Floating digital folders labeled with project and archive names, accompanied by images of people collaborating in an office.

4–6 minuti

to read

Proteggere i Backup Veeam da Ransomware su NAS Synology

I ransomware moderni non si limitano a cifrare i server di produzione: il loro primo obiettivo sono i backup. Se un utente malintenzionato o un malware riesce a prendere il controllo del server di backup, utilizzerà le credenziali salvate per accedere al NAS e cancellare ogni punto di ripristino, lasciandoti senza armi per il recupero.

In questa guida vedremo come mettere in sicurezza un’infrastruttura di backup esistente composta da Veeam Backup & Replication e un NAS Synology , configurato in un ambiente protetto senza accesso a Internet.

Scenario di Partenza

Assumiamo che tu abbia già un ambiente di backup così configurato:

Un server dedicato (es. Windows Server) con Veeam installato.
Un NAS Synology utilizzato come Backup Repository tramite una cartella condivisa di rete (protocollo SMB).
Isolamento Totale: Il NAS Synology, per motivi di sicurezza, non ha accesso a Internet e non può scaricare aggiornamenti o pacchetti direttamente dal Package Center.

Come installare i pacchetti in un ambiente senza Internet

Dato che il NAS è isolato, dobbiamo procedere con l’installazione manuale delle applicazioni necessarie per la protezione (Snapshot Replication e Replication Service).

Da un computer dotato di connessione Internet, collegati al Centro Download Ufficiale di Synology.

Seleziona il tipo di prodotto (NAS) e digita il tuo modello esatto.
Assicurati di selezionare la versione corretta del sistema operativo installato sul tuo NAS (es. DSM 7.2 o successivi).
Vai nella scheda Pacchetti (Packages), cerca Replication Service e Snapshot Replication e clicca su Scarica. Verrà scaricato un file con estensione .spk.
Accedi ora al pannello web del tuo Synology isolato, apri il Centro Pacchetti (Package Center) e clicca in alto a destra su Installazione manuale (Manual Install).
Carica il file .spk precedentemente scaricati e completa la procedura.
Una volta istallai li trovi nel centro pacchetti.

Nota: Devi installare prima il pacchetto Replication Service.

Gestione delle Credenziali: Perché l’Admin del NAS non va toccato

Un errore comunissimo è configurare il Repository su Veeam inserendo le credenziali dell’utente administrator o admin del NAS.

Il Rischio: Se un ransomware infetta il server Windows di Veeam, può estrarre le credenziali dalla memoria del software. Se quelle credenziali appartengono all’amministratore del NAS, il ransomware avrà il controllo totale del Synology e potrà formattare i dischi o eliminare il sistema operativo.

La soluzione corretta:

Sul Synology, crea un utente dedicato con privilegi minimi ( es. user_backup).

Dai a questo utente i permessi di lettura/scrittura esclusivamente sulla cartella condivisa dei backup. L’utente non deve avere accesso a nessun’altra applicazione o cartella del NAS.

Su Veeam, quando inserisci le credenziali per la share SMB, specifica il percorso locale del NAS nel campo username per evitare conflitti con Windows (Es: 192.168.1.100\user_backup), altrimenti cercherà all’interno del server Veeam stesso.

Configurare il Paracadute: Le Snapshot Locali

Se il tuo modello di NAS è datato, non supporterà le funzioni di immutabilità nativa di Veeam o la funzione WriteOnce di Synology, ma sfruttando il file system Btrfs, possiamo creare una protezione antiransomware tramite le Snapshot locali.

Apri Snapshot Replication sul Synology.

Vai su Istantanee (Snapshots) > seleziona la cartella dei backup di Veeam > Clicca su Impostazioni.

Pianificazione: Abilita la pianificazione giornaliera. Imposta un orario notturno in cui sei sicuro che Veeam abbia già terminato i suoi job (es. le 04:00 del mattino).

Conservazione: Imposta la conservazione a 7 copie (o quante ne conserva Veeam). Il file system Btrfs è intelligente: non duplica i dati, ma fotografa i metadati in 1 secondo, occupando spazio solo per le modifiche effettive.

Nelle impostazioni avanzate in linea generale va lasciato senza spunte.

