Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nas storage beschermen tegen crypto-bedreigingen

23-10-2015, 14:35 door gogonal, 11 reacties
Laatst bijgewerkt: 23-10-2015, 14:41
Ik heb een NAS (dient als bestandsbackup) in mijn netwerk, die alleen vanuit mijn netwerk te benaderen is. Diverse mappen zijn wel benaderbaar (met admin account) vanaf een W7 PC. Kan cryptomalware via die PC de bestanden op de NAS versleutelen ? Ja toch? En hoe zorg ik dat een cryptoware besmetting op die PC zich niet kan uitbreiden naar die gedeelde NAS folders. Is het uitschakelen van de 'Windows File Service' op de NAS afdoende ?

Hoe bescherm ik de data op de NAS? Beste setup?
Reacties (11)
23-10-2015, 14:55 door wallum
Als cryptomalware wordt uitgevoerd, heeft het dezelfde gebruikersrechten als de gebruiker op dat account. Als je onder Windows een netwerkverbinding hebt gemaakt naar je NAS zodat je rechtstreeks bestanden op de NAS kunt openen en opslaan, kan de cryptomalware ook bij die bestanden. Als je altijd moet inloggen om op je NAS te komen, kan de meeste cryptomalware volgens mij niet bij de NAS.
23-10-2015, 15:25 door Anoniem
Zorg wel dat je bij je nas moet inloggen met een lang wachtwoord. 100 tekens hoeft niet, maar het liefst 16 of meer, omdat het dan moeilijk raden word voor het virus mocht het brute force uitproberen.

En update je NAS altijd. En als je hem niet zo vaak gebruikt, en alleen binnen je thuisnetwerk, kan je hem ook gewoon uit het stopcontact halen als je hem niet gebruikt.
23-10-2015, 15:35 door karma4
Je heb een NAS die dient als intern backup. Hij is wel benaderbaar vanaf het interne netwerk.
Een ieder die verbinding naar buiten maakt en op het interne netwerk zit zou theoretisch als bot gebruikt kunnen worden om de NAS te compromiteren. Het compromiteren kan mnet gewone Linux tools direct gebeuren. Het is wat de sinology is overkomen met een directe internet verbinding. Veel hacks gaan tegenwoordig over een hop.

Dan heb nog net de diverse mappen open staan vanaf een W7 pc. Bestanden die versleuteld en veranderd worden op die W7 die gecompromiteerd is gaan zo naar de NAS.

Mitigerend:
- Zorg dat de NAS alleen echt aan staat als de gecontroleerde backup gemaakt wordt /// verder niets.
- Zorg voor een vroegtijdige herkenning als er wat mis is (IDS)
- Maar 1 backup apparaat? Waarom gebruik je niet verschillende in een afwisselende round-robin?
23-10-2015, 17:03 door Anoniem
Als je Windows file service uit gaat zetten, hoe ga je dan de backups opslaan?

Gebruik je FTP voor het backuppen?

In dat geval kun je het volgende doen: stel de ftp server zo in dat hij sticky bits toepast en voor elke upload een chown uitvoert. Elke file die jij dan naar je nas upload onder jouw username kan dan alleen aangepast worden door de account waar de chown actie voor is ingesteld. Maw je kan alleen uploaden, niets wijzigen en niets verwijderen. Af en toe vanaf een andere pc met de master account inloggen om oude backups te verwijderen en cryptoware maakt minder kans. vsftpd kan dit, of de ftp server van jouw nas dat ook kan zul je moeten uitzoeken.

Echter, omdat het gijzelen van bestanden vanaf een externe pc zeer veel bandbreedte kan kosten en traag zal gaan zal de meeste ransomware proberen de nas te besmetten en daar het proces uit te voeren. Daartegen kun je niet veel doen dan een besmetting voorkomen met up-to-date firmware en de firewall van de nas te beperken tot smb of ftp.
24-10-2015, 11:23 door gogonal - Bijgewerkt: 24-10-2015, 11:26
Dank voor de antwoorden! Ik heb de gebruikersnaam + wachtwoord alvast uit de vault gehaald in Windows Credential Manager. Nu kan ik de NAS alleen benaderen na het invoeren van gebruikersnaam en wachtwoord.

Ter aanvulling: De NAS heeft naast de backup taak ook nog een ander taak: aansturen securitycams. Mijn beperkte budget staat niet toe dat ik daar een apart device voor aanschaf.

De data die gebackup bestaat uit heel veel data die op aanvullingen na niet wijzigt. Ik heb dit niet geautomatiseerd omdat de data die ik maandelijks toevoeg erg klein is. Wel had ik een automatische backup van mijn OS. Wellicht dat ik die toch weer aanzet met een aparte inl,,og die alleen toegang geeft tot de OS backup-folder? Of is dat onverstandig?

"Maar 1 backup apparaat? Waarom gebruik je niet verschillende in een afwisselende round-robin?"

De data (oa enorm veel zelfgemaakt ongecomprimeerde videobestanden; oa gedigitaliseerde 16mm en vhs opnames ) staat op:
1. HDD's van PC
2. NAS
3. 100+ DVD's (don't ask hoeveel tijd dit heeft gekost...)

De backups op de NAS werk ik maandelijks bij. (toevoegen nieuwe bestanden) De DVD backup-collectie jaarlijks.

Omdat ik alles op DVD heb gebrand zou je zeggen: waarom je zo druk maken ? Je hebt toch een offline backup die niet te encypten is? Klopt. Maar vind maar eens de tijd om 100+ DVD's aan data terug te zetten.

@regeerder 4

Interessante input. Voor de data gebruikte ik handmatig backuppen via Windows Explorer, Nu via de browser. Wellicht is het beter FTP-functie te gebruiken daarvoor. Ik ga dat van die vsftpd en die chow-actie uitzoeken. Uploaden is meer dan afdoende.

Voor mijn OS backup gebruikte ik Acronis. Die wekelijks een version chain backup aanmaakte naar een folder op mijn NAS.
Die backup is nu uitgeschakeld omdat ik eerst wil uitzoeken hoe ik die het veiligst kan instellen. En/of Windows FIle Service noodzakelijk is om Acronis te laten functioneren.
24-10-2015, 21:36 door Euro10000
Zorg dat je nas een andere user/wachtwoord heeft dan je pc's.
Zorg dat je op je nas alleen inlogt als gewone gebruiker(tijdens backup maken).
Zorg dat je je nas kunt instellen met file version, dus dat je oude backups altijd weer terug kunt krijgen, dus bijv een crypto virus, die je files besmet op je nas, dan zou je dus terug kunnen gaan naar niet besmette files.
Altijd op alle mappen die gedeeld zijn een wachtwoord zetten om in te loggen
Nooit op je pc werken als administrator, dit is heel erg fout, en je geeft crypto virus de vrije hand om alles op je pc te doen wat de virus wilt.

Zoek goed uit hoe je een backup moet maken, vaak heb je een kleine fout erin, wat je open zet om alles te verliezen.
Backup! hier hoort heel erg bij, beveiligen en hoe om te gaan met een pc, als je hier een fout maakt dan is je backup misschien ook niet meer goed.
24-10-2015, 22:09 door Anoniem
FTP is een basaal en simpel protocol dat een hoge performance kent. Met de juiste FTP server (bv VerySecureFTPDaemon) software kan er veel minder misgaan dan bij het complexere SMB protocol dat door Windows en Samba wordt gebruikt. Active FTP is echter een drama om over NAT devices te routen en kent geen enkele beveiliging van het datakanaal. CHange OWNership en het sticky bit moet je op je NAS regelen, wat een probleem kan zijn met alleen een webinterface als configuratie tool. Akronis kan naar mijn weten ook overweg met FTP servers.

Tip voor beginners: gebruik in geen geval FTP om je NAS vanaf Internet te benaderen en let HEEL goed op bij het instellen van de firewall van de NAS; in het ergste geval lock je jezelf uit van de webinterface en is de enige oplossing een factory reset die je software RAID array van je NAS kapot maakt en al je data laat verdwijnen.
25-10-2015, 00:24 door Anoniem
Cryptolockers gaan nu nog voor de bekende bestandsformaten: doc(x), xls, jpg, enz. Als de bestanden in een ander formaat staan is de kans al kleiner dat er iets mee gebeurd. Gebruik dus een backuppakket en kopieer niet simpelweg de bestanden naar een share.

Verder zie ik hierboven genoeg tips staan om een veilige backup te maken. Samengevat houdt dat in dat je een gebruiker aanmaakt speciaal voor het maken van de backups, Maak op je nas een share aan waar alleen die gebruiker rechten heeft en maak vanuit je werkstation onder die gebruiker backups naar de share. Gebruik die gebruiker alleen om backups te maken.
Gebruik een dns dienst als opendns, in veel gevallen is dat al genoeg om ellende buiten de deur te houden. Een cryptolocker komt vaak in twee stappen binnen. Eerst een vrij onschuldig "tooltje" dat als enige taak heeft de cryptolocker binnen te halen en af te vuren. Opendns is meestal in staat de dns requests voor dit soort downloadacties af te vangen.
25-10-2015, 12:39 door Anoniem
Een nas gebruiken die snapshots toe laat, en dan iedere dag een snapshot maken. Zodra je last krijgt van een cryptolocker: verwijderen en daarna de snapshot terugzetten. Probleem gemitigeerd.

Helaas werken hierboven aangedragen oplossingen vaak niet omdat het reactieve maatregelen zijn (virusscanners lopen achter, het is ondoenlijk en onmogelijk om alle kwaadaardige sites in DNS te blokkeren, etc). Maar security hoort meerlaags te zijn, en het gebruik van diverse maatregelen reduceert de kans (aanzienlijk) dat je data kwijtraakt.
28-10-2015, 11:54 door Anoniem
Zorg er voor dat de user die je hebt aangemaakt op de NAS voor filesharing doeleinden alleen lokaal kan inloggen (door een toetsenbord en muis aan de NAS te hangen), dus schakel RDP uit. Op die manier kan een cryptolocker alleen de gedeelde bestanden op je NAS versleutelen. Er kan op die manier geen code van de infectie op je NAS worden uitgevoerd. Deel nooit systeembestanden of mappen van de NAS. Maak naar een locatie die je niet deelt automatisch dagelijks (incrementele) backups. Als er dan een netwerkshare geïnfecteerd wordt, zijn alleen je bestanden verloren gegaan maar is de NAS vrij van de infectie. Maak de share leeg en plak je backup terug. Maximale dataloss: 24 uur aan werk. NAS is vrij van malware.

Installeer altijd een goede anti-malware, EMET en firewall op cliënt én NAS. Activeer automatische updates. Zet op de NAS alle services uit die je niet gebruikt.

Op deze manier ben je al een heel eind!
28-10-2015, 22:03 door Anoniem
Tips in deze topic kunnen trouwens ook misbruikt worden om te verkennen hoe NAS systemen doorgaans beveiligd worden om ze vervolgens effectiever aan te kunnen vallen..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.