NAS達人修鍊術: Synology DS916+ 入門到精通-二部曲:面對勒索病毒你準備好了嗎?

pctine

二部曲:面對勒索病毒你準備好了嗎?
近來身邊好幾個朋友公司都中了勒索病毒, 尤其是一般中小企業或是學校, 有時候並沒有真正配置 MIS 或者 IT專職人員, 由同仁身兼數職, 如果本身警覺性不夠加上新款病毒於防毒軟體無法即時攔阻, 只是誤上一些網站及開啟病毒郵件, 就會很容易中毒, 而近來勒索病毒快速的針對電腦硬碟及網路磁碟檔案加密, 若不付贖金則無法解密中毒檔案. 要解決此類問題, 除了在電腦端安裝防毒軟體, 並定時更新病毒碼以外, 善用 DS916+ NAS 上面的諸項安全機置, 不僅能減少被入侵機會, 也能在災害發生後快速的救回中毒檔案.

2-0:兩步驟驗證
近來最熱門的資安新聞莫過於一銀ATM被盗領數千萬現金一事, 駭客藉由入侵電腦主機再遠端遙控 ATM 隔空取鈔, 在 Synology NAS 系統為了加強登入安全性, 可以啟用兩步驟驗證, 用戶藉由密碼以及自己持有的手機來做為驗證工具, 當你通過第一道帳號密碼驗證後, 系統會要求你輸入手機上所提示的第二道驗證碼, 惟有兩步驟皆輸入正確才能登入系統, 如此即使帳號密碼被有心人盗用, 因對方無法通過第二道防線, 仍然無法進入 DSM NAS 操作系統.

▼於控制台 > 使用者帳號 啟用兩步驟驗證功能

▼同時以手機掃描 QR Code 完成手機端驗證 app 安裝

▼設定電子郵件地址, 當手機遺失時可以發送緊急驗證碼至你的 email.

▼如此即完成設定

▼日後登入 DSM 系統, 皆輸入通過兩道驗證手續

如果該台電腦 200% 不會有它人使用, 那麼可以勾選 '信任這台電腦', 這樣此台電腦日後登入系統只需要帳密即可, 但在其他電腦以相同帳密登入時, 仍需要通過第二道手機驗證碼程序

2-1:Snapshot - File Server 時光回溯器
DS916+ 支援 Btrfs file system, 只要 Synology NAS 有支援 Btrfs 機型就表示具備 Snapshot(快照) 功能, 這裡不去討論太多技術面的細節, 簡單說 Btrfs Snapshot 它具備下列優點.

*每個檔案在 NAS 裡面都存放著一些重要的檔案屬性, 如檔名及檔案資料索引等, 稱為 metadata, 在 Btrfs 為了安全起見存了兩份 metadata.

*可以啟用檔案進階資料一致性的 checksum 功能, 在檔案讀取時就馬上核對 checksum.

*snapshot 可以手動或者排程紀錄下當時共用資料夾內的檔案狀態, 而且運作的速度極快, 也非常省空間. 當需要回溯到某個時間點的檔案時, 能快速的取回之前的檔案版本. 最重要的是 Snapshot 保留下來的檔案是唯讀的, User 或者是病毒是無法去刪除或者修改其檔案內容.

在 Synology NAS snapshot 功能是依據共用資料夾分別設定, 所以我們可以針對較重要的共用資料夾設定排程自動拍攝快照. 執行的週期可以短至每五分鐘拍攝一次快照.

▼選定共用資料夾, 並設定排程

每拍攝一次快照就相當於時間停格一樣, User 可以在 Windows or Mac 下面去瀏覽之前保留下來的檔案版本. (位在每個共用資料夾下的 #snapshot 目錄內)
▼開啟快照瀏覽

▼每個共用資料夾最多可以保留 1024 份快照, 也可以依據 day/week/month/year 分別指定保留的快照份數.

▼在 Windows 底下, User 可以利用 '以前的版本' 功能檢視各快照所保留下來的檔案, 不用再麻煩 IT or MIS 人員幫你救資料了. (附註:這個功能也可以不啟用, 這樣 User 無法在 Windows '以前的版本' 看到快照內容)

▼Snapshot 拍攝快照及回復檔案的速度非常快, 在誤刪或者中毒後, 可以快速救回. 這裡示範有員工誤砍數個資料夾的檔案.

snapshot 救回整個共用資料夾的檔案也只是需要幾秒鐘而已. 最重要的是, 除了救回整個共用資料夾的檔案外, 也可以直接將之前快照所保留下來的檔案, 另外建立一個新的共用資料夾以供比對, 這樣同時保留現有版本, 回存的檔案視為另一個版本 (在實務上有時候我們需要做新舊版本的比對)
▼示範還原整個共用資料夾的檔案

DS916+ 除了支援 snapshot 功能外, 還支援快照複寫(Replicatioin), 當你有多台 NAS 時, 可以建立 snapshot 的異地備份. 一個來源伺服器的共用資料夾快照, 可以建立高達三個不同的目的地複寫任務(一對三複寫), 快照複寫主要的目的為當來源伺服器無法正常提供服務時, 執行故障轉移來保護資料.