Il Test di Verifica delle snapshot: Toccare con mano la sicurezza

Per essere sicuri che tutto funzioni e che i backup siano davvero inattaccabili dal protocollo di rete SMB usato dai ransomware, facciamo un test pratico di inibizione della cancellazione.

Creazione del file e dello Snapshot

Apri File Station sul Synology, entra nella cartella dei backup e crea una cartella di test chiamata Test_Ransomware.

Vai su Snapshot Replication e scatta una snapshot manuale immediata.

Nota: nelle impostazioni dello snapshot come regola va lasciato senza spunta “Rendi istantanea invisibile” ma quando con l’account di amministratore del NAS andrete a soflgiare i file vi chiede di renderla visibile mettete si e una volta terminato il recupero togliete la spunta.

La prova del nove (Verifica dell’Inibizione)

Adesso simuliamo l’azione di un ransomware che ha rubato le credenziali di rete dell’utente di backup.

Accedi alla cartella condivisa del NAS utilizzando l’utente di backup.
Individua la cartella delle snapshot e cancellare i file protetti all’interno della cartella di test.

Cosa succederà? Il sistema inibirà all’utente di backup di cancellare modiicare o rinominare copiare e incollare gli snapshot sul Synology.

Anche se l’utente di backup ha i permessi di scrittura e cancellazione sulla cartella principale (necessari a Veeam per far ruotare i file di backup), il cuore del NAS (il file system Btrfs) applica una regola di sola lettura hardware/software invalicabile su tutto ciò che risiede dentro il motore delle snapshot. Nessun comando inviato tramite rete (SMB/NFS) può modificare o eliminare una snapshot.

Cancellazione cartella di prova

Adesso proviamo ad entrare come amministratore del NAS e cancellare la cartella di test. Quindi selezioniamo la cartella test_Ransomware e facciamo Azione Elimina.

Poi andiamo su Snapshot Elenco istantanee e selezionare la più recente prima della cancellazione della cartella.

Scegliamo l’instantanea, facciamo Sfoglia e cerchiamo il fie che ci interessa copiare di nuovo sul NAS.

Conclusioni: La Regola d’Oro per avere meno problemi

Grazie a questa configurazione, se un domani un ransomware dovesse azzerare o cifrare la cartella principale dei tuoi backup, ti basterà:

Accedere al Synology tramite browser con l’account Admin (che deve avere una password unica, complessa e non salvata su nessun server).
Aprire Snapshot Replication e cliccare su i file che vi servono sulla snapshot della notte precedente.
sarebbe ideale avere almeno un mese di snapshot salvate ma dipende molto dallo spazio del NAS.

In pocotempo hai potenzialmente tutti i tuoi Terabyte di backup sani e puliti riappariranno al loro posto, pronti per essere usati da Veeam per ripristinare l’intera azienda. Protezione totale, performance inalterate.

‹ Previous

Next ›

Lascia un commento Cancella risposta

Categorie

Proteggere i Backup Veeam da Ransomware su NAS Synology

Avviso RDP “Connessione non protetta”: cosa sta succedendo e come risolvere

Come aggiornare Ubuntu Server senza rompere Wazuh

Impossibile avviare il servizio “VeeamEndpointBackupSvc”

Il Trucco Definitivo che Nessuno ti Dice per Installare Sophos su Ubuntu Server in 2 Minuti Senza Impazzire con i Comandi!

Come abilitare EWS su Microsoft 365 per Synology Active Backup

10 trucchi di Windows 11 che nessuno ti ha mai spiegato

Smetti di perdere tempo: il trucco segreto per aggiornare i tuoi programmi in un colpo solo!

Proteggere i Backup Veeam da Ransomware su NAS Synology

Scenario di Partenza

Come installare i pacchetti in un ambiente senza Internet

Gestione delle Credenziali: Perché l’Admin del NAS non va toccato

La soluzione corretta:

Configurare il Paracadute: Le Snapshot Locali

Il Test di Verifica delle snapshot: Toccare con mano la sicurezza

Creazione del file e dello Snapshot

La prova del nove (Verifica dell’Inibizione)

Cancellazione cartella di prova

Conclusioni: La Regola d’Oro per avere meno problemi

Condividi:

Lascia un commento Cancella risposta