Serwery plików

Serwery plików (File servers) to teoretycznie takie same komputery co komputery osobiste – posiadają pamięć RAM, procesor dysk twardy. Dane przechowywane są na dysku lub dyskach twardych i to właśnie one będą zabezpieczone.

W praktyce serwerami plików mogą być różnorakie urządzenia – od zwykłych komputerów udostępniających folder w sieci, poprzez NAS i tradycyjne serwery po serwery przechowujące dane na urządzeniach SAN.

NAS (Network Attached Storage) to urządzenie działające jako dedykowany serwer plików gdzie system operacyjny i zasoby dyskowe znajdują się na tym samym urządzeniu. Serwery NAS najbardziej znane są z linuksowych boksów takich producentów jak Buffalo lub Synology. Zawierają one od jednego do ośmiu dysków w różnych konfiguracjach RAID. Podłączone są one do sieci a pliki udostępniane są za pomocą Samby. Poza nimi istnieją dużo bardziej zaawansowane serwery NAS takich firm jak NetApp, HP lub Dell. Zawierać one mogą po kilkadziesiąt lub więcej dysków i działać pod kontrolą różnorodnych systemów operacyjnych – Linuksów, Uniksów, Windows (zwykle Server Storage Edition) itp.

 

SAN (Stoarge Area Network) występuje w sytuacji gdy system operacyjny serwera plików znajduje się na innym urządzeniu niż zasoby dyskowe. System operacyjny będzie z jednej strony udostępniał zasoby w sieci jak typowy serwer plików natomiast sam do zasobów będzie podłączony za pomocą odrębnego interfejsu iSCSI lub sieci światłowodowej. Wyrażając się precyzyjniej, miano SAN odnosi się właśnie do urządzenia które udostępnia zasoby dyskowe dla serwera plików. SAN posiada zwykle dużą macierz RAID, na której tworzymy woluminy. Woluminy są z kolei udostępniane serwerom plików poprzez wyżej wymienione iSCSI lub światłowody. Serwer plików będzie miał co najmniej dwa interfejsy sieciowej – jeden do sieci korporacyjnej gdzie udostępnia on pliki, a drugi do sieci z SAN-em gdzie to jemu z kolei udostępniony jest wolumin. San będzie więc operował w odrębnej sieci, zwykle dużo szybszej niż korporacyjna – 10 gbps raczej niż 1 gbps.

SAN-y to generalnie technologie do zastosowań w dużych przedsiębiorstwach, natomiast NAS-y można już kupić za kilkaset złotych.

Podstawową metodą jest oczywiście pełny obraz fizycznych dysków. Jet to jednak zwykle niewskazane z przyczyn prawnych, praktycznych lub technologicznych:

  • Prawne – na serwerze plików mogą znajdować się dane całej organizacji, czyli wszystkich projektów, działów i pracowników. Jeżeli nasze postępowanie dotyczy jedynie wydzielonego fragmentu, zabezpieczenie wszystkich danych może przekroczyć nasze uprawnienia.
  • Praktyczne – serwer plików może osiągać gigantyczne rozmiary. Dziesiątki lub nawet setki terabajtów. Jeżeli przedmiotem naszego dochodzenia jest klika folderów, kopiowanie całego serwera przez wiele dni lub tygodni nie będzie zbyt praktycznym rozwiązaniem. W wielu przypadkach serwera nie będzie można wyłączyć bez narażania organizacji na duże straty.
  • Technologiczne – serwery plików zwykle nie przechowują danych na pojedynczych dyskach. Korzystają one z macierzy RAID zawierającej od kilku do kilkudziesięciu dysków. Istnieje wiele metod rozłożenia zapisu pomiędzy wszystkie dyski. (RAID 0-6) oraz wiele implementacji bazujących na tych metodach. Można oczywiście dyski z macierzy RAID wymontować z serwera i utworzyć pojedyncze obrazy, jednak aby dostać się do danych należy macierz najpierw odtworzyć. Co prawda istnieją aplikacje, które nam w tym pomogą, np. Xways Forensics lub Raid Reconstructor, jednak jest to zadanie trudne a czasem wręcz niemożliwe.

Poziomy RAID (Redundant Array of Independent Disks). Z RAID-em mamy do czynienia kiedy kilka odrębnych dysków jest logicznie połączona w jedną, zwykle większą, szybszą lub bardziej niezawodną przestrzeń dyskową. Istnieje kilka poziomów RAID-u (1-6), jednak w praktyce spotkamy się z następującymi:

  • JBOD (Just a Bunch of Disks) – to nie do końca RAID ale warto go znać. Dyski połączone są po prostu jeden za drugim. Przestrzeń adresowa pierwszego dysku zostanie dodana do drugiego. Jeżeli oba dyski będą miały po milionie sektorów, to JBOD będzie miał 2 miliony.
  • RAID 0 – spanning. Zapisywany plik zostanie podzielony na równe bloki np. 64 KB, które zostaną równomiernie rozlokowane na wszystkich dyskach w macierzy. Umożliwi to równoległy zapis, teoretycznie tyle razy szybszy od zapisu na jednym dysku co ilość dysków całej macierzy. Zaletą RAID 0 jest szybkość, wadą brak planu awaryjnego. Jeżeli jeden dysk zostanie uszkodzony, cała macierz stanie się bezużyteczna.

  • RAID1 – mirror. Dwa dyski są swoim dokładnym odwzorowaniem. Jeżeli jeden zostanie uszkodzony, drugi może swobodnie działać samodzielnie.

  • RAID 5 – oprócz samych danych zapisywana jest również na dyskach tak zwana parzystość (parity). Jeżeli jeden dysk zostanie uszkodzony, można będzie te informację odtworzyć. Jeżeli dwa tu już nie. RAID 5 potrzebuje zawsze przestrzeni jednego dysku do zapisania parzystości, nawet jeżeli tych dysków jest 40. Parzystość zapisywana jest na wszystkich dyskach na zmianę,

  • RAID 6 – posiada dwa dyski parzystości – jeżeli dwa dyski ulegną uszkodzeniu, ciągle będzie można odzyskać dane.

  • RAID 0 +1 – dyski połączone są w dwie grupy RAID 0 będące swoim odbiciem poprzez RAID1.

  • RAID 1+0 – w tym wypadku najpierw tworzymy kilka mirrorów RAID 1, które z kolei zapisujemy na RAID-zie 0.

W przypadku serwerów plików należy zawsze wziąć pod uwagę powyższe uwarunkowania i rozważyć następujące metody zabezpieczenia dowodu:

  • Tradycyjny obraz dysku fizycznego – jeżeli wymienione niedogodności są niewielkie lub waga sprawy jest na tyle duża, że nie są w stanie nas odstraszyć.
  • Obraz dysku wykonany metodą „Live”. Bez wyłączenia serwera i z poziomu jego systemu operacyjnego.
  • Obraz woluminu – nie kopiujemy całego dysku a tylko wskazany wolumin, zawierający interesujące nas dane (potocznie partycję). Również zwykle metodą „Live”.
  • Kopia systemu plików – tylko plików lub folderów istotnych dla postępowania.

Partycja i wolumin to pojęcia często używane zamiennie, które jednak się różnią. Partycja to sposób dzielenia fizycznego dysku na mniejsze części. Stąd wywodzi się nazwa tablicy partycji. Partycja to w praktyce ciąg przylegających do siebie sektorów na dysku. Wolumin jest pojęciem szerszym – jest to ciąg adresowalnej przestrzeni masowej pozwalający na dostęp przy pomocy systemu plików. Każda partycja jest woluminem, ale nie na odwrót. Woluminy na CD, DVD, SAN-ach lub domyślnie na thumbdrive’ach to nie partycje.

Informatyka śledcza zna szereg metod zabezpieczania takich dowodów:

  • W celu zabezpieczenia fizycznych dysków, użyjemy tradycyjnych metod tworzenia obrazu dysku.
  • W przypadku obrazu typu „Live” uruchamiamy takie programy jak Xways Forensics lub FTK Imager na komputerze ofiary i wykonujemy kopie dysku lub woluminu na żywo. Prawa administratora są wymagane.
  • W przypadku specyficznych plików lub folderów, używamy tych samych programów do skopiowania wskazanych plików i folderów. Alternatywnie możemy użyć wbudowanego w Windows robocopy, ale nigdy nie Eksploratora Windows. Zmienia on daty plików i nie ma wbudowanego logowania.

W pierwszych dwóch przypadkach uzyskamy obraz dysku lub woluminu. W przypadku trzecim uzyskamy wierną kopię folderu (robocopy) lub kopię folderu zabezpieczoną w specjalnym pliku – AD01 (FTK Imager), LO1 lub LX01 (Encase ), Evidence File Container (Xways). Przewagą kontenerów jest to ze są one tylko do odczytu, zawierają dodatkowe metadane oraz są chronione hashem a mogą być także zaszyfrowane.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *