Schutz vor Ransomware
- Ersteller t_korth
- Erstellt am
- Status
@Hafer: ich hab jetzt meine externe USB und schaltbare Steckdose endlich, sehe aber als Backup keine Möglichkeit, zu versionieren? Das wäre ja mein gewünschtes Backup für die externe Platte, versioniert in Datenbank. Wie machst du das?
Also, eine FritzDECT200 zeitschaltbare Steckdose plus externe HDD klappt hervorragend an der DS, wird automatisch nach Ende des Backups ausgeworfen, und mit der Steckdose ausgeschaltet.
Wie oft lasst ihr das laufen? Momentan laufen alle meine Backups täglich, aber da kriegt man es vielleicht nicht mit, wenn das System kompromittiert wird, und dann ist das Backup auch hinüber. Ich überlege grade es einmal wöchentlich laufen zu lassen.
Wie oft lasst ihr das laufen? Momentan laufen alle meine Backups täglich, aber da kriegt man es vielleicht nicht mit, wenn das System kompromittiert wird, und dann ist das Backup auch hinüber. Ich überlege grade es einmal wöchentlich laufen zu lassen.
Super-Grobi
Benutzer
- Mitglied seit
- 28. Sep 2010
- Beiträge
- 1.913
- Punkte für Reaktionen
- 0
- Punkte
- 62
Die automatisierten ( PC's backupen zur DS versioniert, DS backupt PC-Backups und eigene Daten zu anderer DS, nicht versioniert (glaub ich)) laufen täglich, bzw alle zwei Tage,.
Komplett manuell, mit abgestöpseltem System (das aber auch hier im Raum steht) mache ich einmal im Monat, versioniert.(überlege aber auf 14 tägig zu erhöhen)
und zweimal im Jahr wird eine Platte die außer Haus liegt upgedatet,, nicht versioniert.
Grüße
Jörg
Komplett manuell, mit abgestöpseltem System (das aber auch hier im Raum steht) mache ich einmal im Monat, versioniert.(überlege aber auf 14 tägig zu erhöhen)
und zweimal im Jahr wird eine Platte die außer Haus liegt upgedatet,, nicht versioniert.
Grüße
Jörg
Zuletzt bearbeitet:
Hängt von der Veränderungsgeschwindigkeit/Veränderungsaufwand ab. Ich lasse das jede Nacht durchlaufen, allerdings versioniert.
Gruß Hafer
Auch jede Nacht, auch versioniert (aber die Platte ist in einer DS114 verbaut)
Gruß Hafer
Perry2000
Benutzer
- Mitglied seit
- 05. Nov 2012
- Beiträge
- 829
- Punkte für Reaktionen
- 16
- Punkte
- 44
Auf Seite 2 hatte ich geschrieben:
Schön dass Ihr Euch bereits auf Seite 5 meinem Konzept annähert ;-)
Schön dass Ihr Euch bereits auf Seite 5 meinem Konzept annähert ;-)
Na gut, dann erkläre ich kurz mein Sicherungskonzept.
Bei mir direkt steht eine DS3611xs, mit externer USB Platte mit FritzDECT200 schaltbarer Steckdose.
Extern steht eine RS3614xs+ und DS115j.
Die 3611xs sicher täglich mit Sync gemeinsamer Ordner zur 3614xs+, und täglich zur USB Platte, die sich danach wieder ausschaltet.
Die 3614xs+ sicher täglich per Sync gemeinsamer Ordner zur 3611xs, und täglich mit versioniertem Datenbank-Backup zur 115j.
Ich habe also auf der 3611xs und 3614xs+ immer eine komplette Kopie aller Daten, sofort verfügbar.
Zusätzlich hab ich auf der USB Platte nochmal eine einfach Kopie, ebenfalls aller Daten, offline verfügbar.
Zusätzlich auf der 115j eine versionierte Datenbank sämtlicher Daten.
Was kann verbessert werden: Die USB-Platte sollte versioniert werden, geht aber erst wenn ich auf DSM6 upgrade (falls ich das tue).
Anmerkungen, Verbesserungsvorschläge, Denkfehler?
Bei mir direkt steht eine DS3611xs, mit externer USB Platte mit FritzDECT200 schaltbarer Steckdose.
Extern steht eine RS3614xs+ und DS115j.
Die 3611xs sicher täglich mit Sync gemeinsamer Ordner zur 3614xs+, und täglich zur USB Platte, die sich danach wieder ausschaltet.
Die 3614xs+ sicher täglich per Sync gemeinsamer Ordner zur 3611xs, und täglich mit versioniertem Datenbank-Backup zur 115j.
Ich habe also auf der 3611xs und 3614xs+ immer eine komplette Kopie aller Daten, sofort verfügbar.
Zusätzlich hab ich auf der USB Platte nochmal eine einfach Kopie, ebenfalls aller Daten, offline verfügbar.
Zusätzlich auf der 115j eine versionierte Datenbank sämtlicher Daten.
Was kann verbessert werden: Die USB-Platte sollte versioniert werden, geht aber erst wenn ich auf DSM6 upgrade (falls ich das tue).
Anmerkungen, Verbesserungsvorschläge, Denkfehler?
@xamoel: Dein Setup (und viele andere auch) ist anfällig für ein SynoLocker-ähnliches Schadprogramm, welches auf den Synos läuft und die externe HDD im falschen Moment mitverschlüsselt - da wäre dann auch egal, ob es versioniert ist oder nicht.
Für genau diesen (zugegebenermaßen sehr speziellen Fall) habe ich selber allerdings auch noch keine zufriedenstellende Lösung. Ein einfaches erhöhen der externen HDDs minimiert zwar das Risiko, treibt aber eben auch den Aufwand hoch.
Einzige mir momentan sinnvoll erscheinende Lösung wäre ein extrem abgeschotteter Server, der sich die Daten aktiv von der DS holt und dann versioniert sichert - ich überlege sowas mit meinem jetzt arbeitslosen rPi2 machen, bin aber bisher noch nicht dazu gekommen.
Für genau diesen (zugegebenermaßen sehr speziellen Fall) habe ich selber allerdings auch noch keine zufriedenstellende Lösung. Ein einfaches erhöhen der externen HDDs minimiert zwar das Risiko, treibt aber eben auch den Aufwand hoch.
Einzige mir momentan sinnvoll erscheinende Lösung wäre ein extrem abgeschotteter Server, der sich die Daten aktiv von der DS holt und dann versioniert sichert - ich überlege sowas mit meinem jetzt arbeitslosen rPi2 machen, bin aber bisher noch nicht dazu gekommen.
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.981
- Punkte für Reaktionen
- 619
- Punkte
- 484
Versioniertes Backup mittels TimeBackup auf eine zweite DS.
Wüßte jetzt nicht, wie der Virus Files kompromittieren sollte, die auf einem anderen Server liegen, der nur für das Backupprotokoll (bzw. rsync) offen ist.
Wüßte jetzt nicht, wie der Virus Files kompromittieren sollte, die auf einem anderen Server liegen, der nur für das Backupprotokoll (bzw. rsync) offen ist.
In so einem Szenario würde ich dann davon ausgehen, dass alle DS im Netzwerk befallen sein können/sind. Daher sollte wenigstens ein Server mit einem anderen OS laufen (daher der rPi2). Klar hilft auch das wieder nicht viel, wenn es eine Lücke in sowas wie OpenSSH ist und das von beiden Servern verwendet wird - aber das wäre dann ein sehr spezialisierter Angriff und dann sind wir auch wieder bei "sicher ist gar nichts".
=> Mir ging es nur darum nicht alles auf den DSen zu machen, damit es keinen SPOF gibt, der alles öffnet.
…das ganze ist sowieso zugegebermaßen sehr unwahrscheinlich - aber er fragte ja nach Lücken
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.981
- Punkte für Reaktionen
- 619
- Punkte
- 484
"Könnten" vielleicht, aber wenn du sie explizit als Backupserver aufstellst, ist die Kiste ja geschlossen und ein Zugriff von anderer Seite nicht möglich bzw. sollte nicht gemacht werden.
