UPGRADE DISCHI IN RAID 1

[Brian]

Salve,avrei un NAS QNAP TS-253 PRO vorrei fare upgrade dei dischi con gruppo RAID 1 mi sapereste indicare la procedura esatta? Inoltre impostai il backup delle cartelle presenti sul nas se cancello la cartella BACKUP i dati rimangono invariati o mi consigliate di fare un backup esterno per precauzione? inoltre potrei cancellare i backup più vecchi per liberare spazio nella cartella relativa al BACKUP?Grazie anticipatamente.Saluti.

[FFFAB]

Ciao,
se devi sostituire i dischi con 2 più capienti, questa è la guida:
https://www.qnap.com/it-it/how-to/tutor ... aid-online
La cartella backup la gestisci come vuoi e NON viene toccata durante l'espansione.
PS: i backup sullo stesso dispositivo che contiene i dati non è proprio il massimo.... sarebbe meglio, molto meglio, farli su disco esterno.

[Brian]

Grazie della guida dove mi consigli di effettuare il backup dei dati presenti sul nas o meglio con quale software e miglior sistema?Un altra domanda nel caso di decrypt virus i dati possono essere compromessi?Grazie.

[FFFAB]

La soluzione più semplice (e cmq efficace) è usare un hard esterno usb e il software Hybrid Backup Sync.
Ti consiglio, se possibile, di prevedere poliche di off/on del disco, in modo che sia disponibile solo per il tempo strettamente legato al backup, e offline per tutto il tempo restante. Non è il massimo, ma è un buon punto di partenza, migliore (e di molto) del backup interno al nas.
Cosa intendi di preciso con decrypt virus? Ransomware?

[Brian]

Cosa intendi per poliche on off? Per quel tipo di virus intendo che visto che attacca tutto ciò che è presente sulla rete se appunto i file presenti sul nas con il discorso del backup esterno o interno sono protetti?

[FFFAB]

Intendo di tenere acceso (se possibile) il disco esterno solo per il tempo di backup.
I cryptolocker (e simili) attaccano i file visibili (quindi accessibili): non c'entra se sono sul PC, sul NAS, o anche sul HDD esterno collegato al NAS. Sta a te proteggere l'accesso "facile" ai file.
Mi spiego: la tipica "cavolata" che viene fatta in ambiente Windows è mappare le cartelle di rete del NAS direttamente in Windows salvandone i privilegi di accesso (comodità indiscutibile, ma anche indiscutibile facilità di accesso da parte del suddetto virus): che le cartelle siano sul NAS o sull'hdd esterno non cambia niente. Se invece l'accesso non è memorizzato (in ogni sessione di WIndows devi inserire le credenziali d'accesso) il suddetto virus non può accedere ai files del NAS perchè, a meno di altre strade, non riesce ad entrare nelle cartelle (purchè tu non abbia già effettuato l'accesso, che di default resta attivo per tutta la sessione).
Questo è solo per dirne una.
Poi puoi pensare (come si fa normalmente e saggiamente) ad utenti limitati (non admin) che accedono magari in sola lettura ai dati del NAS.
Puoi pensare ad usare protocolli diversi dal SMB per i backup (FTP o FTPS vanno sempre bene).

Se però FISICAMENTE il box dei backup non è collegato al NAS (perchè è spento ad esempio ) il ransomware non vede niente perchè..... non c'è niente!!!

[Brian]

Per quanto riguarda l'accesso alla cartella condivisa sul nas avevo già adottato la procedura da te valutata cioè ho aggiunto sul desktop il collegamento dell'indirizzo ip quindi inserendo ogni volta la password per l'accesso, per evitare che un eventuale virus attacchi quella cartella.Invece per il backup volevo optare per qualcosa di automatico senza dover ogni volta collegare il disco esterno ed avevo pensato ad un secondo nas più piccolo per il backup.Che ne pensi?

[PiaNi]

Per quanto riguarda l'accesso alla cartella condivisa sul nas avevo già adottato la procedura da te valutata cioè ho aggiunto sul desktop il collegamento dell'indirizzo ip quindi inserendo ogni volta la password per l'accesso, per evitare che un eventuale virus attacchi quella cartella.

Nulla vieta al virus di attaccarti dopo aver inserito la password....

[FFFAB]

Per quanto riguarda l'accesso alla cartella condivisa sul nas avevo già adottato la procedura da te valutata cioè ho aggiunto sul desktop il collegamento dell'indirizzo ip quindi inserendo ogni volta la password per l'accesso, per evitare che un eventuale virus attacchi quella cartella.Invece per il backup volevo optare per qualcosa di automatico senza dover ogni volta collegare il disco esterno ed avevo pensato ad un secondo nas più piccolo per il backup.Che ne pensi?