▼設定排程複寫作業. (DS916+ Public 共用資料夾 -> DS415+)

▼於 DS415+ 目標伺服器檢視複寫狀態

當來源伺服器發生故障時或者需要維護時, 我們可以利用故障轉移, 使得目的地伺服器的複寫資料夾 '上線' 提供服務. 而模擬故障轉移就是在目的地伺服器將複寫過來的檔案, 另外做出一個可供讀寫的複本, 以供 User 驗證其內容, 以確保其內容的正確性

▼在目標伺服器上執行模擬故障轉移, 可挑選欲模擬的快照版本.

交換轉移(switchover) 為將來源伺服器和目標伺服器互換角色. 由目標伺服器擔負日後服務的工作.

▼交換轉移作業.

▼交換轉移作業完成後, 原本的複寫路徑為 (DS916+ -> DS415+), 變換為 (DS415+ -> DS916+)

因來源伺服器故障等原因, 已無法提供服務, 在目標伺服器上可以執行 '強制故障轉移', 原本在目標伺服器上複寫過來的快照複本將由唯讀狀態變更為可讀寫狀態. 以擔負起日後服務的需求.

▼於目標伺服器上執行 '強制故障轉移'

當故障轉移後, 原本的來源伺服器和目標伺服器之間的複寫任務已經中斷, 此時若欲恢復複寫任務, 可以使用 '重新保護' 功能, 恢復複寫任務.

▼重新保護-恢復複寫任務.

▼因來源和目標伺服器於故障轉移後, 檔案已呈現不同步狀態, 故必須重新選定以那一台伺服器的資料為基準.

Snapshot 並不是用來完全取代傳統的備份方式, 但它的運作效率極高, 而且更省儲存空間, 善加利用可以解決企業在有限頻寬下異地備份的需求.

2-2:NAS防毒
Synology NAS 內建兩個防毒套件, 除了 Antivirus Essential 為免費外, 另一 "AntiVirus by McAfee" 套件為搭配業界知名 McAfee 病毒掃引擎.
▼執行 NAS 共用資料夾病毒掃描作業

▼使用上非常容易, 直接排程設定定時掃毒即可. 已中毒的檔案也可以自動隔離

2-3:NAS防火牆
對於進階的 User 可以啟用 NAS firewall 功能, 它是針對 NAS 所提供的服務, 針對 IP 或者區域限制它所服務的對象. 一般的 Firewall 大多僅能針對 IP 去做設置, 而 Synology NAS 更增加了 '區域' 的功能. 例如我們可以將特定的服務限制僅供位在台灣的 User 做遠端存取.
▼啟用 NAS firewall 功能, 並編輯 firewall rule

▼此例為 DSM 5000&5001 遠端存取服務.

▼限制來源 IP 的區域(GeoIP).

▼只限台灣的 IP 存取.


另外也建議 user 啟用 '自動封鎖' 功能. 當駭客嘗試入侵 NAS 主機時, 在指定的時間內登入失敗就自動封鎖該來源 IP
▼登入帳密錯誤太多, 自動封鎖功能啟用

▼自動封鎖實例, 系統並自動發通知給管理員

▼也可以手動新增排外 IP 名單.

▼檢視登入失敗的來源 IP.

2-4:VPN Server
遠端存取 NAS 時, 為了加強安全性, 通常我們會利用 VPN 和 NAS 連線, 而在 VPN 傳輸過程中, 利用加密防止有心人士藉由監聽網路封包竊取資料. Synology NAS 支援 PPTP & OpenVPN 兩種 VPN 協定,

▼啟用 PPTP VPN Server

▼啟用 OpenVPN Server. OpenVPN 的設置相當容易, 利用匯出設定檔及參考檔案中的說明文件, 即能快速完成建置.

▼VPN 連線狀態清單.

2-5:私有雲及公有雲檔案同步

Synology NAS 提供了 Cloud Station & CloudSync 兩個套件, 達到私有雲及公有雲的檔案同步機置, Cloud Station 主要用於 PC to NAS 以及 NAS to NAS 同步, 而 CloudSync 做為 NAS to 公有雲 (如 Google Drive, Dropbox...) 同步之用.