- Mitglied seit
- 16. Jun 2012
- Beiträge
- 2.948
- Punkte für Reaktionen
- 353
- Punkte
- 129
Natürlich erhöhen verschiedene OS die Sicherheit allerdings ist zu hinterfragen, wie wahrscheinlich eine nicht zum Netz offene Synology kompromittiert werden kann. Natürlich ist eine Weiterverbreitung innerhalb eines Netzwerkes mit einem gekaperten Rechner möglich aber zumindest mir ist bisher kein solcher Fall bekannt. Bei allen bisher bekannten Angriffsvektoren waren Ports zum Internet offen.
Ein aus meiner Sicht sicheres Setup wäre eine zweite Synology an einen zweiten LAN Port der ersten zu legen ohne weiteren WAN/LAN Zugang. Diese schreibt ein versioniertes Backup der ersten. Sperrt man bei der zweiten Synology auf dem LAN Port, der mit der ersten verbunden ist, noch die nicht benötigten Ports, dürfte es ein Angreifer extrem schwer haben.
Ein aus meiner Sicht sicheres Setup wäre eine zweite Synology an einen zweiten LAN Port der ersten zu legen ohne weiteren WAN/LAN Zugang. Diese schreibt ein versioniertes Backup der ersten. Sperrt man bei der zweiten Synology auf dem LAN Port, der mit der ersten verbunden ist, noch die nicht benötigten Ports, dürfte es ein Angreifer extrem schwer haben.
Also ich sehe das versionierte Datenbank-Backup schon als sichere Möglichkeit gegen Synolocker o.Ä. an, da die 115j ja keinen Zugriff aufs Internet hat, sondern ausschliesslich Daten via Rsync erhält, wie soll Synolocker das verschlüsseln?
Wer steuert die backups zurück, wenn du platt unter'm Schulbus liegst?
Nicht, dass ich dir oder irgendjemandem sonst wünsche, aber vorstellen muss man sich das. Es kann ja auch der Jahresurlaub sein. Deshalb sollten die Nutzer Backups im Ernstfall auch selbst zurückspielen können (nicht desaster recovery, sondern die eigenen Daten)
Gruß Hafer
An im Netz erreichbare NAS dachte ich eigentlich gar nicht, eher an interne Angriffe von manipulierten Client-PCs bzw. das springen von einer DS auf eine andere über das DSM oder andere verbreitete Pakete. Da geht es dann darum, dass ein kompromittierter Quellserver im Idealfall von einem Backupserver gar nichts weiß (und ihn auch nicht via Broadcast o.ä. erreichen kann).
Ich schrieb ja aber auch schon, dass das wirklich sehr unwahrscheinlich ist - und fahre momentan auch versionierte Backups auf eine interne und eine externe DS.
Ich schrieb ja aber auch schon, dass das wirklich sehr unwahrscheinlich ist - und fahre momentan auch versionierte Backups auf eine interne und eine externe DS.
- Mitglied seit
- 26. Feb 2016
- Beiträge
- 12
- Punkte für Reaktionen
- 0
- Punkte
- 7
Hallo, meine lieben Mitdenker,
warum auch immer klappte die Benachrichtigung bei neuen Einträgen nicht und ich war schon ganz traurig, dass niemand mein Problem erkennt oder Ideen entwickelt.
Aber weit gefehlt ... 6 Seiten Diskussion. Krass.
Wir haben hier bei uns intern auch zweimal diskutiert und haben mittlerweile folgende Lösung im Aufbau:
1. Wir haben unsere Backup-Synology (RS3614xs+ mit 42 TB Speicherplatz) um eine RX1214 (mit 12x 8 TB Archive HDDs) erweitert.
2. Die RX1214 haben wir als Volume2 eingebunden, das nicht von außen erreichbar ist (wird gerade aufgebaut)
3. Danach wollen wir Time Backup nutzen, um zwei Versionen der Backup-Volume1-Partition auf Volume2 zu speichern
Uns bekannte Nachteile sind:
- wir sind auf das Prüfen der geschriebenen Backups angewiesen (erledigt die Backup-Software)
- die neusten Sicherungen werden ggf verschlüsselt
- bei Ransomware, die nur nach und nach Dateien verschlüsselt, sind wir machtlos, da wir bei 3 gespeicherten Generationen dann irgendwann auch die verschlüsselten Dateien sichern
Wir sind allerdings dagegen einigermaßen gesichert, wenn Ransomware im Netzwerk herunwurschtelt und massenweise Dateien verschlüsselt; bei zwei unserer Kunden wurde innerhalb eines Vormittags die komplette IT lahmgelegt - da hätten wir dann noch Sicherungen der letzten 2 Tage.
Die nächsten Schritte sind, dass wir im Nachbargebäude das selbe aufbauen und dort weitere Versionen automatisch speichern.
Außerdem gibt es keine gleichen "Backup"-Benutzer mehr, die auf ein gemeinsames Verzeichnis schauen und dann in "ihren" Rechner-Verzeichnissen die Sicherungen abspeichern. Es wird für jeden Rechner einen Login geben. So würde bei einem Rechner-Befall auch nur das Backup des einen Rechners/Servers betroffen sein.
Bei den vielen Beiträgen habe ich immer wieder gelesen, dass man die Zeit haben muss, mal eine USB Platte an- und abstöpseln zu wollen.
Wenn man jedoch täglich 25 GB Daten sichert, dann geht das nicht mehr ganz so einfach. Eventuell müsste man über mehrere (kleinere) Synologies nachdenken, wovon jeweils eine an einem Tag automatisch hoch- und wieder runterfährt. à la "Montags-Synology", "Dienstags-Synology" ... etc. mit der selben IP-Adresse und den selben Freigaben. Aber das war uns im ersten Schritt zu aufwändig.
Seht ihr bei unserem Plan noch grobe Fehler?
Grüße
Tino
warum auch immer klappte die Benachrichtigung bei neuen Einträgen nicht und ich war schon ganz traurig, dass niemand mein Problem erkennt oder Ideen entwickelt.
Aber weit gefehlt ... 6 Seiten Diskussion. Krass.
Wir haben hier bei uns intern auch zweimal diskutiert und haben mittlerweile folgende Lösung im Aufbau:
1. Wir haben unsere Backup-Synology (RS3614xs+ mit 42 TB Speicherplatz) um eine RX1214 (mit 12x 8 TB Archive HDDs) erweitert.
2. Die RX1214 haben wir als Volume2 eingebunden, das nicht von außen erreichbar ist (wird gerade aufgebaut)
3. Danach wollen wir Time Backup nutzen, um zwei Versionen der Backup-Volume1-Partition auf Volume2 zu speichern
Uns bekannte Nachteile sind:
- wir sind auf das Prüfen der geschriebenen Backups angewiesen (erledigt die Backup-Software)
- die neusten Sicherungen werden ggf verschlüsselt
- bei Ransomware, die nur nach und nach Dateien verschlüsselt, sind wir machtlos, da wir bei 3 gespeicherten Generationen dann irgendwann auch die verschlüsselten Dateien sichern
Wir sind allerdings dagegen einigermaßen gesichert, wenn Ransomware im Netzwerk herunwurschtelt und massenweise Dateien verschlüsselt; bei zwei unserer Kunden wurde innerhalb eines Vormittags die komplette IT lahmgelegt - da hätten wir dann noch Sicherungen der letzten 2 Tage.
Die nächsten Schritte sind, dass wir im Nachbargebäude das selbe aufbauen und dort weitere Versionen automatisch speichern.
Außerdem gibt es keine gleichen "Backup"-Benutzer mehr, die auf ein gemeinsames Verzeichnis schauen und dann in "ihren" Rechner-Verzeichnissen die Sicherungen abspeichern. Es wird für jeden Rechner einen Login geben. So würde bei einem Rechner-Befall auch nur das Backup des einen Rechners/Servers betroffen sein.
Bei den vielen Beiträgen habe ich immer wieder gelesen, dass man die Zeit haben muss, mal eine USB Platte an- und abstöpseln zu wollen.
Wenn man jedoch täglich 25 GB Daten sichert, dann geht das nicht mehr ganz so einfach. Eventuell müsste man über mehrere (kleinere) Synologies nachdenken, wovon jeweils eine an einem Tag automatisch hoch- und wieder runterfährt. à la "Montags-Synology", "Dienstags-Synology" ... etc. mit der selben IP-Adresse und den selben Freigaben. Aber das war uns im ersten Schritt zu aufwändig.
Seht ihr bei unserem Plan noch grobe Fehler?
Grüße
Tino
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