In merito alle credenziali della cartella condivisa, il mio non era un suggerimento: ti volevo far riflettere sul fatto che gli accessi memorizzati come percorso di rete (mappati durante l'avvio di Win) o da inserire di volta in volta per ogni sessione, hanno più o meno lo stesso risultato. Danno la possibiltà al virus di agire: il non salvare l'accesso PARE una soluzione, ma non lo è (forse non sono stato chiarissimo effettivamente ).

Il secondo NAS usato come backup è una mezza cavolata (scusa il francesismo ): introduci un altro ricco strumento di possibile accesso tramite svariati protocolli, che deve essere ulteriormente gestito e protetto.
Non è tanto il COSA compri, ma il COME lo usi: il backup va pensato in base a tante variabili (quantità di dati, importanza degli stessi, accessibilità, supporto/i scelto/i ecc ecc).
Il backup che prevede un automatismo, può prevedere anche l'automatismo di accesso per il ransomware.
Inizia con un disco USB e vedi (provandoli tu stesso) quali sono i punti deboli del TUO concetto di backup: ti accorgerai che, in termini assoluti, più la gestione del tutto è manuale e meglio è....

[Batman]

Per Ransomware & Co.la soluzione più efficace sono gli Snapshot

https://www.qnap.com/solution/ransomware/it-it/

[enricoMB]

Giusto per dare uno spunto sull'argomento ransomware, è possibile avere una decente protezione creando un nuovo utente sul NAS, creare una nuova cartella condivisa ed eliminare i permessi di scrittura da tutti gli utenti, (administrator compresi) per la suddetta cartella. Poi si da il diritto di lettura/scrittura esclusivamente a questo nuovo utente, e infine si memorizza l'accoppiata nome utente e password non sul pc ma esclusivamente dentro il software di backup.

[Brian]

Giustissima come procedura però ho bisogno di scrivere e leggere su questa cartella sempre senza dover inserire password e nome utente ogni volta,quindi penso che la miglior scelta sia fare un backup sia interno che esterno, tanto comunque il file di backup ha una sua estensione proprietaria quindi il ransomware non potrebbe attaccarla.Che ne pensi?

[FFFAB]

Errori di fondo sono 2:

1) Enrico dice di NON "usare" la cartella di backup: tu invece dici che "ho bisogno di scrivere e leggere su questa cartella".... sbagliato, le destinazioni di backup non si toccano!!! Tu lavori sulla sorgente e basta.

2) Basta che il ransomware venga modificato in *.* e la tua estensione proprietaria va a farsi benedire

I backup non si toccano, devono essere difficilmente accessibili da chiunque, possibilmente in altro dispostivo/supporto e possibilmente non costantemente in linea (se non per il tempo strettamente necessario al backup successivo).
Concordo con Batman che le istantanee sono un buon sistema e, soprattutto, comodissimo in caso di casini: un backup "tradizionale" è cmq sempre da affiancare ad esse, secondo me.

[Brian]

Allora io intendo accedere alle cartelle condivise dove sono presenti i file che mi servono modificare e leggere,per il discordo del backup intendo che il disco presente nel NAS venga partizionato per far si che configuri il relativo backup di quei file.Escluderei il backup "fisico manuale" perché non sarei sempre in sede dove ubicato il NAS, quindi vorrei fare un backup automatico di questa cartella e nell'eventualità anche dei pc collegati alla rete.

[FFFAB]

Chiarissimo.
Le cartelle di backup (le chiamo destinazioni così è più generale) vengono gestite internamente dal NAS tramite HybridBackupSync: l'accesso a tali destinazioni è consentito solo ad utente che non fa assolutamente altro (come dice Enrico). Dalle risorse di rete di Windows vedi le cartelle ma non vi accedi (i PC accedono alle condivise con il/i loro utente/i).
Quindi nel NAS avrai 2 "copie", la cartella condivisa mappata sui pc e sulla quale lavori + la destinazione di backup.
Il ransomware non accede da PC alle destinazioni di backup in alcun modo.
Il limite è che un backup fatto sullo stesso dispositivo che contiene i dati operativi non è proprio il massimo.
Discorso simile per le istantanee: si crea una fotografia dello stato del NAS (dati compresi, che scegli tu) e viene messa in una "partizione" del volume inaccessibile SEMPRE dalla rete (manco la vedi la "partizione", non è mappata per ragioni appunto di sicurezza). Spazio permettendo, è la soluzione più rapida, comoda e sicura (sicura nei confronti del ransomware, ma non è sicura in termini assoluti).

[enricoMB]

Brian per chiarire ulteriormente quanto è stato detto sia da FFAB che dal sottoscritto, gli scenari di partenza sono diversi, ma sono sovrapponibili.
L'ipotesi sottostante al mio consiglio è una situazione "semplice" in cui tu hai il tuo bel pc, ci fai i tuoi lavori e tutte le tue cose e salvi i dati sull'HD locale. Poi hai anche un software di backup che a cadenza che decidi tu, backuppa la o le cartelle coi tuoi dati importanti su una cartella appositamente sharata dal tuo NAS.
Quindi hai i dati d'uso sul pc e sul NAS il loro backup, probabilmente lo sceglierai con versioning e formato da un backup completo e tante snapshot di tipo incrementale o differenziale (e magari ogni tanto si rifà il backup completo).
Se il tuo pc però fosse in grado di scrivere direttamente nella cartella dove viene eseguito il suddetto backup saresti a rischio, perché come lo puoi fare tu lo fa anche il ransomware che ha infettato il tuo PC. E quindi c'è il rischio che "sputtani" (per usare un francesismo ) anche gli archivi di backup perdendo tutti i dati.
La soluzione che suggerivo io è quella di NON avere i permessi di scrittura su questa cartella. Se non ce li hai tu (e con tu immaginati windows, che ci acceda direttamente tramite password memorizzata o di tanto in tanto quando tu manualmente inserisci la password ha importanza relativa) non ce li ha e non li può avere nemmeno il virus.
L'accoppiata username password per accedere a quella cartella la memorizzi SOLO dentro il software i backup, in modo che lui possa accedervi, backuppare in background con la cadenza che hai deciso tu, e, quando ti serve, fare il restore del o dei dati che ti servono.

Il limite è che un backup fatto sullo stesso dispositivo che contiene i dati operativi non è proprio il massimo.
Discorso simile per le istantanee: si crea una fotografia dello stato del NAS (dati compresi, che scegli tu) e viene messa in una "partizione" del volume inaccessibile SEMPRE dalla rete (manco la vedi la "partizione", non è mappata per ragioni appunto di sicurezza). Spazio permettendo, è la soluzione più rapida, comoda e sicura (sicura nei confronti del ransomware, ma non è sicura in termini assoluti).

Invece in questo caso che correttamente ti cita FFFAB i dati d'uso non sono nel tuo PC, ma direttamente sul NAS (caso tipico di chi lavora in team per esempio), in questo caso puoi ricorrere alle snapshot che sono abbastanza blindate dai ransomware (salvo il caso che non ne becchi uno che fa esaurire lo spazio, in quel caso bisogna accorgersene per tempo se no il software del NAS non trova spazio dove memorizzarle). Ma nulla vieta (anzi è assolutamente consigliato) di fare DAL nas un backup su un altro NAS con il "trucchetto" dei diritti non memorizzati.

Poi ci sono le combo, come ho detto le cose si possono mischiare, ad esempio puoi fare dal NAS un salvataggio degli snapshot da un altra parte. Oppure nel caso del pc che backuppa sul NAS puoi fare ANCHE le snapshot eccetera eccetera.

[Brian]

Buongiorno nella cartella backup non ho assolutamente nessun accesso da nessun pc,ho solamente il backup degli stessi dati tramite gestione backup(server Rsync) utilizzando nome utente e password nello stesso NAS. Scusate ancora per il vostro tempo.Saluti

[Brian]

è giusta come configurazione?Grazie.

[PiaNi]

La cartella Backup non ha accesso dal alcun pc, cioè se esplori la rete > nas > Backup, non ci accedi?

Passando alla gestione backup (server Rsync), il file vengo socrescritti o hai una sottocartella a parte?
Se vengono sovrascritti, e ti parte il backup con i file sorgete corrotti, non hai risolto nulla.

[Brian]

no la cartella backup non è visibile alla rete e neanche accessibile da file station5,sinceramente è stato fatto tempo fa e non ricordo l'esatta procedura,io comunque vorrei una soluzione in merito ad un backup sicuro sia esterno che interno dando una password e un utente all'accesso della cartella e penso di essere sicuro che i dati non vengano corrotti e impostare il backup settimanale.Quindi nella replica remota è stata fatta una locale inserendo l'indirizzo ip ciò è possibile?DATEMI UN CONSIGLIO NEL METODO FATTO DA ME TEMPO FA O CONSIGLIATO DA VOI.Grazie ancora.