Gašenje NAS uređaja van radnog vremena

[gmlale]

Podesio sam QNAP TVS-471 da mi radi posao skladištenja i bekapovanja podatakau organizaciji gde radim. Kako ne radimo vikendom i praznicima pitam se da li da uključim opciju automatskog gašenja i automatskog paljenja uređaja u odrešenjo vreme (npr petak 16h da se gasi a u ponedeljak 7h da se pali.
Ovo radim da bih smanjio ,,kilometražu" uređaja tj da ne radi u prazno kad se ništa ne dešava, a ne dešava se jer su svi bekapi podešeni da se rade u radno vreme.
Da li je ovo pametna ideja ili mislite da time ne bi dobio ništa posebno.

 

[RingeRaja]

Nije, jer diskovima je najveći stres upravo uključivanje i isključivanje.
NAS i diskovi u njemu su projektovani da rade 24/7/365

 

[gmlale]

Mislio sam da je tako, ali ajde da pitam jel realno mogao nije mi potreban 24h bih da ga ugasim u 16 popodne i da palim u 7h ujutro kao i da vikendom uopste ne radi.

 

[RingeRaja]

Realno ne dobijaš ništa, nešto manju potrošnju električne energije i oko 150 dana godišnje više radnih sati za diskove.
A sa oko 50 više isključivanja i isto toliko više uključivanja godišnje, dosta povećavaš rizik da ti neki crkne.

 

[gmlale]

Ma potrosnja struje nije uopste briga, to je zenemarljivo, vise mi je ocuvanje celog servera bilo na pameti. Vezao sam ga na APC ups, podesio gasenje i sl. Jedino mi je bila briga da mi traje sto duze. Imam 4x2tb 3,5" WD20EFRX diskove u raid 5 modu (6tb prostora manje od 30% iskoriscenosti za sada) da mi je da sto duze rade. Modele koji su u njemu ne mogu da nadjem sada a hteo bih da imam bar jedan sa strane, ali otom potom.

 

[Vladarko]

Ja sam imao ovu dilemu: da li da rizikujem gubitak podataka od uključivanja/isključivanja diskova ili zbog kriptovanja od strane nekog hakera?

Ipak sam namestio da se NAS uključuje pred sam kraj radnog vremena, odnosno, isključuje nakon poslednjeg bekapa.

Rizik od kvara hardvera postoji, ali mislim da je veća verovatnoća da vratim podatke sa pokvarenog, nego sa onog koji je odradio crypto locker.

 

[RingeRaja]

Slažem se, ali uz dobar password i pozatvarane portove koji ne moraju da budu otvoreni, šanse su skoro nula.
Obaška to što RAID (koji god) ne može da zameni backup, redudansa postoji, ali držati osetljive podatke online, na jednom mestu, nije baš najbolja opcija.
Jedini pravi backup je offline backup, i to da se čuva na drugom mestu, nevezano od tog NAS-a.
Ja ono što mi nije kritično držim samo na NAS-u, za podatke koji “ne smeju” da nestanu tu je dropbox + eksterni (oko 2TB).
I jedino tako si zaštićen od gubitka i to praktično 100%.

 

[gmlale]

O bekapu podataka sa samog QNAP-a sam već razmišljao i to bi bila ofline masina koja se pali jednom nedeljno ili sl da taj posao odradi.
Inače sam NAS mi je potreban u radno vreme za bekap podataka sa korisničkig računara (uglavnom Word, Excell i pdf fajlov) i to radim kao file sinhronizaciju tako sto mi sa racunara sinhronizuje na NAS server samo ono što se promenilo od zadnjeg bekapa.I to se radi u radno vreme kada su računari uključeni. Korisnici imaju na računaru svako svoj mapirani disk na koji se snima sa foldera, ti mapirani diskovi su nalaze na NAS-u . Pošto mi je mreža 10/100 ova sinhronizacija se dešava i razlicito doba dana za razlicite korisnike kako se ne bi opteretila mreža puno.
U principu sam se prilagodio okolnostima i opremi koju posedujem na napravim upotrebljivu stvar.

 

[RingeRaja]

Nemaš gbe mrežu?????
A imaš TVS QNAP?

 

[gmlale]

Nemaš gbe mrežu?????
A imaš TVS QNAP?

Za sada nemam, u pitanju je drzavna institucija, menjace se stvari najesen ali sada je tako. Imam Cisca ali 10/100 kao glavni switch. QNAP sam zateko iz neke je donacije dobijen valjda, nisam siguran. Nemoj se čuditi, šta sam dobio sa time i radim.

 

[RingeRaja]

Ok, jasno mi je sada. Čudno mi je bilo da se napredni QNAP NAS koristi u okviru 100 mbe.

 

[gmlale]

Ima 4x gigabitne lan kartice, HDMI izlaz, nekoliko usb-a. Nisam siguran da li cu celokupan sadržaj bekapovati negde jednom nedeljno. Da li da stavim neki eksterni hard prko usba ili neki brend desktop sa velikim hardom o tome cu naknadno da razmišljam. Jedini bi mi bio trošak bio veliki hard.

 

[Vladarko]

Taj brend desktop bi morao da priključiš direktno na lan NAS-a, jer ti je ostatak mreže (kako sam shvatio) višestruko sporiji.

 

[gmlale]

Pa da, što izolovaniji to bolje.

 

[RingeRaja]

Direkt na NAS, opališ backup i ugasiš comp.
To ti je po meni najbolje rešenje, sa Gbe mrežom imaćeš brzinu od stotinjak MB/s, prvi backup će ti trajati, svaki sledeći će biti incremental i biće gotovo za čas.

 

[alex303]

Ja sam imao ovu dilemu: da li da rizikujem gubitak podataka od uključivanja/isključivanja diskova ili zbog kriptovanja od strane nekog hakera?

Ipak sam namestio da se NAS uključuje pred sam kraj radnog vremena, odnosno, isključuje nakon poslednjeg bekapa.

Rizik od kvara hardvera postoji, ali mislim da je veća verovatnoća da vratim podatke sa pokvarenog, nego sa onog koji je odradio crypto locker.

To nije rešenje. Jer ransomware može biti dormant tipa, i inficiraće NAS uređaj čim se ponovo pojavi u mreži u toku radnog remena. Za takve stvari je potreban firewall kao što je OPNSense ili pfSense i njihov policy based firewall rules. Možeš definisati rule koji dozvoljava komunikaciju sa NAS uređajem samo u toku radnog vremena. Čim prođe radno vreme, sav network traffic ka NAS uređaju biva blokiran.

Takođe. Taj isti firewal može da spreči ransomware ukoliko se infekcija nekog sistema desi u toku radnog vremena. Oba firewall-a mogu da pozatvaraju sve portove kao što ti je @RingeRaja već savetovao. Na taj način ne moraš da habaš diskove konstantnim paljenjem i gašenjem i ne moraš da razmišljaš o ransomware-u.

 

[ness1602]

Osim ako ransomware ne dolazi iznutra preko smb/nfs sharova.

 

[alex303]

Osim ako ransomware ne dolazi iznutra preko smb/nfs sharova.

 

[ness1602]

Ne vidim sta si linkovao na toj strani,clamav je on demand, ne znam da ima opciju stalno da skenira, a i da ima kolika je sansa da uhvatim ransomware.

 

[gmlale]

Internet mi ide preko kancelarije za IT i elektronsku upravu, pretpostavljam da njihovi firewalli zadrže jedan deo toga? Nisam siguran tj. ne piše koje osobine ima sem skeniranja, ne znam da li ima štit u realnom vremenu

 

[alex303]

Ne vidim sta si linkovao na toj strani,clamav je on demand, ne znam da ima opciju stalno da skenira, a i da ima kolika je sansa da uhvatim ransomware.

To nije klasičan on demand ClamAV, već realtime traffic scan engine integrisan u firewall-u. On analizira in/out unencrypted traffic koristeći C-ICAP.

Internet mi ide preko kancelarije za IT i elektronsku upravu, pretpostavljam da njihovi firewalli zadrže jedan deo toga? Nisam siguran tj. ne piše koje osobine ima sem skeniranja, ne znam da li ima štit u realnom vremenu

To ćeš morati njih da pitaš.

 

[ness1602]

Imaju neki firewall,sada se ne secam da li imaju nesto sto skenira bas na taj nacin. To je bese stari UZZPRO?

 

[gmlale]

Imaju neki firewall,sada se ne secam da li imaju nesto sto skenira bas na taj nacin. To je bese stari UZZPRO?

Tako nekako, nisam siguran šta je sve tu objedinjeno u novu službu.

 

[ness1602]

Najbolje onda njih da kontaktiras za tako nesto,bese Nemanjina levo dole, sada ne znam ko je zaduzen za tebe.

 

[RingeRaja]

Ima i QNAP inkorporiranu App za proveru ransomware preko share-ova, može da se namesti da radi u realnom vremenu i da proverava.

 

[gmlale]

Ima i QNAP inkorporiranu App za proveru ransomware preko share-ova, može da se namesti da radi u realnom vremenu i da proverava.

A zove se?

 

[RingeRaja]

Malware Remover | Detect and remove malware from your NAS | QNAP

Malware Remover improves your data security by regularly scanning and removing malware from your NAS based on the latest malware definitions.

www.qnap.com

Ne treba se osloniti samo na ovo, ali neće da škodi svakako.
Na sajtu QNAP-a imaš detaljno preporuke kako preduprediti potencijalan ulaz ransomware-a u NAS.

 

[ness1602]

Da,ovaj malware remover sam uglavnom koristio kod ljudi kojima vec upadne pa ciste

 

[alex303]

To nije rešenje. Ako dolaziš u situaciju da moraš da čistiš infekcije, onda mreža nije dobro dizajnirana. Uvek je bolje sprečiti nego lečiti, a za takve stvari služi firewall packet filtering, IDS sistemi...itd. I naravno, treba biti security aware.

 

[gmlale]

Kad smo već u temi, imam 3,5" diskove WD20EFRX-68EUZN0 u uređaju, ne mogu da nađem neki identičan da kupim, zapravo ima samo preko Mađara ali za keš, a rado bih da imam neki hard u rezervi da mi stoji.
Šta bi ovde mogao da stavim u slučaju da mi neki hard iz raida otkaže, tj da se hard uklopi potpuno?