Buscar

Veeam Backup: Ransomware protección

Como administradores de nuestra infraestructura IT, es seguro que hemos sufrido varios ataques de ransomware.

Lo cierto es que con el paso del tiempo, los ataques se han intensificado y en la medida de lo posible, hemos tenido de reforzar las medidas de prevención.

En el post de hoy, analizaremos distintas medidas de prevención para estudiar la posterior posibilidad de implementación en nuestras infraestructuras:

1) Considerar: Red con tráfico de backup separada de la red donde están situadas las VMs:

Veeam Backup solo tendría conectividad con el hipervisor.

En el caso que Veeam Backup necesite entrar en el interior de una VM vía VSS, realizaría la conexión por VIX y no por RPC.

El el siguiente post, podéis ver el detalle:


2) Considerar: Situar el equipo de backups, en un WORKGROUP.

Si no añadimos el equipo de backups en un WORKGROUP, dispondremos de cierto aislamiento a nivel de permisos y derechos e usuario. 

Un administrador del dominio, no podrá acceder a los recursos compartidos administrativos (C$, D$, etc...) del equipo situado en el WORKGROUP.

Tampoco será posible iniciar sesión local con ningún usuario del dominio.

3) Firewall de Windows: activado.

Veeam backup, al ser instalado, ya realiza las configuraciones necesarias en cuanto a reglas del firewall de Windows, así que podemos mantener el firewall de Windows activado.

Vista configuración de puertos, instalación de Veeam Backup & Replication:

Veeam Backup: Ransomware protección

4) Windows Update

Sobre el equipo Windows donde tenemos instalado Veeam Backup debemos aplicar de forma regular los parches que va publicando el fabricante.

5) Parches en los repositorios.

Los sistemas operativos donde residen los repositorios donde tenemos almacenados los ficheros referentes a los backups: VBK, VIB, etc...  también deben ser parcheados.

6) Repositorios: Desactivar protocolos.

Si por ejemplo, disponemos de repositorios con SMB activado, analicemos la versión necesaria a la que se negociará la conexión y desactivemos la que no se utiliza.

Ejemplo:


También, si el repositorio es un NAS, es buena idea desactivar todos aquellos protocolos de acceso que no vamos a usar, por ejemplo, si al NAS accederemos por iSCSI, es buena idea desactivar los protocolos SMB, NFS, etc...

7) Considera evitar utilizar SMB para acceder al repositorio.

Existen otras formas de que Veeam Backup pueda conectar contra un repositorio, por ejemplo, presentando el repositorio por iSCSI.

Pensemos que SMB es un protocolo muy atacado ya que está activado por defecto en todos los equipos Windows.

8) Si se utiliza SMB para acceder al repositorio:

- No usar las credenciales de administrador del dominio.

- Utilizar un usuario (no-administrador) para la conexión.

9) Recuerda que puedes rotar los repositorios de los jobs.

En las propiedades avanzadas del repositorio, encontrarás la opción: "This repository is backed by rotated hard drives".

Veeam Backup: Ransomware protección
Esta opción, nos permitirá retirar el repositorio, colocar uno vacío sin que fallen los jobs que lo atacaban.

Eso sí, los jobs que lo atacaban, con el modelo de backup: "Incremental" o "Reverse Incremental", al no encontrar la cadena de ficheros, se realizará una primera copia FULL y luego se seguirá con el modelo: "Incremental" o "Reverse Incremental".

10) Intentar acelerar al máximo el tiempo de restore.

Podemos basarnos en los siguientes escenarios de rendimiento para diseñar nuestro sistema de backups desde el punto de vista del rendimiento:



y también, desde el punto de vista del rendimiento, deberemos considerar el tipo de RAID a utilizar y el modelo de backup: "Incremental" o "Reverse Incremental":


2 comentarios: