Программы-вымогатели и другие угрозы всё чаще нацелены на NAS – Network Attached Storage – сетевые файловые накопители. Поэтому важно убедиться в том, что устройства настроены в соответствии с уже отработанными практиками безопасности.
Продолжаем тему сетевой безопасности, поднятую Брайеном Поузи (Brien Posey). Ранее были рассмотрены способы противодействия внутренним угрозам. Теперь перейдем защите внутренних файловых хранилищ.
Внимательно (это важно) взгляните на аутентификацию
Первое, что вам нужно сделать для защиты NAS-устройств – тщательно проверьте сеть на предмет обработки паролей и аутентификации. По крайней мере все привилегированные аккаунты, встроенные в устройства, должны быть переименованы (если это возможно), а пароль по умолчанию должен быть изменен на более надежный.
Если пользователям, процессам или приложениям требуется прямой доступ к данным, хранящимся на устройстве NAS, рассмотрите возможность использования внешней службы каталогов для обработки процесса аутентификации. Не стоит полагаться исключительно на механизм аутентификации, встроенный в устройство NAS. Внешняя служба каталогов, вероятно, будет более защищенной, чем любой тип механизма аутентификации, непосредственно встроенный в устройство. Это происходит потому, что поставщики ПО службы каталогов корпоративного уровня, часто выпускают исправления для устранения недавно обнаруженных уязвимостей безопасности. Поставщики устройств, конечно, также выпускают исправления, но гораздо реже. Кроме того, сервисы каталогов зачастую можно настроить на более детально, чем механизм аутентификации, интегрированный в устройство.
Есть еще один подход, который иногда используется для обработки аутентификации и контроля доступа к защищенным устройствам NAS. Несмотря на то, что этот подход может значительно повысить безопасность, такие проблемы, как эксплуатационные требования, аппаратные ограничения и затраты, могут помешать его использованию. Вместо того, чтобы разрешить прямой доступ к устройству хранения из сети, рассмотрите возможность физического подключения устройства к сетевому файловому серверу. В моей собственной организации устройства хранения подключаются непосредственно к серверам Windows, а не к сетевым коммутаторам.
При таком подходе к защите устройств NAS файловый сервер действует, как сторож для устройства хранения. Поскольку устройство не подключено напрямую к сети, его не так легко обнаружить хакерам. Атаки, разработанные специально для устройств NAS, обычно терпят неудачу, потому что эти атаки не имеют прямого доступа к устройству.
Кроме того, размещение устройства хранения за файловым сервером упрощает защиту соединений, идущих к устройству и от него. Поскольку вся связь осуществляется через выделенное соединение с использованием одного конкретного протокола, становится очень легко заблокировать любые другие протоколы, которые могут использоваться.
Настройте систему обновлений прошивок
Как упоминалось ранее, поставщики NAS периодически выпускают обновления прошивок, поэтому важно убедиться, что у вас есть система для определения даты выпуска новых обновлений прошивки, тестирования этих обновлений и план их своевременного применения.
Если ваша организация приняла практику подключения устройств хранения напрямую к файловым серверам, а не связывания их с сетевыми коммутаторами, тогда вам потребуется архитектура, которая позволит временно подключать устройства к изолированной сети управления при каждом обновлении прошивки, либо нужны будут другие виды обслуживания. Этот линк можно и нужно отключать, если он не используется.
Отключите неиспользуемые сервисы
Еще одна важная вещь, которую необходимо сделать для защиты устройств NAS – необходимо отключить все неиспользуемые службы или функции, встроенные в устройство. Это помогает уменьшить, так скажем, мишень атаки. Например, некоторые устройства NAS могут функционировать, как серверы потокового мультимедиа или могут быть настроены для предоставления удаленного доступа к файлам через встроенный веб-сервер. Если вам не нужна одна или обе эти функции – отключите их.
Воспользуйтесь преимуществами встроенных функций безопасности
Ну, и наконец, не забудьте воспользоваться всеми функциями безопасности, встроенными в ваше устройство хранения. Рекомендуется использовать любой доступный механизм безопасности, даже если он кажется ненужным.
Ранее я упоминал, что некоторые устройства NAS могут быть напрямую подключены к файловому серверу, что препятствует общему доступу к ним по сети. В моей организации, например, устройства NAS подключаются к серверам Windows с помощью пары Ethernet 10 Гбит/с соединений. Эти подключения идут напрямую от сервера к устройству хранения и не подключаются к сетевому коммутатору. Несмотря на это, я все еще использую брандмауэр, встроенный в устройство NAS. Возможно, нет необходимости использовать брандмауэр для выделенного соединения, но если оставить его включенным, то от этого не будет никакого вреда, но он может служить дополнительной линией защиты в случае, если сеть когда-либо подвергнется серьезной атаке.
Аналогичным образом, мои устройства NAS настроены с использованием надежных паролей и настроены на блокировку трафика, идущего с любых неавторизованных IP-адресов (даже если вероятность того, что устройства когда-либо будут подключены к чему-либо, кроме файловых серверов, к которым они подключены мала).
Заключение
Это лишь некоторые из наиболее важных способов, которые вы можете предпринять для защиты NAS-устройств. Могут быть и другие варианты, в зависимости от марки и модели используемого вами устройства. Например, высокопроизводительные устройства иногда включают механизм создания неизменяемых моментальных снимков, блокировку атак типа «отказ в обслуживании» или обнаружение и блокировку программ-вымогателей.
Ссылки теме:
Атака программ-вымогателей Kaseya – тревожный сигнал для интернет-магазинов
Атаки программ-вымогателей стимулируют новый толчок к соблюдению правил кибербезопасности
Имеет ли смысл запускать приложения непосредственно в устройствах NAS?
Дата-центр ITSOFT: размещение и аренда серверов и стоек в двух ЦОДах в Москве; colocation GPU-ферм и ASIC-майнеров, аренда GPU-серверов. Лицензии связи, SSL-сертификаты. Администрирование серверов и поддержка сайтов. UPTIME за последние годы составляет 100%.
Комментарии (10)
SadLion
27.08.2021 19:42+1По smb делаем доступ ридонли, для бекапера поднимает сервис требующий входа по паролю (ftp/sftp). Готово.
Tangeman
28.08.2021 01:04И где он будет хранить пароль для автономной работы по расписанию? Или все бэкапы делать исключительно ручками и только с 2FA (а то ж троянец может и клавиатуру логировать)? Если ручками то проще уж DAS который физически отключается после бэкапа.
Лучше организовать write-only бэкап, когда можно только создавать новые файлы (что-то типа ZFS/BTRFS отлично дедуплицирует), а для восстановления и удаления нужная ручная авторизация (с 2FA). Удаление, впрочем, можно сделать и по расписанию но на самом NAS.
YMA
30.08.2021 08:58Можно вариант с "вытягиванием" - файлы бэкапа создаются на локальной машине в определенном каталоге, к которому имеет доступ NAS, и откуда он их забирает по расписанию.
Само хранилище бэкапов на NAS при этом из сети недоступно.
vitektm
30.08.2021 18:34+1"Само хранилище бэкапов на NAS при этом из сети недоступно. "
Ну или доступно в режиме чтения.
YMA
31.08.2021 13:50Как вариант, да, но я, как настоящий параноик, стараюсь максимально скрыть бэкап ;)
Светящаяся в сети шара, пусть даже и только для чтения - повод для хакеров попробовать на этом устройстве эксплойты. Или это перебор уже?
Скажем, насколько реально вскрыть компьютер на Debian с регулярно устанавливаемыми апдейтами? Если из сетевых сервисов на нем nginx, samba, и kodi?
ruraic
31.08.2021 19:05Комментарий более полезный, чем вся статья, которая чуть менее чем полностью состоит из воды :)
Teplo_Kota
07.09.2021 12:13+1У меня NAS делает снапшоты средствами Btrfs. Если начать шифровать файлы, очень быстро закончится свободное место.
rstepanov
Купите NAS и не пользуйтесь его сетевыми функциями, используйте его как DAS, подключив к надежному Windows-серверу - ржунимагу, какой бред.
homeles
ну такой вариант (как подмонтировать NAS в качестве диска под Win и расшарить уже его) имеет право на жизнь. Нас, например, от шифровальщика спасло наличие теневой копии средствами Win - полчаса и все откатили (ну естественно после деактивации шифровальщика). А если NAS использовать как бэкап - то лучше софту-бэкапщику дать отдельную учетку только с доступом к NAS, а остальным запретить. И еще - думается мне, что на нормальных NAS-ах теневая копия таки реализована (давно с ними близко не работал - я больше по SAN-ам :) )
rstepanov
Если вам проще все делать средствами Windows - то, внезапно, DAS будет еще и существенно дешевле. А так просто не нужно путать файлопомойку и средства инкрементального бэкапа, резервные копии данных с NAS не должны лежать на нем самом же, для оперативного доступа к данным одна железка, для бэкапов - другая (в идеале еще offsite backup c инкрементальными бэкапами месяца так за 3-4).
Зы: то ли у нас пользователи были правильно надрессированы, то ли инфраструктура грамотно спроектирована, но за 12 лет не было ни вирусов, ни шифровальщиков, ни потери данных...