.

Utilisez une installation système différente uniquement pour les sauvegardes, de préférence une installation qui est vraiment un système d'exploitation différent. Par exemple, vous pouvez créer un lecteur USB (ou installer le système d'exploitation secondaire sur le lecteur de sauvegarde) avec Linux et l'utiliser pour sauvegarder votre système d'exploitation principal, qui, je suppose, est Windows.

Connectez uniquement le stockage de sauvegarde lorsque ce système d'exploitation secondaire est chargé.

De cette façon, un malware ne pourrait détruire vos sauvegardes que s'il était prêt à fonctionner sous deux systèmes d'exploitation différents, et ce niveau de sophistication est très très rare (pensez à la sophistication de niveau Stuxnet ).

liori
la source
Si vous implémentez une solution trop compliquée, comme celle proposée, il est peu probable que vous ne sauvegardiez pas aussi souvent que vous le devriez. Une sauvegarde doit être aussi simple que possible, dans le meilleur des cas entièrement automatique. Une solution plus simple serait d'exporter le disque dur et de laisser le serveur de sauvegarde simplement saisir les données via LAN. De cette façon, le client (et son malware) n'a pas besoin d'avoir un accès en écriture sur le serveur de sauvegarde.
Marco
Je l'ai fait une fois et je ne pense pas que ce soit compliqué. Dans mon cas, je viens de préparer le système d'exploitation de sauvegarde sur le disque dur externe. L'un des scripts de démarrage a démarré la sauvegarde elle-même, et lorsque la sauvegarde est terminée, il a éteint l'ordinateur. Donc, tout ce que j'avais à faire était de connecter le disque dur, de redémarrer mon ordinateur et d'aller dormir. Dans mon cas, les partitions sur ce disque dur ont été préparées pour ne pas être montées automatiquement sur le système d'exploitation principal, donc je pouvais en fait brancher le lecteur de sauvegarde sans se soucier beaucoup de la sécurité des sauvegardes. C'était la solution la plus sûre que je pouvais réaliser à moindre coût avec juste un disque dur et aucun PC externe
liori
Je n'ai pas mentionné que je parle d'une solution de sauvegarde à domicile. De plus, je ne parle pas aussi bien l'informatique. Votre solution me semble excellente, mais difficile à mettre en place. Mais je ne suis pas sûr d'avoir tout compris.
Plouff
1
@Plouff: ça pourrait être suffisant. Si cette chose: synology.com/dsm/home_backup_desktop_backup.php?lang=enu fonctionne même si le NAS n'est pas monté directement sur votre PC (et utilise à la place tout ce qui est partagé depuis le PC), alors vous aurez un espace de sauvegarde qui est pas directement accessible par le PC. Ah, btw, vous avez écrit que vous vouliez également utiliser le NAS pour «partager des fichiers» - je vous déconseille de le faire pour des raisons de sécurité, mais si vous voulez toujours le faire, créez un volume distinct à l'intérieur du NAS pour partager des données, comme sur la capture d'écran ici: synology.com/dsm/home_easy_setup_home_storage.php?lang=enu
liori
1
@Plouff: Ça a l'air sympa. Une chose: il semble que vous n'ayez pas à arrêter d'utiliser le RAID. Selon cette documentation: ukdl.synology.com/ftp/ds/userguide/x11-Series/… , chapitre 4. - vous pouvez configurer un «groupe de disques» qui fait le RAID, puis créer plusieurs volumes à l'intérieur.
liori
-1

La seule véritable défense est de cloner régulièrement votre NAS et de conserver au moins 2 copies hors ligne des données au cas où le NAS serait attaqué ou échouerait lors du clonage. Compte tenu du prix avantageux que vous pouvez obtenir des disques de plusieurs téraoctets, cela est en fait beaucoup plus faisable qu'auparavant, surtout si vous utilisez une baie de remplacement à chaud avec des disques nus au lieu d'externes prédéfinis

Mike Loeven
la source
Cela semble être plus un commentaire qu'une réponse réelle.
Ramhound