Schutz vor Ransomware

[t_korth]

Hallo Forum,

ich kümmere mich im Moment um eine neue Backup-Strategie, die mich möglichst davor beschützt, dass Ransomware meine Backups "vernichtet".

Im Moment nutzen wir einen Teil unserer Synology als Backup (Backup-Freigabe für jeden Rechner) sowie als gemeinsames Laufwerk für private Home-Verzeichnisse und allgemeine, allen zugänglichen Freigaben.
Wenn sich nun ein Nutzer im Netzwerk eine Ransomware einfängt, dann würde ja jeweils sein (physikalischer PC), sein Home-Laufwerk sowie die Dateien der gemeinsamen Freigaben verschlüsselt werden.

Ich habe nun 4 Ideen als Schutz:

1.) 2. Synology-Gerät kaufen und mit dem ersten Gerät im 12-Stunden-Takt als HA Cluster synchronisieren lassen (falls das geht)
2.) Synology Time Backup (über 2. Netzwerkkarte am 1. Gerät) - damit sollte die Ransomware ja auch nicht auf die "Sicherung der Sicherung" zugreifen können (?)
3.) (ganz plump) 2 Synology-Geräte über HA Cluster verbinden, einen Switch mit einer Zeitschaltuhr dazwischen schalten und den Switch nachts für 6 Stunden einschalten, damit sich die beiden Synologies synchronisieren können (geht das überhaupt?)
4.) über den "Data Protection Manager" (den scheint es aber nur bei der RS2416+ und nicht bei unserer 3614xs+ zu geben) regelmäßig Snapshots erstellen (Wie kann ich mir das vorstellen? Ist das wie bei "virtuellen Rechnern"-Snapshots? Ist das ein echter Schutz gegen Ransomware und wie viel Speicherplatz wird benötigt?)

Was meint ihr, was wäre die beste Methode als Schutz gegen Ransomware?


Grüße

Tino

 

[dil88]

HA ist m.E. der falsche Ansatz. Dabei geht es nicht um ein Backup sondern um eine hohe Verfügbarkeit. Wenn der zweite Knoten nicht läuft, wird der erste permanent Alarm schlagen. Und selbst wenn es sich so machen ließe, müsstest Du sicher sein, dass Du die Verschlüsselung rechtzeitig bemerkst, um die Synchronisierung zu verhindern, bevor es zu Schäden auf beiden DS kommen konnte.

Ich verwende zwei Methoden. Eine versionierte Sicherung (Time Backup) manuell gestartet auf eine externe Platte. Und ein Shell-Skript, was rsync im Trockenmodus laufen läßt und ein Logfile schreibt. Das prüfe ich. Wenn ich Änderungen nicht nachvollziehen kann, untersuche ich die jeweiligen Dateien. Ist alles sauber, folgt der eigentliche Backup-Lauf. Auch in diesem Fall schreibe ich auf eine externe Platte, die räumlich getrennt aufbewahrt wird.

 

[raymond]

Ganz einfach: Software und Virenscanner auf der NAS und Rechner immer aktuell halten plus das was dil88 schreibt.
Zusätzlich nix im Anhang öffnen was irgendwie unseriös rüberkommt, und die Absender-E-Mail-Adresse prüfen.

 

[t_korth]

Hallo dil88,

danke für die schnelle Antwort.

Damit fallen ja schon einmal Idee 1 und 3 aus, wenn die Synology andauernd meckern würde, dass der zweite HA-Server nicht mehr da ist.

Wir haben 30 TB an Daten, die wir auf der Synology sichern. Damit fällt eine externe Festplatte leider aus.
Also wäre die Option "Time Backup" mit einer angeschlossenen RX1214xs-Einheit anscheinend die beste Lösung?


Grüße

Tino

 

[dil88]

Die externe Platte sollte nur als Beispiel dienen. Time Backup sichert ins Filesystem, das wiederum bei einer RX gemountet ist. Halte ich nicht für eine Lösung. Ich würde über eine zweite DS nachdenken, die idealerweise nach einem Integritätscheck der Daten manuell gestartet wird.

 

[t_korth]

Hallo dil88,

ich habe mir Time Backup einmal näher angeschaut. Man kann dort auch ein zweites Volume als Backup-Ziel einstellen.

Hier könnte ich doch das 2. Volume, das über die Expansions-Einheit angebunden ist, als Ziel wählen?
Das müsste vor Ransomware doch auch geschützt sein?


Wenn ich eine 2. Synology ins Netzwerk hänge, dann wäre diese ja auch übers Netzwerk für die Ransomware erreichbar und daher "anfällig"?

Soweit ich die Nachrichten über die aktuellen Ransomware-Bedrohungen gelesen habe, nutzen diese ja "nur" angeschlossene Festplatten, eingebundene Netzlaufwerk-Freigaben, frei erreichbare Netzlaufwerkfreigaben und Freigaben, deren Zugangsdaten in Windows gepspeichert wurden - oder liege ich da falsch?


