Cómo bloquear iSCSI montado en NAS contra ransomware

0

Si bloquea un volumen NAS montado en iSCSI (en el servidor Windows) para que los administradores tengan acceso de solo lectura y su cuenta de copias de seguridad tenga acceso de escritura al sistema de archivos, la cuenta del administrador siempre puede tomar posesión de los archivos, ¿verdad? Siempre existe el riesgo de que el ransomware infecte el sistema y realice una escalada de privilegios, y luego se haga cargo de los archivos y directorios bloqueados antes de cifrarlos, ¿no?

¿Cómo combates esto?

    
pregunta Mokilok 19.02.2017 - 06:38
fuente

2 respuestas

1

Para que esto funcione, DEBES implementar el bloqueo en el lado iSCSI, no en el lado local. El ransomware SIEMPRE puede pasar por alto la seguridad local.

Hay dos formas de bloquearlo:

1: o bien hace que el servidor iSCSI sea completamente de solo lectura. Para facilitar la copia de seguridad, en su lugar, debe hacer que su cliente "comparta" la unidad (SAMBA, FTP o iSCSI) con el servidor iSCSI, y luego el servidor NAS / iSCSI "extraerá" los datos del cliente. (Tenga en cuenta que en realidad es el servidor iSCSI que es el cliente, y su PC de respaldo es el servidor en términos de red, solo para aclarar a qué computadoras me refiero, uso la función intercambiada)

Estos datos deben escribirse de forma incremental, utilizando por ejemplo LVM Snapshots u otra forma incremental para almacenar la información, por lo que incluso si un ransomware sobrescribe los archivos locales, lo que hace que estos archivos locales se transfieran al servidor iSCSI, estos Los archivos dañados NO dañarán las copias de seguridad anteriores.

2: Otra forma de resolver esto, es hacer que el punto final iSCSI real sea de lectura y escritura, pero los datos que escriba en el disco real en el servidor iSCSI serán incrementales. Esto debe aplicarse en el lado del servidor, por lo que no importa cuánto intente el ransomware sobrescribir un archivo, solo se guardará el archivo diferencial, por lo que puede volver fácilmente a la fecha en que el ransomware NO lo sobrescribió.

ventajas:

En el primer caso, podría programar fácilmente las extracciones del cliente en el lado del servidor, evitando, por ejemplo, que un ransomware "bombardee" la unidad NAS escribiendo datos innecesarios hasta que el archivo diff cubra toda la unidad NAS. No importa cuánto el ransomware llene tu disco local con basura, solo se extraerá 2 veces al día.

El segundo caso necesita un poco más difícil, porque en ese caso, corre el riesgo de que el ransomware escriba constantemente en el punto final iSCSI, llenando rápidamente el archivo diff. Esto puede significar que un ransomware podría llenar secretamente el punto final iSCSI, luego esperar que no lo note y luego cifrar los archivos un mes después. Es por eso que necesita imponer algún tipo de puesta en escena, por lo que si ha escrito recientemente en un archivo, su diferencia se sobrescribirá. Es posible que usted mismo pueda codificar algo que imponga esta puesta en escena con instantáneas.

Piensa así, que si escribes en el archivo X 15:05, luego escribe nuevamente 15:06 y luego nuevamente en 17:01, luego escribe nuevamente 22:10, y has configurado la puesta en escena en 6 horas, luego el NAS debe contener el archivo base X anterior a 15: 05, luego una diferencia entre "X anterior a 15: 05 y una de 17:01" y luego una diferencia entre "07:01 y una de 22:10".

De todos modos, asegúrese de recibir una notificación confiable desde el servidor NAS a usted, por ejemplo, un módem GSM y una comunicación por SMS, que el ransomware no pueda tocar, que le notificará, por ejemplo, al 75% de la unidad de disco en el NAS, así que incluso si el ransomware logra llenarlo, recibirás una amplia advertencia antes de que se llene por completo.

Una forma super avanzada de resolverlo:

Puede usar un booter PXE, como iPXE, para arrancar en un pequeño sistema operativo de copia de seguridad, que tiene el nombre de usuario / contraseña de lectura-escritura en su NAS iSCSI, pero, en cada arranque, solo pregunta si desea para hacer una copia de seguridad de la computadora ahora. Aquí puede tener un código PIN o algo para hacer una copia de seguridad que solo acepte 3 reintentos (antes de que deba restablecerse localmente en el servidor PXE), lo que evita que el ransomware solicite el sistema operativo de copia de seguridad mientras Windows se está ejecutando (lo que provocaría una fuga del iSCSI). nombre de usuario / contraseña de lectura-escritura).

Al aplicar la copia de seguridad manual, también evita el riesgo de que el ransomware sobrescriba sus datos locales, y luego sus datos locales se respalden en el servidor, lo que hace que se sobrescriban las copias de seguridad correctas.

De esta manera, realiza un "arranque sin conexión" o "arranque en frío", su sistema operativo principal no se está ejecutando y cualquier cosa maliciosa dentro de él no puede ejecutarse. Y de la misma manera, cualquier cosa maliciosa tampoco puede escribir nada en el sistema operativo de copia de seguridad.

Su sistema operativo local solo tiene un nombre de usuario / contraseña de acceso de solo lectura.

    
respondido por el sebastian nielsen 20.02.2017 - 13:33
fuente
1

Este caso de uso no tiene nada de especial: si teme que el acceso de solo lectura se pueda omitir mediante la escalada de privilegios, asegúrese de que la escalada de privilegios no sea posible en su sistema. Si teme que el ransomware pueda infectar y dañar su sistema, asegúrese de que no llegue a su sistema. Por lo tanto, el problema iSCSI se reduce a otros dos problemas bien conocidos.

Dado que se sabe que estos dos problemas no tienen una solución perfecta, debe asegurarse de que la única solución perfecta contra el ransomware todavía funcione: realice copias de seguridad regulares sin conexión.

    
respondido por el Steffen Ullrich 19.02.2017 - 06:50
fuente

Lea otras preguntas en las etiquetas