Conseil achat NAS sécurisé

[Ziug]

Bonjour à tous,
Ma conjointe a été victime d'un ransomware dans son entreprise. La solution de sauvegarde était configurée sur un NAS Qnap TS-x31P3.
Pas de bol, le ransomware s'est également attaqué au NAS, données perdues. Elle s'en sort avec une vieille sauvegarde sur disque dur externe, à l'ancienne, datant d'un an.

Pour ne plus être confronté à ça, je lui cherche un NAS plus sécurisé. En existe t'il avec 2 disques, dont un serait "isolé" du reste du réseau ?
Je pense aussi à la possibilité de brancher un disque dur externe sur le NAS, pour une sauvegarde automatisée, aussitot débranché après sauvegarde.
On tournerait sur deux disques pour les intervertir.

J'aime bien Synology, mais je ne sais pas trop vers quel modèle me tourner.
Il n'y a pas un gros volume de données (1To), des fichiers légers (Word / Excel / Photos) et pas beaucoup d'utilisateurs (3 à 5).

Si vous avez des conseils, je suis preneur !

 

[Neo974]

Bonjour,

La plupart des NAS sont capables de faire la sauvegarde sur un disque dur externe et de l'éjecter après sauvegarde. Le Qnap en est capable, les synology aussi peuvent le faire. ( une fois le disque éjecter il n'est plus accessible jusqu'à qu'une personne le rebranche ou que le NAS redémarre).

Si le ransomware a infecté un pc ou le NAS a été monter en tant que lecteur réseau avec des droits en écriture, peut importe le NAS, cela l'impactera. ( car c'est le pc qui crypte les données auquel il a accès).

l'idée de faire une sauvegarde cyclique via 2 disques est bonne et fonctionnera aussi sur le Qnap actuel.



Si son entreprise souhaite investir pour une meilleure sécurité des données, il peut aussi acheter un deuxième NAS d'une autre marque ( en cas d'attaque ciblé sur une marque), par exemple Synology, et faire des sauvegardes multiversion du premier NAS sur ce second NAS.

Avec par exemple comme réglages le NAS 2 s'allume tous les soirs a 23hr pour la sauvegarde qui durent 2 heures puis s'éteint vers 1h30 quand la sauvegarde est finies. cela limite les risques.
Il ne faudra cependant pas oublier qu'une personne doit l'allumer de temps en temps en journée pour faire les mises a jour système.


Pour Synology tu peux utiliser ce lien qui t'aide a sélectionner un NAS adapté au besoin : https://www.synology.com/fr-fr/support/nas_selector

au vu du besoin, pour un 2 baies je dirai le DS720+ si tu souhaite un 4 baies, je dirai un DS920+

 

[Ziug]

Merci beaucoup. Il n'est donc pas nécessaire de changer le produit, le Qnap ferait l'affaire.
Si il peut sauvegarder sur Hdd externe, puis "éjecter", c'est simplement parfait !
Je vais aller voir sur place et explorer la bête

Merci pour le lien Synology.

Concernant les disques, les WD Red ont l'air correct ? Pas besoin de débit de folie.

 

[Neo974]

La gamme Red est fait pour les petits NAS donc pas de problème.
J'en ai 4 de 4to qui ont 9 ans et encore de l'avenir devant eux.
Je les changes bientôt pour un problème de place et les utiliserai sûrement en backup.

Pour les disques de sauvegarde externe il y a les western digital my éléments ou my book qui sont pas mal.
Dans la rubrique bon plan tu trouveras régulièrement les promos en cours sur ces modèles.

Message automatiquement fusionné : 17 Février 2022

Juste pour être sur d'avoir compris, l'entreprise de ta femme c'est faite attaqué au niveau des PC, ce qui a crypter les pc, et serveurs ou juste les données du NAS et du coup les données qui étaient synchroniser sur les postes ( en épargnant les autres serveurs)?

 

[Ziug]

C'est noté ! Je vous ferai un petit retour sur la solution adopée Merci

Pour l'entreprise de madame, données cryptées sur le serveur, puis sur le NAS. Les postes ont été épargnés.
Le prestataire ne s'est pas cassé la tête, il a tout effacé et restauré une sauvegarde N-1.
J'ai envoyé les fichiers infectés au labo de Bitdefender, ransomware Medusalocker, pas de clé de cryptage public.
Le pirate demande "juste" 10 000 dollars. Il peut s'asseoir dessus lol.

 

[MilesTEG]

Merci beaucoup. Il n'est donc pas nécessaire de changer le produit, le Qnap ferait l'affaire.

Chacun voit midi à sa porte, mais personnellement, vu la catastrophe récente de Q-Locker et des ransomware sur les QNap, même à jour... je n'aurais plus confiance dans cette marque.
Mon avis est sans doute biaisé parce que j'ai un Synology, mais force est de constater que les attaquent ciblent particulièrement les QNap, et qu'ils semblent un peu passoires...

Cela dit, je rejoins ce que dit @Neo974 : si l'attaque est partie des ordinateurs, et à chiffré en passant par des partages réseaux montés dans windows, un Synology aurait subi lui aussi le même résultat. Il faut juste avoir des backup réguliers et à jour pour restaurer en cas de cryptolocking...
Par contre, si l'attaque, même en passant par un PC windows, cible le qnap sur les failles de sécurité sans passer par un partage réseau, là par contre, c'est une autre histoire...

 

[Ziug]

C'est effectivement passé par le mappage réseau du Qnamp à partir du serveur.

 

[Neo974]

Medusalocker semble être un ransomware tout ce qui à de plus banal.

Effectivement peu importe la marque de NAS que tu aurais eu, le résultat aurais été le même.

Attention tu dis que le prestataire a fait une restauration à N-1, j'espère qu'il ne c'est pas arrêté là.

En effet le ransomware a été volontairement (ou non) introduit au sein de l'entreprise et vous n'êtes pas à l'abri que cela se reproduise ou qu'un PC infecté traîne au sein de l'entreprise.

Une analyse plus approfondie de l'incident et de l'ensemble du parc informatique est nécessaire.

 

[EVO]

Le pirate demande "juste" 10 000 dollars. Il peut s'asseoir dessus lol.

10 000 dollars, et sans aucune garantie.

 

[Ziug]

Oui, aucune garantie ^^J'ai contacté le pirate plus par curiosité qu'autre chose.
Le prestataire s'est arrêté à la restauration.

Le reste du parc est sain, tout a été vérifié. La faille viendrait certainement du bureau à distance sous Windows Server 2008.
Norton comme antivirus, en solution "particulier". Tout simplement inadapté.
Mot de passe administrateur : "SOS". Sans commentaire hein.

 

[Neo974]

Norton comme antivirus, en solution "particulier". Tout simplement inadapté.

Effectivement inadapté en entreprise, autant utiliser Windows defender avec des règles avancées.

Mot de passe administrateur : "SOS". Sans commentaire hein.

Déjà rien que le fait que tu connaissent le mot de passe indique que l'entreprise à énormément de boulot à faire côté sécurité informatique.
Ensuite effectivement un pirate prendrais moins de 10 min pour s'introduire sur le serveur avec un tel mot de passe.

Je ne te demanderai pas le nom de l'entreprise et l' ip du serveur
Promis je ne demanderai que 4 000€ de quoi prendre un ds3622 et ses deux extensions ainsi que les disques.

 

[maxou56]

une fois le disque éjecter il n'est plus accessible jusqu'à qu'une personne le rebranche ou que le NAS redémarre

Bonsoir,
Si il est branché, même éjecté, il peut être remonté via une simple commande. Donc il vaut mieux le débrancher physiquement.

Message automatiquement fusionné : 17 Février 2022

Mot de passe administrateur : "SOS". Sans commentaire hein.

Avec "admin" comme compte administrateur je suppose?
Si oui il y a plus que le mot de passe à trouver, et si il n'y a pas de limitation du nombres tentative, en brut force c'est plié en quelques minutes, heures.

Message automatiquement fusionné : 17 Février 2022

Mon avis est sans doute biaisé parce que j'ai un Synology, mais force est de constater que les attaquent ciblent particulièrement les QNap

Il y a eu une attaque "massive" il y a 6-7mois, mais ce n'était pas via une faille de DSM, les NAS impactés avaient le compte admin toujours activé, et pas le limitation de nombres de tentative, plus le port 5000/5001 ouvert, ou DMZ, ou UPnP... De plus les NAS touchés servaient à leur tour de vecteur pour l'attaque.

NAS Synology – Attaques StealthWorker en cours…

Hier, certains d’entre vous nous ont remonté des alertes étranges sur leurs NAS. Des pirates semblent faire des attaques de type brute-force sur les NAS (notamment via le compte admin). Rien de nouveau… mais le nombre de cas détecté est alarmant. Synology s’est fendu d’un communiqué. Il confirme...

www.cachem.fr

 

[Ziug]

Merci pour vos retours.
Selon le prestataire de service, il a mis à jour le système du Nas Qnap pour limiter les risques de (re)cryptage des données.
Je me demande si certaines marques sont plus rassurantes sur les paquets installables pour la sécurité.

Après discussion, on réfléchit à remplacer le serveur obsolète (utilisé uniquement en serveur de données) par un NAS plus "solide".
Avec la sauvegarde sur 2 HDD externes débranchés à tour de rôle.

Neo >> Lol pour la rançon finançant ton DS3622 ^^

 

[Neo974]

Selon le prestataire de service, il a mis à jour le système du Nas Qnap pour limiter les risques de (re)cryptage des données.

Je pense comme je l'ai dit plus haut que le vecteur ayant introduit le ransomware est toujours quelque part ( un employé qui utilise son ordi perso sur le réseau par exemple, ou un pc infecté).

Ca a l'air d'une petite boite, donc je dirais qu'il faut sensibiliser les gens, interdire la connexion de periph perso sur le réseau, et pourquoi pas forcer le reformatage de tous les pc, et réinstallations des serveurs.

Dans les grandes entreprises, les serveurs sont en général réinstaller entièrement, les pc bloqués tant qu'ils n'ont pas été retourner au support qui en général passe les fichiers utilisateurs dans plusieurs antivirus + délai de rétention avant remise des fichiers et les pc tout simplement reformatés.

Les serveurs de data idem, réinstaller et les données passée au crible avant remise en service.

J'en ai mis en place des plans de sauvegarde et de reprise de l'activité dans quelques entreprise.

Je me demande si certaines marques sont plus rassurantes sur les paquets installables pour la sécurité.

Je serais bien tenter de dire Synology, mais toutes les marques peuvent être victimes d'attaque, et les ransomware passant par un pc ou serveur windows comme celui qui a infecté l'entreprise ici sévira peut importe la marque.

Après discussion, on réfléchit à remplacer le serveur obsolète (utilisé uniquement en serveur de données) par un NAS plus "solide".
Avec la sauvegarde sur 2 HDD externes débranchés à tour de rôle.

Pareil, si le ransomware est en réalité un ransomware qui sévit sur windows et s'attaque par l'intermédiaire du pc aux partages réseau, peut importe la marque, les mises a jour ou l'age du NAS, il sera impactés.

Seul une bonne gestion des droits et des sauvegardes régulières peuvent limiter les dégats.

Je pense qu'il y a un gros travail a faire concernant la sécurité informatique dans cette entreprise.


Tant que l'origine de l'infection ne sera pas trouver et supprimer, tu subira des cryptage des dossiers régulièrement.
(a chaque fois qu'il se connectera aux partages réseaux)

 

[Ziug]

J'y vois plus clair sur le besoin vis à vis du Nas :
- Finalement, elle aimerait partir sur un NAS avec accès à distance pour un seul utilisateur, en toute connaissance de cause sur la plus grande vulnérabilité de l'extérieur. Le nas fera office de serveur de stockage, et plus de sauvegarde.
La sauvegarde sera automatisée sur des Hdd externes débranchés à tour de rôle.

Lequel conseillez-vous, chez Synology, pour l'accès à distance ?

Dernière question, toujours face à la menace ransomware, un versionning sur les fichiers serait efficace ?
Via un paquet à installer sur le Nas.

 

[shaks2022]

Bonjour à tous,
Ma conjointe a été victime d'un ransomware dans son entreprise. La solution de sauvegarde était configurée sur un NAS Qnap TS-x31P3.
Pas de bol, le ransomware s'est également attaqué au NAS, données perdues. Elle s'en sort avec une vieille sauvegarde sur disque dur externe, à l'ancienne, datant d'un an.

Pour ne plus être confronté à ça, je lui cherche un NAS plus sécurisé. En existe t'il avec 2 disques, dont un serait "isolé" du reste du réseau ?
Je pense aussi à la possibilité de brancher un disque dur externe sur le NAS, pour une sauvegarde automatisée, aussitot débranché après sauvegarde.
On tournerait sur deux disques pour les intervertir.

J'aime bien Synology, mais je ne sais pas trop vers quel modèle me tourner.
Il n'y a pas un gros volume de données (1To), des fichiers légers (Word / Excel / Photos) et pas beaucoup d'utilisateurs (3 à 5).

Si vous avez des conseils, je suis preneur !

bonjour
la bonne piste est dans ta description : faire régulièrement des sauvegarde 'à l' ancienne ', en se permettant éventuellement de moderniser (automatiser) un peu le processus, mais la clé de la sécurité ne réside pas dans le choix de la marque du NAS( tous les nas se feront attaquer un jour ou l' autre) mais dans le fait d'avoir des bonnes sauvegardes : rechercher 'sauvegarde 3 2 1' sur internet

 

[corbisier]

Chacun voit midi à sa porte, mais personnellement, vu la catastrophe récente de Q-Locker et des ransomware sur les QNap, même à jour... je n'aurais plus confiance dans cette marque

Malheureusement, tous les NAS auraient pu être touché. D'ailleurs d'autres marques le sont encore actuellement. QNAP n'est pas responsable et d'ailleurs à bien aidé une fois qu'ils ont pu stopper l'attaque. Aujourd'hui c'est compliqué et cela va être de pire en pire malheureusement.

Message automatiquement fusionné : 28 Février 2022

Finalement, elle aimerait partir sur un NAS avec accès à distance pour un seul utilisateur

Je ne comprends pas, mais le qnap le fait. Il faut désactiver le compte par défaut admin, et te créer un seul compte administrateur avec la double authentification. Modifier tous les ports par défault, etc...