Sistema de backup redundante como última medida de seguridad ante un ataque masivo de ransomware en el CIFP Tartanga LHII

En el CIFP Tartanga LHII tanto alumnos como profesores y personal no docente guardan su información de trabajo en carpetas de red bajo servidores con Windows Server 2022 con el rol de servidor de archivos activado.

Rol de servidor de archivos instalado en uno de los servidores con Windows Server 2022

Unidades de red disponibles en el CIFP Tartanga LHII

En la captura de pantalla anterior se observan las unidades de red disponibles actualmente en el CIFP Tartanga LHII. En la unidad de red Sailak se encuentran las carpetas de cada uno de los departamentos y las propias carpetas personales de los profesores, además de la carpeta de red utilizada por el personal no docente de la secretaría del instituto.

Parte de las carpetas de departamentos situadas en la unidad de red Sailak

Los alumnos del instituto cuentan con la unidad de red Ikasleak, que contiene las carpetas de red de las diferentes familias profesionales, las cuales contienen a su vez las carpetas de los diferentes grupos de cada ciclo formativo.

Carpetas de red de las diferentes familias profesionales

Carpetas de red de los grupos de los ciclos formativos de Electrónica

Los alumnos de Imagen y Sonido, dado su especial necesidad de espacio de almacenamiento, cuentan con un servidor dedicado con cerca de 11 TB disponibles para los diferentes grupos de los ciclos formativos de esta familia profesional.

Carpetas de grupos de los ciclos de Imagen y Sonido

Además, el CIFP Tartanga LHII cuenta con una unidad de red dedicada para los alumnos de formación continua, con una unidad de red dedicada a intercambio rápido de información entre profesores y con una unidad de red dedicada al almacenamiento de las diversas aplicaciones software que se instalan en los ordenadores del instituto. El acceso a cada una de las carpetas de red está garantizado por los respectivos permisos NTFS y permisos de carpeta compartida, de tal forma que a cada carpeta de red solo acceden aquellos usuarios que tienen los permisos correspondientes (permisos de lectura, de escritura, de lectura y ejecución, etc).

El uso que se hace de estas unidades de red y carpetas compartidas es muy elevado y tanto alumnos como profesores están muy satisfechos por la flexibilidad, facilidad de uso y rapidez que ofrece, por lo que es necesario garantizar al máximo la seguridad de la información almacenada. Para ello, todos los server de almacenamiento tienen una configuración RAID 10 más un disco de spare o de sustitución en caliente, por lo que un fallo en uno de los discos del servidor o incluso un fallo en dos discos no ocasionará ninguna pérdida de datos. Además, todas las noches se hacen backups incrementales de todas las unidades de red, y cada cierto número de días, backups totales, en unos servidores de backup situados en un cuarto especial, alejado del cuarto principal de las TIC donde se encuentran los servidores de almacenamiento. Simultáneamente todos los PCs del centro y también los servidores de almacenamiento y de backup se encuentran protegidos por una solución profesional de seguridad como es Kaspersky Endpoint Security, administrados desde un servidor con Kaspersky Security Center y con directivas configuradas de forma dedicada para cada grupo de ordenadores o servidores con características especiales.

No obstante, en previsión de un fallo catastrófico de seguridad provocado por un ataque masivo de ransomware que pueda cifrar todas las unidades de red del instituto haciendo inaccesibles los datos allí almacenados, desde las TIC del CIFP Tartanga LHII hemos puesto en marcha un sistema de copias de seguridad para situaciones de emergencia, basado en dos equipos HP Proliant DL380-Gen9 con una configuración de RAID 10 mediante 8 discos duros de 8TB en cada uno de ellos, consiguiendo una capacidad útil cercana a los 32 TB en cada equipo de backup. En cada uno de estos equipos se realizan a intervalos regulares (meses de enero, abril, julio y octubre) una copia total de todas las unidades de red del instituto, de tal forma que nunca están los dos sistemas de backups encendidos al mismo tiempo. Es decir, primero hacemos un backup total en uno de los sistemas y cuando finaliza, se apaga completamente el equipo. Tres meses más tarde aproximadamente, encendemos el otro equipo, realizamos un nuevo backup total y al finalizar apagamos el equipo. De esta forma creemos que, ante un ataque masivo de ransomware, podríamos recuperar fácilmente la información existente en las diferentes unidades de red, perdiendo únicamente en el peor de los casos posibles, los ficheros añadidos en los últimos tres meses.

