[分享]Synology DS916+ NAS 面對勒索軟體的解決方案

本帖最後由 pctine 於 2016-7-26 08:47 編輯

重點提示:
*Snapshot & Replication, 以及故障轉移, 模擬故障轉移.
*Cloud Station & Cloud Sync: 私有雲及公有雲同步.
*Hyper Backup: 私有雲之間的備份, 或者是備份至公有雲.


二部曲:面對勒索病毒你準備好了嗎?
近來身邊好幾個朋友公司都中了勒索病毒, 尤其是一般中小企業或是學校, 有時候並沒有真正配置 MIS 或者 IT專職人員, 由同仁身兼數職, 如果本身警覺性不夠加上新款病毒於防毒軟體無法即時攔阻, 只是誤上一些網站及開啟病毒郵件, 就會很容易中毒, 而近來勒索病毒快速的針對電腦硬碟及網路磁碟檔案加密, 若不付贖金則無法解密中毒檔案. 要解決此類問題, 除了在電腦端安裝防毒軟體, 並定時更新病毒碼以外, 善用 DS916+ NAS 上面的諸項安全機置, 不僅能減少被入侵機會, 也能在災害發生後快速的救回中毒檔案.

2-1:Snapshot快照
DS916+ 支援 Btrfs file system, 只要 Synology NAS 有支援 Btrfs 機型就表示具備 Snapshot(快照) 功能, 這裡不去討論太多技術面的細節, 簡單說 Btrfs Snapshot 它具備下列優點.

*每個檔案在 NAS 裡面都存放著一些重要的檔案屬性, 如檔名及檔案資料索引等, 稱為 metadata, 在 Btrfs 為了安全起見存了兩份 metadata.

*可以啟用檔案進階資料一致性的 checksum 功能, 在檔案讀取時就馬上核對 checksum.

*snapshot 可以手動或者排程紀錄下當時共用資料夾內的檔案狀態, 而且運作的速度極快, 也非常省空間. 當需要回溯到某個時間點的檔案時, 能快速的取回之前的檔案版本. 最重要的是 Snapshot 保留下來的檔案是唯讀的, User 或者是病毒是無法去刪除或者修改其檔案內容.

在 Synology NAS snapshot 功能是依據共用資料夾分別設定, 所以我們可以針對較重要的共用資料夾設定排程自動拍攝快照. 執行的週期可以短至每五分鐘拍攝一次快照.

▼選定共用資料夾, 並設定排程


每拍攝一次快照就相當於時間停格一樣, User 可以在 Windows or Mac 下面去瀏覽之前保留下來的檔案版本. (位在每個共用資料夾下的 #snapshot 目錄內)
▼開啟快照瀏覽


▼每個共用資料夾最多可以保留 1024 份快照, 也可以依據 day/week/month/year 分別指定保留的快照份數.


▼在 Windows 底下,  User 可以利用 '以前的版本' 功能檢視各快照所保留下來的檔案, 不用再麻煩 IT or MIS 人員幫你救資料了. (附註:這個功能也可以不啟用, 這樣 User 無法在 Windows '以前的版本' 看到快照內容)


▼Snapshot 拍攝快照及回復檔案的速度非常快, 在誤刪或者中毒後, 可以快速救回. 這裡示範有員工誤砍數個資料夾的檔案.


snapshot 救回整個共用資料夾的檔案也只是需要幾秒鐘而已. 最重要的是, 除了救回整個共用資料夾的檔案外, 也可以直接將之前快照所保留下來的檔案, 另外建立一個新的共用資料夾以供比對, 這樣同時保留現有版本, 回存的檔案視為另一個版本 (在實務上有時候我們需要做新舊版本的比對)
▼示範還原整個共用資料夾的檔案


DS916+ 除了支援 snapshot 功能外, 還支援快照複寫(Replicatioin), 當你有多台 NAS 時, 可以建立 snapshot 的異地備份. 一個來源伺服器的共用資料夾快照, 可以建立高達三個不同的目的地複寫任務(一對三複寫), 快照複寫主要的目的為當來源伺服器無法正常提供服務時, 執行故障轉移來保護資料.

▼設定排程複寫作業. (DS916+ Public 共用資料夾 -> DS415+)


▼於 DS415+ 目標伺服器檢視複寫狀態


當來源伺服器發生故障時或者需要維護時, 我們可以利用故障轉移, 使得目的地伺服器的複寫資料夾 '上線' 提供服務. 而模擬故障轉移就是在目的地伺服器將複寫過來的檔案, 另外做出一個可供讀寫的複本, 以供 User 驗證其內容, 以確保其內容的正確性

▼在目標伺服器上執行模擬故障轉移, 可挑選欲模擬的快照版本.


交換轉移(switchover) 為將來源伺服器和目標伺服器互換角色. 由目標伺服器擔負日後服務的工作.

▼交換轉移作業.


▼交換轉移作業完成後, 原本的複寫路徑為 (DS916+ -> DS415+), 變換為 (DS415+ -> DS916+)


因來源伺服器故障等原因, 已無法提供服務, 在目標伺服器上可以執行 '強制故障轉移', 原本在目標伺服器上複寫過來的快照複本將由唯讀狀態變更為可讀寫狀態. 以擔負起日後服務的需求.

▼於目標伺服器上執行 '強制故障轉移'


當故障轉移後, 原本的來源伺服器和目標伺服器之間的複寫任務已經中斷, 此時若欲恢復複寫任務, 可以使用 '重新保護' 功能, 恢復複寫任務.

▼重新保護-恢復複寫任務.


▼因來源和目標伺服器於故障轉移後, 檔案已呈現不同步狀態, 故必須重新選定以那一台伺服器的資料為基準.


Snapshot 並不是用來完全取代傳統的備份方式, 但它的運作效率極高, 而且更省儲存空間, 善加利用可以解決企業在有限頻寬下異地備份的需求.


2-2:NAS防毒
Synology NAS 內建兩個防毒套件, 除了 Antivirus Essential 為免費外, 另一 "AntiVirus by McAfee" 套件為搭配業界知名 McAfee 病毒掃引擎.
▼執行 NAS 共用資料夾病毒掃描作業


▼使用上非常容易, 直接排程設定定時掃毒即可. 已中毒的檔案也可以自動隔離



2-3:NAS防火牆
對於進階的 User 可以啟用 NAS firewall 功能, 它是針對 NAS 所提供的服務, 針對 IP 或者區域限制它所服務的對象. 一般的 Firewall 大多僅能針對 IP 去做設置, 而 Synology NAS 更增加了 '區域' 的功能. 例如我們可以將特定的服務限制僅供位在台灣的 User 做遠端存取.
▼啟用 NAS firewall 功能, 並編輯 firewall rule


▼此例為 DSM 5000&5001 遠端存取服務.


▼限制來源 IP 的區域(GeoIP).


▼只限台灣的 IP 存取.




另外也建議 user 啟用 '自動封鎖' 功能. 當駭客嘗試入侵 NAS 主機時, 在指定的時間內登入失敗就自動封鎖該來源 IP
▼登入帳密錯誤太多, 自動封鎖功能啟用


▼也可以手動新增排外 IP 名單.


▼檢視登入失敗的來源 IP.



2-4:VPN Server
遠端存取 NAS 時, 為了加強安全性, 通常我們會利用 VPN 和 NAS 連線, 而在 VPN 傳輸過程中, 利用加密防止有心人士藉由監聽網路封包竊取資料. Synology NAS 支援 PPTP & OpenVPN 兩種 VPN 協定,

▼啟用 PPTP VPN Server


▼啟用 OpenVPN Server. OpenVPN 的設置相當容易, 利用匯出設定檔及參考檔案中的說明文件, 即能快速完成建置.


▼VPN 連線狀態清單.



2-5:私有雲及公有雲檔案同步

Synology NAS 提供了 Cloud Station & CloudSync 兩個套件, 達到私有雲及公有雲的檔案同步機置, Cloud Station 主要用於 PC to NAS 以及 NAS to NAS 同步, 而 CloudSync 做為 NAS to 公有雲 (如 Google Drive, Dropbox...) 同步之用.

程式定義:
Cloud Station Server: 安裝於 NAS 上, 做為其他用戶端同步的主 Server.
Cloud Station Drive: Cloud Station 於 Windows or Mac 上的用戶端程式
Cloud Station Backup: 將 PC 端的檔案備份至 NAS 所用的程式.
Cloud Station ShareSync: NAS 端的 Cloud Station client 套件.
DS cloud: Cloud Station 手機端檔案同步 app.

▼ Cloud Station 所支援的各套件及程式.


▼Cloud Station 支援版本控管機置. 可設定保留的檔案版本數.


▼可設定檔案同步 filter


▼詳細的檔案同步日誌.


▼Cloud Station 允許由 PC, Mac, iOS 裝置 & Android 裝置


▼NAS 和 NAS 之間檔案同步可以利用 Cloud Statioin Sharesync 套件.


▼同步方向可以設定為 NAS->PC, PC->NAS  & NAS <->NAS 三種模式.


▼Cloud Sync 套件支援多種公有雲和 NAS 同步功能.


▼上傳至公有雲的檔案, 可以設定加密保護.


▼詳盡的 NAS 同步日誌


▼除了同步方向設定外, 另外也支援上傳至公有雲的檔案皆經過加密編碼保護.



2-6:Hyper Bakcup本機及異地備份

Hyper Backup 套件主要用於備份 NAS 資料及檔案用, 除了傳統的備份至外接硬碟外, 另外也支援備份至遠端的 NAS 及公有雲上.

▼Hyper Backup 支援的媒體列表


▼新增備份工作. 此例為備份至另一台 Synology NAS.


▼Backup Wizard 指定備份目的地 server.


▼備份來源目錄可為子資料夾.


▼可備份應用程式資料庫


▼指定備份保留版本數.


▼線上檢視歷史備份之各版本檔案.


▼內建備份檔案瀏覽器, 執行備份還原作業.


▼做為異動備份 NAS 必須安裝 Hyper Backup Vault 套件.


▼Hyper Backup 多版本備份模式, 其備份目的地的檔案經過特別的編碼方式存檔, 若欲達到備份來源檔案不經額外編碼處理, 可選擇 '本地資料複製' & '遠端資料複製'


▼Hyper Backup 同樣也支援同步至公有雲 (如 dropbox, google drive...)



2-7:安全諮詢中心
最後可透過 '安全諮詢中心' 所提供的 NAS 弱點掃描功能, 找出需改進的安全漏洞及缺失. 弱點掃描可依據家用及商用兩種模式給予不同的建議.

▼給予安全性方面的設定建議.


▼詳細的分析報告及建議解決方案.



經過上述的層層保護及建置上的建議, 不敢說百毒不侵, 但至少讓中毒的機會減至最低, 而在不幸中毒後, 也能透過快照及備份的檔案回存, 快速的回復系統及營運.

好有用

TOP

我選擇貴一倍既DS216+II而冇買216J,就因為前者有btrfs,做到Snapshot功能,感覺真係好實用,好彩冇做錯誤決定...

TOP

我選擇貴一倍既DS216+II而冇買216J,就因為前者有btrfs,做到Snapshot功能,感覺真係好實用,好彩冇做錯誤 ...
EOS5 發表於 2016-7-24 18:49


係啊! 其實 DS216+II 屋企用已經足夠. 不過如果要行 Virtual DSM, 建議 DS716+II 以上.

ps: DS216+II 可以行 Virtual DSM, 要自己 upgrade RAM.

TOP

這帖一定要收藏!

TOP

剛買左415play兩星期就出916+

TOP

thank for sharing....

TOP

剛買左415play兩星期就出916+
bbgirl223 發表於 2016-7-25 22:45


有冇機會多買一部機行兩地 backup ?

TOP

剛剛至有時間詳細睇晒師兄個post,至留意到DS916+ snapshot可以保留到1024個版本,但DS216+II上限只有256個,係咪因為唔同型號有唔同限制呢?如果216+II都有咁多就好了...

TOP

重點提示:
*Snapshot &amp; Replication, 以及故障轉移, 模擬故障轉移.
*Cloud Station &amp; Cloud Sync: 私有雲及 ...
pctine 發表於 2016-7-24 11:27

謝謝分享,全攻略非常有用。

p.s. vpn 應該有三種連接方法吧?!

TOP