Grüße

Tino

 

[dwight66]

Gegen Sachen wie Ransomware hilft eigentlich nur eines: Gut nachdenken bevor man einen Datei aus einen unbekannter quelle öffnet (Auch wenn die quelle bekannt vorkommt aber nicht übliche angaben macht wie 'Mahnung' u.a. Zweifelsfalls soll man die 'bekannte quelle anrufen ob die Datei wirklich von denen kommt.). Ransomware kann im Hintergrund schon anfangen Dateien zu verschlüsseln. Wenn man das nicht sofort bemerkt, ist die Datei beim nächsten Backup auch schon 'gesichert'. Wenn es dann keinen Mechanismen gibt die vorherige Versionen der Datei zurück holen kann, ist das Böse schon geschehen. Vielleicht ist diese Variante Ransomware relativ unschuldig, aber was wenn der nächsten aggressiver ist und sich im Syno hinein hackt un unbemerkt anfängt Dateien zu verschlüsseln?
Um dafür zu sorgen das die Backup nicht verseucht werden kann, muß das Medium physisch getrennt werden; das heißt: Datenkabel heraus! Die Backup auf diesen Medium soll nur vom Hand gestartet werden wenn man sich davon hat überzeugt das zurzeit keinen Randsomware aktiv ist. Da lohnt sich die paar Euro für einen externen USB-Laufwerk am Syno bestimmt. Diese Backup kann neben die andere Backup-jobs genutzt werden wenn dafür einen extra job im Backup Manager angefertigt wird.

 

[t_korth]

Hallo dwight66,

das Thema "gut nachdenken, bevor man eine Datei öffnet" klingt zwar gut, aber wir haben bei uns (zwar nur) 35 Leute ... die Hand ins Feuer legen kann ich nicht, dass nicht doch einmal etwas passiert.

Daher suche ich eine möglichst automatische Lösung.

Ein externes Laufwerk an der Syno funktioniert m.E. bei 30 TB Daten nicht; das einzige, was halt gehen würde wären weitere Synos, die an die "Haupt-Syno" angeschlossen werden und automatisch hoch- und herunterfahren.


Grüße

Tino

 

[dil88]

Manuell - also per Stichprobe, die ein Mensch überprüft - kannst Du das auch nicht valide prüfen, aber das Logfile eines rsync Trockenlaufs ist schon ein ziemlich brauchbarer Test meiner Erfahrung nach.

 

[t_korth]

Hallo dil88,

wie genau meinst du das mit dem "rsync Trockenlauf"?

Wir haben die Backups auf der Synology Volume1 gespeichert, danach würde ich über "Time Backup" die Daten von Volume1 auf das Volume2 (anschlossene RX1214) kopieren lassen, habe da aber das Problem, dass ich natürlich bereits verschlüsselte Daten sichere.
Aufgrund der Möglichkeit, mehrere Versionen zu speichern, hätte ich ja eine "Strategie", wenn ich die Daten in mehreren Versionen auf Volume2 belasse.

Dann benötige ich doch auch keine "manuelle Trennung" des Backup-Mediums?


Grüße

Tino

 

[dil88]

Wenn es so sicher wäre, dann hättest Du recht. In dem Moment aber, wo die Malware auch die Backupdaten zugreifen kann, wird sie auch die alten Versionen verschlüsseln. Deshalb glaube ich als Schutz eher an ein manuelles Verfahren, was zunächst einen Integritätscheck enthält (rsync Trockenlauf) und erst nach erfolgreicher Prüfung der Integrität die Daten auf einen Speicher sichert, der nur für diesen Ablauf zugreifbar ist. Und dieser müsste streng genommen auch noch doppelt ausgeführt sein und alternierend genutzt werden, da der rsync-Trockenlauf schon ausreichen könnte, um der Malware Zugriff auf den Backupspeicher zu erlauben. Rsync erlaubt mit einer Option, Quelle und Ziel wie bei einem normalen Backup zu vergleichen, ohne das Ziel zu aktualisieren. Das nennt sich dry-run. Loggt man das mit, kann man sehr gut prüfen, ob man die Änderungen nachvollziehen kann oder ob massenhafte Änderungen vorkommen, die man nicht zuordnen kann. In dem Fall kann man über Stichproben sehr schnell ermitteln, ob eine Malware diese Änderungen verursacht hat.

 

[Perry2000]

Mal so als Gedankenanstoss für Euch.
Ich sichere meinen Server Abends auf die 412er. Danach sichert sich die 412er über VPN auf die 413. Diese steht in einem anderen Gebäude. Damit ich die Gefahr einer Verschlüsselung möglichst gering halte läuft das Ganze so ab:
Tagsüber wird gearbeitet auf dem Server. Alle Synos sind aus. Abends startet die 412 und es wird gesichert. Später startet die 413 und empfängt die Sicherung von der 412. Vor der erste Benutzer morgens kommt, sind die Synos wieder aus. Somit ist ein springen des Virus während der Arbeitszeit unterbunden. Es sei denn, er kommt direkt auf die Syno.....
Natürlich mache ich Versionensicherungen, aber im Klartext. Das heisst ich kann von jeder Syno jede Datei herstellen, ohne ein Backup Programm zu benutzen. Die Sicherung läuft jeden Tag in den Tagesordner = Mo in Mo, Di in Di usw. Ende Woche sichert sich die Wochensicherung in den Monatsordner. Somit habe ich immer 30 Tage im Klartext.
Einmal im Monat kommt die aktuellste Tagessicherung noch auf eine USB HD, die natürlich danach wieder getrennt wird. Dies nur für den schlimmsten Fall.

 

[xamoel]

Möchte auch mal kurz nachhaken.

Meine DS fährt momentan eine Sync gemeinsamer Ordner, das stellt ja keinen Schutz vor Locky dar, da ja die gelöschten Dateien auch auf der zweiten DS verschwinden.

Dazu habe ich aber noch eine Netzwerk-Sicherung auf eine zweite DS, die in eine Datenbank mit Smart-Recycle backupt. Das müsste doch sicher sein oder nicht? Denn Locky z.B. löscht ja die Dateien, und ersetzt sie durch Neue. Wenn ich nun in der Sicherung einfach eine Woche zurückgehe, sollte die Ursprungsdatei doch einfach wiederherzustellen sein oder?

Wie seht ihr das? In dem Fall halte ich die Versionierung in der Datenbank schon für praktisch.

@dil88: Wie soll Locky denn auf die alten Versionen in der Datenbank zugreifen können? Halte ich für unmöglich, da müsste er sich ja direkt in die Steuerung der Backup-Jobs der DS einklinken können.

 

[noiasca]

heute ist es Locky. Vor 18 Monaten haben wir uns über SynoLocker unterhalten ...
ich wäre an deiner Stelle nicht mehr so sicher ob du noch auf dein versioniertes Backup in der DB zurückgreifen kannst ;-)

 

[xamoel]

Ja da war ich live dabei.

Mein Plan ist, eine neue Platte zu kaufen, dort ein 2. Volume zu erstellen und dorthin ein Datenbank basiertes, versioniertes smart-cycle Backup zu fahren, mit dem ich Wochen zurück gehen kann, wenn nötig. Wisst ihr ob gelöschte Dateien behalten werden im smart-cycle Backup? Wenn ja wäre das ja die beste Option.

 

[dil88]

Über die DB-basierte Sicherung habe ich mir auch schon Gedanken gemacht. Was machst Du, wenn die DB-Files verschlüsselt werden. Oder andersherum: Warum sollte Locky etc.pp. um die DB-Files der Datensicherung einen Bogen machen?

 

[xamoel]

Weil Locky darauf garkeinen Zugriff hat. Sind dann auf einem 2. Volumen, das nicht von Windows oder sonstwo gesehen wjrd, sondern ausschließlich vom Backup-Dienst.

 

[dil88]

Das hat dann aber nichts mit einer DB-basierten Datensicherung zu tun. Und was machst Du, wenn zukünftige Malware imstande ist, selbstständig verfügbare Netzlaufwerke zu mounten bzw. sich durchs LAN zu schlängeln. Deshalb glaube ich, dass es hilft, wenn man eine Sicherung betreibt, die nicht permanent online ist. Syno-Locker war btw. auf den Synos aktiv, die Gefahr besteht also nicht nur vom Windows-Rechner aus.

Edit: Du hast aber insofern recht, dass eine DB-Sicherung auf ein Volume nicht von einem Windows-Rechner per CIFS-Mount erreicht werden kann.

 

[xamoel]

Ich glaube du hast mich missverstanden. Die DB-Sicherung wird auf das zweite, ausschliesslich dem Backup-Dienst bekannte Volumen gesichert.

Da müsste Locky oder Synolocker o.Ä. schon in der Lage sein, selbstständig ein nach außen nicht sichtbares Volumen zu mounten, und dann eine Datenbank-Datei, die sicherlich keine *.docx o.Ä. Endung hat, u verschlüsseln und zu löschen, ohne dass es jemand merkt.

Das Netzlaufwerk ist ja nicht mountbar von Windows aus, da es keines gibt, außer direkt auf der DS.

Eine Offline-Sicherung ist in meiner Konstellation nicht möglich, leider.

Edit: Genau das meinte ich. Halt ein denk ich möglicher Kompromiss.

 

[dil88]

Richtig. Im Hinblick auf Windows-Malware, die CIFS-Mounts attackieren kann, ist das eine sinnvolle Option.