Interior de los equipos HP Proliant DL380 Gen9

Colocación de los dos equipos en un rack dedicado para sistemas de backup

Al no ser equipos nuevos sino reutilizados, estos sistemas de backup cuentan con un precio muy competitivo, efectuándose la compra a través de uno de los varios proveedores que ofrecen este servicio. Junto con los sistemas de backup, adquirimos también los denominados caddys o soportes para la colocación de los discos duros.

Caddys para discos de 3,5″ con el paquete de gominolas que habitualmente envía de regalo el proveedor alemán de estos equipos.

Montaje de los discos duros Western Digital Red Pro de 8TB en los caddys

Equipos de backup con los 8 discos de 8 TB en RAID 10 instalados

Detalle de uno de los discos insertado en el sistema de backup

Configuración del RAID en la controladora Smart Array P840

Configuración del RAID de backup y del RAID del sistema operativo

Cabe mencionar que en este tipo de equipos HP Proliant DL380G9, al tener todo el frontal ocupado por las bahías para los discos de backup, 12 bahías en total, cuentan con dos bahías para discos de 2,5″ situadas en la parte trasera. En nuestro caso hemos utilizado estas bahías traseras para colocar dos discos de 750 GB en RAID 1 con el sistema operativo Windows que empleamos para las copias de seguridad.

Bahías traseras para los discos de 2,5″ con el sistema operativo

Discos de 750 GB para el sistema operativo

Selección de la unidad lógica de arranque primaria

Unidades lógicas reconocidas por el sistema operativo

Las copias de seguridad las hacemos mediante la utilidad Robocopy, disponible en todos los sistemas operativos Windows. Esta utilidad permite múltiples opciones de configuración y, entre otras cosas, permite copiar los permisos NTFS de las carpetas y ficheros, por lo que la eventual tarea de recuperación de información en un server de almacenamiento es extremadamente sencilla y eficaz. De la misma manera cabe citar que en las TIC del CIFP Tartanga LHII hemos optado por mantener el sistema de copias de seguridad y de backups de seguridad totales mediante aplicaciones basadas en sistemas operativos Windows, dado que entendemos que cualquier profesor que pueda ocupar plaza en las TIC en un futuro próximo, es mas probable que conozca y se sienta cómodo con aplicaciones bajo sistemas operativos Windows que con sus equivalentes bajo sistemas operativos Linux.

Ejemplo de utilización de la aplicación Robocopy

En el CIFP Tartanga LHII somos plenamente conscientes de que esta solución de backup de seguridad basada en dos equipos que nunca están encendidos simultáneamente quizás, a los ojos de un experto o de una empresa especializada en backups, no sea muy profesional, pero es una solución que a nosotros nos transmite cierta seguridad ante un ataque masivo de ransomware y que, al mismo tiempo, puede ser entendida y gestionada por cualquiera de los profesores que, de forma anual acceden al instituto con un conjunto de horas lectivas de dedicación TIC.

De la misma manera, en estos momentos estamos adquiriendo los materiales necesarios para conectar los server de almacenamiento con los sistemas de backup mediante conexiones a 10 Gbps. En la actualidad tanto unos como otros cuentan únicamente con tarjetas de red Gigabit, lo cual supone un cuello de botella en las tareas de backup totales, haciendo que estas tareas necesiten mucho tiempo para finalizar, tiempo que va en aumento con el aumento constante de los archivos almacenados por parte de alumnos y profesores. Pensamos que, con esta nueva conexión a 10 Gbps que en breve estará en marcha, los backups totales podrán efectuarse en un tiempo sensiblemente menor, lo cual nos permitirá, por ejemplo, realizar backups totales cada mes, en lugar del periodo de tres meses que utilizamos actualmente. De esta manera, ante un ataque masivo de ransomware, con un cifrado total de las unidades de red del instituto, podríamos recuperar toda la información perdiendo únicamente en el peor de los casos la correspondiente al último mes.

Por último, no podemos finalizar esta entrada del blog sin agradecer a la empresa Irekisoft su ayuda y buen hacer en todo el proceso de adquisición, configuración y puesta en marcha de los equipos de backup de seguridad.

Irekisoft

Web de uno de los proveedores donde habitualmente adquirimos los equipos reutilizados

Esta entrada fue publicada en TIC. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada.