DS IP Adresse ohne Gateway - Schutz vor Viren, Ransomware?

[Hardler]

Hallo,

nutze meine Synology DS 214+ zur Archivierung meiner Fotos und Videos.

Jetzt geht es mir darum, dass die Daten darauf möglichst sicher sind. Hier denke ich vor allem z.B. an Viren und Ransomware (neben Backups, welche ich mache).

Ich habe hier schon mal über mögliche Einschränkungen der Zugriffsrechte der DS angefragt (https://www.synology-forum.de/showt...gungen-setzen-Schutz-vor-Viren-und-Ransomware). Dies ist mir jedoch mittlerweile zu umständlich geworden und auch nicht so als sicher erachtet worden.


Die DS ist an einer Fritzbox angeschlossen. Zugreifen möchte ich auf die DS im Heimnetzwerk (Wlan).

Wäre es möglich, dass ich in den Netzwerkeinstellungen der DS eine IP-Adresse manuell vergebe und dort im Gateway nichts eintrage.
Kann ich dadurch einerseits intern über einen Windows 7/10 Rechner, welcher an die Fritzbox angeschlossen ist, auf die DS zugreifen (lesen, schreiben) jedoch andererseits vermeiden, dass jemand von außerhalb auf die DS zugreifen kann (lesen, schreiben)?

Wie verhält es sich mit Viren, RAM,…?

Oder ist der Win-PC, der Verbindung zum Internet hat, trotzdem weiterhin das „Problem“?


Vorausgesetzt o.g. funktioniert; könnte ich dann trotzdem über VPN (über Fritzbox, z.B. mit Smartphone, PC an anderen Ort) darauf zugreifen und es wäre sicher?

Vielen Dank
Viele Grüße
Hardler

 

[Puppetmaster]

Ransomware und Viren kommen eigentlich fast immer von intern, also so, dass du z.B. Mailanhänge öffnest, die du besser nicht anklickst etc.
Davor schützt dich dann auch keine von extern nicht erreichbare DS.
Wenn der PC oder andere Geräte, die möglicherweise mit Viren in Kontakt gekommen sind, auf die DS zugreifen können, dann können das auch die Viren.
Hier hilft dann letztlich nur eine gute Backupstrategie.

Das Gateway aus der DS herauszunehmen ist nicht wirklich sinnvoll. Das Gateway benötigt die DS um selbstständig auf das Internetz zugreifen zu können (Paketzentrum, Uhrzeitabgleich, etc.).

Ein VPN gilt gemeinhin als die sicherste Art des Zugriffs, aber auch hier gilt genau das, was ich bereits oben schon schrieb: Viren, Trojander, Ransomware, ... die du selbst ins Haus schleppst, wird auch nicht durch ein VPN gestoppt.

 

[Hardler]

Schade, und ich hätte gedacht ich habe DIE Lösung für mich gefunden.

Normalerweise mache ich keine emails auf die ich nicht kenne und treibe mich auch nicht auf "speziellen" Seiten rum. Aber möchte auf Nummern sicher gehen.

Wäre die einzige Möglichkeit einen zweiter PC der nicht im Netzwerk hängt?
Aber die DS muss ja trotzdem wegen Updates an Netzwerk?

Möchte aber keinen zweiten PC herumstehen haben.
Ginge es evtl mit einer virtuellen Umgebung, die auf dem windows PC läuft?
Oder ein "kleiner PC" z. B. mit Linux?
Oder etwas in der Art Raspberry mit etwas mehr Rechenleistung, weil es doch größere Datenmengen sind, die verarbeitet werden müssen?

 

[Puppetmaster]

Was soll denn jetzt der Zweck der Übung sein?

Wenn du deine Daten sicher wissen möchtest, dann gibt es nur einen Weg, und der heißt "Backup". Und am besten auch mehr als nur ein (physisches) Backup. Beispielsweise mehrere externe Platten, auf die man sichern kann.
Falls du doch einmal einen Virenbefall hast, und du merkst es ggf. zu spät und ein Backup ist schon gemacht, dann hast du noch ein anderes, hoffentlich unkrompomittiertes Backup zur Hand.

Davon ab sollten natürlich Virenscanner auf den Clients vorhanden sein.

 

[Hardler]

Evtl bin ich auch etwas übervorsichtig.

Backups führe ich zusätzlich auf zwei weiteren Festplatten durch. beide unkomprimiert. Eines in längeren Abständen (und incremental) das andere in kürzeren, z. b. nachdem ich größere mengen an Fotos gespeichert habe.
Mein Gedanke ist gerade hinsichtlich Ransomware, dass ich es erst bemerke, wenn es zu spät ist. Dazwischen kann einige Zeit vergangen und einige weitere Fotos hinzugekommen sein.
Eine Textdatei kann ich evtl. z. b. nochmal schreiben oder wieder besorgen. Ein Foto wenn weg ist, ist es weg.

 

[TeXniXo]

Daher ist es ratsam, Backup auf unterschiedlichen Medien und Formen anzulegen.
Versionierungen der Dateien können zwar gegen Ransom nicht überstehen, aber gegen Benutzerfehler in Dateimanagement.

Man kann hier auch unterschiedliche Accounts für bestimmte Aufgaben anlegen (Backup mit User1, Netzwerkzugriff mit User2, Download mit User3 usw.).
Ransom greift auch auf unmounted Laufwerke zu, daher auch ratsam, unterschiedliche Accounts zu verwenden.

 

[Hardler]

Die zwei backups mache ich auf verschiedene Festplatten, welche auch an unterschiedlichen orten lagern.

Wenn ich einen Benutzer erstelle der Netzwerkzugriff hat und die updates macht und einen der keinen netzwerkzugriff hat und mit diesen dann vom pc aus die fotos auf die nas speichere, habe ich doch hier immer noch die Schwachstelle PC unter den ich Ordner vom NAS als Netzlaufwerk mounte, oder?

 

[Puppetmaster]

Es gibt keine 100%ige Sicherheit. Und wenn du dich im Netz nicht grob fahrlässig verhälst, dann machst du mit deinen Backups doch schon alles richtig.

Bei Fotos, die nicht abhanden kommen sollen kann man auch immer nochmal eine Sicherung auch nicht wiederbeschreibbare Medien (DVD/BluRay) machen. Da machen Viren und Ransomware auch genau nix.

 

[NSFH]

Ein NAS auf dem man arbeitet ist kein Backup.
Als Backup eine externe Festplatte nutzen, welche nach dem Backauftrag automatisch die Verbindung zum Medium unterbricht (zum Schutz vor Ransom)
Als Zweites eine Datensicherung in der Cloud. Cloudspeicher ist gar nicht mehr so teuer, Synology bietet dafür zB C2 an.