程式定義:
Cloud Station Server: 安裝於 NAS 上, 做為其他用戶端同步的主 Server.
Cloud Station Drive: Cloud Station 於 Windows or Mac 上的用戶端程式
Cloud Station Backup: 將 PC 端的檔案備份至 NAS 所用的程式.
Cloud Station ShareSync: NAS 端的 Cloud Station client 套件.
DS cloud: Cloud Station 手機端檔案同步 app.

▼ Cloud Station 所支援的各套件及程式.

▼Cloud Station 支援版本控管機置. 可設定保留的檔案版本數.

▼可設定檔案同步 filter

▼詳細的檔案同步日誌.

▼Cloud Station 允許由 PC, Mac, iOS 裝置 & Android 裝置

▼NAS 和 NAS 之間檔案同步可以利用 Cloud Statioin Sharesync 套件.

▼同步方向可以設定為 NAS->PC, PC->NAS & NAS NAS 三種模式.

▼Synology 自家的 RT1900ac 無線路由器也支援 Cloud Station Server 套件.

▼可結合 NAS & Router 私有雲同步

▼Cloud Sync 套件支援多種公有雲和 NAS 同步功能.

▼上傳至公有雲的檔案, 可以設定加密保護.

▼詳盡的 NAS 同步日誌

▼除了同步方向設定外, 另外也支援上傳至公有雲的檔案皆經過加密編碼保護.

於 CloudSync 設定同步至公有雲的檔案自動加密功能雖然好用, 但萬一臨時要從公有雲手動下載已加密檔案, 或者 NAS 一時無法存取時, 因為檔案經過加密, 必須經過解密程序才能取回原始檔案. 此時做法有二種.

若原 NAS 一時無法使用, 可以在另台 Synology NAS CloudSync 重建同步任務, 並輸入原始密碼.

▼重設同步任務, 記得勾選加密, 並輸入原密碼.

▼重新同步後, 會自動從公有雲同步檔案並解密存回 NAS.

另一個方法為至官網下載 Cloud Sync Decryption Tool 解密工具, 只要記得原密碼, 或是保有原私有金錀, 同樣可以解密檔案

▼安裝 Cloud Sync Decryption Tool, 同時自行由公有雲下載已加密過的檔案.

▼解密成功.

2-6:Hyper Bakcup本機及異地備份

Hyper Backup 套件主要用於備份 NAS 資料及檔案用, 除了傳統的備份至外接硬碟外, 另外也支援備份至遠端的 NAS 及公有雲上.

▼Hyper Backup 支援的媒體列表

▼新增備份工作. 此例為備份至另一台 Synology NAS.

▼Backup Wizard 指定備份目的地 server.

▼備份來源目錄可為子資料夾.

▼可備份應用程式資料庫

▼指定備份保留版本數.

▼線上檢視歷史備份之各版本檔案.

▼內建備份檔案瀏覽器, 執行備份還原作業.

▼做為異動備份 NAS 必須安裝 Hyper Backup Vault 套件.

▼Hyper Backup 多版本備份模式, 其備份目的地的檔案經過特別的編碼方式存檔, 若欲達到備份來源檔案不經額外編碼處理, 可選擇 '本地資料複製' & '遠端資料複製'

▼Hyper Backup 同樣也支援同步至公有雲 (如 dropbox, google drive...)

2-7:本尊證明 Let's Encrypt SSL憑證
我們曉得在透過瀏覽器連上 NAS DSM 系統管理時, 可以藉由使用 https (SSL) 全程加密瀏覽器和主機間所傳輸的訊息, 以防止有人士從中竊聽機密資料

但以 https 連上你的 NAS 時最怕看到這個畫面, 因為你尚未幫 NAS 申請一張憑證以證明它是本尊, 在 Synology NAS 可以藉由申請免費的 Let's Encrypt SSL 憑證, 以解決此問題.

▼你的 NAS 網站是不安全性的網站嗎?

▼申請一個 Let's Encrypt 憑證.

▼Let's Encrypt 憑證是免費的.

藉由上面簡單的步驟, 即能在 NAS 上面自動安裝上 SSL 憑證, 確保使用者及 NAS 網站兩方之間皆是安全性的連線.

2-8:安全諮詢中心
最後可透過 '安全諮詢中心' 所提供的 NAS 弱點掃描功能, 找出需改進的安全漏洞及缺失. 弱點掃描可依據家用及商用兩種模式給予不同的建議.

▼給予安全性方面的設定建議.

▼詳細的分析報告及建議解決方案.

經過上述的層層保護及建置上的建議, 不敢說百毒不侵, 但至少讓中毒的機會減至最低, 而在不幸中毒後, 也能透過快照及備份的檔案回存, 快速的回復系統及營運.

原文網址:https://t17.techbang.com/topics/43343-pctine-nass-got-talent-cultivation-episode-two-ransomware-virus-are-you-ready-yet?page=1