bookmaker piše: ↑nedelja, 22. sep. 2019. u 13:47h
Ne spašava ga NAS od ovog virusa. Imaš objašnjenje u linku koji sam iznad postavio.
Samo fizički odvojeni HDD ili nešto drugo je jedino sigurno rešenje.
Konacno nadjoh vremena da malo detaljnije procitam ovaj clanak, i ne vidim kako si dosao do zakljucka da NAS ne spasava od ovog virusa?
Pa upravo sa NAS-a su vratili podatke na server.
Da, imali su srece sto je virus preskocio \\ipadresa\share kombinaciju, ali ko sto pise na kraju clanka, na pocetku su pogresno postavili stvar. Ne treba server da kopira podatke na NAS, vec NAS da kopira podatke sa servera.
Ponovo je stvar u pravima pristupa.
Ako vec pominjes clanak kao referencu, pogledaj i zakljucke na kraju. Par njih:
Backup treba da bude redovan, automatski i višestepeni.
Sa eksternim HDD-om, ovo nije moguce izvesti osim ako je on stalno prikljucen na racunar, a tada se svodi na jos jedan disk u tom racunaru, sto znaci da je direktno podlozan napadu.
Tokom backup‑a server ne treba da kopira podatke na eksterni uređaj – bolje je da eksterni uređaj kopira podatke sa servera, a da server nema nikakva prava na tom uređaju. S druge strane, uređaj treba da ima samo prava čitanja podataka na serveru, za slučaj da neko hakuje backup uređaj.
Ovo je sustina cele price i najvaznija stvar. Ovo sa cloudom nije moguce. Uvek agent sa tvog racunara pise po cloudu, a ne da agent sa clouda pristupa tvom racunaru.
Ovde postoji jedan trade-off. Naime inkrementalni i diferencijalni backup se rade na osnovu archve bita, za koji je neophodno da backup uredjaj ima pravo pisanja. Ako ga nema, svaki backup ce trajati isto kao full, cak i ako sami fajlovi ne budu upisani na backup (uredjaj mora da dovuce fajl i uporedi ga sa postojecim da bi znao da li je menjan).
Ako uredjaj ima pravo pisanja po disku racunara, tada rizikujes ako se zarazi sam uredjaj, ali je to obicno mnogo redji slucaj.
Treba čuvati i ranije verzije fajlova, dakle predvideti dovoljan prostor za backup, ali i način da se kasnije izdvoje fajlovi koji su na serveru obrisani, a na backup‑u sačuvani.
Takodje napisano i ovo obezbedjuje i najtrivijalniji backup program, ali ne i vecina uobicajenih cloud resenja.
Obavezno mora da postoji zadnja rezerva u vidu backup‑a koji je off‑line, a poželjno i čuvan na nekoj udaljenoj lokaciji (off‑site). Cloud backup je takođe dobra ideja, ako je količina podataka umerena a upload komponenta Internet linka izdašna.
Upravo ovo omogucava vecina NAS uredjaja "out of the box". Ako kao NAS koristis neki stari racunar, takodje je to moguce izvesti. Bitno je da se na tom racunaru/NAS-u ne radi. Samo se koriste njegovi servisi.
Da probam da jos malo pojasnim.
Cela poenta je u tome da backup uredjaj (sta god on bio), mora da bude nezavistan od tvog racunara, to jest da racunar, odnosno nalozi na njemu, ne mogu da mu pridju u normalnim situacijama.
Upravo obrnuto uredjaj mora da moze da pridje racunaru.
Ali sada su nalozi koji imaju pravo pristupa na samom backup uredjaju, a njega je mnogo teze zaraziti (naravno uz postovanje barem osnovnih pravila sigurnosti).
Drugim recima, odvajas naloge koji se normalno koriste, od naloga koji se koriste za backup.
Usput... Dejan ocigledno ne poznaje mikrotik dovoljno. Bez ikakvih problema on moze da blokira sav saobracaj sa IP adrese odakle je nekoliko puta (koliko god ti zelis) stigao neuspesni pokusaj logovanja. Bilo za VPN vezu, bilo za pristup nekom od servisa (koje doduse ionako treba iskljuciti). I jos gomilicu raznih varijanti.
Direktno otvaranje RDC porta je tako veliki sigurnosni propust, da prosto ne mogu da poverujem da su ga napravili zbog malo udobnosti (da ne moras prvo da ostvaris VPN konekciju).